觀點

從歐盟資安局事件應變訓練學習-DDoS網災來襲 政府準備好了嗎?<各國經驗篇>

2009 / 11 / 18
編輯部
從歐盟資安局事件應變訓練學習-DDoS網災來襲 政府準備好了嗎?<各國經驗篇>

對於網路攻擊的預警、偵查與防堵在國際間首重預警之合作,以及建立有效的處理機制,這當然包括一個專職負責的單位,以目前來看,美國、英國、日本、韓國、新加坡等相關之處置與應變單位已經是體制上的正式單位,而我國可能還有極大進步與改良的空間,包含行政體制與專責單位必須加速設立,不須等待所謂的組織再造,因為根本趕不上外界變化,網路犯罪遏止與資訊國土的保護是刻不容緩的,包含破壞性攻擊、竊取與竄改關鍵資訊基礎都可能毀國於一瞬。本章節提供國外相關資安組織架構供參照,以及歐盟對於資安應變訓練的課程內容,希冀有正向的幫助。

不只技術,歐盟強調應變處理規劃與組織能力

歐盟ENISA(資訊安全局)已將大規模事件應變處理,包含DDoS攻擊列入資安事件處理人員的必備課程中,以下為節錄其課程部分內容:假設歐盟某國家X發生網路攻擊事件,針對某國的網路出現大規模的DDoS攻擊,在不同的攻擊階段中,包含發生衝突、攻擊發生,(CSIRT,Computer Security Incident Response Team)成員必須能夠分析出其前因後果與時間線(timeline)。

背景

某中型國家X已經擁有非常先進的網路基礎架構,足以讓消費者、電子商務與政府服務享受非常高頻寬與行動網路的應用服務,而國家X有10%的成員是來自於國家Y的少數民族。國家X有兩個CERT 團隊,一個是ISP CERT、另一個是GOV CERT,ISP CERT是該國最大的電信服務公司,有部分團隊成員擁有Y國之國籍,而政府的GOV CERT是最近三個月內才成立的新團隊,X國至今仍未有任何網路安全政策。近年來,X國與Y國在某國際知名組織(FIO)列為候選觀察員,競爭一向激烈,有一天X國成為FIO的正式會員,而Y國卻被排除在外,而X國內的Y國籍人員卻逐漸遭受差別待遇,並且禁止其官方語言、更換與Y國有關的街道名稱,衝突一觸即發,部分Y 國激進人員將引爆一場網路大戰。

網路衝突(第一階段)

在第一個星期內,陸續出現以下資安事件:

? X國政府機關收到數以百萬計的電子郵件,寄件來源是全世界各地的IP位址,而政府相關的郵件伺服器因此癱瘓。

?對政府重要網站的零星攻擊與置換網頁。

?對政府重要網站的DDoS攻擊,導致網站關閉。

?在X國重要網站與論壇出現激進的言論。

?X國的入口網站被置換成Y國語言的內容。

 

網路衝突(第二階段)

 

接下來幾週,相關的攻擊數量增加,同時趨於複雜且精心安排的攻擊手法出現,部分攻擊者使用國際大型的殭屍網路(botnet),可能是幾萬台被入侵的電腦,利用5個可申請的境外虛擬網址服務進行控制,並且針對X國的關鍵基礎資訊設施,如政府機構、交通運輸、金融、電力、醫療等施以DDoS

擊。

? 許多政府服務網站被一連串的DDoS攻擊到無法運作。

? 最大電視台的電腦系統被攻擊至今無法運作。

? 前五大銀行遭受攻擊後無法連上線,導致交易癱瘓。

? 警察機構的網路設施遭受持續的攻擊。

? 相關資訊服務與新聞網站受到嚴重DDoS攻擊。線上購物商店被逼迫暫停交易。

? 除了來自於botnet的攻擊,各種語言版本的攻擊說明與武器在網路上出現,並提供一系列的攻擊目

標,可以讓不懂電腦與駭客技術者得以參與此攻擊活動。

? ISP業者負載過重,網路速度變很慢。

 

網路衝突(第三階段)

 

兩星期之後,攻擊依然持續,網際網路陷入混亂,線上通訊幾乎中斷。導致政府、資訊服務、警察、銀行等服務中斷。而且GOV CERT也遭受到嚴重

DDoS攻擊中。

 

透過上述的情境描述,希望學員可以提出協助X國的防禦策略,並且根據不同的階段分別提出其執行建議。以下有幾個思考層面:

 

? 此種狀況如何被解除?

? 針對不同的攻擊,要採取的對策為何?

? 有哪些應變行動可以採用?

? 不同的應變行動中有哪些可能會遭遇困難問題?

 

學員必須考慮到單一事件與行動方案所導致的衍生效應與問題,並且解釋建議方案的考量原因以及潛在問題,包含缺乏工具、災情擴大等,在45分鐘之內必須能夠完成此任務。在後續的討論與展示建議方案時,必須考量作業面與技術面的執行程序,針對不同狀況的優先順序、如何協調X國各組織的資源,如果您是資安災情應變小組的領導者,您會如何組織此任務編組,以及提出在災後重建程序的計畫與可能的問題?根據時空環境的變遷以及資訊科技的進步,答案會有所不同。

 

由此看來,對於事件處理小組人員的訓練中,已經不是單單從技術層面來衡量,以我國現有制度而言,技術人員與設備是一個發展方向,而能夠綜觀全局的應變處理規劃與組織則是另一個重要的領導組織能力,否則縱使有再好的技術人員、資訊科

技設備,程序與作法的處理失當一樣是一種災害。

 

(各國資安應變組織表)