ISO 17799 2005年新版已大幅提升「資安事件管理」(Information Security Incident Management)的重要性,意謂資安防禦並非百分之百的安全,同時鑑於近年來資安事件頻傳,因此希望在ISO 17799的範疇下,建立起一道最後的防線,也就是事件前的準備與事件後的處理機制。本文將提供中小企業在做資安事件管理計畫時應注意的事項以避免重蹈覆轍。 一般而言,大部分的人對於資安事件的認知,主要以駭客入侵、病毒蠕蟲攻擊為主,在ISO17799中,資安事件可以細分為:影響企業業務營運、系統錯誤與超載、人為疏失、違法與不符合規範、實體安全危害、計畫外的系統變更、異常存取違規事件。就資安事件對於企業的影響,可以歸納為以下3個類別:蓄意行為、意外事件、人為疏失,針對不同類別的影響程度,必須採取不同的應變模式與管理機制。
事件發生當下,即使能力再強的領導者或是擁有豐沛的資源,若缺乏事件的計畫與演練,都無法立即做到有效控制、發揮百分之百的應變能力。因此,資安事件管理計畫是非常重要的危機管理依據,必須要有合身的應變計畫,才能夠因應各種層出不窮的資安事件。資安事件管理計畫最主要的精髓,就是要定義出資訊安全管理組織的架構,以及其下人員的職責與任務,發生事件時如何形成決策的程序與事件處理的政策和原則。
事件管理計畫注意項目
以下就資安事件管理計畫,本文以大綱方式羅列,闡述發展計畫時應注意的項目。 資安組織與目標
| |
|
| 1. |
面對資訊系統相關的安全事件或弱點,確保企業擁有足夠能量,及時採取行動與矯正措施。避免問題再三出現,減低營運衝擊。 |
| 2. |
建立資安事件管理小組與資安事件處理政策:由管理層級、人事、法務、稽核、IT、行政支援、公關等各部門人員組成,明訂各成員職責,並闡述資安事件管理計畫的目標。 |
| 3. |
說明緊急事件的決策過程與公司高層面對相關事件的態度,授與決策權,節省發生問題時的溝通時間,增加應變處理靈活度。 |
|
| |
(事前)事件預防程序與規範 |
| |
|
| 1. |
如何區分事件的嚴重程度,定義各種狀況的嚴重等級。劃分出事件的等級與緊急程度,面對不同的事件應該訂定其適用之因應程序。 |
2. 與外部執法機關配合原則。
3. 事件通報層級與格式。
4. 稽核檔案蒐集與保存原則,確保其完整性與可用性。
|
| |
(事發)事件處理原則 |
| |
|
1. 控制受害範圍的原則與優先次序,對外公關的職責與答覆權限。
2. 受害者及處理團隊間的溝通與決策程序(包括受害者應配合事項)。
3. 重要系統斷線或不斷線的判斷及網路監聽原則。
4. 業務持續計畫的啟動與現場回復。
5. 鑑識證據的蒐集與保存原則,包含與第三方的法律議題。
6. 事發時事件通報管道與小組緊急聯絡。
7. 是否提升處理層級的判斷依據,包含重大緊急事件的通報程序。
|
| |
(事後)事件處理品質控制與改善 |
| |
|
1. 處理過程中應記錄之文件格式。
2. 回復程序(如何控制,不會發生回復之後安全問題依然存在)。
3. 如何決定事件已經完全結束及檢討會議的召開時機。
4. 分析與識別原因,以及修正程序和矯正措施。
5. 結案報告的必要項目與格式。
6. 處理結果向公司高層報告的程序。
|
| |
驗證方式與演練規劃 |
| |
|
1. 時間上可分為定期與不定期演練。
2. 參與人員部分應落實職務代理機制。
|
| |
預算與行政支援 |
| |
|
1. 小組成員的訓練與錄用。
2. 行政支援與設備的獲取。 |
最後這份資安事件管理計畫一定要由管理層級簽字同意,並進行於全體會議中進行宣導展現其決心。
資安事件處理常見的4大錯誤
缺乏計畫 臨陣磨槍
一般而言,最常見的資安事件處理人員都是臨時組成的團隊,毫無計畫章法可言,相對於企業內其他的緊急應變團隊,資安事件處理應該在計畫與事前籌備上多琢磨。在發生事情之前,鮮有人會想到要建立一個資安事件處理應變計畫,總是抱著不會輪到我的心態,直到事情真的發生之後,才手忙腳亂地處理。
資安事件處理計畫內容如前文所述,必須涵蓋整個資安事件處理各階段的作業程序,直到事件結束後,還要檢討整個事件處理上的優劣點,作為修正與調整應變程序的依據。
除了計劃之外,事件處理工具及資源必須先備妥,像防火牆與伺服器的稽核檔案平時就應該要記錄儲存,且存放於安全的地點,不需等到事件發生才去找,甚至屆時才發現根本就沒開啟安全稽核的功能。
破壞證據 依法無據
不恰當的資安事件處理計畫與不充足的處理小組訓練,會導致在處理過程中發生重要證據未完整採集或是遭到破壞的可能。以法規的角度來看,資安事件也有可能擴大成為民事或刑事案件,因此最初的證據也許就是最後決定性的關鍵。 如果能抱持這個心態來看待資安事件管理,在法律上就比較不會吃虧。同時在處理小組中,應該至少要有一名具法律背景的法務人員,在這處理時提供諮詢與評估的工作。若必須配合外部執法機關進行,進行任何動作前必須先徵詢執法人員的建議,最好可以全程以錄影方式進行,以保障公司權益與證據的完整性。
草率處理 藕斷絲連
以駭客入侵的資安事件為例子,發現使用者在處理上的第一個反應,就是使用防毒軟體去掃描,然後就以一副「連防毒軟體也掃不到」的無辜表情回應,最後通常是必須整台電腦重新格式化、重灌系統收尾。但是,這樣就夠了嗎?也許過沒多久又會看到這張無辜受害者的表情。
必須注意的是,從原始電腦備份下來的資料,其中是不是還帶有惡意程式,如果是網頁被入侵、置換,處理程序應該要加一項檢查網頁內文是否已經被放置後門,雖然伺服器整台完全重灌了,一旦這些網頁上線,駭客就可以循線再回到受害機器上,這也是為何有些網站會被連續置換的原因。處理草率跟程序不夠嚴謹一樣,都會導致更多浪費時間在切掉這些藕斷絲連的麻煩。
處理過程可以應用查檢表(checklist )的方式,將處理程序逐一條列,再依序完成之。進行現場復原時,很可能會使用回復光碟還原作業系統,像這一類的軟體光碟應該要確保其完整性,以免還原之後問題依然存在。
不思檢討 一錯再錯
發生資安事件之後,應該要針對該項威脅或弱點提出矯正與預防措施,如果只是以兵來將擋的態度來面對,很快地相同的問題就會再度發生。相同的,應變處理計畫也應該隨著事件的變更而修正,每次事件發生與演練之後都應該檢討並修正應變處理計畫,才可以確保計畫與程序本身的可用性。
其他預防措施應該包括增加監控機制、更新修補套件以及減少其他潛在的風險。資安事件處理好比消防員在滅火,火災滅了之後接著進行火場勘驗,發現原因是電線老舊引發火災,那麼其他同區域相近屋齡的房子就應該要警覺到必須更換電線線路,以避免電線走火重演。
完整的資安事件管理機制,必須強調學習檢討重要性,分析出事件肇因、避免重蹈覆轍,一方面可以遵循標準與法規要求,一方面間接提升企業在資安事件管理的經驗,打造健全的企業資安管理體質。 本文作者現任職於國家資通安全會報技術服務中心
本篇文章由資安人科技網提供,不代表TWNIC立場。
