跳到主要內容區塊

ACW

資通安全事件通報應變推動淺談(上)


前言
資通安全事件管理最為重要的一個環節,莫過於機關人員對於資通安全事件的敏銳度與辨識異常行為的能力。「資通安全事件通報及應變辦法」(以下簡稱:辦法) 於107年11月21日正式公告,為公務機關與特定非公務機關就資通安全事件之通報方式、通報程序與時限提供遵循依據,是政府啟動資通安全,人人有責的鑰匙。自2019年起,各國皆有針對資通安全訂定相關法規要求,除資通安全法令遵循外,個人資料保護亦為著重要點,兩者相輔相成,資通安全防護的落實,能夠確保個人資料完善的保護,降低資料外洩的風險,亦能協助機關辨識資料的重要程度。

作者:安侯建業聯合會計師事務所 / 林軒宇經理

======

壹、機關等級定義

「資通安全責任等級分級辦法」針對各公務機關與非特定公務機關之分級所需應對的防護措施作出指引,如為全國性機關處理國家機密業務國防外交全國性跨機關系統之擁有者全國性關鍵基礎設施機關與公立醫學中心,均為A級機關。故核定機關自身資通安全責任等級並經主管機關核准後,其資通安全監管力道及強度有了可茲遵循之依據,亦能以此作為基準,進行資通安全事件之監控、通報與事件處理之管理。

貳、資通安全事件應變

資通安全事件應變,分為事前、事中與事後三個主要階段,尤其以事前監控為重中之重,其關乎於資通安全事件之初發狀況判斷、接獲人員或自動化告警偵測之有效性,如:維護資訊環境組態管理、網路行為辨識、稽核軌跡之收容等等…。
◆ 組態管理:為日常營運之必要項目,包含安全的密碼管理、存取控制等等…。
◆ 網路行為辨識:對於網路異常行為之監控:除了網段區隔外,亦可以特徵辨識異常之行為,為資訊系統第一道主要的防線。透過資安設備的監控,定期檢討監控機制與監控態樣,異常行為的判斷成為實際營運上的痛點,過多的誤判(False Positive)讓營運人員疲於奔命,也容易成為狼來了的鬆懈,故異常告警的調整需透由營運面、服務持續面進行考量。
稽核軌跡:基於追蹤、管理資訊系統是否異常之主要依據,軌跡收容成為組織相當重視的一環,包含軌跡留存區間、是否可遭他人竄改等等…,以上皆為考量稽核軌跡之重點。

資訊安全防護之縱深,多以資訊安全設備佈建其深度,以監控範圍作為廣度,然以資通安全事件管理層面來看,如監控人員/管理人員收到來自資安設備之告警,如:觸發資料庫監控系統告警之行為、入侵防禦偵測系統之監控、網頁行為監控、網路安全行為監控等,是否可於收到告警後,於有效時限內通報至須通報人員,此一通報流程需要明確的機制,亦須確實的演練,落實有效通報之流程。

至於資安設備告警的維護層面,於外層的設備存取控制開始,到設備的軟硬體更新、惡意行為特徵更新、設備漏洞修補等,均須為考量有效通報機制的環節之一,如僅依賴資通安全設備告警而未有考量其他安全監控機制,於實際營運上略顯不足,亦可能容易掛一漏萬,不可不慎。資通安全防禦網的縱深,除須考量營運需求外,對於可用性的評估、機密性的保護與完整性的確認等,各一面向所需涵蓋的維護與確認,在於不停確認、調校與改善,方能臻至完善。

業務流程盤點資訊系統之機密性、完整性與可用性,區分為「核心系統」「非核心系統」兩大類別,訂定該業務流程可容忍之中斷時間,作為資通安全事件災害等級判斷之依據。一旦判定為資通安全事件事件等級判斷必須易於量化且廣為內部知悉,須以妥善掌握資通安全事件之影響範圍,並可以提供處理人員妥適處置之基準。核定資通安全事件等級,必須妥善考量其影響層面,以及可恢復正常運作之時效,並依照等級迅速通報至各權責人員。

權責人員判斷資通安全事件的基準線,除以資通安全事件態樣進行分析外,亦應立即考量對於日常營運之衝擊,為了確保快速且有效控制資通安全事件影響層級,除了通報須迅速且確實外,對於復原機制選擇,實為考量重點之一。尤其以法規要求的通報時限要求,是否可確實符合,包含通報的時間、通報的內容與預計處理的方式,如何在要求的通報時限內迅速且妥適地完成評估確認,並向上與平行通報,才是資通安全事件通報的第一道考驗。

表1-資通安全事件等級判斷[1]

公務機關與特定非公務機關接獲資通安全事件後,必須於1個小時內通報負責之主管機關。因此內部資通安全事件之通報層級須清楚流暢,通報方式可多元併行,避免單一通報窗口失效,尤其於事件發生時,常有資訊混亂的情況,如何快速統整事件發生情形,並確認實際發生資通安全事件的主因,再整合事件態樣所需要的資源、人力與協助,避免造成資訊傳遞延遲或錯誤。

機關於規劃資通安全事件應變與通報作業規範時,除規劃資通安全事件四個等級判定之流程、影響之範圍、損害控制與災害復原能力之外,其應變小組之設置通報機制標準流程,亦應為定期規劃資通安全事件情境模擬與事件通報演練所涵蓋。尤其於接獲人員或資訊設備告警時,如何快速且有效地呈報,使機關能於事件發生時,有效率的通報並且快速應變。故辦法中制定資通安全事件演練規範,並列示近年來常見之攻擊行為,包含社交工程、網路攻防等相關情境,均能有效的提升機關人員災害應變能力及通報流程之意識,建議機關落實並落實執行。

表2-公務機關與特定非公務機關之資通安全事件通報與處理時效[1]


[例]
 以美國紐約州首府奧爾巴尼發生勒索病毒攻擊事件(Ransomware Cyber Attack)為例,包括警察部門系統、電子郵件伺服器均受其所害,該事件除了影響市民服務外,尚未得知是否有機敏資料外洩之情形。以表一進行資通安全事件等級判斷,如「警察部門系統」為核心資通系統之運作受影響或停頓,無法於可容忍中斷時間內回復正常之運作,則可判定為第4級資通安全事件,須於接獲事件後的1小時內通報主管機關,並於36小時之內完成損害控制。如未蒙即時通報,其災害之範圍無法確實掌握且快速恢復對外服務,影響甚鉅。判斷事件影響範圍的程度可大可小,如判斷錯誤,造成更大的災害損失,無法有效控制災害情形。

===待續===

資通安全事件通報應變推動淺談(下)