https://ad.doubleclick.net/ddm/trackclk/N1114924.376585INFORMATIONSECURI/B26202047.309881952;dc_trk_aid=502706469;dc_trk_cid=155369661;dc_lat=;dc_rdid=;tag_for_child_directed_treatment=;tfua=;ltd=
https://ad.doubleclick.net/ddm/trackclk/N1114924.376585INFORMATIONSECURI/B26202047.309881952;dc_trk_aid=502706469;dc_trk_cid=155369661;dc_lat=;dc_rdid=;tag_for_child_directed_treatment=;tfua=;ltd=

觀點

鼎新電腦「預防資安災害,實現企業持續營運管理」研討會 企業資安大調查(下)

2017 / 09 / 06
本篇文章內容由廠商提供,不代表資安人科技網觀點
鼎新電腦「預防資安災害,實現企業持續營運管理」研討會 企業資安大調查(下)
下篇我們將繼續分享本次活動數據調查統計結果與建議,還未看過上篇請點擊下方連結,如已閱讀過上篇請繼續觀看下列分析。

上篇:鼎新電腦「預防資安災害,實現企業持續營運管理」研討會 企業資安大調查(上)

企業對重要系統資料備份規劃

企業重要系統備份3%企業完全無備份、約24%尚以程式/手動方式備份

重要系統無備份,將影響企業災害復原能力,使用程式/手動方式於企業管理實務,常發生無發覺程式備份失敗、人為忘記或操作失誤。

建議企業仍應定期備份重要主機資料,即使採用程式、人為或第三方備份軟體仍應定期檢查備份歷程,確保備份正確且順利完成。


企業重要系統備份檔案可還原點規劃
企業重要系統備份24%僅保留1份、33%保留2份、6%無備份/不瞭解還原點

若企業無定時檢查與確認備份資料可用性,實務常見企業欲進行緊急復原時,才發現最近一份還原點備份無法使用,所以必須再還原至前一個還原點。

建議企業檢視備份規劃,應至少留存三個可還原點備份檔案,避免檔案損壞無法還原。


企業重要系統備份資料可用性還原測試現況
企業重要系統備份資料 約3% 2~3年演練、24%不瞭解演練/尚未進行還原演練

災難復原演練與SOP建立常見上市櫃與資訊安全國際標準ISO27001要求,一般企業為維持災害發生系統復原能力應定期執行。

建議企業應定期進行災難還原演練,至少每年一次,維持資訊同仁災難復原處理能力,確認備份檔案可用性並檢視可用設備、還原空間、SOP適時調整。


企業重要系統之備份監控機制
24%企業從來沒有監控備份機制、3%不瞭解為何要、如何去監控

企業常見備份異常,常發生於備份程式異常、排程運作失敗、備份空間不足、設備異常等情況,造成備份檔案失敗無法使用。

建議企業應建立監控備份機制,並搭配人工查核,以避免備份檔案無法使用。 


企業系統備份資料存放與保存規劃
企業備份資料存放27%於本機與本地設備、3%僅存本機、3%無備份無存放

重要系統備份若無存放,將影響企業災害恢復能力。若本地端發生電腦病毒蠕蟲、設備異常或發生區域型災害,都可能影響單主機/單區域備份資料可用性。

建議企業應規劃與實施異地異機保存,並若規劃可攜式設備或儲存媒體應適時離線,避免蠕蟲/勒索病毒感染。

統計總結建議
藉本次「預防資安災害,實現企業持續營運管理」研討會分析數據,我們建議企業對於勒索病毒等具備快速變種、察覺困難的新型態資訊安全威脅,應以時間軸方式區分斷點分段因應行動,我們整理以下「事件發生中」與「事件發生前/後」處理原則,提供企業於強化資安災害因應之參考。

「事件發生中」:應盡早更新勒索病毒因應SOP
於五月爆發WannaCry勒索病毒,所使用漏洞擴張散佈的影響與後續的發展,的確與先前的勒索病毒非常不一樣,我們發現如果使用網路搜尋的因應方法,可能會影響讓後續救援更加困難,例如:WannaCry勒索病毒目前已有資安公司提供解密程式,但解密程式特性必須於病毒完成勒索通知,取得記憶體金鑰資訊,但若依據網路因應方案,斷離網路、以可攜裝置備份重要資料、再進行關機就可能回不去了,因為WannaCry付錢也沒用。

有鑒於此,我們提出以下調整方向,建議企業可參考調整勒索病毒因應SOP。並優先教育使用者,使系統使用同仁對於勒索病毒攻擊有所認知,才能理解與發現系統異常狀態,及時依據SOP判斷、回報、處理,建議於下:

A. 應教育使用者瞭解資安災害基本認知,使其理解以判斷、通知資安事件
B. 確認遭受攻擊後,應判別是否為「須保留記憶體資訊解密」之勒索病毒 
    >是(如:已有免費解密程式之WannaCry勒索病毒) 
       ●拔除/斷離載體(含有線/無線網路、USB /記憶卡裝置) 
       ●讓它繼續加密,直到出現勒索警告 
       ●其他主機下載/取得解密程式後,於受害主機執行解密程式 
    >不是 
       ●拍攝勒索畫面,關閉電源 
       ●拔除/斷離載體(含有線/無線網路、USB /記憶卡裝置) 
       ●確認病毒種類後選擇因應方案,如:備份還原、解密程式、支付贖金(不建議)

「事件發生前/後」:以企業現有能量評估資安三面向改善資安災害因應
企業可參考以下漸進評估/改善/強化方向,由上到下、由裡到外逐步健全有效完整的資安環境。
管理面:
提供企業以低預算、自主管理為前提,建立內部人員資安事件處理、認知與概念,並健全日常備份架構。

設備面:
以採購基本/進階資訊安全設備為前提,達成企業內到外/內到內之資訊安全威脅風險縱深防禦與安全控管。

服務面:
以委託執行演練/健診等服務為前提,協助企業完成人員訓練、資安管理成熟度與相關資安演練/評估,協助企業因初期無法自主執行,由第三方協助執行或輔導入項目。