|
 |
| .................................................................................................. |
|
|
|
 |
 |
駐站專家 王岳忠:問題系統隔離 進行資安檢測 |
企業或機關對於任何重要資料的存儲都應該有三階式的規劃:on-line, near-line與off-line,即使因為資源不足最少也要做到有on-line與off-line 兩階段。如果該機構有off-line的資料備份,那麼文章中所稱的連備份也被駭客刪除的情況應該不至於發生。根據網路上其他後續資訊,該系統似乎是Windows IIS Server,這是駭客最容易取得入侵手法與工具的對象,特別是如果IT人員平日疏於防護更新與漏洞修補更是容易得手。
萬一不幸發生類似的狀況一定要儘快通知執法機關,發生問題的系統必須立即離線,由執法與資安人員視為犯罪證物從中尋求破案證據。同時對企業或機關內所有電腦進行資安檢測,防止其餘系統遭受同樣攻擊。事後當然要檢討現有的資安政策,改正疏失。
而以完整的資料備份當成最後防線,平日確實執行資安的防護與更新是降低這類網路犯罪得逞機率的主要辦法。
|
|
 |
|
|
|
|
駐站專家 王進程:重要資料勿開放網際網路存取 |
由這事件來看,我們並不太清楚,資料外洩管道是由提供線上服務的網站遭到入侵,還是內神通外鬼,但是如果資料有妥善的加密處理,問題應該不至於演變如此,有幾個問題值得大家深思:
1.安全監控:針對私密性資料庫的存取,在資訊風險管理考量上,通常會針對資料庫存取進行監控,傳統的安全監控觀念多著重於「異常事件」,而如果是網站因為應用程式的安全漏洞,使得駭客透過該應用程式存取後端資料庫,應用程式本身也沒有機制或稽核日誌可供監控,這類應用程式徒然增加,看似「正常」的存取很容易被忽略,而失去控制損失的黃金時間。
2.網站應用程式安全:網站應用程式安全漏洞已是資料外洩的嚴重原因之一,程式是人在寫,難免會出錯,要能有效管理並不容易,嚴格執行程式開發標準,使用應用程式弱點掃瞄工具、Code Review等,執行起來同樣需要人力介入,或是工具本身的誤判或限制,加上許多網站系統時間久遠,許多老舊程式都可能存在弱點而不易被發現。即便如此這些措施如果能確實執行,還是能降低一些風險。
3.資料庫安全:將重要資料庫直接開放透過網際網路進行存取異動,其實風險非常高,特別像是如此私密的資料,因為網站應用程式安全不易控管,而正常使用者存取控制也不容易。實際上因為大多數的網站服務並無法執行複雜的作業(相較於內部作業而言),也不需要太多資料,因此沒必要把整個資料庫推上火線,這樣做法雖不能確保資料機密性,但對於可用性與正確性可提供一定程度的確保。
4.資料備份:「備份資料不見了…」,我想駭客再厲害也沒辦法刪除或加密離線的備份媒體吧?即使系統建置備援主機以提供高可用性服務,但離線的媒體備份還是有其必要性,這些如果能落實,駭客能夠要脅的籌碼也就變少。
|
|
|
|
|
|
|
駐站專家 李柏逸:即時備援系統定期備份機制 |
針對維吉尼亞處方籤監督計畫網站與維吉尼亞州醫療專業廳,個人把它分為4個部分來討論:
1.安全防護部分:該單位讓駭客掌握存取權限,顯然在網站與系統防護上已有嚴重的安全性問題。
2.備援機制:從駭客的回應上來看,備份檔案似乎也遺失了!這部分我們有可以延伸到該單位的備援機制是否完善;一個嚴謹的備援機制除了即時的備援系統以面臨突發的資安事故外,還必須有定期的檔案備份機制,尤其保管大量機敏資訊的單位,更應該將定期的完整與增量備份存放於銀行保管箱等實體安全嚴密的保管單位與場所,避免遭受破壞或竊取,並需保存一定期間的完整備份!
3.善後處理:維州在發現系統遭受入侵時,將系統下線並做處理,在確認系統安全性已達可接受的程度後重新上線,這點做法十分值得國內的政府單位與企業參考。
4.事件回應處理:維州醫療專業廳主任的回應部分個人認為也算恰到好處,相較於過去看到的許多資安事件回應的錯誤示範,幾乎都是務求在第一時間內將責任給推卸掉,所以往往是由公關人員甚是高階主管親上火線說明;但這些回應窗口多非資訊專業背景出身,也多不具有法律專業素養,所以第一時間的回應常顯得荒腔走板,錯誤連篇!
|
|
|
|
|
|
|
駐站專家 吳家名:內部員工行為的嚴格掌控 |
對於個人的病歷資料,美國州政府及相關醫療單位應當有設置適當完整的管控,且如此重要的資料的備份作業是絕對存在的,姑且不論是否完全採取on-line 備份或是有off-line的備份媒體,犯罪者要能有足夠的把握認定備份資料已被他所掌握,讓被勒索者無法還原被竊的資料,顯示他一定非常熟悉內部的備份程序,才能如此有自信的進行勒索,這也間接點出「內部員工」犯罪或協助犯罪的可能性非常的大。
對內部職員的管控來說,除了邏輯安全的控制外,實體的管控也是非常重要的,假設病歷資料被備份在某些磁帶上,那罪犯除了竊走所有線上的資料外,還必須得取得這些實體的備份媒體,才有辦法進行勒索,而這些備份媒體的實體控管,相信是非常重要的。目前在實體的管制上,常見的有:「門禁鎖的管制」、「進出記錄的監控」,以及「監視器的設置與監控」,並且定期執行「勾稽」,以確保進出的允當性,但其實這些機制只能防君子,但不能防小人,如果是有被合理授權的人,但事實上這個人卻有犯罪的意圖,而這些管制是無法偵測出來的。如果在重要的資料中心進出管制上,設置適當的「犯罪意圖控制」,也許能再降低犯罪的可能,例如:設置語音題庫,讓進入的人回答幾個問題,由電腦判斷進入者是否有不法的意圖,就如同測謊機般,測試進入者
|
|
|
|
|
|
|
駐站專家 徐子文:正面迎戰 打擊全民公敵 |
維州的危機處理方式用的是「解除引信法」和「正面迎戰法」,這是對付勒索最好的方式。
1.因為駭客打著被害者怕資料外洩所造成的傷害,而會屈服,所以把事實公開,讓歹徒失去要挾的基礎,阻止其進一步要脅。
2.犯罪實務上顯示,在處理這種事件上麻州採取不屈服不妥協的立場。一方面因為是公權力機構,不容挑戰;二方面也是實務考量。因為若是這次屈服妥協,一定會引來第二次。
現在很多受駭客侵害的組織機構都是因為害怕被主管機關、民意機關或是媒體知道而產生一堆麻煩,不敢讓事件曝光,所以被迫接受要脅。我們的政府、民意機關、媒體和人民應該清楚了知道這類似的資安侵害行動是對全民福祉的挑戰,當類似事件發生時,它事實上是被害事件,被駭的機構組織是被害人代表,真正的被害人是被竊資料上的所有人。大家應把駭客全力追緝。如此,駭客少了可勒索的施力點,犯罪利益降低而犯罪風險增加,犯罪自然也會減少。 |
|
|
|
|
|
|
駐站專家 謝持恆:規劃應變流程 從容處理資安事件 |
從新聞稿中看到,維州政府除了將相關的網站關閉,同時與專家及主管單位連絡,確定系統安全以後,才會正常運作。或許是因為偵查中的案件,相關的訊息並不明確,但可肯定維州政府不但不是閉門造車,同時也由其他單位進來協助瞭解,並且將相關網站關閉,避免災情的擴大。反觀國內,如果發生了類似的案件,處理的方式就是不斷的否認,甚至很多單位,在問題都還沒有確實釐清之前,就冒然恢復原先的服務,對於會不會有再犯的情形,或是要如何加強控管機制,只會雙手一攤交給上蒼。
而在異常事件發生之後,這些後續的處理流程以及應變措施,往往已經超出了資訊單位的業務範圍,這些需要專業團隊及細膩的處理流程,都是在平常需要規劃演練的。絕對不是在事件發生後,由少數經辦人員急就章的產物。同時異常事故的處理,也不僅是流程的通報而已,如何快速的復原,讓組織受影響的程度降到最低,還需靠平常不斷的教育訓練,讓相關人員都知道在異常事件時要如何進行處理,免得到時候自亂陣腳。
在國外目前最新的趨勢,已將異常事故與業務持續營運作業相結合,當異常事件發生超過可容許的時間範圍,就要開始啟動業務持續運作的機制。從這個案例中,有關異常事件後續處理的情形,還有許多值得我們借鏡及學習的地方。 |
|
|
|