iT邦幫忙

2023 iThome 鐵人賽

DAY 15
0
Security

資通安全管理法入門系列 第 15

[Day 15] 資安事件處理

  • 分享至 

  • xImage
  •  

我們可以用異常處理的機制來避免資安通報。當然,如果真正發生資安事件我們要正視並加以處理。

首先,資安事件定義就是已經確認威脅到資訊的機密性、完整性和可用性(CIA)。

透過根因分析區分為三大類:

  1. 個人操作失誤:這可能包括被社交工程、被釣魚信件欺詐等。要解決此類問題,最有效的方法是即時介入和教育訓練。當個人操作失誤發生時,及時的反應可以迅速地將損失降到最低,但及時處理說的容易做的難,最好可以完善代理人制度。
    例如當有人信箱被盜用時,同時間寄出上萬封信,不僅影響到正常使用者的寄信,如不處理導致IP信譽降評,可能未來一段時間無法正常收發,因此當承辦人無法及時處理時,可以請代理人及時將被盜用的使用者停權並刪除那些濫發郵件,而沒有人願意被盜用。
    教育訓練能確保同仁在未來不會再次犯錯,這也是很重要的一點,資安法規定每半年做一次社交工程,而稽核時會確認那些點擊的人是否有進行社交工程教育訓練。

  2. 資訊系統漏洞:這可能涉及到資訊系統的設計邏輯問題或其他資安漏洞。解決此類問題的治標方式是確保只有特定IP可以訪問,但這只是臨時的解決方法,真正的治本還是需要進一步的DEBUG。但在公務機關或特定的非公務機關,由於歷史與組織結構的限制,可能不像民間企業那樣能夠迅速更新他們的技術。
    這是很現實的問題,在一般企業中做不好就淘汰,甚至公司存活幾年就會倒閉

新創公司5年內存活率只有1%,民間企業快速的汰舊換新可以用到最新的技術、無法升版改版的都被淘汰了,甚至不更新影響範圍只有客戶部分。但本主題講的是資安法規範的機關,特色就是民眾個資很多,又不會倒,技術人員沒有主動離職情形下,擁有的最新技術可能是10年前或更久,治本解決方式其實就只能持續的教育訓練,讓技術人員的技術可以跟上。

  1. 結構性漏洞:整個組織網絡的主要伺服器被入侵,如果有問題真的是災難,以AD Server為例,當token被偷走之後,再怎麼改密碼都沒用,唯一解法就是重灌,如果全公司使用AD驗證,每個人的電腦都跟不設防同樣意思。

這類問題只能勤加更新、靠運氣Zero Day時機關不是第一波受害者。例如之前的log4j問題,但凡用到此套件的都是高風險,行政院公文再三發函要求盤點更新,治標方式只能系統整個暫時停止使用,但有些是列入核心系統每天都需要運行,實務上可以先做內網隔離,僅允許內網存取,但可能很多介接服務都有問題,因此只能祈禱自己不是中的那個。

針對這三大類問題,僅提供一點解決思路,但不變的是要持續的教育訓練


上一篇
[Day 14] 資安通報實務篇(三)
下一篇
[Day 16] 獎懲機制的策略與實踐
系列文
資通安全管理法入門31
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言