如果對應到ISO 27001則是外稽,不同於ISO 27001的外稽是文審+實地審查,行政院的資安稽核則是技術稽核+實地審查,技術稽核團隊會用公文預定時間前來進行技術性的稽核,一般為2-3天。
稽核重點主要分為八大項
一、 使用者電腦安全檢測:使用派送軟體丟一次性掃毒軟體查看電腦是否有惡意軟體、確認是否有被當跳板未經授權開放port...等。一般來說,使用者電腦如正常更新Windows內建防毒軟體、不安裝破解版軟體(keygen通常都是木馬),都能安全過關。
常用工具為:nmap nessus shodan 進行掃描選定網段進行掃描,選定一定台數再去查
查的常用工具為:pocessexplorer processmonitor tcpview autoruns 確認是否有問題
二、 物聯網設備檢測:掃描全單位網域看是否有中國物連網設備、設備是否為弱密碼或無密碼、gateway是否有對外暴露、韌體是否有更新...等,這不太好清查,因為有些物聯網資訊設備可能因為價值太低沒有列管財產,或是同仁自帶無線分享器,都是可能在稽核時被發現的漏洞。
常用工具為:nessus shodan
三、 網域主機安全防護檢測:同第一項,但第一項使用者電腦名單是稽核前提供的,網域主機則是指定要檢查的。比較特別的是目錄主機如AD或LDAP,會特別進行目錄主機的檢查。
四、 資料庫安全檢測:資料庫(Database)管理員特權帳號管理、使用者帳號密碼是否有在更新、有沒有啟用Audit功能、有沒有定期檢視稽核紀錄、委外管理...等
五、 核心資通系統安全檢測:依據SSDLC表格條列進行查看,因此請先填SSDLC表單,會依個資、機敏...優先序挑選,滲透測試灰箱測試,可參考<資通系統防護基準驗證實務>進行驗證。
https://www.nics.nat.gov.tw/CommonSpecification.htm?lang=zh
六、 網路架構檢測:針對網路架構圖進行分析,相關業務承辦如果熟悉的話沒什麼問題,會查看網段切割、無線網段有線網段是否切開、防火牆組態原則、有無填寫資安表單...等。
七、 組態設定安全檢測:很困難達成的一項,簡單來說就是GCB,有提供官方免費版,但設定後沒有恢復點,如果長官支持的話就可以熟悉設定後全下,有錢的話就是採購GCB派送軟體,可以派送GCB規則,有恢復點,在技術稽核時可以生效,日常工作時有工作的組態設定版本。
https://www.nics.nat.gov.tw/GCB.htm?lang=zh
八、 網路惡意活動檢視:針對core router進行流量mirror,只要流過的有連到惡意中繼站就會被查到,解決方法就是用IPS,會阻擋掉惡意連線封包。
常用工具為: PingPlotter
這邊的介紹很多名詞
瞭解個大概就行,因為每個單位不同,有些單位的MIS設備或服務已經委外處理,因此有廠商可以幫忙處理。
沒有的話就要自己土砲處理,可以就關鍵字了解相關資訊,除了第八點可能比較難做到(mirror port + wireshark + 分析封包也可以),其餘的就是苦功
技術檢核對於紅藍雙方都很難做,一般來說技術稽核人員會偷打,看有哪些漏洞等到場時從內網打可節省時間,因此防火牆要先控管好,不要讓技術稽核人員預掃。
而等到場進行技術稽核時,一般程序為port scan→找到有開奇怪port的弱點掃描→找到弱點漏洞下去打
這很花時間,雖然技術稽核人員實力普遍不錯但時間不允許做太多的測試
因此最重要的還是要確保核心系統安全,因為這通常都是稽核的焦點
在我參與過的技術稽核經驗,按表抄課時間是很不充裕的,不過遇到是技術稽核經驗豐富的人,一出手打到稽核發現寫不完...就只能好自為之