名詞解釋
- 洩密(Breach):機密資料遭到未經授權的存取或揭露,或是有權限的使用者以超出必要的目的存取機密資料。
- 事件(Event):也被稱為活動事件,為網路或系統發生的任何可被觀察到的事件,可能是普通的資訊提醒、警告或嚴重的事件。
- 漏洞利用(Exploit):利用特定系統漏洞的攻擊行為。
- 事故(Incident):對系統或系統處理、儲存、傳輸的資料機密性、完整性或可用性(CIA)造成實際或潛在危害的事件。
- 入侵(Intrusion):入侵者嘗試透過一種安全事件或不同事件的組合,對系統達成未經授權的存取。
- 威脅(Threat):任何透過未經授權存取、破壞、揭露、修改資訊,或使服務中斷,達成對組織運作、資產、個人、其他組織或國家的系統造成不良影響的情況或是件。
- 漏洞:系統、安全設定、內部控制或實作時可能威脅來源利用的薄弱環節。
- 零日(Zero Day):尚未被揭露、大眾普遍未知的系統漏洞,難以被發現或預防,但極有可能被利用。
目標
事故應變(Incident Response)的首要目標為保護生命安全,在做出任何決定時都應將安全擺在最優先的事項。而對於事件管理本身來說,目標為做好準備,包含制訂政策和應變計畫,以便使事件發生時能快速應變處理,也被稱為「危機管理」。事件(Event)指的是任何可被客觀行量的事件,大多數事件為無害的,但如果某個事件可能影響到組織的正常運作,那事件就會被稱為事故(Incident)。
事故應變程序的主要目的為減少事故對組織的影響,使組織能盡快恢復被中斷的業務,因此事故應變計畫只是營運持續管理(BCM)的其中一項內容而已。
事故應變計畫項目
- 準備
- 制訂經組織管理經則核准的政策
- 識別關鍵資料和系統
- 對員工進行事故應變教育訓練
- 成立事故應變小組
- 練習識別事故(第一響應,First Response)
- 確定角色與責任
- 規劃與利害關係者的溝通與協調
- 考慮備用聯絡方式
- 偵測與分析
- 監控所有可能被攻擊的載體
- 利用已知資訊與威脅情報分析事件
- 確定事故應變的優先次序
- 將事故文件標準化
- 遏止、消除與恢復:
- 蒐集證據
- 選擇適當的遏止策略
- 識別攻擊者
- 阻絕攻擊
- 事故後活動
事故應變小組
在組織建立 SOC(Security Operations Center)的同時,也需要建立事故應變小組,由跨職能的成員組成,包含下列人員:
- 高階管理層
- 資安人員
- 法律人員
- 公關人員
- IT 人員
小組成員應接受事故應變的教育訓練,通常事故發生時由小組成員協助調查、評估損失、蒐集證據、報告事件並啟動恢復程序,並於後續參與補救與教育的工作,並分析事故根本原因。
資安事故專責團隊
許多組織涉有專門的資安事故應變小組,負責調查資安事故,可能被稱為電腦事故應變小組(Computer Incident Response Team,CIRT)、電腦安全事故應變小組(Computer Incident Response Teams,CSIRT),在事故發生時他們的職責有:
- 確定事故造成損失的金額與範圍
- 確定事故是否造成任何機密資訊洩漏
- 實施任何必要的恢復程序
- 監督實施新增任何必要的安全控制措施