iT邦幫忙

2019 iT 邦幫忙鐵人賽

DAY 8
4
Security

三十篇資安實例分享及解析系列 第 8

三十篇資安實例分享及解析DAY 8--台北市公衛系統遭置入木馬,使得眾多民眾個資外洩

  • 分享至 

  • xImage
  •  
日昨跟同業的朋友開玩笑,同業問我,誰有辦法做好100%資安?我說能做好資安的,除了天堂,不然就是地獄。
只是,地獄也發生過一次資安事件,那就是孫悟空(駭客)篡改生死簿(被駭),這應該是人類有記錄到的地獄被駭一次吧?
100%的資安連神都很難辦到了,不是嗎?

資安該怎麼做? 今天我們就利用政府單位的資安事件,來說明一下該怎麼做。

(1)事件:台北市公衛系統遭置入木馬,使得眾多民眾個資外洩
(2)被攻擊單位:台北市衛生局
(3)系統:公衛系統
(4)時間:2018年9月
(5)攻擊方式:木馬程式

根據報導,這次事件,是台北市政府資訊局安檢的時候發現的,台北市資訊局回應新聞媒體如以下連結:
https://doit.gov.taipei/News_Content.aspx?n=4B2B1AB4B23E7EA8&sms=72544237BBE4C5F6&s=39A63EF8105F85DC

本篇筆者不針對該事件做太多說明,但是,因為該案件是涉及到政府單位的資安,正好可以提供讀者一個國家等級的資安通報的做法參照,也許有些讀者還再苦惱如何做?希望本篇能對大部分想做好資安的人,提供一個方向。

上述內文中有提到『資安通報的流程』,以下我們引用行政院國家資通安全會報通報與應變作業流程圖:
Imgur

大部分的一般公司,正常來說,會訂定一套程序來處理資安事件,如果不知道該如何做,可以參考行政院的資安通報綱要,連結如下:

https://www.nicst.ey.gov.tw/Upload/UserFiles/%E5%9C%8B%E5%AE%B6%E8%B3%87%E9%80%9A%E5%AE%89%E5%85%A8%E9%80%9A%E5%A0%B1%E6%87%89%E8%AE%8A%E4%BD%9C%E6%A5%AD%E7%B6%B1%E8%A6%81.pdf

筆者就依上述的綱要,筆者簡化成下列步驟,以茲做為參考:

  1. 明確定義部門: 清楚分出組織資安層級及關聯。
  2. 訂定資安層級: 依上述pdf,政府單位一共分四級,主要依風險來分類,另外強化各級權限,明確做出權責分立。
  3. 明定通報時間及聯絡方式: 確定發生事故後,有依規定時間內,通報該通報的機關。
  4. 加強資安演練: 尤其再發生資安事故時,有無辦法快速組織應變小組(見下圖)。
  5. 獎懲。

Imgur

以上,筆者針對上述做法提出一些評論及分析,資安這種東西,本身就是抽象的東西,如果要硬算,很多都可以算在資安上面,公司基本上在還沒有遇到問題時候,大抵上認為應付就好,這種心態普遍都存在一般企業裡面,畢竟很早之前,筆者就說過,大部分老闆認為,做好資安是無法讓企業賺大錢的,在還沒有遇到重災時,公司絕對不認為一定有必要去做這些資安的事情。換句話來說,平時的資安作業,就只是形式再形式,主要作用就是能夠應付主管機關,以及告知媒體,公司有在做,也完全依照規定。但是,大家都知道遇到危機時,個個不管用,個個都失靈,為什麼會這樣呢? 筆者只說明一點,實際情況如果能套公式,那保證公司一定暴露於危險之中,因為不管是誰,只要搞懂流程,馬上就能發現漏洞,三兩下就攻破了。

其次,所有文章千篇一律告知讀者,不可小覷駭客,因為對方也不是套公式在進攻的。可是公司進行的SOP卻是套著公式在防禦的,仔細思考這個SOP,根本上來說,就是一個基本防禦門檻,筆者絕對不否定這個SOP的重要性,這是一定得做的。然而,平時演練,卻沒有突發狀況設計,早期當過兵的男生(這裡應該有當過兵男性讀者居多)大概都有經歷過,跑戰備時,通常戰情中心,會出一些怪題目,為了因應這些題目,往往必須要做戰備上的改變,整體配置也要跟著實際情況做改變,把這個狀況,套用到上述的快速應變小組上,假使突發狀況出現,一個團隊就要當下判斷,該如何阻斷攻擊?後續該如何應變?所以到底在發生事情情況下,公司能給予團隊多少權力,這又是關係到處理的結果了,但突發狀況設計、演練….公司真的會想做嗎?

最後,通報這個動作,筆者也說明一下,假使通報之後,金管會要罰一大筆錢,到底公司要不要通報?如果不談罰款,假如公司要面對365天的媒體轟炸,不管做得好不好,媒體照三餐批判,公司商譽要不要保護呢?

以上三點是筆者的三點看法,在現實生活中,這些問題,沒有一定的答案,資安所面臨的敵人,也不會跟大家說標準答案的。

筆者倒是希望資安事件,能寫得像三國演義一般,引人入勝,這樣或許會更有意思。


上一篇
三十篇資安實例分享及解析DAY 7--雄獅旅遊因個資外洩,遭消基會求償363萬餘元。
下一篇
三十篇資安實例分享及解析DAY 9--居易科技駭客利用遠端管理功能漏洞修改DHCP及DNS的值,造成多款路由器被駭
系列文
三十篇資安實例分享及解析30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 則留言

0
SunAllen
iT邦研究生 1 級 ‧ 2018-10-17 00:42:07

可是公司進行的SOP卻是套著公式在防禦的

對有心人士來說,資安就是,符合規則,什麼都可以=.=

0
CyberSerge
iT邦好手 1 級 ‧ 2018-10-18 12:12:52

之前看過這篇文章,正好回應關於通報的部分。和您分享:

處理資安事件的正確心態
https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=8670

我要留言

立即登入留言