https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1

觀點

因應個資法系列(2) 做好事前搜證準備 才能拚出事件全貌

2011 / 09 / 27
廖珮君
因應個資法系列(2) 做好事前搜證準備  才能拚出事件全貌

美國影集CSI犯罪現場(Crime Scene Investigation),描述一組刑事鑑識科學家的故事。鑑識專家仔細採集犯罪現場中的各種事證,任何微小事物也不能放過,即便只是一根頭髮、一個鞋印、一滴血液、或一顆彈殼,都可能是還原事件真相的關鍵,這種抽絲剝繭及互相拼湊的調查精神,同樣適用於數位鑑識上。

 

 

什麼是數位鑑識?

 

所謂數位鑑識,指的是以嚴謹程序及適當技術,取得儲存在媒體中或網路傳送的數位資料,再加以正確的解釋並在法庭上呈現。調查局資通安全處科長陳受湛指出,數位鑑識分成法律、程序、與技術三個面向,法律面指的是證物在法庭上的呈現方式,以及法律對於鑑識程序與結果呈現的要求;程序面則指依據法律規範所採取的數位鑑識程序,如:複製證據時要有防寫措施;技術面則是建立在法律面與程序面的前提下,應用工具發現證據並適時地釐清證據與案件事實之關聯性,讓法官能據此做有罪無罪的推定,如:設法取得儲存媒體內的資料、解釋數位資料所代表的意義。

 

如果從被鑑識的對象來看,國巨管理顧問公司數位鑑識技術長鍾文魁表示,可分成以下四種類型。第一、電腦鑑識:鑑識對象為伺服器、筆記型電腦與桌上型電腦,主要工作有還原硬碟資料,分析網路行為、電子郵件、即時通訊軟體的使用等;第二、網路鑑識:網路封包側錄與還原;第三:手持式裝置鑑識:以智慧型手機與平板電腦為主;第四:雲端鑑識:目前的需求較少也相對困難,因為無法確切掌握資料擺放的位置。通常被竊走的資料存放在哪裡,就從哪裡開始進行數位鑑識,每一個案件的鑑識對象都不一定,也可能不只一種,在一個案件中,電腦、網路和行動裝置鑑識經常混合出現。

 

鑒真數位資深鑑識顧問黃敬博指出,目前,企業將近80%的數位鑑識需求集中在桌上型電腦或筆記型電腦,至於行動鑑識的需求比較多集中在個人端,但這種狀況在未來3~5年可能會改變,隨著智慧型手機愈來愈普及,企業的行動應用也會跟著成長,屆時企業的行動鑑識需求自然會跟著增加。

 

 

協科資訊公司協理張英傑認為,企業在發生資安事件或遇到員工離職的時候,第一件要做的就是封存現場,之後才是解決資安問題。

 

 

數位鑑識搜證  事前功課不可少

 

數位鑑識和傳統鑑識最大的不同點在於,數位證據容易被破壞與污染,不易證實其來源及完整性。在傳統鑑識中,刑案現場會在第一時間拉起封鎖線,確保現場不會被破壞,直到鑑識人員搜證結束為止,然而,數位鑑識卻經常面臨不完整的犯罪現場,因為資安事件的發生往往於無形之中,企業很難在第一時間就發現。

 

台灣微軟資安專案經理林宏嘉便曾指出,遇過一名客戶連續5年處於個資外洩的狀態下,自身卻渾然不知,直到微軟介入調查後才發現,換句話說,當企業發覺系統異常時,資安事件往往已經發生一段時間了,證物不是被破壞就是被刪除,增加鑑識作業的難度。協科資訊協理張英傑表示,之前曾遇過企業,在資料外洩事件發生3個月到半年後,才開始想找數位鑑識人員搜證、準備打官司,然而,此時的行為軌跡都是事發後所留下,不是事發當時的狀況,鑑識人員又怎麼能拚湊出事件原貌?!

 

企業必須釐清一個觀念,數位鑑識不能在事發後才開始作業,而要在平常(事前)就作好準備,如此才能因應未來可能的搜證需求。調查局資安鑑識實驗室調查官鄭健行認為,數位鑑識可以找到資料竊取者的犯罪證據,也是判斷企業有沒有「能注意而不注意」過失的關鍵,但如果企業沒有事先做功課,在資安事件發生後,得花更多時間才能找到證據,甚至有可能找不到證據,以下三點就是數位鑑識該有的前置作業。

 

 

第一、搜集並保留重要資訊

 

鍾文魁認為,企業日常該做的就是,增加重要資訊的搜集。所謂重要資訊指的是,資料傳輸記錄、交易記錄、通聯記錄(如:電子郵件或即時通訊軟體的對話內容)、重要系統Log、資料庫存取記錄等,這通常會視產業特性不同而有差異。陳受湛表示,撇開產業類別不看,以下4點是企業該做的基本功課:

(1)   保留系統Log並防止被更改,如:防火牆、IPS、資料庫等,資料庫Log記錄尤其重要,有些企業為了不影響效能而選擇關閉資料庫Log功能,這是錯誤的作法。

(2)   建立資料備份或異地備援機制,一旦遇到資安事件,才能快速恢復系統原狀,又不會破壞證物原始狀態。

(3)   員工電腦留存。

(4)   另外,若企業使用雲端或主機代管服務,則要注意委外廠商是否符合前述所提的規範,或是在合約中註明清楚,要求委外廠商配合數位鑑識的採證需求。

 

第二、建立事件通報機制:

 

定威科技專案經理林志遠表示,企業若能建立安全事件通報機制,就能掌握資訊犯罪的第一時間並做出應變。正常來講,企業本來就應該針對重要系統或是網路進出位置設立監控機制,無論系統自動監控或人為監控的方式都可以,如此才能在事件發生當下,啟動即時告警機制,然而事實上卻非如此,企業網管人員可能事情太多,沒有時間做Log review,或是把它排到最後一個順位,也就沒有所謂即時告警功能。

 

由於駭客攻擊很少一次就成功,通常得持續攻擊34天到半年左右的時間,才能順利取得資料,如果企業有一個運作完善的通報機制,就能在駭客嚐試攻擊的當下發現異常,並立即進入數位鑑識的作業程序。然而現今在沒有通報機制情況下,數位鑑識多半是事後才來做,對企業的幫助也就比較慢。

 

第三、封存現場:

 

企業要改變處理資安事件的觀念,先將犯罪現場封存起來、避免被破壞,之後再設法解決資安問題。張英傑解釋,MIS發現使用者電腦被植入惡意程式,第一個念頭通常是趕快用防毒軟體掃描該台電腦,找出惡意程式並加以隔離、刪除,但這麼一來,也把駭客留下的痕跡一併刪除,假若駭客植入惡意程式的目的,是將企業電腦當作跳板散播更多病毒,那些因此而中毒的人,可能向企業提告,因為惡意程式的確是由企業IP散佈出去,但企業卻沒有辦法證明這是犯罪者植入惡意程式所致,因為現場早已被破壞,找不到犯罪者植入惡意程式的證據,就算最後找到了,時間不對,同樣不具證據效力。

 

還有,MIS若遇到無法解決的資安問題,通常會向資安廠商協助,資安廠商如果一樣解決不了,就是直接重灌系統,現場當然被破壞殆盡。林志遠表示,發生資安事件時,資安廠商的責任是立即解決問題,數位鑑識廠商則站在分析事件原因的角度,要釐清責任歸屬及責任轉移的問題。但企業使用者端對數位鑑識的認知常常不足,才會造成數位鑑識的難度

 

另外,離職員工的電腦也必須進行封存,把原始狀態保存下來,才能交接給下一個使用者。黃敬博指出,很多企業都有員工在離職前夕大量竊取資料的問題,

但企業主卻沒有對離職員工的電腦做任何處理,直接移交給下一位使用者,新的使用者可能重灌系統、破壞現場,日後若要進行搜證作業,並不容易。

 

因此,張英傑強調,企業在發生資安事件或遇到員工離職的時候,第一件要做的就是封存現場,不要有開關機、灌新軟體的動作,而是保持事發當時的狀態,並複製3份,一份放在證物袋保存、一份重灌回機器,由MIS掃毒並解決問題、一份則利用數位鑑識工具進行調查分析。

 

國巨管理顧問公司數位鑑識技術長鍾文魁,企業要設法確保證據統一性,也就是原始證物和呈上法庭的證物要一致,如此才具備不可否認性,否則就會成為無效證據。

 

 

證據保存必須完整  否則只是白做工

 

企業日常作業中除了留存數位證據外,還要避免被破壞或污染,確保數位證物的不可否認性。155,證據之證明力,由法院本於確信自由判斷。但不得違背經驗法則及論理法則。無證據能力、未經合法調查之證據,不得作為判斷之依據。

 

鍾文魁表示,刑法第155條明確規範證據的效力,企業要設法確保證據統一性,也就是原始證物和呈上法庭的證物要一致,如此才具備不可否認性,否則就會成為無效證據,其做法有:

第一、加密保存:

證物保存的前提是不要讓它被破壞,最常見的作法是利用MD5、電子簽章等加密技術,將證物封存起來。

 

第二、選擇通過認證的工具:

在美國,只要使用通過法院認證的數位鑑識工具,其所取得的數位證據具備效力,法官通常都會採信,然而台灣目前並沒有類似的認證機制,中央警察大學資訊管理學系教授吳國清認為,政府應該推動此類認證或標準,明確賦予取得認證資安設備的證據力,換言之,惟有通過認證的資安設備所產出的Log檔才具備效力,足以做為未來上法院的呈堂證供,另一方面,也可做為法官是否要採信證據的標準。

 

目前,許多LM/SIEM廠商宣稱其產品可滿足企業未來舉證要求,鍾文魁提醒企業,若是為了舉證來採購此類資安設備,必須向廠商確認是否能證明統一性,也就是說,廠商要能證明其所保存的Log具備統一性,才可做為未來訴訟的證物。

 

第三、確保儲存媒體的乾淨:

企業在留存數位證據時,還要注意儲存媒體是否夠乾淨,不可殘留其他內容,以免日後被質疑證物遭污染。吳國清指出,企業在儲存數位證物時沒有標準的做法,可能燒錄成光碟,也可能將硬碟清空後再將資料存放進去,但Windows作業系統在設計時考量到效能問題,即便按下了螢幕上的「刪除鍵」、或是清空資源回收桶,也不代表資料就不在硬碟裡,只是螢幕上不會顯示罷了,除非使用徹底清除軟體,才能確保這顆硬碟的資料已經被清空。

 

鑒真數位資深鑑識顧問黃敬博,數位鑑識領域像是一座金字塔,每個人都有不同專業,企業視資安事件類型來選擇,才能正確地解決問題。
 

 

評選廠商三大指標:背景、證照、經驗

 

數位鑑識在歐美各國的發展相當成熟,許多大型跨國企業都會自行建置數位鑑識團隊,一旦發生資安事件便立即啟動調查,但就台灣的企業規模與需求頻率來看,自建團隊代價過高,請外部廠商協助是比較符合成本效益的做法,至於廠商遴選的標準,身份背景、證照及處理事件的經驗,是主要指標。

 

第一、身份背景

目前,台灣提供數位鑑識服務的業者數量並不多,但身份背景卻相當多元化,有管理顧問公司、會計師事務所、數位鑑識廠商、資安廠商等,這些廠商除了數位鑑識能力有差異之外,所提供的服務內容也會因為背景不同而有差異,鄭健行認為,企業應該依據事件發生狀況及處理策略來選擇。

 

以駭客入侵的資安事件為例,如果企業只是想要解決問題、恢復系統原狀,或者是要蒐集證據進行內部行政處分,那麼找資訊安全或數位鑑識廠商協助即可,但是若牽涉到民刑事訴訟案件,亦可透過司法調查機關協助。以英美兩國的經驗來看,企業在面臨資料外洩相關的訴訟案件時,通常先向律師尋求協助,律師則會找配合的鑑識專家進行調查。

 

第二、擁有國際證照的質與量

陳受湛強調,法庭對於專家證人(或鑑定人)仍有一定的要求,否則其於法庭之證詞或鑑定結果,未必能受到法庭之採用。因此,數位鑑識廠商處理事件的經驗和能力,也是相當重要的評估因素,經驗可以從廠商所累積的客戶名單來判斷,至於能力一詞則相當抽象,大概只能從廠商所擁有國際證照的數量及種類來評估。

 

目前數位鑑識相關的國際證照相當多,包括ACE(Access Data Certified Examiner) CCE(Certified Computer Examiner)CCFE(Certified Computer Forensics Examiner)CFE(Certified Fraud Examiner)CFCE(Certified Forensic Computer Examiner)CHFI(Computer Hacking Forensic Investigator)EnCE(EnCase Certified Examiner) EnCEP(EnCase Certified eDiscovery Practitioner) GCFA(GIAC Certified Forensics Analyst)等。

 

此外,電腦或資安相關認證也很重要,黃敬博表示,數位鑑識領域像是一座金字塔,每個人都有不同專業,有些人專精於Oracle資料庫、有些熟悉Windows作業平台、有些則是Linux專家,企業視資安事件類型來選擇,才能正確地解決問題。

 

第三、處理事件之經驗

藝人卜學亮在7年前主持綜藝節目《超級星期天》時,最常說的經典名言就是「凡走過必留下痕跡」,只要做過的事一定會留下蛛絲馬跡,在虛擬世界中亦復如此。任何一個意圖竊取資料的人,都會在系統中留下痕跡,端看數位鑑識人員如何去追蹤調查,而這靠的就是經驗,舉例來說,駭客為了不讓人發現身份,可能在離去時刪除電腦裡的Event Log,增加事後追查的難度,但是就算沒有Log,電腦還是有很多操作軌跡,鑑識人員的經驗愈豐富,就愈能知道電腦裡還有哪些可以追蹤的軌跡。

 

最後,林志遠提出第四點建議,企業對數位鑑識的需求,如果是為了訴訟用途,在選擇廠商時應以公司法務人員聽得懂為原則。因為數位證據最終得呈到法庭上,法院對於證據採信有諸多規範,所以在遴選廠商時,就不能只評估找到證據的能力,還要看其與法務人員間的配合度,否則即便找到再有利於企業自身的證據,也無法做為呈堂證供。鍾文魁進一步指出,數位鑑識是法律訴訟的一環,但不是惟一的一條路,企業應該從數位證據去判斷後續該如何處理,如果取得的證據不利於訴訟,例如:駭客在國外、求償不易,不如將訴訟的預算用在強化資安上,也許會來得更有效果。

 

  

調查局資通安全處科長陳受湛,法庭對於專家證人(或鑑定人)仍有一定的要求,因此,數位鑑識廠商處理事件的經驗和能力,也是相當重要的評估因素。