關閉選單
  1. Home
  2. NEWS最新消息
  3. 事件與威脅
  4. 資訊安全
顯示分類
2026.01.30
事件與威脅/資訊安全
SonicWall 雲端備份駭客攻擊與安全防範措施

總部位於德州的金融服務供應商 Marquis Software Solutions 將 2025 年 8 月影響其係統並波及數十家美國銀行和信用社的勒索軟體攻擊歸咎於 SonicWall 一個月後報告的安全漏洞。這家軟體公司為全美 700 多家銀行、信用社和抵押貸款機構提供數據分析、合規報告、CRM 工具和數位行銷服務。

根據 BleepingComputer 報道,Marquis 在本週稍早向客戶發表的聲明中表示,勒索軟體業者並沒有像之前認為的那樣,透過利用未打補丁的 SonicWall 防火牆入侵其係統。相反,攻擊者利用從防火牆配置備份文件中獲取的訊息,這些文件是在未經授權訪問 SonicWall 的 MySonicWall 在線客戶門戶後竊取的。要防範類似的攻擊,組織可以參考以下防護策略:

  1. 強化憑證與雲端存取安全

問題:攻擊往往始於雲端帳戶(例如 MySonicWall)被破解或濫用,進而取得敏感備份或設定。可能的防範措施:

  • 多因素驗證(MFA)全面啟用:確保所有雲端管理控制台與備份平台強制 MFA,不僅是員工帳號,也包括 API/機器人帳號。MFA 大幅增加攻擊者靠密碼爆破(brute-force / credential stuffing)或憑證外洩取勝的難度。
  • 強密碼與防爆破策略(Account Lockout):設定密碼強度策略與帳號鎖定閾值,避免攻擊者反覆嘗試憑證組合,包括限制登入嘗試、強制密碼更新、及 IP 黑/白名單控制。
  • 雲端身份與存取管理(IAM)最小權限:確保授權原則 "最小權限" 與「役割分離(Separation of Duties)」落實,限制備份存取權限只給必要人員,必須避免單一雲端使用者擁有過高系統與備份權限。
  • 定期憑證/密鑰輪換:API 金鑰、雲端憑證與密碼均應定期更換與撤銷,搭配集中式密鑰管理平台提升控管與審計透明度。
  1. 補丁管理與基礎架構安全配置

問題:攻擊者經常利用未修補漏洞(如 SonicWall SSL VPN 等弱點)作為初始進入點。可能的防範措施:

  • 補丁與更新一致化治理:建立全面的補丁管理流程,確保防火牆、 VPN、雲端代理與相關設備即時更新,補丁管理與漏洞評估結果需納入運維 KPI。
  • 資安基線與配置檢查:使用工具或自動化掃描檢測基礎架構配置(如不當開放埠、弱 TLS 設定、敏感功能預設值),自動化檢測可納入 CI/CD 與運維流程。
  • 雲端安全設定硬化:啟用雲端服務的安全基線設定包含:封鎖預設開放、API 呼叫限制、網域過濾與存取控制清單(ACL),避免備份管理介面暴露於公網或未受控網段。
  1. 監控、偵測與回應能力

問題:攻擊者取得初始存取後,如果沒有強健的監控與日誌分析,很難及早偵測異常活動。可能的防範措施:

  • 事件與存取活動日誌集中管理(SIEM):將所有雲端與本地活動日誌匯入 SIEM,提供跨域分析與異常行為偵測(UEBA),包含失敗登入、異常 IP、敏感操作等告警。
  • 威脅偵測、自動回應(XDR / SOAR):結合跨端點與雲端的延伸偵測與回應平台,實現更快的安全事件反應,自動化 playbook 可在偵測到可疑行為時快速隔離系統或封鎖帳戶。
  • 行為分析與異常登入偵測(Risk-based MFA):採用風險計分機制,在異常登入(Logon anomaly)條件下觸發額外驗證或限制,例如登入來源異常、地理位置異常等。
  1. 供應商風險管理(Vendor Risk)

問題:企業常忽略雲端供應商的安全狀態,導致供應商層級的事件直接波及客戶。SonicWall 事件顯示,供應商雲端備份被侵害即會連帶影響所有客戶。可能的防範措施:

  • 供應商安全要求與 SLA 條款:在合約中明確要求供應商提供安全控管證明、事件通報義務與責任分界(Shared Responsibility),包括定期安全審計與滲透測試報告。
  • 定期供應商風險評估與審查:建立供應商風險矩陣、資訊安全評分與最低要求清單,依風險等級調整控管強度,可納入第三方安全評鑑工具。
  • 多層控管與備援供應商策略:對於關鍵元件(如備份或身份服務),可建立多家供應商或備援控管,降低單一供應商失守風險。
  1. 備份與恢復安全化

問題:備份本身遭入侵或未受控,可能讓攻擊者在備份資料中發現敏感憑證或舊設定。可能的防範措施:

  • 備份資料加密與隔離存放:備份資料應採用強加密(靜態與傳輸中),並存放於隔離的安全儲存位置,禁止備份憑證與管理密鑰與原始主機環境存放於同一平面。
  • 嚴格備份存取權限控管:僅授予最少必要權限給管理與恢復人員,並結合審計與監控。
  • 定期備份完整性檢查與演練:進行備份還原演練與完整性驗證,確保備份資料無後門或惡意修改。
這類以「雲端憑證與設定外洩」為跳板的攻擊,根本原因常見於身份與憑證弱點、雲端存取控制漏洞、供應商風險不足。要有效防範,需建立完整的身份安全、補丁治理、監控偵測、供應商控管與備援恢復策略,並結合自動化、安全運營與持續改善的治理模式,將風險降至可接受水準。

資料來源:https://www.bleepingcomputer.com/news/security/marquis-blames-ransomware-breach-on-sonicwall-cloud-backup-hack/
探討 Marquis Software 遭受勒索軟體攻擊的技術細節,Marquis 將責任歸咎於 SonicWall 雲端備份服務遭駭,導致防火牆組態與憑證外洩,進而影響全美超過 74 家銀行及 40 萬名用戶。