https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

教你處理資安事件-1 緊急應變處理實務7步驟 先救急後求全面

2012 / 06 / 26
陳宏昌
教你處理資安事件-1 緊急應變處理實務7步驟 先救急後求全面

企業遭遇到資安事件時,第一時間通常是由管理人員自行處理,但遇到這種措手不及的狀況,最常發生的狀況卻是重複的發生或是演變成大規模感染。以下提供一般常見的緊急應變處理服務(ERS,Emergency Responder Services)步驟,讓企業資安人員可在發生事件後,仍能按照一定程序處理資安事故,降低風險。


1. 釐清受攻擊的目標、範圍及時間

發生資安事件的當下,必須詳細記錄目前的跡象,尤其是殘留的檔案或記錄都必須盡可能的保留當時最完整的資訊,再根據這些資訊去尋找可能受到攻擊的對象及範圍,甚至有機會追查到入侵的軌跡。當然以上是在運氣好的情況下發生的狀況,通常駭客也會把自己的足跡清乾淨,這也是在調查的過程所面臨的挑戰!


2. 記錄分析及清查主機

通常在調查初期,可能只能獲得攻擊的目標、範圍及時間,但這些的訊息可能都只是攻擊後的殘留資訊,因此重點是如何利用已知的訊息,去發現真正的入侵軌跡或是攻擊手法?在記錄完整的情況下(至於如何完整保留記錄,可見前篇「如何提供完整Log給ERS廠商?」),將會有非常高的機會,可以追查到源頭,甚至發現攻擊手法。

不幸的,實際環境往往並非如此,多半會因為記錄不完整,導致調查困難,舉例來說,曾有某單位的交易平台發現資料庫被竄改,根據資料庫記錄的攻擊字串來判斷,應該是Web AP存在弱點,所以循線去清查Web AP Server,但卻無法找到其它的記錄來證明是透過Web AP漏洞竄改資料庫。然而,最後追查此案例的事實是,其實管理者電腦已經遭受駭客到植入木馬程式,因此是透過管理者電腦竄改資料庫。

在這起案例中,必須思考在記錄資訊不充分的狀態下,無法得知駭客是透過哪個途徑竄改資料庫,所以必須清查所有可能的途徑,加上一些使用者的誤導,都會導致調查時間持續的延長。

在經過記錄的分析與追蹤,開始清查主機,這時才開始跟駭客玩「躲貓貓」,現今的惡意程式都朝向隱密性,及偽裝正常程式的行為來發展,再加上rootkit(隱藏程式的技術),所以這方面的處理必須靠豐富的經驗與技術能力才有辦法進行清理,如果最後真的沒辦法處理,便只能尋求外援或是系統重建。(若真的潛藏太多惡意程式在系統裡,筆者建議還是將系統重建較為保險)

在清查主機後,可能會取得惡意程式樣本,接下來必須進一步分析惡意程式的功能,尤其是具網路連線的惡意程式,因為惡意程式通常會將其它功能的惡意程式下載到目前的電腦上,執行進一步的攻擊,或是提供遠端連線功能,此外,資料要往外送也需透過網路,所以如果可以知道惡意程式的連線IP,其實只要先進行阻擋,至少讓惡意程式無法對外連線,便能暫緩駭客的攻擊行為。 

3. 確定攻擊來源後,提出修補建議,讓系統更安全;提供強化存取控制(管理面)、檢查系統的安全性。

在一連串的記錄分析及清查,通常會發現駭客慣用的手法與技巧,也會發現駭客攻擊的主要漏洞。如果是系統可以修補,通常是很好處理的,但通常會陷入無法修補的情況,這時候必須利用存取控制方式,嚴格管制使用的對象,將風險降到最低。


4. 產出報告陳述資安事件及處理過程,及建議改善事項。

資安事件處理完成後,要將事件經過整理並且描述詳細,將處理的各項措施一一詳列,並且透過開會討論是否為必要措施,發生資安事件當下,很多的管制都是暫時性的,應該要有長期規劃及定期檢視,才是比較好的方式,以下提供7項措施供參考:

(1)網路存取控制

良好網路存取控制是防止大規模感染最好的方法。舉一案例來說,某單位AD伺服器與OA為同網段,當OA區有電腦被植入木馬病毒,駭客很容易攻陷AD伺服器,取得高權限帳號,駭客可隨意進出任一電腦,此種環境最容易爆發大規模感染。因此以案例來看,建議應該切開重要主機的網段,並且嚴格限制可存取的網路埠,萬一某台電腦中毒也不會波及重要主機。另外目前內網大部分使用AD的環境,其實只要1組AD帳號就可以登入任一台電腦,並沒去嚴格限制帳號只能登入特定電腦,其實還是有很多情況需要被管控,在此就不一一列舉。

(2)帳號密碼管理

帳號的管理是最難的,因為現在大部分都會被要求密碼長度跟複雜性,常常聽到使用者抱怨密碼太複雜記不下來,後來還是發現使用者的密碼依然太過簡單,舉例來說,從鍵盤左上的1往下按鍵,到第2行切換成大寫,於是「1小2大」的密碼就變成了「1qaz@WSX」,儘管這也都符合密碼長度與複雜性,但這種「鍵盤密碼」仍然有極高風險。因此建議除了密碼長度跟複雜性,應該還要加上不能使用通用規則性密碼。

(3)限制遠端管理

限制遠端管理,造成使用者的不便通常是很難克服的問題。在很多的案例當中,我們強烈建議重要系統的管理,只能從本機console管理,避免管理者或是一般使用者從遠端進行管理,因為這中間有太多的威脅,如管理者使用的電腦遭植入木馬,駭客可以間接控制重要系統等。

(4)USB管理

USB隨身碟是大規模感染病毒最佳的途徑。只要被感染USB隨身碟插入過的電腦,很有可能遭受到惡意程式入侵,建議應該仔細考量是否可以在重要主機上使用USB隨身碟,一定要嚴格管制或是全面禁用。

(5)主機及防毒軟體的更新

主機及防毒軟體需要定期更新,常發現管制越嚴格的主機,在更新機制上時常發生問題,不要因為有好的良好的存取控制,就不去做更新,萬一主要提供服務有漏洞,還是有機會被攻擊成功。

(6)防護設備與監控

目前很多的單位都有一些防護設備,但時常沒去觀察目前設備的狀況,有些防護設備需要去調整規則,才能發揮防護的工作。另外防護設備必須搭配監控,才能完成通報的功能。

(7)定期的檢測

定期檢測提供服務的系統,目的在提早發現弱點,可進一步進行修補。現在許多企業在軟體開發流程慢慢加入檢測的工作,並非在系統開發完成才進行檢測工作,也有些單位把資安檢測當作上線前需完成工作,為了要減低系統上線後發生資安事件的機會。

 

先治標 重要的是之後要治本

最後,來談一下企業在面臨到資安危機的處理時,可能面臨到哪些挑戰?一般來說,資安事件緊急應變處理與電腦數位鑑識經常被混淆,最主要的差別在於需不需要上法庭?如果需要上法庭,則ERS的過程必須採用電腦數位鑑識的方式進行,因為調查過程的每個步驟及證據都需要被記錄及保存,需要花費人力跟物力,也需要花上不少的時間,尤其在提出證物時,必須被法官認可,在每個國家認可的證物可能都不同,另外有些國家也有規定進行鑑識必須使用認可的工具,這些都是企業必須要注意的。

由於資安事件處理必須要有經驗的人員處理,過程要能夠去研判調查的方向,很多時候必須花上更多的時間去調查,在有時程壓力下(通常企業會要求三天內就得交出報告),很難深入調查,只能依照目前有的跡象去做推斷,只能說這樣的調查對於後續的改善是非常有限的,因此在暫時解除調資安危機後,企業仍應做好長遠的資安規劃改進考量。

 

作者任職於資安服務廠商,專長滲透測試、ERS、入侵事件分析。