紫隊 Day17 資安事件管理

什麼是資安事件

資安事件指的是可能威脅資訊系統安全的任何不尋常活動。這些活動可能包括未經授權的資訊存取、系統漏洞的利用、資料外洩、惡意程式入侵等。

基本上任何可能影響系統正常運作和資料安全的事件，都可以被視為是資安事件。

資安事件管理流程

什麼是資安事件管理流程

資安事件管理流程是企業用來系統性處理資安事件的一系列步驟和策略。這個流程確保當資安事件發生時，企業能迅速、有效且一致地回應，以最小化損失和影響。

包含企業針對資安事件進行全面管理，從事件的

1. 預防事件的發生
2. 監控事件是否發生
3. 事件分析與評估事件的範疇
4. 事件回應
5. 事件恢復
6. 回顧事件

目的

1. SOP：希望每一次發生資安事件的時候都有對應的 SOP 可以處理。
2. 回顧：希望可以追蹤之前的資安事件，用來回顧與讓企業學習。
3. 改善：累積資安事件去改善流程。
4. 法規要求

資安事件管理流程的步驟有哪一些

1. 事件預防

   • 風險評估：識別潛在的威脅和漏洞。
   • 定義和實施安全政策和措施。
   • 進行資安教育包含資安意識教育與專業教育。

2. 事件檢測

   • 監控：使用工具如入侵偵測系統 (IDS)、安全資訊和事件管理（SIEM）系統來監控系統活動。
   • 日誌分析：定期審查和分析日誌，查找可疑或異常活動。

3. 事件評估

   • 監控到異常的時候確認是否為資安事件
   • 識別事件的性質、範疇和嚴重性。
   • 判定是否需要進一步的應對。

4. 事件回應

   • 初步回應：如隔離受感染的系統，停止非授權的行為。
   • 通報相關利益相關者：如管理層、法規監管機構或客戶。

5. 事件回復

   • 復原受損系統和資料。
   • 更新和加強安全措施，以防止同類事件再次發生。

6. 回顧

   • 分析事件的成因和企業的回應效果。
   • 提取教訓，持續改進管理流程更新策略。

對應文章

1. 事件預防：對應紅隊思維
   • 紫隊這條路 Day2 資安管理與 Continuous Threat Exposure Management (CTEM) 持續威脅暴露管理與紅隊簡介
   • 紫隊這條路 Day3 紅隊思維與進化成紅隊能力的方向
   • 紫隊這條路 Day4 攻擊面與攻擊面管理的方向
2. 事件檢測：對應藍隊利器
   • 紫隊這條路 Day5 藍隊定義 & 以 nmap 與 scanlogd 實作掃描偵測掃描 lab
   • 紫隊這條路 Day6 藍隊的三大利器之一：資安情資
   • 紫隊這條路 Day7 藍隊的三大利器之二：資安設備原理 & 惡意攻擊情境與藍隊防護說明與管理方針
   • 紫隊這條路 Day8 藍隊的三大利器之二：資安設備介紹 & 台灣資安市場地圖介紹
   • 紫隊這條路 Day 15 端點安全策略與威脅檢測技術、EDR vs MDR vs XDR

事件評估

事件評估是什麼

事件評估是一個系統性的過程，用於分析和評估發生的資安事件，以確定這個資安事件對企業的實際影響和潛在風險。

過程包含檢查異常的行為，確定其背後的原因，以及評估事件的範疇和嚴重性。

事件評估怎麼做

1. 確認資安事件

   • 收集資料：從監控系統、日誌和其他資訊來源收集相關資料。
   • 分析資料：尋找異常模式，例如突然的流量增加、不尋常的登入嘗試或不合常規的檔案存取。
   • 診斷事件：根據資料確定是否真的發生了資安事件。

2. 識別事件的性質和範疇

   • 類型：是外部攻擊、內部惡意行為還是不小心的操作錯誤？
   • 範疇：影響了多少使用者、系統或資料？
   • 路徑：攻擊者是如何進入系統的？他們使用了哪些方法或技巧？

3. 評估嚴重性

   • 影響：事件對業務、資料或企業聲譽的實際或潛在影響是什麼？
   • 分級：根據事件的影響，將其分級，例如低、中、高或緊急。
   • 考慮後果：如果不採取行動，後果會如何？

舉個例子(1)

假設你是一家公司的IT人員。當你上班的早上，你收到多名員工報告，說他們的電腦出現了一個視窗，要求支付比特幣才能解鎖他們的檔案。

事件評估步驟

1. 確認資安事件

   • 收集資料：存取受影響的電腦，查看那些異常的窗口，並嘗試找出該軟體的名稱或其他特徵。
   • 分析資料：查看防毒軟體或入侵檢測系統的日誌，看是否有相關的警告或記錄。
   • 診斷事件：在這種情況下，很明顯這是一個勒索軟體攻擊。

2. 識別事件的性質和範疇

   • 類型：這是一個勒索軟體攻擊。
   • 範疇：調查多少台電腦受到影響，以及哪些部門或哪些資料被鎖定。
   • 路徑：嘗試追蹤勒索軟體是如何進入公司系統的。它可能是通過一封偽造的電子郵件、一個受感染的網站或其他方式。

3. 評估嚴重性

   • 影響：如果重要的檔案被鎖定，這可能會影響到公司的業務運營。
   • 分級：考慮到資料的重要性和影響的範疇，此事件可能被評為「高」或「緊急」。
   • 考慮後果：如果不立即採取行動，公司可能會遭受更大的損失，並且聲譽可能受到損害。

評估結果

經過評估，確定這是一個嚴重的資安事件，需要立即採取行動。首先，應該隔離受影響的電腦，以防止勒索軟體進一步傳播。接著，通知管理層和相關部門，開始恢復資料和強化防護措施。

舉個例子(2)

假設你是一家公司的資安專家。一天，入侵檢測系統 (IDS) 發出警報，跳出有外部 IP 嘗試大量連線到公司的網站伺服器上某個特定的端口。

事件評估步驟

1. 確認資安事件

   • 收集資料：去收集 IDS 日誌資料，資料需要包含外部 IP 的詳細資料、該 IP 存取的具體端口和存取的時間。
   • 分析資料：檢查該端口是否有正在執行的服務。
     • 例如，如果端口為 3306 (MySQL 服務)
     • 查看該服務的日誌，看是否有任何異常或未授權的存取。
   • 診斷事件：確定是否這是一次掃描嘗試或者是已經成功入侵的跡象。

2. 識別事件的性質和範疇

   • 類型：從事件的特點來看，這可能是一次端口掃描或者是一次具體的攻擊嘗試。
   • 範疇：確定這次攻擊是否只針對一個端口或服務，或者是否還有其他系統或端口也受到了攻擊。
   • 路徑：嘗試追蹤攻擊者的進入點。他是只掃描還是已經嘗試利用某個已知的漏洞？

3. 評估嚴重性

   • 影響：假設端口 3306 上執行的 MySQL 服務被攻擊，那麼公司的資料庫可能會面臨風險。
   • 分級：如果攻擊者只是掃描，則事件可以被評為「中度」。但如果有證據顯示攻擊者嘗試利用已知的漏洞或已成功存取資料庫，則應將事件評為「高度」或「緊急」。
   • 考慮後果：如果不採取措施，可能會導致資料洩露或資料被篡改。

結果

經過評估後，確定了事件的性質和嚴重性，並能夠制定相應的回應策略，例如：隔離該服務、修補可能的漏洞、更改資料庫的密碼等。

舉個例子(3)

某天，你在 Web 伺服器的日誌中發現了大量的 404 錯誤狀態碼，這些錯誤來自同個 IP 地址。

這個 IP 嘗試存取網站中一些不常見的路徑和文件。

日誌片段

192.168.1.10 - - [01/Oct/2023:14:05:12 +0000] "GET /wp-admin/ HTTP/1.1" 404 498 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64)"
192.168.1.10 - - [01/Oct/2023:14:05:15 +0000] "GET /admin/ HTTP/1.1" 404 512 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64)"
192.168.1.10 - - [01/Oct/2023:14:05:17 +0000] "GET /dbadmin/ HTTP/1.1" 404 510 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64)"

事件評估步驟

1. 確認資安事件

   • 收集資料：觀察這些 404 請求的頻率、來源 IP、使用的 User-Agent 以及請求的路徑。
   • 分析資料：這些日誌表明有某個 IP 在尋找一些特定的管理後台或資料庫管理界面。
   • 診斷事件：初步可以判斷這是一次目錄掃描攻擊的嘗試。

2. 識別事件的性質和範疇

   • 類型：目錄掃描攻擊。
   • 範疇：攻擊者嘗試找尋 Web 伺服器上可能存在的管理後台。
   • 路徑：確認攻擊者是否只探測了這些路徑，或者是否還有其他的嘗試。

3. 評估嚴重性

   • 影響：如果攻擊者能夠找到真實的管理後台路徑，那麼伺服器和資料都可能面臨風險。
   • 分級：由於這只是探測嘗試，可以先評為「中度」，但如果他找到了真正的管理界面，並有進一步的行動，那麼等級會提高。
   • 考慮後果：可能的風險包括未經授權的存取、資料外洩等。

結果

應該採取措施如更改管理後台的 URL、使用身份驗證、設定 IP 黑名單或者使用 WAF 來加強保護。

事件評估注意事項

1. 時效性
   • 資安事件需要迅速回應。越早發現和評估，越容易減少潛在的損害。
2. 完整性
   • 確保收集到的資料是完整的。有時候，只觀察一部分的資訊可能會導致誤判。
3. 持續監控
   • 資安事件可能不僅僅是一次性的。攻擊者可能會持續嘗試，或使用不同的策略。
4. 利用外部資源
   • 比如威脅情報共享平台、資安社群等，這些可以提供關於當前威脅的有用資訊。
5. 溝通
   • 確保所有相關的團隊（如 IT、法務、公關）都了解事件的情況，這對於整體的應對策略非常重要。
6. 紀錄保留
   • 保持良好的記錄有助於後續的分析，調查和法律程序。確保所有相關日誌和資料都被適當保存。
7. 考慮誤判
   • 不是所有異常都代表真正的威脅。確定真正的威脅與正常業務或系統的特徵。
8. 隱私問題
   • 在收集和分析資料時，要考慮到個人隱私和法規要求。不應該收集或保存超出必要範疇的資訊。
9. 企業的業務知識
   • 理解企業的核心業務和資料流有助於判斷事件的真正影響。
10. 外部因素
    • 考慮外部因素，如政治情況或行業（金融...)特定的威脅，這可能影響攻擊的目的或策略。

如何訓練評估資安事件

訓練方案目標

確保參與者能夠有效地識別、分析和評估潛在的資安事件。

訓練對象

• IT人員
• 資安團隊
• 網路管理員
• 高層管理者

訓練內容

a. 理論

1. 資安事件基本概念
   • 事件、事故、漏洞和攻擊的區別。
2. 事件評估的重要性
   • 業務、法律和監管要求的影響。
3. 事件評估流程及其各個階段
   • 如何從日誌、流量和其他資料來源中識別異常。

b. 實務操作

1. 日誌分析技巧
   • 介紹常見的日誌格式。
   • 使用工具，例如 SIEM 系統、日誌分析的工具。
2. 事件識別技巧：
   • 分辨正常與異常活動。
   • 用戶行為分析（UBA）。
   • 認識常見的攻擊特徵。
3. 事件分級：
   • 介紹常見的事件分級標準。
   • 如何根據事件的影響進行分級。

c. 案例研究與模擬

1. 真實案例分享：
   • 分析過去的資安事件，從中學習。
2. 模擬演練：
   • 使用模擬的日誌和事件資料，讓參與者進行實際的事件評估。

訓練方法

• 互動講座：鼓勵學員提問和參與討論。
• 小組活動：促使學員進行團隊合作。
• 實際操作：手把手的指導，使學員熟悉工具和技術。
• 模擬測試：檢查學員的學習成果。

訓練後的評估與回饋

• 提供筆試或操作測試，評估學員的學習成果。
• 提供訓練回饋，以改進未來的訓練內容。

總結

這篇文章提到資安事件與管理的流程，確保企業能夠迅速、有效且一致地應對資安事件，並從中學習和改進。
並針對「事件評估」進行步驟與訓練設計，下一篇文章將介紹緊急應對與通報應變。