數位鑑識的準備工作　參考政府機關應變作業機制　

所謂數位鑑識，指的是以嚴謹程序及適當技術，取得儲存在媒體中或網路傳送的數位資料，再加以正確的解釋並在法庭上呈現。

過去，數位鑑識產業並不大，但隨著個資法的通過，企業被要求要負舉證責任，因此可還原真相的數位鑑識技術，市場漸有所增長。鑑識多半被用作要解決資安事件發生後的處理，不過在事中及事前，企業亦可多加防護、準備，以作為日後完備鑑識需求之用。本篇規劃從數位鑑識的前、中、後過程來加以探討，首先是鑑識前，從對資安策略的規劃、基礎的企業資產盤點，從電腦端點、網路架構、後端伺服器、儲存設備、資料庫的稽核與保護等多種層面。期許能藉此提醒企業，提升其資安能量。

何謂數位鑑識？

目前，企業將近80%的數位鑑識需求集中在桌上型電腦或筆記型電腦，至於行動鑑識的需求比較多集中在個人端，鑒真數位資深鑑識顧問黃敬博指出，這種狀況在未來3~5年可能會改變，隨著智慧型手機愈來愈普及，企業的行動應用也會跟著成長，屆時企業的行動鑑識需求自然會跟著增加。

從應變作業機制準備鑑識前、中、後

我們從目前政府各級機關的應變作業機制，以作為企業參考，大致上做出以下簡單歸納。

﹙一﹚ 事前安全防護：

預防勝於治療，也因此許多資安服務與產品多會落在這個區域，如果可以透過事先規劃及良好的體質，當然可以減少需要被「鑑識」的機率。
其中，有幾項簡單的建議可提供參考－

1. 訂定緊急應變程序、復原計畫等措施並定期演練。

數位資料的蒐集具有專業性，且數位資料稍縱即逝，也因此如今調查局設有電腦犯罪偵辦科偵辦此類案件，可提供專業之協助。在講究證據的時代，必須經由嚴謹的蒐證程序，所採集的資料才能作為呈堂證供，否則可能會被法院排除為證據。處理蒐證的部份固然該由專業司法機關或民間鑑識機構進行，只是，企業內部也必須建立資安事件應變程序(Incident Response Procedure)。如此一來，才有標準應變準則作為參考依據，好讓每位員工在崗位上遇到類似資安事件，便能夠做出基本正確的應對。不過，前題是資安事件應變程序被在公司內徹底的宣導，並定期實施演練，如此才能發揮其保護企業的最大效率。

此外，數位證據保存的程序，應也被視為預防措施之一。絕大多數的公司都是發生了資安緊急事故時，才想到要來進行相關的電腦鑑識服務，雖然在大部份的狀況中有極大機會可以找到重要的數位證據資料，提供給公司作進一步決策，但其實更明智的作法，則是應該著重於事前的預防。現在越來越多公司，最重要的核心技術或商業文件均是以數位資訊方式存在，非常容易經由各種管道外洩，所以雖然企業在事前的預防上會考慮從資安思考角度來規劃，考量如何從各層面去防堵機敏資料外洩，但卻忽略了同時也應從法律與舉證的角度來規劃緊急應變的程序。

一般企業可能投資的各種資安防禦機制預防措施，包括：
(1)文件加密及管制系統；
(2)文件特徵及洩密偵測系統；
(3)使用者端安裝稽核管理程式；
(4)網路行為稽核管理機制。
儘管如此仍然還是無法杜絕員工惡意洩密事件，既然每項技術均有獨特優勢，但相對的也有其無法防制的盲點，因此並沒有一項技術可以完全保護洩密情事發生，例如：對於第(1)項的機制只適用於歸檔後的文件管制保護，卻無法保護未歸檔前文件即遭洩密的風險；使用3G連線可能造成第(1)及第(4)項的防禦漏洞；使用LiveCD來開啟主機則可以躲過第(3)項使用者端的稽核管理機制。

所以每項資安防禦機制導入時，仍須配合公司的組織型態、文化來調整管理程序機制，才可以彌補技術上的不足，不過，一般企業在做整體規劃時卻常常忽略數位證據保存程序，它雖成本低，卻是效益最大的方式。但在傳統觀念中，會把電腦鑑識當成只是亡羊補牢的措施，卻非預防的角色，只有在準備進行法律訴訟時才需要電腦鑑識，而興訟通常是企業最後不得不的痛苦決擇，所以只有在面臨重大事件時才會考慮數位證據的蒐證及保存。可惜的是，等到尋求電腦鑑識人員來協助時，企業大多已經遭受嚴重的傷害，希望藉由最後一道防線「法律」來幫公司爭取應有的權利，因此如何把電腦鑑識用於事前的預防，而非只是事後的追查，是目前公司在作資安規劃時所普遍缺乏的觀念。

2. 對機敏文件、資料及檔案等採取加密或實體隔離等防護措施。

在現在的技術中，有很多不同的作法可以達到加密的要求。從網路，儲存系統，到個人的作業系統，每個不同的作法都是要能確保資料能不外流或被非授權的人員拿去利用。加密系統的基礎，在多數的市場所售的系統多數是已非對稱加密系統為主(Asymmetric Encryption)，但也有其他包含OTP(One Time Password)或是動態密碼的機制進行加密解密的工作。我們試著從不同的加密技術上去做探討。

(1)網路加密
對於常在外需要連線公用無線熱點的人，或是與公司的資料通訊之間有需要做保護的，都能利用網路加密的功能保護好自己。因此，網路加密是一個最基本，也最有效的保護方法。
(2)儲存系統加密
這種加密方式目的，就是要避免若實體設備被竊取，系統內的資料仍然可以受到保護。因為使用者若無法從主機獲取金鑰解密，或是設定的相關密碼或指紋不被接受，在硬碟中的資料也就無法讀取。甚至在備份出的磁帶，和各個不同的備份媒體裡進行加密，也能夠確保資料無法被盜取。這種加密的方式通常也使用於一般使用者設備的管理和管制，透過儲存加密的方式，也可以控管該系統的資料在被員工複製出去時資料是否保持在加密狀態，進階的做到一些DRM的管理功能。
(3)檔案加密
是最原始也最基本的方法。有些企業對於檔案的保護，甚至會架設檔案過濾的系統。並且對從公司內部傳輸出去的檔案進行稽核和加密，確保傳輸出去的內容不包含機密資料，甚至是在發現檔案內有機敏資料時自動加密傳輸給對方。而對方收到被加密的文件時，也需要與傳送方取得One Time Password才可以進行解密。而解密後的文件重點在於事後的銷毀和處理，也必須能確保資料不外流。

檔案加密並不能單純的只從一個檔案的加解密處理來看，而是必須搭配上良善的檔案管理機制才能夠發揮應有的效用。一個檔案的生命週期，必須要有DRM 做好確實的管理，加上本身檔案的加密，才是一個完整的配套方案。絕大部分的企業若是以傳統的檔案方式運作（例如使用大量的Excel或Word等文件），會比較適合使用檔案加密的方式來做處理。甚至如果有大量的檔案需要交付給其他企業但仍牽扯到機密資料的，檔案加密也是最快也最便宜的處理方法。 對於有做網路交易的企業，網路加密和儲存加密是絕對需要的一塊。不只是要保障自己本身的資料能夠不輕易的被盜取，也同時能夠在營運上達到消費者或其他企業的公信力。

多方面搭配不同的加密方法，也可以產生更好的嚇阻和保護的作用。但最重要的是，即使今天一個企業內已經做了所有的加密動作和保護行為，也不能認定自己就是安全的。任何的保護都有漏洞，每個加密的方法都有破解的方式，確保企業內的員工行為和隨時提高警覺心，才是企業內做到自我保護的不二法門。

3. 執行入侵防禦偵測、安全掃描及弱點檢測等安全檢測，做好事前防禦準備。

防火牆就像是門口警衛，只讓有證件的人進來，這樣即可事先阻擋想要搗亂但拿不到證件的人，但今天如果有一個壞人弄到證件，防火牆的基本阻擋可能就看不出來了。這時可能必須要加裝一台IPS，查看這些已有證件的人包包裡是不是有武器。而由於資安攻擊很複雜、變化太多，有可能一個不正常的ftp command送過去伺服器，有些伺服器會死掉有些則不會，所以IPS就和防毒一樣都要更新最新的攻擊特徵碼。更加深層的資安防禦，則可考慮側錄、防制資料外洩或資料庫異動的控管，做到這個步驟，都已經是做到資料最細節的防護階段。

假設企業強調法規、證據性等，則可在資安防禦方案之外，再使用其他資安側錄設備。這其中最大的意義在於，可以追蹤這個人完整的行為，例如當某人從哪裡抓了什麼資料之後，再存到電腦，又用個人郵件寄出去等，用來解讀這個人的行為。無論是防火牆還是入侵偵測設備，僅會記錄最前面的阻擋動作，是片斷，卻非完整，因此須搭配側錄工具才可做完整行為的記錄。儘管有個資法的規範，但目前政府並沒有相關的法令，明定什麼才叫做「證據」，因此若想要有事件完整的重現可在加強側錄的部分，由於檔案可能會被偽冒寄送出去，因此必須透過整個封包側錄下來，才能再還原真相。

4. 定期安全稽核、網路監控及人員安全管理等機制。

員工權限管理的問題，就好比當你將租房子租給某房客，房子收回不租後，必須更換鑰匙，以免鑰匙早已被偷複製幾份，分給不同的竊賊，導致屢次被偷而找不到原因。現在企業多倚賴資訊設備，除了採購好的資訊安全設備，良好的資訊管理，更是企業長久的紮實根基。

我們可以從2011年的富邦金控旗下運彩公司事件來看，乍看之下運彩系統需要因應賽事狀況（天氣、平手）而提供特定人士可以延長賽事的功能，此功能與授權設計似乎沒有問題，卻忽略特權應該是「需要時申請使用，用完便收回」的授權方式，也就是說，運彩系統不應該設計7x24小時讓特權使用者可以「隨時」延長賽事，因為適切授權不是僅有「誰(Who)」與「職掌(What)」，還要同時考慮「需要時(When)」的特殊情境狀況，當確實發生必須延長賽事的時候，必須提出申請並經過上級簽核程序後(How)才能放行，另外，在哪個「地點(Where)」執行哪些行為與指令(Which)，是否跟申請內容一致，所有過程都要有完整的稽核記錄(Audit/Log)。

因此適切權限，尤其是特權功能的安全需求，必須在應用系統開發前，就有正確完整的定義規劃，絕非透過事後的源碼檢測、滲透測試或者弱點掃描來避免與發現，資安不僅是應用系統功能外的建置，更應該融合於功能內的規劃！

5. 年度定期稽核，每半年內部稽核一次，及早發現系統安全弱點並修復。 


﹙二﹚ 事中緊急應變：事情發生時，若事前已訂好緊急應變程序，則可遵循以盡量降低傷害。

1. 就發生原因、影響等級、影響範圍、損失、是否需要支援等項目逐一檢討與處置，並保留被入侵或破壞相關證據。

2. 查詢國家資通安全通報應變網站、系統弱點（病毒）資料庫或聯絡技術支援單位（或廠商）等方式，尋求解決方案。

3. 依訂定之緊急應變計畫，實施緊急應變處置，並持續監控與追蹤管制。

4. 視資安事件損壞程度啟動備援計畫、異地備援或備援中心等，防止事件擴大。

5. 做資安事件的業務營運衝擊分析，並進行損害管制。

6. 如涉及刑責，應做好證據保全工作，以聯繫檢警調單位協助偵查。

﹙三﹚事後復原作業

1. 執行環境重建、系統復原及掃描作業，待系統正常運作後即進行安全備份、資料復原等相關事宜。

如果企業發生資料遭到破壞的情況，實際上仍有還原的機會。從資訊基本原理觀察，電腦資料或檔案即便遭到刪除或修改，實際上只是被做記號，這個記號代表的意義是說，原本存放檔案資料的空間將開放出來，新的資料可以存放進去，覆蓋原本的資料，在還沒有新的資料覆蓋前，原本的資料仍然存在。所以，只要新資料尚未覆蓋前，仍有還原的機會。

但是，即便有專業的鑑識單位，讓資料有被還原的可能性，受害企業於第一時間內仍應建立證據保全的觀念，切莫為了趕緊恢復正常運作，就把資料破壞殆盡，或許能暫時解決系統運作，但卻無法再使資料還原，犯罪現場也遭到破壞。調查局曾偵辦過某知名金融業者，資訊管理單位在遇到入侵事件後，唯一的作為就是湮滅遭入侵的罪證，深怕被消費者或投資人知悉此一消息，而導致民眾信賴度與股價受到雙重影響，這種鴕鳥的心態實在不可取。

2. 在完成復原重建工作後，應將復原過程之完整記錄，包括資安事件原因分析、檢討改善、防止再次發生之具體方案、稽核軌跡及蒐集分析相關證據等，予以建檔管制，以利爾後查考使用。

在之前舉辦的「2011年台灣反駭客技術與雲端安全會議」上， 警政署資訊室巡官叢培侃也曾指出，駭客攻擊有一套標準作業程序，一旦進到內網就先攻擊AD伺服器，接著側錄所有員工密碼，在更多電腦上安裝木馬、後門程式，以便後續利用。只要一台電腦沒有清理乾淨，駭客還是會繼續自由進出，所以現在的入侵事件很難完全清理乾淨。許多的入侵事件，不管是一般駭客入侵，或是所謂進階持續威脅(APT, Advanced Persistent Threat)攻擊。都是從使用者好奇開啟一封信的附件或點選惡意連結開始的。企業IT人員需要提升對惡意程式的偵測監控能力，不能認為只靠廠商進行一兩次事件調查處理就能解決。

任何一個意圖竊取資料的人，都會在系統中留下痕跡，端看數位鑑識人員如何去追蹤調查，而這靠的就是經驗，舉例來說，駭客為了不讓人發現身份，可能在離去時刪除電腦裡的Event Log，增加事後追查的難度，但是就算沒有Log，電腦還是有很多操作軌跡，鑑識人員的經驗愈豐富，就愈能知道電腦裡還有哪些可以追蹤的軌跡。

3. 全面性檢討網路安全措施、修補安全弱點、修正防火牆設定等具體改善措施，並視需要修訂應變計畫。

在富士康內部伺服器被入侵的事件裡，市場研判可能是伺服器疏於管理，加上網站又存在著OWASP TOP 10漏洞，導致駭客集團有機可乘。很多企業為了因應業務所需提供各種IT服務，都會在資料中心擺放多台伺服器，但隨著業務的中止，這些相對應的伺服器卻未能及時下線，而仍掛在線上。於是伺服器便淪為被掛馬的常客。並且，儘管此次富士康事件，IE漏洞並非主因。但在駭客眼中，未上patch的漏洞仍能拿來利用，因此企業也不應輕忽。台灣微軟伺服器平台事業部產品行銷經理簡志偉表示，微軟過去就有的免費自動更新服務Windows Server Update Services (WSUS) 在System Center 2012 Configuration Manager版本中，變得更有強制力，可強制將所有修補程式派送到各個端點裝置中。專家也提醒，IT變更管理是資安政策上的一大重點，但重點不應只是系統設備的設定管理，更重要的是人員的管理，包含人員變動時的管理因應。

4. 資安事件結束後，彙整事件處置過程的記錄、解決方案及強化措施等資訊，並提送給相關的資安處理團隊檢討，以強化資通安全防護機制。

盡可能將資安檢查項目依照PDCA循環設計，舉例應訂有操作人員與系統建置、維護、稽核、管制之標準作業程序，並有執行記錄可供查核，檢查項目則會有檢驗是否訂有相關規範（即P）？是否依據規範確實執行、並留下記錄（即D）？是否訂有稽核機制並持續檢討改善（即C與A）？

在這之中，最常發生的問題是，規劃訂得不夠完善、執行過程雖然有表單卻沒有留下記錄、稽核或檢討改善機制沒有落實，有時會因為人力有限，在不得已狀況下身兼多職，變成自己做、自己稽核，形成球員兼裁判的矛盾情況，又或者因為工作太繁重，導致稽核深度不足。