維運管理

維運管理可區分為「日常維運」和「資安事件維運」兩大類。

1. 日常維運：

• 組態管理：保持組態文件的最新狀態。定期備份和匯出當前版本的配置文件，確保當有誤改時能迅速回滾到正確的版本。

• 版本控制：不只是對組態文件，所有日常的程式變動都應使用版控系統如Git進行管理和追踪，以確保能有效追溯每一次的更改，並在需要時進行回滾。

• 弱點修補：持續關注系統中可能存在的安全弱點。無論是透過VANS系統的報告或是定期進行的弱點掃描，確定並迅速修補所有已知弱點。

• 日誌審查：定期檢查系統日誌，以了解正常操作時的系統行為。這不僅有助於早期發現潛在問題，還可作為資料來源，用於優化系統性能。

當資安事件發生，可能會遇到以下情境：log可能沒有記錄、有記錄也找不到，找到了也看不懂，看懂了可能也不一定會處理。

這就是資安事件發生時的窘境

2. 資安事件維運：

• 事件檢測與響應：利用先前的日常維運中累積的知識，迅速識別異常行為，並採取適當的反應措施。

• 事件分析：深入了解資安事件的原因，並分析它如何影響系統。

• 修復與恢復：依據事件的性質和嚴重程度，迅速修補問題並恢復服務。

維運管理除了日常修補和更新，還有預防、檢測和響應。

主要可以區分為兩個部分進行管理：

1. 事故管理 (Incident Management)：在事前就應該已經訂定了SOP，以確保能夠迅速地通報和處理事件。這一階段的重點是維持運作的穩定性。

2. 問題管理 (Problem Management)：進行深入的根因分析，確保能夠預防同類型的事件在未來再次發生。這一階段的焦點是找到並解決根本的問題。

舉個例子來說，若伺服器在沒有明顯的漏洞存在的情況下，但因程式碼的不效率而過度負載。這時，攻擊者只需重複發送請求，就可能導致服務中斷，這樣的情況屬於影響可用性的資安事件。

在事故管理階段，我們可能只需簡單地重新啟動伺服器來恢復服務；但在問題管理階段，則需要深入分析問題的根本原因並進行必要的程式調整，以避免此類事件再次發生。

維運階段中的資安任務其實是一種常態化的工作。除非是專門的開發團隊，大部分的時間不會在開發新的軟體或功能，因此熟悉和管理日常的運作模式以便及時識別異常情況是很重要的。