https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1

觀點

速建立危機處理防護小組─有問題解決、沒問題預防

2004 / 08 / 31
編輯部
速建立危機處理防護小組─有問題解決、沒問題預防

危安事件的層級
在組織中有哪些事件會導致組織危機,如何處理?像個人密碼遺失、一個帳號多人共用、離職員工報復、駭客入侵、病毒破壞…等。這類事件的層級可分為low level、medium level以及high level三個層級。

1.low level

員工個人密碼遺失、共用帳號、不當使用電腦,或是普通病毒等都屬此級。 國人對帳號密碼的共用警戒度似乎比較輕視,在國外,每個人對自己的密碼使用必須扛起責任,因為假設我的密碼被盜用了,我也要負一半責任。五年前受訪者在英國的一家銀行,它並沒有資訊安全小組,所以控管比較弱,但稽核人員每年仍會針對銀行的內控,做個人密碼遺失和帳號使用稽核,這是國外對這方面的重視。

另外,因為國外重視工作效率的原因,也會相對的較重視個人電腦使用的管控,如果員工上班時間不當使用電腦,做私人用途,如玩電動遊戲或上網購物等,亦會被通報到CSIRTs。

2.medium level

像員工離職報復,破壞電腦、帳號被盜用、未經授權進入大樓、未經授權用系統處理業務、偷竊事件、中度病毒危及部門…等事件都屬此層級。

3.high level

此層級則包括,電腦系統被侵入、帳號密碼被竊取、重度病毒足以影響到組織、沒有資料擁有者的允許去做未經授權的更改、非法軟體、色情檔案等嚴重事件。 各個事件可能帶來的危險程度不同,在通報和處理的時間差別是:如果low level事件是不會影響到業務的,則CSIRTs可在 1至2天內處理。medium level的事件是當天發生當天處理;例如,權限頗高的員工若因犯錯被革職,有可能會有報復行為,因此當天就需將他所有涉及的系統密碼做更改,如果是權限更大的員工,就必須馬上通報馬上處理。

建立CSIRTs的可行性
1.確認負責人

危安事件發生時該通報誰?負責的人需被定義出來。例如那時在英國的一家銀行,由於組織裡沒有資訊安全小組,因此沒有通報機制,發生問題時就向技術部門求救,但這種方法只是治標不治本,因為危安事件有可能由此問題延伸到更大的問題。

2.CSIRTs的使命

CSIRTs的使命應簡短、清楚地依據其基本目標與功能加以說明,勾勒出小組基本的方向,其中包含:系統回復、入侵與攻擊的分析、事件的回應與協調、資訊溝通協調、電腦犯罪調查、入侵偵測系統監控,或是一些其他任務等。

3.定義服務項目

CSIRTs的服務項目包含恢復性服務、預防服務和顧問服務。

4.CSIRTs的權限

CSIRTs如果沒有影響力,那這個小組就會形同虛設。例如,以前受訪者服務的銀行,資訊小組是在IT上層,主管讓小組發生影響力的做法是,平日就將所有發生的危安事件作統計,半年之後要向CIO報告時,就有明確的事件數據或可能的危機可描述,將來要部署設備或訂立政策時就會較簡單。

也就是必須先釐清CSIRTs的可行性。評估誰是組織中對安全問題作最後回應之單位?CSIRT需要與組織中有安全需求之單位,建立和保持良好的溝通管道,其中也包含實體安全。CSIRT會有哪些授權事項?這將會決定CSIRT與組織內其他單位之影響與互動。CSIRT的架構以及如何與其他單位互動?成員之職責及角色為何?組織內有何可得之專業能力?需要哪些設備與網路設施?CSIRT的資金來源?以及其他諸多考量。

建立CSIRTs面臨的困難
每個國家基本上都有危機處理中心設置,如台灣有TWCERT/CC (台灣電腦網路危機處理暨協調中心),美國有USACERT、新加坡SingCERT…等,都是屬於政府組織。這些CERT在政府的支持和預算之下運作,平時就會收集很多安全資料,來作為統計和推展計劃的基礎。但是民間的組織在成立CSIRTs時,常會面對一些問題,就是人員的經驗和技術能力、政策和責任等問題。

有好的危機處理技術及富有經驗之人才難尋。因為不是每個人員對每個事件都能深度了解,CSIRTs的人員有可能是軟體工程師出身、也有可能待過管理部門,要視此CSIRTs提供服務類型的定位,如恢復性服務,則需技術能力較強的IT背景人員,如為顧問提供的服務,人員需求則有可能在另一個層級,要樣樣兼具的人才是不容易獲得的。

加上目前未有專業危機處理人員之教育管道,亦無CSIRTs日常作業所需之政策、程序之前例可循,還有針對能符合CSIRTs特殊需求之工具程式非常稀少,都會增加建立CSIRTs時的困難度。

舉個當時在英國的銀行時的例子,當時受訪者的主管便很有智慧地處理人員的問題。因政策在推動時,難免會遇到人員反彈或推動不易等阻力,因此他利用當時剛好有〝I love you〞病毒流行的機會,教育訓練員工和做宣導,告知人員事件發生可能帶來的嚴重危害,同時也得到總公司的支持。

定義CSIRTs的使命
通常危安事件並不會每天發生,所以CSIRTs的體制通常都是以任務編制,編到資訊安全小組中。CSIRTs的使命及其伴隨而來之服務,影響到CSIRTs組織架構。例如,如果是注重系統復原及修復,則CSIRTs必須在此系統現場進行處理,如果只是注重從危機事件的資訊交換及分析,CSIRTs則需要機器設備來進行蒐集、分析,換句話說,這台機器設備也需向整個組織傳遞訊息。

定義CSIRTs服務項目
*恢復性服務

這項服務是由事件或需求所衍生出來的,像是電腦損害報告、惡意散播程式碼報告、軟體弱點報告或是一些入侵偵測或歷程記錄系統之報告等。當事件發生時,如何用現有的能力去解決問題,不要讓業務或組織受影響。此項目是CSIRTs主要服務之項目。

*預防性服務

這項服務是在可預測的攻擊、問題與事件中預先提供準備、預防安全防護系統所需之服務與資訊。

例如,用宣導方式,告訴使用者密碼不可給別人使用、不可做未經授權的動作,或是做「技術觀測」工作等。例如,TWCERT會定時發佈駭克攻擊、軟體弱點等事件,它的資料來源通常是來自全球的CERT,TWCERT翻譯後給再將資訊給國人參考,或是像微軟如有緊急事件也會寄發通知,小組收到之後就要做預防處理。所以,CSIRTs的其中一個任務是,留意觀察新的技術發展、侵入活動及相關趨勢,以辨識未來之威脅,整理資安相關警告、警戒及相關文件,再利用這些經驗做預備方案。

但是,在台灣往往是原來的工作就很忙了,比較難有足夠時間先做了解和研究來預防;但事實上,如果預防工作做得好,效益會比恢復性的工作多好幾倍。 預防性服務還包括資訊安全稽核和評估,包含覆核及分析由其他組織或標準所定義之安全架構、實體設備,包括檢視組織安全之實行,以確保符合組織資訊安全政策及其安全標準。因此,CSIRTs是和資訊安全小組的工作內容有些雷同性,不過危機處理小組原來就可能屬於資訊安全小組的。

預防性服務的另一個工作,是利用網路尋找安全工具,去測試系統以確保系統安全。還包括入侵偵測服務,進行檢視IDS記錄檔,藉以分析IDS定義之事件並做出回應。入侵偵測與分析相關安全記錄,不單要決定要在整體環境何處進行偵測,亦要蒐集、分析大量的資料,在大多數情況下,需要特殊工具或專業技術將相關資訊、無效攻擊或網路事件與相關政策加以整合辨識,藉以減少類似之事件。 *顧問服務

CSIRTs可提供建議或辨識所需購買、安裝之安全相關之系統、網路設備、軟體、或企業流程。此服務還包含,辨識組織何處最需要安全相關資訊,提供發展組織安全政策之指引與協助。

CSIRT的定位如果清楚的話,組織的計劃啟動時,CSIRT會參與計劃的開發,給予顧問支援。如果危機處理小組的定位是在最高層總公司,通常會扮演恢復性和顧問服務兩種角色,提供研究和顧問給分行。另外,還包括風險評估、實行與電腦安全威脅和攻擊相關之BCP(業務永續經營計畫)與DRP(災害復原計畫)、教育訓練和宣導等工作。

結語
基於過去之經驗與未來資安事件的威脅,越來越多危安事件將降低企業營運的效能,危機處理防護小組之經驗與建議可決定企業是否能永續經營。它的定義可以說是「有問題解決、沒問題預防」。

本文作者許偉健現為資誠價值及風險管理服務部協理(曾任職於英國Schroders Investment Bank, Security Analyst / Cazenove Investment Bank, Access Control Manager / Bank of Scotland, Security Consultant)