iT邦幫忙

2021 iThome 鐵人賽

DAY 16
0
Security

網路奇妙物語 - IT&Security 系列 第 16

鬼故事 - 滅證高手

  • 分享至 

  • xImage
  •  

鬼故事 - 滅證高手

https://ithelp.ithome.com.tw/upload/images/20210915/201411651DhTIoqIjN.png
Credit: Scooby-Doo
靈感來源:UCCU Hacker

故事開始

小雨是一個資安鑑識人員,常常到客戶公司做調查收資料,
我們又稱這個為收屍的 a.k.a 法醫,因為通常都是被打到慘不忍睹的時候才會請第三方的專家出來鑑識。

而今天要講的是當資安法醫對上滅證高手的故事,
小雨這次進去客戶場域協助調查鑑識,而這次的案情是因為有部分電腦中了病毒,
總之當然還是請客戶提供例如網路架構/資產清單等等的資訊,
對方 IT 立刻就說:沒有這些資料
小雨當下想說:沒有倒是挺正常的,不是每個公司都有做好資料盤點。
之後在部分受害端點做了一些調查後,請對方提供調查到的 IP/Hostname 對應的主機,
IT 當下說去檢查一下,接著過了一個小時, IT 就帶小雨逐台檢查電腦,
小雨一到電腦發現有部分資料近期被刪除或是電腦已經重灌,
甚至是部分伺服器服務轉移了,伺服器被低階格式化。

小雨本著不懷疑客戶的情況下詢問了 IT 這些狀況,
IT 表示:因為我們發生資安事件,所以當下做了一些處置。
小雨心理想:那現在資料都刪光光,是要我過來通靈嗎 ?
小雨:好,那我想一下怎麼處理

資安探討

其實在本故事中鑑識人員與 IT 的狀況常常發生,
特別是當 IT 人員與鑑識人員的氛圍處在一個對立面的時候,

鑑識人員應起到鎮心的作用

當資安事件發生時,請記住:「沒有人想要被駭」
鑑識人員除了做調查,也同時需要安撫客戶以免客戶緊張起來以為要背鍋偷偷修補的漏洞/刪除資料,
調查過程中應避免引起恐慌,也沒必要透漏過多猜測。

IT 人員不用感到慌張

當事件已經發生,遮蓋只是讓事件調查不完整,
就像你身體不舒服給醫生檢查,你不應該隱瞞病情,因為你知道會影響醫生的診斷。
同理,一個專業的鑑識人員並不會埋坑給你,保持良好的醫病關係,
這樣才能保護你下次不會被駭客攻擊,
請記住:「 IT 與資安是同一陣線的夥伴」


上一篇
鬼故事 - 什麼東西我都要拿在手上
下一篇
鬼故事 - 我是不是來過這裡
系列文
網路奇妙物語 - IT&Security 30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言