>企業資料外洩事件頻傳，本文提供企業、乃至個人如何降低此類資安事件後的影響，協助讀者有效面對遭駭的情況，降低損失。

#一、企業層面：
1. 應立即啟動資安事件緊急應變處理程序，檢視網站、資料庫及 AP 相關存取紀錄，確認是否有非法存取狀況；另檢查與資料流相關人員之電腦主機，確認是否有遭入侵者控制之狀況，必要時可協請資安事件處理專案廠商配合處理。
2. 依據經濟部「網際網路零售業及網際網路零售服務平台業個人資料檔案安全維護計畫及業務終止後個人資料處理作業辦法」，發現事故時起算72小時內，填寫個人資料侵害事故通報與紀錄表向相關政府機關進行通報。
3. 立即與業務往來有涉及個資處理之協力或供應鏈廠商聯繫，檢視資料流處理過程是否有遭洩露之可能狀況；另建議檢視外洩資料欄位結構，是否與內部資料庫內容相同，若有相同資料庫欄位，建議從該台主機進行事件調查處理。
4. 立即將案況及可疑證據，報案協請警方或檢調單位處理。

#二、個人層面：
1. 如有接獲所使用之服務網站通知簡訊或電郵時，應詳加確認內容並透由官方聯絡管道驗證，避免遭詐騙損失；另透由165反詐騙諮詢專線反映所接獲之詐騙內容。
2. 為避免所使用之服務網站遭駭後，洩露個人帳密及個人資訊，註冊網站時所使用之帳密應要有所區隔，或採用gmail等具有兩階段認證防護之機制做認證，降低服務網站遭入侵後，駭客透過撞庫方式擴大影響其他範圍之風險。

 
 
 
✨ TeamT5 專業團隊具備豐富實務經驗，為企業提供資安事件應變服務，專案協助疑似遭駭廠商，進行事件處理。
 
 
👉 有興趣瞭解者，歡迎填寫[諮詢表單](https://teamt5.org/tw/request-information/?utm_source=blogs&utm_medium=website)

【viewpoinT 專欄】從企業資料外洩事件中，企業與個人可以如何降低遭駭後的影響?

>當企業發生資安事件，常會成為新聞焦點。資安事件一旦見光，不僅會造成品牌的名聲受到損害，更有可能會因此流失客戶。於是，做好完善的資訊安全管理，在近幾年便成為金融機構、政府單位，甚至是各大企業的重點營運目標。
>
>那麼，企業應如何挑選資安廠商呢？本文提供給3點建議，協助企業找到長期合作的供應商。

## 企業挑選資安廠商的3項重點

### **一、貼心客服，專業處理**
要挑選優良的資安廠商，就需要優秀且貼心的在地化客服團隊。
有了在地團隊接地氣的服務品質，才能夠在事件發生時，及時處理，甚至提前預防攻擊事件。

### **二、量身訂製，最佳對策**
資安廠商比起單一企業，更有機會能根據客戶的產業或特性，為企業量身訂製最合適的解決方案。
除了企業內部的需求，在挑選時不妨也多多確認資安廠商能提供的解決方案導入彈性，讓解決方案發揮效益的同時，雙方更能夠順暢的合作。

### 三、頂尖研發，強力後盾
資安廠商也需要具備夠堅強的技術實力，不僅在導入時，提供客戶直覺易懂的解決方案，更可在合作期間，持續完善、鞏固資訊安全的研究能量，協助客戶永遠走在趨勢之前，預防潛在的網路攻擊，為風險作好準備。

## 結論
企業挑選資安廠商是資安計畫執行的重要關鍵。根據上述3項重點，選擇對的資安廠商，可協助企業順暢營運，不受資安攻擊事件威脅。
 
 
杜浦數位安全 TeamT5 作為亞太地區惡意攻擊情資專家，持續深入了解金融、政府及各大企業的多元需求，推出防範勒索攻擊的最佳解決方案。
 
 
我們更進一步與台灣頂尖資訊系統整合廠商合作，協力提供企業最優良、最安心的資訊安全整合方案，讓您不必擔心又遭到駭客攻擊而渾然不知，晚上得以安心入睡。
 
 
📌企業防駭，就找TeamT5
 
🔏 諮詢表單 [https://teamt5.org/tw/request-information/](https://teamt5.org/tw/request-information/?utm_source=blog&utm_medium=website)
 
 
 
*關鍵字: 資安公司推薦、資安公司評價、資安公司心得、臺灣資安公司

企業挑選資安廠商的3項重點

Products & Services

ランサムウェアは、近年の主要なサイバー脅威の一つです。企業や様々な組織を標的にしています。多発する事件は日常業務に影響を与えるだけでなく、多大な損失をもたらします。


ランサムウェアインシデントは、企業や組織が損害を制御し、できるだけ早く通常の運用に戻ることを効果的に支援する正確かつ適切な対応手順を通じて対処する必要があります。

ランサムウェア インシデントへの対応における 9 つの主要な手順を以下に示します。

## ステップ 1: 迅速な隔離
- どのシステムがランサムウェアに感染しているかを特定し、直ちに隔離します。
- ネットワークから切断できないマシンがある場合は、一時的にシャットダウンしてください。
- グループ ポリシー オブジェクト (GPO) 設定では 拡散をブロックするために、[すべての接続をブロックする] を一時的に選択します。


## ステップ 2: トリアージ
- 事業継続計画に基づく復旧。
- さまざまな状況に応じて、対応する対処を実行します。
- もし最悪のシナリオ（デバイスの故障）があれば、可能な限り回復させます。
- 中等度から重度の場合：優先的回復。
- 軽度の場合：特別な対処は必要ありません。

## ステップ 3: 支援を求める
- まず状況を理解して文書化し、社内および社外のチームに連絡して正常な状態に早く戻るようにします。
- 企業組織の性質に応じて管轄当局に通知し、司法調査部門に連絡します。また企業組織が関連保険を購入している場合は、保険部門に連絡します。


## ステップ 4: 証拠の収集
- 主要なマシン (サーバーなど) のメモリ ダンプ、イメージ、ログを収集します。
- 疑わしいコマンドと IP をフィルタリングして収集する

##ステップ 5: レコードを検索する
- ウイルス対策ソフトウェア、エンドポイント保護ツール (EDR)、侵入防御ツール (IPS) などのインベントリを作成し、初期の攻撃の兆候を探します。

## ステップ 6: 汎用ホストの対応
- ランサムウェアによって暗号化されていないホスト、またはランサムウェアによって暗号化されていてもまだ暗号化されていないホストがまだある場合は、まずネットワークから切断します。 企業がランサムウェアの感染プロセスを解明し、悪意のあるプログラムを削除した後、ホストをインターネットに接続します。
- 元のウイルス対策スキャン ツールとは別のウイルス対策スキャン ツールを使用し、(例えば)Microsoft Safety Scanner などを使用してシステムの状態を再度確認します。

## ステップ 7: ドメインコントロールの対処
- すべてのドメイン管理者のパスワードを変更する。
- Krbtgt パスワードを 2 回変更します (変更間隔は 10 時間)
- ドメイン管理者およびその他の高い特権グループの下に不明なアカウントが追加されているかどうかを確認します。

## ステップ 8: バックアップと復元
- オフラインバックアップからデータを復元する。
- サービスの復旧には段階的なアプローチを採用し、重要なサービスから始めて完全な復旧まで継続します。
- 残りのデータをバックアップし、システムを再構築します。


##ステップ 9: ランサムウェアがどのファミリーに属しているかを調べる
- 暗号化されたファイルのファイル拡張子とランサムノートによって、どのランサムウェア ファミリが攻撃されているかを特定します。
-これを使用して、対応する復号化ツールを見つけます 。(ただし、ツールが見つかる可能性は低い)
- ランサムウェア ファミリの攻撃が他の部門によってレポートやニュースに記載されている場合、そのグループの通常の侵入方法とソースを知ることができます。


 
 
>TeamT5 チームは、長年にわたりハッカー グループの侵入行動の研究と分析を行っており、国内外の第一線の情報セキュリティ インシデントの処理において豊富な経験を持っています。 侵入者の攻撃、インシデントの影響と技術的要因を特定、調査し、クライアントが回復と修復するための解決策と回避策を提案します。
>
>情報セキュリティインシデントの処理と対応が必要な場合は、相談フォームにご記入ください: [https://teamt5.org/jp/request-information/](https://teamt5.org/jp/request-information/?utm_source=blog&utm_medium=website)

ランサムウェア インシデントに対する対応を行うための重要な9つのステップ

Ransomware is one of the major cyber threats in recent years. Ransomware targets enterprises and various organizations. Frequent incidents not only affect the daily operations of enterprises, but also cause huge losses.

Ransomware incidents should be handled through precise and appropriate response steps that will effectively assist enterprises and organizations in controlling damage and recovering back to normal operations as soon as possible.

The 9 key steps in the response to ransomware incidents are listed below.

## Step 1: Quick Quarantine
- Determine which systems are infected with ransomware and quarantine them immediately.
- If there are machines that cannot be disconnected from the network, temporarily shut them down.
- In the Group Policy Object (GPO) setting, temporarily select "Block all connections" to block the spread

##Step 2: Triage
- Restoration according to the Business Continuity Plan
- According to different situations, carry out corresponding treatment:
 - If it is the worst scenario (dead device): recover as much as possible
 - If it is moderate to severe: Priority recovery
 - If it is mild: no special treatment

## Step 3: Ask for assistance
- Initially understand and document the situation, contact internal and external teams to expedite return to normalcy
- Notify the competent authority and contact the judicial investigation unit according to the nature of the enterprise organization.If the enterprise organization has purchased relevant insurance, contact the insurance unit

## Step 4: Evidence collection
- Collect memory dump, image, and logs for key machines (such as servers)
- Filter and collect suspicious commands and IP

##Step 5: Find records
- Inventory of anti-virus software, endpoint protection tools (EDR), intrusion prevention tools (IPS), etc., trying to find signs of early attacks

##Step 6: Handling general hosts
- If there are still hosts that have not been encrypted by ransomware, or hosts that have been encrypted by ransomware but have not yet been encrypted, disconnect it/them from the network immediately. After the company has clarified the infection process of the ransomware and removed the malicious programs, the host computer can be reconnected to the Internet.
- Use a different antivirus scan tool from the original one, and then check the system status again by using, e.g. Microsoft Safety Scanner, etc.

##Step 7: Handle Domain Control
- Change the passwords for all domain administrators
- Change the Krbtgt password twice (change it a second time in another 10 hours)
- Check whether there are unknown accounts added under Domain administrators and other high-privilege groups

##Step 8: Backup and Restore
- Restore data from offline backup
- Take a phased approach to service restoration, starting with essential services. Continue the process until data fully restored
- Back up the remaining data and rebuild the system

##Step 9: Find out which ransomware family it belongs to
- Find out which ransomware family it belongs to by checking the file extensions and the ransom note 
- Use this to find the corresponding decryption tool (but the chance of finding the tool is low)
- If the ransomware family has been mentioned before on reports or news by other units, we can get additional information on the intrusion methods and perhaps sources on relating attacker groups

 
 

>With solid technical background and frontline expertise, TeamT5 provides an in-depth investigation and response to real-world cyber-attacks. We identify and research the intruder attacks, the impacts and technical causes of the incidents, and recommend solutions or workarounds to assist our clients in recovery and remediation.
>
>If you have needs for incident response, please contact us: [https://teamt5.org/en/request-information/](https://teamt5.org/en/request-information/?utm_source=blog&utm_medium=website)

 
 
*Image courtesy: [Unsplash](https://unsplash.com/)

9 Key Steps to Respond to the Ransomware Incident

勒索軟體(ransomware，又稱勒索病毒) 是近年來重大網路威脅之一，勒索軟體鎖定企業和各類組織進行攻擊，受害事件頻傳，不僅影響企業日常營運，更造成鉅額損失。

透過精準、合宜的應變步驟，以關鍵9步驟應變、處理勒索軟體事件，將可有效協助企業、組織有效控制損害，盡早恢復正常營運。

勒索軟體事件應變處理的關鍵9步驟，詳列如下。


##步驟1: 快速隔離
- 判定有那些系統被勒索軟體感染，並立刻進行隔離。
- 如果有不能施以斷網處置的機器，就將其暫時關機。
- 暫時透過 Group Policy Object(GPO) 設定，選擇 "Block all connections”，阻擋擴散

##步驟2: 檢傷分類
- 依據企業持續營運計畫(Business Continuity Plan)，進行復原
- 依據不同狀況，進行相對應的處置:
 - 若為死亡狀態: 盡可能復原
 - 若為中重症: 優先恢復
 - 若為輕症: 先不進行特別處理

##步驟3: 尋求協助
- 初步了解情況並記錄，聯繫內外部團隊，以加快恢復正常狀態
- 依企業組織的性質通報主管機關、聯繫司法調查單位；若企業組織有投保相關保險，則聯繫保險單位

##步驟4: 證據收集
- 針對重點機器(如: 伺服器)進行 Memory dump、Image、Log 的收集
- 過濾及收集可疑的指令、IP

##步驟5: 找尋紀錄
- 清查防毒軟體、端點防護工具(EDR)、入侵防護工具(IPS)等，試圖找到初期攻擊的跡象

##步驟6: 處理一般主機
- 若尚有未被勒索軟體加密的主機，或是勒索軟體進行加密、但尚未完成加密的主機，先進行斷網。待企業釐清勒索軟體的感染流程、移除惡意程式後，再-將主機連網。
- 使用不同於原始的防毒掃描工具，再清查一次系統狀況，如使用 Microsoft Safety Scanner。

##步驟7: 處理 Domain Control
- 將 Domain 管理員的密碼皆進行密碼更換
- 將 Krbtgt 密碼更改兩次 (兩次更改間隔10小時)
- 清查 Domain 管理員及其他高權限 Group 底下是否有被新增未知帳號

##步驟8: 備份還原
- 從離線備份，還原資料
- 採取分階段，進行服務復原，從必要服務開始進行恢復，直到全部恢復
- 備份剩餘資料，進行系統重建

##步驟9: 尋找勒索軟體所屬家族 
- 透過加密文件的副檔名、勒索文件，尋找遭受哪個勒索體家族攻擊
- 藉此尋找對應的解密工具 (但找到該工具的機率低)
- 如果該勒索軟體家族的攻擊，有經其他單位寫成報告或新聞，可以知道該族群慣用的入侵手法、來源

 
 

>TeamT5 杜浦數位安全團隊長期研究與解析駭客族群入侵行為，具備第一線國內外資安事件處理的豐富經驗。當資安事件發生，我們可快速完成受駭現場與歷史軌跡的綜整分析，發掘攻擊者的入侵過程與手法，提供事件處理的深入分析及建議，協助您復原與改善資安環境。

>若您有資安事件處理、應變的需求，歡迎填寫諮詢表單: [https://teamt5.org/tw/request-information/](https://teamt5.org/tw/request-information/?utm_source=blog&utm_medium=website)

 
 
*首圖來源: [Unsplash](https://unsplash.com/)

遇到勒索軟體事件，關鍵應變 9 步驟

每隔一段時間，國內外媒體即會報導消費者愛用的企業品牌網站，其個資、信用卡資料外洩，消費者收到詐騙電話，或信用卡遭盜刷。

## 資料庫外洩產生的問題
企業品牌網站的資料庫常涵蓋眾多資料，協助企業有效營運，為消費者提供良好服務。然而資料外洩，則會造成消費者權益受損。

- 消費者的消費明細外洩：消費明細如購買服務、商品的內容及購買時間點等資料。若被詐騙集團掌握，將可用於詐騙電話內容，獲得消費者初步信任，進一步詐取錢財。

- 消費者的付款資料外洩：付款資料如信用卡的卡號、有效日期，若有心人士獲得，則可能盜刷，使消費者蒙受損失。雖信用卡發卡銀行設有爭議款機制，能將可疑的信用卡消費款項暫停授權，然而消費者與發卡銀行之間的來回溝通，仍會造成消費者困擾與時間金錢的損失。

顯見資料庫外洩，將影響消費者的消費體驗，更會造成對企業的不信任，對品牌留下負面印象。 

## 資料庫外洩的可能原因
資料庫外洩有諸多可能原因，根據我們長期進行資安事件調查與應變專案之經驗，以下列舉可能原因。

- **資料庫洩漏（又稱「拖庫」）**
 
指的是網站系統有漏洞或資料庫存取介面有暴露在外部管控不佳，造成攻擊者可藉由此途徑將資料庫下載或查詢；亦或是有權限存取資料庫的人員，其使用的筆電、桌電等終端裝置，遭到入侵，以致有心人士可以透過此終端裝置，進入資料庫，取得資料。

- **資料流洩漏**
 
指的是資料流存取過程中有某個環節遭不當利用，例如APP資料存取流程、Web API查詢功能等資訊被攻擊者掌握，亦或是資料流有經過不安全的終端處理，造成資料被取得利用。

- **撞庫**
 
指的是網站或系統服務登入介面，遭到不當測試，例如使用其他網站服務帳密，透過手動或密碼自動填入測試程式，重複嘗試用不同帳密登入，成功登入後就可再取得其他系統內的相關資訊。

- **內部人員洩漏**
 
指的是內部人員透過正常或盜用方式，存取資料庫，再將資料販賣給其他公司外部人員作為非法用途。

若企業要發現以上狀況，只有透過固定稽核或取證調查，才能分析掌握資料庫外洩的真正原因。

## 如何檢查資料庫外洩

若企業懷疑自身系統、機器等可能遭受攻擊入侵，依據長期豐富的資安事件調查經驗，提供下列簡易檢查方式。

- 若為**資料庫洩露（又稱「拖庫」）**，處理方式為：
調查可存取資料庫的終端是否遭駭，包含進行終端掃描分析、終端取證分析以及Web、資料庫存取紀錄分析等，確認資料處理過程中，攻擊者可取得資料之管道，防堵未來非法存取行為發生。

- 若為**資料流洩漏**，處理方式為：
調查資料流存取過程是否有遭不當利用，需針對資料流會經過之終端掃描分析以及網站相關資料存取紀錄分析，調查重點在於如資料存取、資料加解密或提供其他第三方服務介接運用等。

- 若為**撞庫**，處理方式為：調查系統帳號密碼登入過程，包含進行 Web 紀錄與 API 紀錄分析，判斷是否有攻擊者對系統大量做密碼測試狀況，未來可加強密碼複雜度與登入多因子驗證機制(MFA)及異地登入告警等機制，防範竊取密碼利用等攻擊。

- 若為**內部人員洩漏**，處理方式為：調查人員操作紀錄是否有機會存取，需檢查網站相關資料存取紀錄分析。

 
 

企業若懷疑網站遭遇攻擊，建議尋求專業協助，由經驗豐富的資安事件應變團隊，協助企業徹底掌握整體狀況及取證分析，並且排除問題，達到真正的損害控制、根因調查與系統復原。


>TeamT5 杜浦數位安全團隊長期研究與解析駭客族群入侵行為，具備第一線國內外資安事件處理的豐富經驗。當資安事件發生，我們可快速完成受駭現場與歷史軌跡的綜整分析，發掘攻擊者的入侵過程與手法，提供事件處理的深入分析及建議，協助您復原與改善資安環境。
 
>若您有資安事件處理、應變的需求，歡迎填寫[諮詢表單](https://teamt5.org/tw/request-information/?utm_source=blogs&utm_medium=website)

【viewpoinT 專欄】從企業資料外洩事件中，企業與個人可以如何降低遭駭後的影響?

一、企業層面：

二、個人層面：

Related Post

企業挑選資安廠商的3項重點

遇到勒索軟體事件，關鍵應變 9 步驟

【viewpoinT 專欄】懷疑資料庫被駭、消費者資料外流，企業該怎麼辦?