速建立危機處理防護小組─有問題解決、沒問題預防

危安事件的層級
在組織中有哪些事件會導致組織危機，如何處理？像個人密碼遺失、一個帳號多人共用、離職員工報復、駭客入侵、病毒破壞…等。這類事件的層級可分為low level、medium level以及high level三個層級。

1.low level

員工個人密碼遺失、共用帳號、不當使用電腦，或是普通病毒等都屬此級。 國人對帳號密碼的共用警戒度似乎比較輕視，在國外，每個人對自己的密碼使用必須扛起責任，因為假設我的密碼被盜用了，我也要負一半責任。五年前受訪者在英國的一家銀行，它並沒有資訊安全小組，所以控管比較弱，但稽核人員每年仍會針對銀行的內控，做個人密碼遺失和帳號使用稽核，這是國外對這方面的重視。

另外，因為國外重視工作效率的原因，也會相對的較重視個人電腦使用的管控，如果員工上班時間不當使用電腦，做私人用途，如玩電動遊戲或上網購物等，亦會被通報到CSIRTs。

2.medium level

像員工離職報復，破壞電腦、帳號被盜用、未經授權進入大樓、未經授權用系統處理業務、偷竊事件、中度病毒危及部門…等事件都屬此層級。

3.high level

此層級則包括，電腦系統被侵入、帳號密碼被竊取、重度病毒足以影響到組織、沒有資料擁有者的允許去做未經授權的更改、非法軟體、色情檔案等嚴重事件。 各個事件可能帶來的危險程度不同，在通報和處理的時間差別是：如果low level事件是不會影響到業務的，則CSIRTs可在 1至2天內處理。medium level的事件是當天發生當天處理；例如，權限頗高的員工若因犯錯被革職，有可能會有報復行為，因此當天就需將他所有涉及的系統密碼做更改，如果是權限更大的員工，就必須馬上通報馬上處理。

建立CSIRTs的可行性
1.確認負責人

危安事件發生時該通報誰?負責的人需被定義出來。例如那時在英國的一家銀行，由於組織裡沒有資訊安全小組，因此沒有通報機制，發生問題時就向技術部門求救，但這種方法只是治標不治本，因為危安事件有可能由此問題延伸到更大的問題。

2.CSIRTs的使命

CSIRTs的使命應簡短、清楚地依據其基本目標與功能加以說明，勾勒出小組基本的方向，其中包含：系統回復、入侵與攻擊的分析、事件的回應與協調、資訊溝通協調、電腦犯罪調查、入侵偵測系統監控，或是一些其他任務等。

3.定義服務項目

CSIRTs的服務項目包含恢復性服務、預防服務和顧問服務。

4.CSIRTs的權限

CSIRTs如果沒有影響力，那這個小組就會形同虛設。例如，以前受訪者服務的銀行，資訊小組是在IT上層，主管讓小組發生影響力的做法是，平日就將所有發生的危安事件作統計，半年之後要向CIO報告時，就有明確的事件數據或可能的危機可描述，將來要部署設備或訂立政策時就會較簡單。

也就是必須先釐清CSIRTs的可行性。評估誰是組織中對安全問題作最後回應之單位？CSIRT需要與組織中有安全需求之單位，建立和保持良好的溝通管道，其中也包含實體安全。CSIRT會有哪些授權事項？這將會決定CSIRT與組織內其他單位之影響與互動。CSIRT的架構以及如何與其他單位互動？成員之職責及角色為何？組織內有何可得之專業能力？需要哪些設備與網路設施？CSIRT的資金來源？以及其他諸多考量。

建立CSIRTs面臨的困難
每個國家基本上都有危機處理中心設置，如台灣有TWCERT/CC (台灣電腦網路危機處理暨協調中心)，美國有USACERT、新加坡SingCERT…等，都是屬於政府組織。這些CERT在政府的支持和預算之下運作，平時就會收集很多安全資料，來作為統計和推展計劃的基礎。但是民間的組織在成立CSIRTs時，常會面對一些問題，就是人員的經驗和技術能力、政策和責任等問題。

有好的危機處理技術及富有經驗之人才難尋。因為不是每個人員對每個事件都能深度了解，CSIRTs的人員有可能是軟體工程師出身、也有可能待過管理部門，要視此CSIRTs提供服務類型的定位，如恢復性服務，則需技術能力較強的IT背景人員，如為顧問提供的服務，人員需求則有可能在另一個層級，要樣樣兼具的人才是不容易獲得的。

加上目前未有專業危機處理人員之教育管道，亦無CSIRTs日常作業所需之政策、程序之前例可循，還有針對能符合CSIRTs特殊需求之工具程式非常稀少，都會增加建立CSIRTs時的困難度。

舉個當時在英國的銀行時的例子，當時受訪者的主管便很有智慧地處理人員的問題。因政策在推動時，難免會遇到人員反彈或推動不易等阻力，因此他利用當時剛好有〝I love you〞病毒流行的機會，教育訓練員工和做宣導，告知人員事件發生可能帶來的嚴重危害，同時也得到總公司的支持。

定義CSIRTs的使命
通常危安事件並不會每天發生，所以CSIRTs的體制通常都是以任務編制，編到資訊安全小組中。CSIRTs的使命及其伴隨而來之服務，影響到CSIRTs組織架構。例如，如果是注重系統復原及修復，則CSIRTs必須在此系統現場進行處理，如果只是注重從危機事件的資訊交換及分析，CSIRTs則需要機器設備來進行蒐集、分析，換句話說，這台機器設備也需向整個組織傳遞訊息。

定義CSIRTs服務項目
＊恢復性服務

這項服務是由事件或需求所衍生出來的，像是電腦損害報告、惡意散播程式碼報告、軟體弱點報告或是一些入侵偵測或歷程記錄系統之報告等。當事件發生時，如何用現有的能力去解決問題，不要讓業務或組織受影響。此項目是CSIRTs主要服務之項目。

＊預防性服務

這項服務是在可預測的攻擊、問題與事件中預先提供準備、預防安全防護系統所需之服務與資訊。

例如，用宣導方式，告訴使用者密碼不可給別人使用、不可做未經授權的動作，或是做「技術觀測」工作等。例如，TWCERT會定時發佈駭克攻擊、軟體弱點等事件，它的資料來源通常是來自全球的CERT，TWCERT翻譯後給再將資訊給國人參考，或是像微軟如有緊急事件也會寄發通知，小組收到之後就要做預防處理。所以，CSIRTs的其中一個任務是，留意觀察新的技術發展、侵入活動及相關趨勢，以辨識未來之威脅，整理資安相關警告、警戒及相關文件，再利用這些經驗做預備方案。

但是，在台灣往往是原來的工作就很忙了，比較難有足夠時間先做了解和研究來預防；但事實上，如果預防工作做得好，效益會比恢復性的工作多好幾倍。 預防性服務還包括資訊安全稽核和評估，包含覆核及分析由其他組織或標準所定義之安全架構、實體設備，包括檢視組織安全之實行，以確保符合組織資訊安全政策及其安全標準。因此，CSIRTs是和資訊安全小組的工作內容有些雷同性，不過危機處理小組原來就可能屬於資訊安全小組的。

預防性服務的另一個工作，是利用網路尋找安全工具，去測試系統以確保系統安全。還包括入侵偵測服務，進行檢視IDS記錄檔，藉以分析IDS定義之事件並做出回應。入侵偵測與分析相關安全記錄，不單要決定要在整體環境何處進行偵測，亦要蒐集、分析大量的資料，在大多數情況下，需要特殊工具或專業技術將相關資訊、無效攻擊或網路事件與相關政策加以整合辨識，藉以減少類似之事件。 ＊顧問服務

CSIRTs可提供建議或辨識所需購買、安裝之安全相關之系統、網路設備、軟體、或企業流程。此服務還包含，辨識組織何處最需要安全相關資訊，提供發展組織安全政策之指引與協助。

CSIRT的定位如果清楚的話，組織的計劃啟動時，CSIRT會參與計劃的開發，給予顧問支援。如果危機處理小組的定位是在最高層總公司，通常會扮演恢復性和顧問服務兩種角色，提供研究和顧問給分行。另外，還包括風險評估、實行與電腦安全威脅和攻擊相關之BCP(業務永續經營計畫）與DRP（災害復原計畫)、教育訓練和宣導等工作。

結語
基於過去之經驗與未來資安事件的威脅，越來越多危安事件將降低企業營運的效能，危機處理防護小組之經驗與建議可決定企業是否能永續經營。它的定義可以說是「有問題解決、沒問題預防」。

本文作者許偉健現為資誠價值及風險管理服務部協理(曾任職於英國Schroders Investment Bank, Security Analyst / Cazenove Investment Bank, Access Control Manager / Bank of Scotland, Security Consultant)