Credit: Scooby-Doo
靈感來源:UCCU Hacker
小雨是一個資安鑑識人員,常常到客戶公司做調查收資料,
我們又稱這個為收屍的 a.k.a 法醫,因為通常都是被打到慘不忍睹的時候才會請第三方的專家出來鑑識。
而今天要講的是當資安法醫對上滅證高手的故事,
小雨這次進去客戶場域協助調查鑑識,而這次的案情是因為有部分電腦中了病毒,
總之當然還是請客戶提供例如網路架構/資產清單等等的資訊,
對方 IT 立刻就說:沒有這些資料
小雨當下想說:沒有倒是挺正常的,不是每個公司都有做好資料盤點。
之後在部分受害端點做了一些調查後,請對方提供調查到的 IP/Hostname 對應的主機,
IT 當下說去檢查一下,接著過了一個小時, IT 就帶小雨逐台檢查電腦,
小雨一到電腦發現有部分資料近期被刪除或是電腦已經重灌,
甚至是部分伺服器服務轉移了,伺服器被低階格式化。
小雨本著不懷疑客戶的情況下詢問了 IT 這些狀況,
IT 表示:因為我們發生資安事件,所以當下做了一些處置。
小雨心理想:那現在資料都刪光光,是要我過來通靈嗎 ?
小雨:好,那我想一下怎麼處理
其實在本故事中鑑識人員與 IT 的狀況常常發生,
特別是當 IT 人員與鑑識人員的氛圍處在一個對立面的時候,
當資安事件發生時,請記住:「沒有人想要被駭」
鑑識人員除了做調查,也同時需要安撫客戶以免客戶緊張起來以為要背鍋偷偷修補的漏洞/刪除資料,
調查過程中應避免引起恐慌,也沒必要透漏過多猜測。
當事件已經發生,遮蓋只是讓事件調查不完整,
就像你身體不舒服給醫生檢查,你不應該隱瞞病情,因為你知道會影響醫生的診斷。
同理,一個專業的鑑識人員並不會埋坑給你,保持良好的醫病關係,
這樣才能保護你下次不會被駭客攻擊,
請記住:「 IT 與資安是同一陣線的夥伴」