一、 新興科技應用下之資安事件與發展趨勢
近期許多國內外知名企業傳出資訊安全事件,如某國內咖啡連鎖業者傳出近5千筆客戶資料遭駭客入侵、台灣網購平台持續傳出個資外洩詐騙案件、匿名者組織(Anonymous Asia)為聲援反課綱宣佈將癱瘓臺灣民生網站、美國政府人事局和內政部遭駭客入侵、美國國稅局超過10萬納稅人個人資料外洩、美國第二大醫療保險公司Anthem資料外洩事件及日本Sony駭客入侵事件導致員工電郵,公司高階管理人員薪酬和尚未發行電影拷貝外洩,再再顯示沒有百分之一百安全之事實。
有別於傳統攻擊方式,駭客攻擊手法也隨著新興科技環境演變而更加精進,如進階持續性滲透攻擊 (Advanced Persistent Threat, APT)之攻擊者往往都是具相當規模且有組織系統的駭客集團,針對特定的攻擊對象設計專屬的攻擊策略,透過長時間且持續性的潛伏及監控,竊取其所需要的特定國家安全或商業機密等資訊。重大資訊安全事件動輒影響民眾權益外,更影響企業長久來辛苦建立之商譽。
企業基於全球化佈局、行動化、互聯網、物聯網、雲端及大數據應用下,隨著數位網路平台引領業務發展,對於仰賴科技應用甚深的產業,安全、系統品質與可用性依存程度更高,同時各種動機的網路威脅日增,持續精進的惡意程式與入侵手法,使企業的資訊安全能力定位與管理面臨大幅挑戰。
二、 新興科技資安風險因應與防護
面對新興科技之資安風險,企業需要由傳統被動式單點的資安防護,轉向為積極主動防範且全面性整合觀點進行資安防護,並建立資安情報(Cyber Intelligence)之預警分析與管理能力,透過事前蒐集監控、事中偵測應變及事後鑑識分析之強化整體資訊安全成熟度。
(一) 事前偵測階段:
1. 日誌與威脅情報蒐集
隨著數位網路平台引領業務發展,對於仰賴科技應用甚深的產業,安全、系統品質與可用性依存程度更高,同時各種動機的網路威脅日增,持續精進的惡意程式與入侵手法,使企業的資安能力定位與管理面臨大幅挑戰。建議企業需要由傳統被動式單點資安防護,轉為全面性積極主動防範,建立外部資安情報(Cyber Intelligence)蒐集與分析管理能力。
A. 建立組織資安風險輪廓 (Cyber Risk Profile)以及決定資安情報的收集方向
收集關於組織的資料,來建立並持續更新組織獨有的資安風險輪廓 (Cyber Risk Profile),以達到了解組織所面臨的資安風險。
B. 利用合適的管理/平台/科技收集資安資料
將外部資安資料以及內部資訊架構所接受之攻擊或是潛在弱點,統一彙整至資安情報中心。
C. 準備資安原始資料以供後續分析
透過內部不同來源資安設備警訊及外部威脅情資,透過資料正規化或索引機制、彙整及分析並提供即時資安通報、資安事件需求單、資安管理報表及資安報告。
D. 分析資安原始資料以獲得有意義的資安情報
協助組織專注在處理營運風險,以技術為本的資安資料及與營運相關的資安情報。
E. 以客製化的管道提供組織 ”可執行的資安情報” (Actionable Cyber Intelligence)
在單一平台, 以組織及使用者所定義的方式,提供所需的即時與歷史資訊安全事件資料、報表、及相關情報,協助組織執行資安管理活動。
2. 日常監控
結合外部資安情報(Cyber Intelligence)預警分析與管理能力,及逐步擴大內部稽核軌跡留存的種類,利用資料分析(Data Analysis)及異常行為規則建置(人、事、時、地、物之異常指標),得以回望過去(分析過往發生什麼事)、洞悉未來並提出預測(告警機制模型),以期設計異常行為之情境察覺系統,以風險計分模式為概念,呈現風險儀表板,實現企業級風險管理機制。
(二) 事中回應階段:
於事中回應階段,建議企業應透過通報程序與應變計畫建立,定期進行資安駭客攻防演練,以確保同仁皆有遵循的一致性作法及步驟、得迅速通報及進行緊急應變處置、提昇同仁資訊安全事件之應變回應能力及強化人員危機意識,相關重點應包含以下項目:
1. 建立應變組織:
企業應明確定義相關權責單位,當事件發生時,人員能依其職務進行處理,並於適當時機召開處理討論會議,使會議決策能有效下達至各單位,進行危機應變處理。
2. 規劃事件應變處理流程:
應依據事前規劃的事件等級,由相關人員進行通報與處理,並考量證據保全機制,另於事件結束後適當地召開檢討會議,以記取相關教訓並徹底改善。
3. 規劃定期資安事件與駭客攻防演練流程:
平時應透過模擬真實攻防與演練方式,以駭客攻防與調查分析演練平台方式,培育所需之理論與實作兼具的資安人才並提昇同仁資訊安全事件之應變回應能力。
(三) 事後鑑識分析階段:
企業於應變止血後,對於相關的情況進行細部調查而可能進入到訴訟階段時,應留存資訊安全事故之相關紀錄、日誌,該紀錄應妥善保存、確保完整、及最小更動,該紀錄應可被驗證,以確認其證據能力。良好規劃過的數位鑑識機制能有效協助企業在此部份的運作;以下就幾個面向,提供企業規劃數位鑑識管理機制參考:
1. 建置內部鑑識團隊
應根據企業內部可能第一線接獲通報或發現事件之人員,教育其應變時,應小心處理過程可能對證據的影響;此外,實際執行證據蒐集之人員,其應執行的程序、工具的操作方式等,都應提供對應的訓練,以使其能妥適地因應與處理。
2. 數位鑑識標準作業程序擬定
由於現在國內的標準程序尚未確認,因此建議應參考數位鑑識相關國際最佳實務所提之作法進行整體規劃,如ISO/IEC 27037現場證據識別、蒐集、擷取與運送國際標準及ISO/IEC 17025國際實際室標準(數位鑑識項目),使其能符合國內外要求,在國內數位鑑識相關程序尚未標準化前,對於法官將有很大的參考價值。
3. 數位鑑識蒐證及分析環境建置
此部份端看企業能負擔之其情況進行購置,但若礙於成本考量,其實坊間也有不少免費使用或價格低廉的鑑識分析工具可供參考,建議至少可購置第一線人員數位證據保全工具及硬碟鑑識複製設備。
4. 數位鑑識演練機制規劃
在人員訓練足夠、程序完整、工具齊備的情況下,最好透過不同情境的演練,以增加人員數位證據保全處理能力,以使相關流程運作能更加順暢及合乎法律原則。
三、 未來資安人才培育刻不容緩
企業為採取事前防控監控、事中偵測應變及事後鑑識分析,依據所面對之資訊安全風險投入資源、培育資訊安全人才與建立專業團隊為即刻起需正視之議題,依據勤業眾信科技風險暨資安智能中心與美國州際首席資訊長國家協會所進行2014年美國政府CISO資安治理調查報告內容顯示,目前雲端、行動與物聯網應用下威脅日增,如何找到適切之資安人才,因應及展示資訊安全投資績效,變成目前各企業皆需面臨之挑戰。
筆者的觀點來看,建議企業從以下面向建構因應對策:
1. 與業務溝通資安風險,以爭取預算
2. 評估資安投資與管控有效性
3. CISO位階、職責強化與標準化
4. 建立資訊安全協調單位與團隊
5. 與人事單位協同培養資訊安全專才
6. 資訊安全委外策略運用
7. 建立資安情資分析與因應機制
8. 定期進行資訊安全健檢
因此建議參考相關指引,事前蒐集監控、事中偵測應變及事後鑑識分析之成熟度指標,資安人才除了傳統透過課程培育,更應加強模擬攻防與實際事件、鑑識處理演練,以有效協助企業培育理論與實作兼具的資安部隊,確保組織新興科技創新運用與商業模式轉型運作之風險管理。
四、 結論
企業應建立事前主動蒐集與監控機制及足夠之應變措施準備,使人員知道事件發生時應如何進行初步判定與處理,通報適當主管與人員進行損害控制,有效與客戶或大眾溝通避免企業形象的受損,甚至由數位鑑識團隊進駐協助調查,並在事件調查至一定程度後,請教相關律師可能的訴訟議題,並擬定訴訟策略。
如此,從事前防控、事中應變及事後處理等角度,以風險管理的思維完整規劃適合組織的作法,秉持「勿恃敵之不來,恃吾有以待之」精神,持續完善各該機關及所屬之資訊安全工作,並落實在日常各項作業中。才能使企業在現今充滿威脅的大環境下,仍能穩健地營運下去。
本文作者目前任職於勤業眾信風險管理諮詢股份有限公司。