帮助企业组织对抗勒索软件，资安通报机构设立防护专区，可协助事前、事中与事后因应

为了全面对抗勒索软件的侵袭与散播，在国际上，已经出现专责组织No More Ransom，除了提供基本勒索软件知识的问与答，他们的最大特色，就是提供识别勒索软件的服务，并作为寻找解密工具的集中入口网站。

但若要彻底杜绝勒索软件发展，需要各国-采取行动，随着勒索软件威胁更多组织与企业，今年有更多国家强调根除勒索软件的决心与作为。例如，美国国土安全部网络安全暨基础安全局（CISA）就推出专属的内容网站，名为StopRansomware.gov，最近台湾-也响应这个全球潮流，由TWCERT/CC推出勒索软件防护专区的独立入口网站，提供台湾企业组织使用，不论事前、事中与事后的因应，都能更有着手方向。

关于这个勒索软件防护专区的成立，TWCERT/CC组长林志鸿表示，这两年台湾陆续传出重大勒索软件攻击事件，但有些企业因应这类型资安威胁时，还是不知所措，因此，在行政院资通安全会报与国家通讯传播委员会（NCC）的支持下，TWCERT/CC于自家网站新增设了勒索软件防护专区，后续，他们又为这个资安防护资源专区，设计了独立的入口网站（antiransom.tw），并在10月初正式上线。

基本上，这个网站的内容参考了各国-的做法，像是：美国CISA、英国国家网络安全中心（NCSC），以及澳洲网络安全中心（ACSC）等，都成立了对抗勒索软件专区。

林志鸿表示，这个网站在呈现方式上，他们也在新上线之际，加入了一些调整，最大不同就是将内容区分为事前、事中与事后。之前他们并未如此区隔，当企业遇到勒索软件不同时期的攻击状况，要从中找到因应方法，会比较复杂。

而在每个阶段，TWCERT/CC在此都提供相对应的指南、资源与自评等内容，并设计了检核表，帮助企业透过更简单的方式，来检视自身的行动。

在今年10月初，TWCERT/CC推出勒索软件防护专区的独立入口网站，并以事前预防、事中处理、事后回复来区分，让使用者可以根据目前的资安状态， 更容易找到所需的防护与因应的指南与资源。

汇整美国-与跨国平台组织的资源与教学说明

具体而言，在事前的预防指南、事中的处理指南，以及事后的回复指南，TWCERT/CC这个网站都有基本的说明与作法，让使用者可以更容易依据自身需求，找到建议的指引。

特别的是，这里同时汇整了国际上的可用资源，并有教学说明，相当便利。

例如，在事前预防与事后回复的面向，这里提供相当实用的资源：勒索软件防护成熟度自评说明，当中特别介绍CISA的网络安全评估工具（Cyber Security Evaluation Tool，CSET），这当中有个名为勒索软件就绪评估（Ransomware Readiness Assessment，RRA）的功能模组，可供大家使用。

事实上，在6月底，CISA就已释出RRA模组，可协助组织评估自身防御勒索软件的能力，当时iThome也关注这项新闻，后来得知TWCERT/CC也向国人推荐使用这项资源，我们相当乐观其成，因为RRA虽然是CISA提供给美国-组织的自我评估工具，但对于企业而言，也相当具有参考价值，或许也有助于促进台美的资安应用交流。

关于CISA CSET的RRA使用方式，TWCERT/CC勒索软件防护专区目前提供了图解，以及中文使用说明。当中提到，如欲使用这套工具，我们可从美国CISA官方网站或GitHub网站下载，这里也提供自评工具操作流程教学。这些均可促进台湾使用者、组织与企业去认识这样的工具，以及用于了解自身成熟度与找出优先改善措施。

在事中应变方面，这网站介绍了“勒索软件辨识与解密工具”的资源，例如，列出能辨识勒索病毒种类的工具，包括MalwareHunterTeam提供的ID Ransomware，以及No More Ransom Project提供的Crypto Sheri­（解码警长）功能。

如果要寻找解密工具，同样可利用No More Ransom平台，搜寻到各资安业者提供的对应解密工具。

TWCERT/CC在事前与事后的资源中，提供了CISA勒索软件自评工具的简易安装与使用说明。例如这套工具包含十大评估指标，每项指标提出不同问题，以图中为例，企业的网页恶意内容是否使用DNS过滤？IT或资安人员只要勾选“是”、“否”或“不确定”就可作答，最后将会获得评估结果。

当TWCERT/CC接获国际情资，他们也会连系企业

无论如何，这些对抗勒索软件资源的统整，的确能让有些企业有更多预防与应变的参考，以免在这类攻击事件发生时，却又不知道该如何做。因此，无论你是否需要这些参考资讯，重点仍是：企业平时就该有所准备。

不过，虽然受害组织可向法务部调查局刑事警察局报案，但是负责的机关如果不统一，是否会影响-对于通盘掌握勒索软件情资的能力？

而对于TWCERT/CC而言，是否积极掌握民间业者的勒索软件事件？例如，最近一个月，暗网传出上市钢铁公司遭Hive勒索软件攻击消息，以及上市工程公司遭到LockBit2.0攻击，但上述公司并未在证交所发布资安事件重大讯息，因此，这些受害企业的后续调查，以及当时应变状况，外界并无法进一步了解，令人好奇的是：TWCERT/CC是否知情？

林志鸿表示，TWCERT/CC是资安事件通报管道，在国际上也是主要窗口，因此，国际CERT组织也会将情资提供给他们，若收到消息，他们会尝试联系企业，以了解状况，或提供报案与复原等协

助，不过，在相关的合作细节上，他们与这些组织之间有互相保密的承诺，因此，无法提供更具体、详细的答案。但近期可能有进展，因为他也提到：TWCERT/CC与证券交易所正在讨论相关合作。

若能带领摧毁勒索产业体系，更有助突显台湾重要性

除了增进企业对抗勒索软件的认知，近年台湾在国际屡屡成为许多产业发展焦点，既然对抗勒索软件已是全球面临的共通挑战，不论资安业者、执法单位与-，大家都在想办法杜绝，因此各界所采取的行动，不只是告诉所有使用者如何防护，还要更进一步摧毁勒索软件骇客生态体系。

因此，若是执法单位能设法做出更多贡献，成为查缉勒索软件犯罪行动的推动者、示范者，应该可以大幅提升台湾在国际资安上的地位。

当然，不仅是促成更多跨国执法合作，我们同时也可设法强化内部治理，例如，修订法律，将背后指使攻击的人士予以定罪，甚至加重刑责，吓阻不法人士的行动。

勒索软件受害者可以报案求助

TWCERT/CC在网站上也列出资安事件报案管道，包括法务部调查局、刑事警察局，以及民间企业遭遇资安事件的通报管道，也就是TWCERT/CC本身，而事实上，在事中处理的建议因应方式上，通报这个举动也列为应变措施采取的行动步骤。

林志鸿表示，一旦遭遇资安事件，除了企业本身的紧急处置与调查，或是寻求外部资安专业单位协助，还可以向调查局或刑事局报案来寻求协助，遗憾的是，很多企业可能不知道能够这么做。

同时，企业也可向TWCERT/CC通报，将能获得事后复原的第三方意见，或是透过恶意样本分析与相关资讯，获得日后资安强化的建议。

在这个勒索软件防护专区网站（antiransom.tw），TWCERT/CC除了在呈现方式上调整为事前、事中与事后，同时也新设计了检核表，帮助企业在预防、因应或回复上能有简单的步骤可以依循。上图为事中应变的检核表，步骤中的应变处理也提到防止扩大后的报案、通报与外部资安单位协助处理等。