iT邦幫忙

2021 iThome 鐵人賽

DAY 28
0
Security

網路奇妙物語 - IT&Security 系列 第 28

鬼故事 - 真的有監控嗎

  • 分享至 

  • xImage
  •  

鬼故事 - 真的有監控嗎

https://ithelp.ithome.com.tw/upload/images/20210926/20141165YO3B4woC9H.jpg
Credit: Star Wars: Attack Of The Clones | Anakin & Padme
靈感來源: UCCU Hacker

故事開始

小雨今天又到客戶家來做鑑識調查,
而這次做調查的單位比較大,所以小雨與多位同事一起進來處理,
但一進去聽到案情,小雨就覺得頭大了。

客戶資安團隊:「我們遇上勒索軟體,然後資料已經被偷走」
小雨:「好的,那是怎麼發現的?可以知道有確定有哪些資料被偷走嗎?」
客戶資安團隊:「我們是被勒索軟體組織公告之後才知道」
客戶資安團隊:「之後我們去查網路傳輸資料,流量確實有異常,大概從伺服器區三個小時傳走了 20GB 的資料」
小雨:「好的,那我們先進行調查,至於之後真的要跟勒索軟體組織交涉,我們有專門人士處理,不用擔心」

(小雨心想 :這下頭大了,這種明顯的事情都沒辦法發現,不太能期望他們有留下什麼資料)

資安探討

我們常常說企業有資安監控,
但真的有做到監控這件事的其實不多,
沒錢/沒資源的連設備人力都沒有,
甚至可能連故事中要發現大量流量這件事都沒能力回查。

更多是設備擺著,錢花了但沒有安排去看,
就算有錢但是資安人力不足,根本沒辦法有效安排大家的事情,
誰會沒事看這些流量有沒有異常,更別說建立 baseline 了,
曾經看過一些案例,伺服器區主動對外部 domain 連線,
少數 IT 發現之後因為不確定是不是異常或是在更新什麼,
也就擺著放在那邊沒有跟其他人討論/調查。

現在許多單位都靠著產品去抑制資安問題,
這就好像一個人的身體出了毛病,吃藥當然是要吃藥,
但治好這次,下次還是又生病,因為生活習慣沒有變化,
一個企業/單位的資安問題也是相同,
花錢買資安產品的同時也應該加強自己的資安體質與團隊。

同時不論你是要"教練"還是"醫生"來改善你的資安體質,
請多加了解你請的人,你不會想要找蒙古太夫來建議你如何改善。


上一篇
鬼故事 - 為什麼駭客一直回來
下一篇
靈異現象 - 我根本沒這個帳號阿
系列文
網路奇妙物語 - IT&Security 30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 則留言

0
CyberSerge
iT邦好手 1 級 ‧ 2021-10-04 12:02:39

監控的難處是:即使數據擺在眼前,缺乏經驗的工程師依然不知道有異常><

John醬 iT邦新手 4 級 ‧ 2021-10-04 22:47:06 檢舉

/images/emoticon/emoticon02.gif
雖然說也有很明顯的 case 拉,伺服器區一天傳了 20GB 出去的那種
但常常也是埋沒在數據海或是告警海裡面,每天都消防演習都疲乏了,直接關閉警報

我要留言

立即登入留言