|
安全的資訊環境是企業永續經營的必要條件。但是,外在的威脅不斷,危機事件的發生是無可避免的情形。因此,適當的危機處理程序除了可做到事前預防危機事件發生之外,當危機事件真的發生時,更可發揮快速辨識威脅來源,與降低對資訊系統傷害衝擊程度的功能。隨著網際網路的普遍發達,資安攻擊手法也不斷的翻新,分工越來越細緻,網路犯罪的組織也越來越完整,攻擊的頻率也大幅增高,當然造成的傷害也越來越大。駭客有組織的尋找資訊系統與網路結構中的漏洞(Vulnerabilities)來加以攻擊,要做到全面防堵幾乎是不可能的事情,這時候,如何正確的對攻擊手法做出有效的”反應(Response)”,勢必成為資訊安全防護的主要考量。
資訊系統中間的任何異常行為都可能會觸發警報。例如,某個應用程式的功能異常、入侵偵測警示工具發現異常的網路行為等,這些異常的行為通稱為「資訊事件(Event)」,不是每個「資訊事件」都會造成安全威脅形成「資安危機(Incident)」,但也不可因此掉以輕心,資訊單位中最少要有一組人員具備這樣的能力,有辦法在一大堆的「資訊事件」中找到真正會造成安全威脅的危機事件、並熟悉危機處理程序,才可能正確的對攻擊手法做出有效的”反應”,降低資安危機造成的傷害。以下列出資安危機處理中的八大關鍵要項:
1. 不知不覺:
偵測不到資安危機或者是無法有效從資訊事件中辨識出資安危機。這是資安危機處理的最大罩門。如前述,資安危機產生之前,會先發生資訊事件。隨著攻擊手法的變化多端與攻擊所使用的工具不同,產生的特徵自然不同。如果防禦工具沒有定期更新,可能就會發生偵測不到威脅的現象。再者,所有的防禦偵測系統都有可能產生”誤報”的情形,當”誤報”的頻率增高時,使用者也很容易忽略所發出的警報,對產生的威脅不知不覺。
2. 不知輕重:
資安危機對資訊系統的衝擊程度不同,造成的損失也不相同。在人力與資源有限的狀況下,不太可能同時處理所有的資安危機,因此適當的處理順序對整體結果的影響重大,一般來說可用以下幾點來做為處理優先順序上的參考。
a. 資料本身的重要性
b. 機密資料外洩的考量
c. 財物損失的多寡
d. 對目前營運任務的即時傷害
e. 對長遠營運任務的潛在影響
f. 對單位商譽的影響
3. 溝通不良:
溝通可分為兩部分,內部協調與外部溝通。資安危機既然已經發生,這個問題就不是一個人或一個單位可以獨力解決的,往往需要得到多方的支持與協助,可能是技術上的支援,也可能是行政程序的要求,或者是法律上的規定。不管是對內對外,原則就是,應該被通知的人員或單位必須要即時通知到,對本次發生的資安危機做詳細的陳述,如需要對方支援,更應明白表示所需要的資源與人力,最重要的是簡單明瞭、避免誤會產生。
4. 缺乏隔離管制機制:
這是一個重要的決定,當資安危機發生的時候,針對已受感染的設備或網路環境,必須立刻予以隔離,避免進一步影響到其他正常的系統與網路,控制受災害的範圍。要能夠做到這點,除了有隔離管制的機制之外,建置設計上就要對系統做重複配置與資料備份復原的安排。
5. 核對記錄檔(Log)分析問題能力不足:
檢視Log是判定威脅來源與種類的一個重要方法。常見的問題是,危機處理團隊只針對認為有疑慮的資訊事件Log做檢視,往往無法窺其全貌。因此,具備完整的Log紀錄與核對Log的完整分析(Log Mining)自然成為危機處理程序中的一個重要因素。
6. 草率復原系統:
這是危機處理團隊經常面對的問題。在時間的壓力下,為了盡快讓營運恢復正常,往往沒有真正找出資安威脅的原因做適當的處理,就急著用備份資料將系統復原上線,這樣的做法可能會導致資安危機持續存在,造成後續更大的傷害。
7. 危機處理團隊能力不足:
如前述,處理資安危機往往需要不同領域的技術能力,不太可能由一個人或一個單位全部具備,因此知道自己單位的技術範圍與能力限制,知道自己哪些可以做、哪些沒能力做,反而成為主要的關鍵。再搭配良好的溝通機制,事先以任務編組的方式安排好外部的支援,才是正確的處理方式。以下列出幾點是危機處理團隊中所必備的知識能力:
a. 網路建置
b. 後台系統管理
c. 軟體工程
d. 程式語言
e. 資料庫
f. 弱點分析
g. 數位鑑識
h. 相關法律程序
8. 缺乏標準規範與完整記錄:
完整的文件紀錄是資安危機處理中最重要的一環。除了可確保所有處理方式與程序確實做足,沒有遺漏之外,更可做為日後稽核及教育訓練之用。因此制定標準的紀錄範本成為危機處理程序中必要的一項工作。
對單位或企業來說,既然無法避免危機的發生,只能藉助良好的危機處理程序來預防、偵測以及減少資安危機所產生的衝擊,減少損失。因此,完善的IT訓練教育與資訊安全系統規劃更顯得重要,是企業提升組織人員專業管理能力與降低企業環境問題的重要幫手! |
