作者:
安侯建業聯合會計師事務所 /
林軒宇經理
======
參、資訊共享
除了內部通報流程之外,外部通報的管道亦應加以重視,如公務機關接收一般民眾通報訊息、白帽駭客漏洞通報等等…,以上皆可成為資通安全事件控管之環節。綜觀國內外重大資通安全事件緊急應變與通報機制,鄰近的香港設有「香港電腦保安事故協調中心」,除了能夠即時揭露近期重大系統或設備之漏洞以外,亦收錄各國重大資安事件處理情形並且提供瀏覽。我國設有「臺灣電腦網路危機處理暨協調中心」(TWCERT/CC)負責主導資通安全事件之通報、資安宣導等構築資安能量之業務;公務機關亦設有「政府網路危機處理中心」(GSNCERT)提供公務機關通報與分享資通安全正確資訊。由金管會主導成立的「F-ISAC」(金融資安資訊分享與分析中心)負責金融業資安情資聯防網路構建與協助資安事件之危機應變,近期更彙整惡意入侵態樣及防護建議,包含特權帳號管理、異常執行緒監控、對外異常連線等等…,提供金融機構於資通安全之防護參考。
除了公務機關主導的通報單位外,民間自發性的組織亦十分多元,包括OWASP(The Open Web Application Security Project ,開放網站應用程式安全專案)台灣分會定期討論、分享網頁漏洞之風險;資安組織HITCON(台灣駭客年會)辦理研討會、教育訓練,分享資通安全防禦的機制,協助企業、個人對於資通安全的推進大力推廣。明顯易見,資通安全資訊的流動與正確防護,有助於公務機關與特定非公務機關之資通安全防護措施之強化,持續加強各機關之資通安全防護強度。資通安全法之子法「資通安全情資分享辦法」制定,可見情資分享之重要性。事前蒐集資安情資,有助於即時掌握風險較高的資安危機,先行加強或提升控制與管理機制,降低發生資通安全事件之非必要風險,故有相當多的組織開始設置情蒐人員,確保組織能掌握最新資通安全之漏洞與威脅。
肆、應變注意事項
資通安全事件從通報、處理到追蹤,處理流程於事前皆須清楚且明確,於事後的討論與檢討中,保留足夠且必要的證據,並根據證據進行分析與事後的判斷,可以有效的降低後續再發生的風險,我們為什麼要如此重視資通安全事件管理,確是考量未來組織再發生相同態樣資通安全事件的可能性高低,以及確認組織對於資通安全管理的方式是否符合組織所需,是否需要再加強,或是著重的力道是否用對方向,包含日常佈建的防禦機制,是否可以有效分辨錯誤告警,乃至於日常相關維運人員的訓練、對於資通安全事件的敏銳程度,可說是全員皆兵,才有能力面對現今日漸嚴峻的資通安全衝擊,組織的臨機應變能力之訓練,實有賴日常的培養與訓練。
資通安全事件通報的流程演練亦可結合營運持續計畫演練,將各種應用情境融入於資通安全事件通報流程中,讓組織人員熟稔各種災害情境需要判斷的發生原因、可能解決的方式、處理的方向、通報的人員與時間等,並透過災害復原程序與通報程序的演練,達成實際通報所有可能遇到的問題,並據以提出討論,如實際發生資通安全事件時,可有效提升同仁隨機應變的能力。
伍、結語
除了資訊系統面的可用性外,對於機敏資料的保護亦應多以重視,國內常見的資通安全事件態樣,如:不當或惡意的資料外洩、資料庫遭入侵、惡意程式攻擊、社交工程郵件詐騙、分散式阻斷服務攻擊、進階持續性威脅攻擊、網頁遭冒用或遭駭、帳號遭盜用等。如公務機關所擁有的個人資料多屬機敏且必要,如何保護這些機敏資料,又該如何設計存取權限之管理,使用者是否可以分辨異常情形,是否清楚了解存取管理的重要性,也需放入日常訓練之中。社交工程郵件詐騙近年來多為大家所重視,故定期執行社交工程郵件演練十分重要,透過分辨來源電子郵件位址(E-Mail address)、關閉電子郵件軟體(如:Office OutLook)預覽功能,包含變臉詐騙攻擊,偽造客戶、主管或廠商,以假亂真使用錯誤資訊進行詐騙,加強員工對於分辨信件內容之真偽,才是社交工程郵件防範的最佳解方。如為分散式阻斷服務攻擊,則可考量導入ISP(Internet Service Provider,網際網路服務提供商)業者流量清洗方案,並針對可能遭攻擊的站台進行測試,確認其可恢復時間是否符合預期。勒索病毒的興起不可小覷,尤其近年來各種變種病毒的攻擊事件層出不窮,雖於2017年起有趨緩的趨勢,然而將近8,300萬種勒索病毒的種類,是防不勝防的,故日常的備份、備份的方式與備份的機制是否有效,是否被驗證可使用,除了完整的備份方式外,如何確保備份檔是否可正確還原,還原機制為何,是整個備份流程的關鍵。勒索病毒可連結回人員是否可有效辨別可能有疑慮的連結或網站。
內部管理的漏洞,是造成資通安全問題絕大多數的成因,讓外部惡意入侵有瑕疵可利用,沒有完美的防禦機制,也沒有萬無一失的流程,唯有降低事件發生的風險,確保人員對於資通安全事件的敏銳度,讓資通安全事件管理更臻流暢。
※參考資料
資通安全事件通報應變推動淺談(上)