歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
中小企業如何做資安事件管理
2006 / 02 / 06
余俊賢
事件管理計畫注意項目
以下就資安事件管理計畫,本文以大綱方式羅列,闡述發展計畫時應注意的項目。 資安組織與目標
1. 面對資訊系統相關的安全事件或弱點,確保企業擁有足夠能量,及時採取行動與矯正措施。避免問題再三出現,減低營運衝擊。
2. 建立資安事件管理小組與資安事件處理政策:由管理層級、人事、法務、稽核、IT、行政支援、公關等各部門人員組成,明訂各成員職責,並闡述資安事件管理計畫的目標。
3. 說明緊急事件的決策過程與公司高層面對相關事件的態度,授與決策權,節省發生問題時的溝通時間,增加應變處理靈活度。
(事前)事件預防程序與規範
1. 如何區分事件的嚴重程度,定義各種狀況的嚴重等級。劃分出事件的等級與緊急程度,面對不同的事件應該訂定其適用之因應程序。
2. 與外部執法機關配合原則。
3. 事件通報層級與格式。
4. 稽核檔案蒐集與保存原則,確保其完整性與可用性。
(事發)事件處理原則
1. 控制受害範圍的原則與優先次序,對外公關的職責與答覆權限。
2. 受害者及處理團隊間的溝通與決策程序(包括受害者應配合事項)。
3. 重要系統斷線或不斷線的判斷及網路監聽原則。
4. 業務持續計畫的啟動與現場回復。
5. 鑑識證據的蒐集與保存原則,包含與第三方的法律議題。
6. 事發時事件通報管道與小組緊急聯絡。
7. 是否提升處理層級的判斷依據,包含重大緊急事件的通報程序。
(事後)事件處理品質控制與改善
1. 處理過程中應記錄之文件格式。
2. 回復程序(如何控制,不會發生回復之後安全問題依然存在)。
3. 如何決定事件已經完全結束及檢討會議的召開時機。
4. 分析與識別原因,以及修正程序和矯正措施。
5. 結案報告的必要項目與格式。
6. 處理結果向公司高層報告的程序。
驗證方式與演練規劃
1. 時間上可分為定期與不定期演練。
2. 參與人員部分應落實職務代理機制。
預算與行政支援
1. 小組成員的訓練與錄用。
2. 行政支援與設備的獲取。
最後這份資安事件管理計畫一定要由管理層級簽字同意,並進行於全體會議中進行宣導展現其決心。
資安事件處理常見的4大錯誤
缺乏計畫 臨陣磨槍
一般而言,最常見的資安事件處理人員都是臨時組成的團隊,毫無計畫章法可言,相對於企業內其他的緊急應變團隊,資安事件處理應該在計畫與事前籌備上多琢磨。在發生事情之前,鮮有人會想到要建立一個資安事件處理應變計畫,總是抱著不會輪到我的心態,直到事情真的發生之後,才手忙腳亂地處理。
資安事件處理計畫內容如前文所述,必須涵蓋整個資安事件處理各階段的作業程序,直到事件結束後,還要檢討整個事件處理上的優劣點,作為修正與調整應變程序的依據。
除了計劃之外,事件處理工具及資源必須先備妥,像防火牆與伺服器的稽核檔案平時就應該要記錄儲存,且存放於安全的地點,不需等到事件發生才去找,甚至屆時才發現根本就沒開啟安全稽核的功能。
破壞證據 依法無據
不恰當的資安事件處理計畫與不充足的處理小組訓練,會導致在處理過程中發生重要證據未完整採集或是遭到破壞的可能。以法規的角度來看,資安事件也有可能擴大成為民事或刑事案件,因此最初的證據也許就是最後決定性的關鍵。 如果能抱持這個心態來看待資安事件管理,在法律上就比較不會吃虧。同時在處理小組中,應該至少要有一名具法律背景的法務人員,在這處理時提供諮詢與評估的工作。若必須配合外部執法機關進行,進行任何動作前必須先徵詢執法人員的建議,最好可以全程以錄影方式進行,以保障公司權益與證據的完整性。
草率處理 藕斷絲連
以駭客入侵的資安事件為例子,發現使用者在處理上的第一個反應,就是使用防毒軟體去掃描,然後就以一副「連防毒軟體也掃不到」的無辜表情回應,最後通常是必須整台電腦重新格式化、重灌系統收尾。但是,這樣就夠了嗎?也許過沒多久又會看到這張無辜受害者的表情。
必須注意的是,從原始電腦備份下來的資料,其中是不是還帶有惡意程式,如果是網頁被入侵、置換,處理程序應該要加一項檢查網頁內文是否已經被放置後門,雖然伺服器整台完全重灌了,一旦這些網頁上線,駭客就可以循線再回到受害機器上,這也是為何有些網站會被連續置換的原因。處理草率跟程序不夠嚴謹一樣,都會導致更多浪費時間在切掉這些藕斷絲連的麻煩。
處理過程可以應用查檢表(checklist )的方式,將處理程序逐一條列,再依序完成之。進行現場復原時,很可能會使用回復光碟還原作業系統,像這一類的軟體光碟應該要確保其完整性,以免還原之後問題依然存在。
不思檢討 一錯再錯
發生資安事件之後,應該要針對該項威脅或弱點提出矯正與預防措施,如果只是以兵來將擋的態度來面對,很快地相同的問題就會再度發生。相同的,應變處理計畫也應該隨著事件的變更而修正,每次事件發生與演練之後都應該檢討並修正應變處理計畫,才可以確保計畫與程序本身的可用性。
其他預防措施應該包括增加監控機制、更新修補套件以及減少其他潛在的風險。資安事件處理好比消防員在滅火,火災滅了之後接著進行火場勘驗,發現原因是電線老舊引發火災,那麼其他同區域相近屋齡的房子就應該要警覺到必須更換電線線路,以避免電線走火重演。
完整的資安事件管理機制,必須強調學習檢討重要性,分析出事件肇因、避免重蹈覆轍,一方面可以遵循標準與法規要求,一方面間接提升企業在資安事件管理的經驗,打造健全的企業資安管理體質。 本文作者現任職於國家資通安全會報技術服務中心
中小企業
余俊賢
最新活動
2025.05.23
2025 雲端資安趨勢論壇
2025.04.30
免費【資安人才培育計畫說明講座】 資安顧問師 與 資安維運工程師 的職能發展與養成
2025.05.14
OpenText+精誠資訊【AI x DevOps打造高效敏捷團隊,提升軟體交付速度!|成功企業案例分享】
2025.05.16
資安媒合交流系列活動
看更多活動
大家都在看
MITRE ATT&CK 發布17.0版,新增 ESXi 攻擊戰術技術與程序
SSL.com 驗證漏洞:攻擊者可輕易取得重要網域憑證
國家級駭客瞄準中小企業 供應鏈成新戰場
中國駭客組織 Billbug瞄準東南亞:全新工具發動精密網路間諜戰
新型Android惡意程式 使用NFC中繼攻擊竊取信用卡資料
資安人科技網
文章推薦
Sophos:「數位殘餘」讓企業暴露於網路邊緣設備攻擊風險中
SAP NetWeaver關鍵漏洞遭駭客利用植入惡意網頁命令執行介面
資安格局重塑:Mandiant 揭露2025年五大關鍵網路威脅