開場白

今天的我們來看「惡意程式（Malware）」與「勒索軟體（Ransomware）」這兩個長青話題。
這類攻擊不只靠單一檔案或病毒，它其實是一條完整的 攻擊鏈（Kill Chain） ——
從投遞（Delivery）、執行（Execution）、橫向移動（Lateral Movement）、到外洩與勒索。
目標是幫你理解它的流程、找出每一環的可防可控點，並建立「可還原性」的思維。💀

一、攻擊鏈全貌（Kill Chain）

二、惡意程式種類與特徵

三、防禦核心思維：備援可還原性 > 備份數量

許多中小團隊都誤以為「有備份就安全」，但在勒索場景裡：
若備份掛在同一網域、未離線、未加密、甚至被攻擊者一起刪除，等於沒備份。

3-2-1 原則：

• 3 份資料副本（含原始）
• 2 種不同媒介（例如雲端 + 實體）
• 1 份離線或異地備份（防止勒索感染蔓延）

可還原性驗證（Restore Validation）：

目的是「證明能復原」，而不是「知道有備份」。

• 定期抽樣還原 1~3 個檔案夾
• 驗證雜湊值是否一致
• 紀錄還原時間（RTO）與資料損失容忍範圍（RPO）

四、高維提醒（決策盲點）

• 備份≠安全：若備份與原系統在同網域或共享權限，勒索會一併加密。
• 太信任防毒：惡意程式更新速度快於特徵碼，行為式偵測與沙箱才是長期策略。
• 忽略內部風險：許多攻擊源自內部 USB 或共用資料夾；權限管理比工具重要。
• 未規劃復原責任：誰在事故後判定「恢復完成」？沒 Runbook 一切白搭。
• 演練缺失：從沒試過還原＝遇事時無法操作。

小結

勒索軟體不是「病毒」，而是一門生意。
防禦的關鍵不是裝幾套防毒，而是建立「可還原性文化」。
當你能在一小時內復原，攻擊者就失去了談判籌碼。
真正的防線，不在程式碼，而在流程與演練。