觀點

建立有效的資訊安全意外事件通報處理機制

2002 / 08 / 07
建立有效的資訊安全意外事件通報處理機制

文/葉益禎


這裡所指的資訊安全意外事件(Incident),是泛指可能對於資訊系統造成實質損害、無法使用、或不當外洩的事件,例如:病毒、惡意程式攻擊、未授權存取資訊、網路服務癱瘓、不當使用電腦或服務、欺騙、竊取資訊等;而萬一發生嚴重的安全意外事件就必須啟動業務持續運作機制。
建立意外事件通報處理機制的目的
建立資訊安全意外事件通報處理機制的目的在於:





  1. 協助組織在資訊安全意外事件發生後,能夠快速而有效地回復正常作業。

     
  2. 當重要系統服務發生服務中斷、資訊被竊取或損壞時,能夠將事件的影響程度降到最低。

     
  3. 遵循經過驗證的系統化處理程序,能夠使問題再發生的機率降低。

     
  4. 平衡日常運作與資訊安全的需求,有效地紓解兩者預算排擠的問題。

     
  5. 達到法規的要求,如行政院已在推動中央政府機關資通安全應變處理計畫。

     

    (請見http://www.ncert.nat.gov.tw/infosec/data.asp)





建立意外事件通報處理機制的三階段
要如何建立資訊安全意外事件通報處理機制呢?有一些文件可以參考,如:RFC 2350「Expectation for Computer Security Incident Response」、SANS的「Computer Security Incident Handling Step by Step」、CERT的「Handbook for Computer Security Incident Response Teams」等;而首要當然是企業組織內要成立「資訊安全意外處理小組」(Computer Incident Response Team),而機制的建置可分為三個階段:準備階段、確認階段、反應階段。


第一階段:準備階段
在準備階段必須完成以下的工作:

  1. 基本工作:首先系統與網路管理人員應建立系統及網路存取權限機制,並檢討現有系統設定,將嚴重的漏洞修補,且更新系統的修正程式。

     

  2. 設定警語:這是最基本的步驟,確定每個系統都有警語說明這是組織所擁有的系統,例如「企業組織具有合法監視的權利」、「請勿非法存取或惡意破壞」等字眼。

     

  3. 明定的程序:當安全意外事件發生時,有明定的程序才會降低遺漏重要處理步驟、應該聯絡的人或單位的機率。程序中應詳列不同的意外事件的各種處理程序,才能有條不紊地做必要的正確處置。

     

  4. 建立聯絡管道:必須要有多個不同管道可以聯絡到「資訊安全意外處理小組」,如:透過電話、傳真、E-mail、B.B. call等,且必須注意聯絡管道的安全保密性,此外,也必須建立聯絡的清單,列出重要成員的工作場所、家中與手機等聯絡電話;「資訊安全意外處理小組」收到通報後,必須有詳細的紀錄與追蹤。

     

  5. 管理者密碼啟用程序:事先將管理者密碼寫下,封存在一個密封紙袋中,並放在一個上鎖的櫃子。萬一嚴重的安全意外事件發生,但系統或網路管理者又不在時,就必須依照程序,有兩人以上見證簽名啟用密碼,以確定是何人在此時使用管理者的密碼進行處理工作。

     

  6. 備援與回復程序:日常的備援資料是一旦發生緊急事件時能夠回復的依據,因此平時就必須有人檢查備援的系統與資料是否完整有效。而回復程序必須有完整的文件,以備一旦發生緊急事件,任何人都可以執行回復程序。

     

  7. 使用適當的工具:應使用病毒偵測與清除、入侵偵測、回復等工具,以加速安全意外事件處理的時間。

     

  8. 教育訓練與安全教育:對於「資訊安全意外處理小組」成員實施個案模擬演練,可以加強成員的處理能力。至於對於一般同仁實施的安全教育,則可以讓他們了解如何觀察發生的情況、如何報告,以及如何做初步的處理。

     

  9. 緊急聯絡電話號碼:必須確定每個人都知道緊急聯絡電話號碼,電話號碼可以放在執勤表、公佈欄,或每個分機電話上,在機關或公司的教育訓練與會議上也都可以宣導。如果每個人都知道如何通報,可以減少處理的延遲時間。

     

  10. 多加演練:再好的程序如果沒有演練,一旦真的發生安全事件時不可能很正確而快速地處理。因此,隨時模擬實際的情況加以演練熟悉,是確保能將安全事件的損害降到最低的一個基礎。


  11. 第二個階段:確認階段
    確認階段目的是要確定事件所發生的問題是否存在,確認可以借助入侵偵測(IDS)、防毒軟體、稽核紀錄等工具協助。此外,有一些徵兆可以協助觀察是否真的發生問題:





    1. 系統突然當機。

       
    2. 新的帳號或原來不常使用的帳號突然大量使用。

       
    3. 新的檔案(出現很奇怪的檔名)。

       
    4. 檔案日期或長度改變。

       
    5. 不能解釋的網頁修改。

       
    6. 入侵者嘗試寫入作業系統。

       
    7. 資料被修改或刪除。

       
    8. 被阻斷服務(Denial of Service)攻擊。

       
    9. 不能解釋的系統效能降低。

       
    10. 有帳號不斷嘗試登入系統失敗。

       
    11. 可疑的存取。

       
    12. 在不能解釋的帳號修改後,讓不能登入的使用者卻登入系統。










    而且對於安全事件應事先依其影響程度加以分級,以便做快速的反應與處置,以下為一參考的分級方式:





    • 第一級:事件可能對組織造成長遠的影響或危害到重要的系統運作。

       
    • 第二級:在不重要的系統發生入侵、偵測出攻擊的徵兆,或可能會發生攻擊損害的威脅。

       
    • 第三級:未來可能發生攻擊的威脅或對於偵
      測系統的發現進行調查。

       

    • 第四級:沒有充分證據的安全意外事件報告。







       

      安全事件經「資訊安全意外處理小組」確認後,應加以歸類分級,以利後續的處理與反應。





    第三階段:反應階段
    在這個階段「資訊安全意外處理小組」最主要的任務是維持或回復組織的運作。因此,一旦發生意外事件,如何防止攻擊或損害事件的擴大是其主要的目標,要達到這個目標有一些重要處理的決策可能必須要做:





    1. 是否要關閉系統?

       
    2. 系統是否要中斷網路連線?

       
    3. 是否需要監看系統或網路使用情形?

       
    4. 是否要設置系統陷阱?

       
    5. 是否要關閉一些特定的服務?如:Telnet、FTP...等。






    要特別注意,若要關閉系統的存取,等於是被「阻斷服務」攻擊,因此務必事先通知使用者以將損害降至最低的程度。此外,事先決定企業組織在安全事件可接受的風險,也可以協助採取處理的決策。







    反應階段應執行工作如下:





    1. 「資訊安全意外處理小組」應建立與發展「反應小組」。

       
    2. 落實安全區域(如機房)管理,避免因為變更(如程式)而造成安全意外事件。

       
    3. 系統備援時不應允許發出警示,以避免造成干擾。

       
    4. 避免用明顯的方法查看攻擊者。

       
    5. 維護一個標準處理作業程序。

       
    6. 考慮建置「誘捕系統」(Honey Pots)。

       
    7. 小心已造成危害的程式碼,不要使用管理者的帳號權限去查看。

       
    8. 利用備援系統將證據備援到乾淨的空白媒體上,備援完成後應立即取出媒體。

       
    9. 將媒體存放在安全的地方。(防火、防水、防磁....)

       
    10. 取得並檢查路由器及系統的紀錄。

       
    11. 檢查鄰近系統的紀錄,特別是與被攻擊的系統有信任關係。

       
    12. 決定系統是否要繼續運作。

       
    13. 系統保持在單人作業系統環境(signal user mode)。

       
    14. 處理期間不應讓系統不正常關機,以避免證據流失。

       
    15. 變更密碼,使用安全度較高的密碼。

       

    16. 任何處理的動作,都要有詳細的紀錄。











    最後,安全事件處理完成後,應將處理的結果詳細紀錄,並對整個事件發生原因與處理方式與過程加以檢討修正,以逐步促進組織的資訊安全。



    意外事件處理程序將損失減至最低
    眾所周知資訊安全防護是沒有百分之百,因此不管組織資訊安全防護工作做得多麼好,資訊安全意外通報處理程序都是必備的一項基本工作,以確保在發生安全意外事件時作正確的處理,將可能發生的損失與傷害降到最低程度。(本文作者為:叡揚資訊 資訊價值與風險管理事業處經理)