緊急應對 vs 通報應變

1. 緊急應對（Emergency Response）
2. 通報應變（Incident Reporting and Response）

• 相似
  • 都是針對資安事件的應對方法
• 不同
  • 緊急應對較偏重於短期、即時的技術和操作應對
  • 通報應變則著重於整體的事件管理、通報和改善流程

1. 定義與焦點：

   • 緊急應對：主要指的是對於即時或正在發生的資安事件進行的反應和處理。包含評估情況、隔離受影響的系統、復原服務和減少損害等步驟。
   • 通報應變：是在資安事件發生後，進行的系統性的通報、分析、復原和後續追蹤工作。它強調的是事件的記錄、分析、報告和學習，以改善未來的安全防護。

2. 時間線：

   • 緊急應對：通常在事件發生的第一時間進行，尤其是在事情尚未完全控制的階段。
   • 通報應變：可能在事件發生後的某個時間點開始，當初步的緊急應對已經完成，接著需要詳細記錄和報告。

3. 目的：

   • 緊急應對：首要目的是迅速控制情況，恢復正常運作並防止進一步的損害。
   • 通報應變：除了恢復正常運作，還包括了學習和改進的過程，並確保相關利益相關者（如上級管理層、合作夥伴、顧客或監管機構）都得到適當的通報。

4. 相對範疇：

   • 緊急應對：較為狹窄，主要集中在立即的技術和操作層面的應對。
   • 通報應變：較為廣泛，涵蓋了從技術、操作到策略和企業層面的反應。

在資安事件管理流程中，「緊急應對」和「通報應變」分別屬於以下階段：

1. 緊急應對 (Emergency Response)：

   • 主要出現在「事件回應」階段。當企業檢測到一個資安事件後，需要迅速評估情況並採取行動，例如隔離受感染的系統、停止非授權的活動，或者採取其他緊急措施以限制損害。

2. 通報應變 (Incident Reporting and Response)：

   • 「事件評估」階段：一旦事件被識別，企業需要評估其嚴重性和範圍，以決定是否需要進一步的應對。
   • 「事件回應」階段：除了緊急應對措施外，企業可能還需要通報相關的利益相關者，如管理層、員工、客戶或監管機構。
   • 「後事回顧」階段：完成事件的後續追蹤，確保已經妥善處理，並從事件中學到教訓，改進未來的應對策略。

企業草創資安團隊、導入安全

比較常遇到「緊急應對」的工作，很多剛學習資安相關知識的工程師的狀態就像是：處理各種緊急事件中不斷學習和成長。

緊急應對的目的

1. 快速且有效地解決現在發生的資安問題(許多人有做到)
2. 從這次的事件中學到經驗，並為未來提供指導方針(多半沒有)

緊急應對的前置作業

建立緊急應對政策和計劃

• 應對流程
• 通知策略
• 資源分配

a. 應對流程
情境：A 公司的資訊系統遭受到勒索軟體攻擊，部分重要資料被加密。

• 流程：
  1. 確認攻擊：資安部門首先確認是勒索軟體的攻擊，並確定受影響的範圍。
  2. 隔離系統：立即隔離受感染的系統，防止勒索軟體進一步蔓延。
  3. 啟動備份：使用最近的安全備份恢復資料。
  4. 告緊：通知公司高層及員工此次的安全事件。
  5. 後續調查：進行調查以了解入侵的原因，並修補可能的漏洞。

b. 通知策略

情境：上述的勒索軟體攻擊導致 A 公司的客戶資料有可能被外洩。

• 策略：
  1. 通知內部：首先通知相關部門及員工，並確保所有人都知道正確的資訊，避免謠言廣播（ex 新聞媒體 or Twitter)。
  2. 通知客戶：發送通知給所有可能受影響的客戶，說明情況、提供他們可能需要採取的行動建議。
  3. 公關危機：編寫新聞稿針對此事件向外界進行說明，確保品牌形象受到的損害最小化。
  4. 持續更新：定期更新內部和外部各方的事件處理進展，直至事件完全解決。

c. 資源分配

情境：A 公司需要立即採取措施應對此次的勒索軟體攻擊，確保業務恢復並強化安全防護。

• 策略：
  1. 人力資源：增派資安專家、系統工程師，並聘請外部專家協助處理。
  2. 技術資源：購買或更新安全軟體，加強防護系統。
  3. 財務資源：撥款用於購買必要的硬體、軟體和服務。
  4. 培訓資源：企業員工培訓，加強對勒索軟體和其他安全威脅的認識。

建立緊急應對團隊

• 選擇合適的人員，設定明確的角色和職責
• 成立對應組別
  • 電腦緊急應變小組（Computer Emergency Response Team，CERT）
  • 電腦資安事件應變小組（Computer Security Incident Response Team，CSIRT）
  • 產品資安事件應變小組（Product Security Incident Response Team，PSIRT）

1. 選擇合適的人員，設定明確的角色和職責

• 情境：公司B遭受網路攻擊，決定組建緊急應對團隊。

  • 選擇策略：
    1. 根據員工的技能、經驗和專長進行選擇。
    2. 確保團隊成員具有跨領域的能力，如技術、法律、公共關係等。
    3. 設定明確的職責
       • 一名成員負責監控網路流量
       • 另一名則負責與外部供應商聯繫

2. 成立對應組別

• 電腦緊急應變小組（CERT）
  • 職責
    • 監控網路活動，確保沒有不正常的流量。
    • 反應網路攻擊，並盡快採取適當的防護措施。
    • 提供技術支援和建議以增強網路安全。
• 電腦資安事件應變小組（CSIRT）
  • 職責
    • 反應和管理所有與資訊安全相關的事件。
    • 協助其他部門進行資訊安全評估。
    • 提供資訊安全培訓和意識教育。
• 產品資安事件應變小組（PSIRT）
  • 職責
    • 監控和管理所有與產品相關的資訊安全事件。
    • 與供應商和合作夥伴密切合作，確保產品的安全。
    • 快速響應任何與產品資訊安全相關的問題或攻擊。

3. 如果真的無合適人員
   • 委外找顧問與團隊
   • 培訓現有的 IT 人員
   • 使用開源的工具 Wireshark、Nmap、OSSIM
   • 增強員工意識(不隨便點擊不明連結或附件、定期更改密碼)
   • 參考簡易緊急應對計畫

簡易緊急應對計畫

1. 識別異常現象

   • 系統或應用程式突然變慢或無回應。
   • 郵件、通訊軟體中出現未知的附件或連結。
   • 出現不明的彈出視窗或警告的資訊。
   • 未知的扣款或交易紀錄。

2. 隔離受影響的設備

   • 如果可能，立即從網路上斷開受影響的設備（例如關閉Wi-Fi或拔掉網路線）。
   • 避免使用受影響的設備進行任何操作，以免情況惡化。

3. 通報

   • 通知管理層或主管。
   • 如果企業有 IT 部門或資訊支援，立即通知他們。
   • 記錄發生的異常現象、時間、地點等詳細資訊，以供後續分析。

4. 外部協助

   • 如果沒有內部的 IT 專家，考慮聯絡外部的資訊安全顧問或服務提供商。
   • 有些病毒防護軟體公司提供免費的掃描和清除工具，可以考慮使用。

5. 通知策略

   • 與企業內的員工或相關人員分享發生的情況，提醒他們小心並避免進一步的威脅。
   • 如果事件影響了客戶或外部合作夥伴，應該考慮適當的方式通知他們。

6. 後續措施

   • 建議定期更新和備份重要資料。
   • 安裝和更新防病毒和防駭軟體。
   • 教育員工不要隨意點擊未知的郵件連結或附件，並定期更改密碼。

技術和工具準備

• 部署監控和日誌系統，以便於偵測和分析異常行為
• 準備緊急應對工具箱，包括數位鑑識工具、惡意程式分析工具、網路流量分析工具等
• 建立備份和恢復系統，確保在緊急情況下能夠迅速恢復業務營運

技術和工具準備簡化指南

1. 部署監控和日誌系統

   • 免費的監控工具：例如 Nagios 或 Zabbix，可以用來監控網路和系統的健康狀態。
   • 基本的日誌管理：多數的作業系統都有內建的日誌功能，只需確保其開啟並定期查看。

2. 準備緊急應對工具箱

   • 基本的數位鑑識工具：例如 Recuva（用於恢復刪除的檔案）或 WinHex。
   • 惡意程式分析工具：使用免費的線上掃描服務，如VirusTotal，來檢查可疑的檔案或URL。
   • 網路流量分析工具：Wireshark 是一款免費且強大的網路封包分析器，適合初學者使用。

3. 建立備份和恢復系統

   • 雲端備份：考慮使用如 Google Drive、Dropbox或OneDrive 等雲端儲存服務，對於重要資料進行自動或手動備份。
   • 本地備份：外接硬碟或 NAS (Network Attached Storage) 是備份大量資料的好選擇。可以設定定期備份排程。
   • 恢復測試：定期確認備份的完整性，透過模擬恢復操作確保資料能正確無誤地回復。

如何訓練緊急應對

訓練策略

模擬演練

1. 角色分配：模擬真實事件的發生，分配角色給參與者，例如攻擊者、防禦人員、IT 人員、被害的員工。
2. 模擬攻擊：讓模擬的攻擊者按照情境設定的方式進行攻擊。
3. 現場應對：防禦人員和IT人員需要即時偵測、回應和處理這些攻擊。
4. 事後回顧：事情結束後，團隊成員應該共同討論，詳細解析整個事件的發生、應對措施、以及可以改進的地方。

討論和教育訓練

1. 情境討論：在不實際進行模擬攻擊的情況下，討論每個情境，並考慮可能的應對策略。
2. 知識分享：邀請資安專家(外部)、內部員工可以分享他們的知識和經驗，幫助團隊更好地了解威脅和如何應對。
3. 策略規劃：團隊可以共同討論和制定策略，以確保在真實的攻擊發生時能夠迅速和有效地應對。

使用工具和技術

1. 威脅模擬工具：使用如 MITRE ATT&CK 等工具，模擬真實的攻擊技術。
2. 監控和報警系統：確保監控系統可以及時檢測和報告異常行為。
3. 實戰訓練環境：建立一個與實際環境相似的測試環境，讓團隊在這裡進行實戰訓練，而不影響真實環境。

設計情境

1. 垃圾郵件攻擊

一名員工收到一封看似來自 IT 部門的信件，要求收信者點擊一個連結來確認其公司帳號的資訊。

• 解析
  • 基礎理論
    • 經典的垃圾郵件攻擊
    • 網路釣魚攻擊
  • 緊急應對
    • 立即通知 IT 部門
    • 確認是否有人被感染，隔離受感染的工作站
    • 進一步檢查郵件伺服器和員工郵件
    • 提醒員工不要點擊可疑連結

白話版本

當你收到一封未預期的信件，要求你點擊某些連結或提供某些資訊。

1. 不要點擊該信件中的任何連結。
2. 立即聯絡你的 IT 部門或上級，並提供該信件內容。
3. 提醒同事或朋友，不要隨意點擊郵件中的連結。

2. 不明流量

網路監控系統檢測到來自一個外部 IP 的大量請求，目標是企業內部的一個 web 伺服器。

• 解析
  • 基礎理論
    • 一次 DDoS 攻擊
    • 或是目錄掃描
  • 緊急應對
    • 限制或阻擋該IP的流量
    • 檢查 web 伺服器的日誌
    • 確保它沒有被入侵或破壞

白話版本
你的網站或系統變得異常地慢，或者完全無法存取與查看。

1. 聯絡你的 IT 供應商或部門，通知可能存在的問題。
2. 若有能力，可以嘗試暫時關閉或重啟受影響的服務。

3. 不合理的檔案存取

檔案伺服器的日誌顯示，三更半夜有一名員工存取了大量敏感資料。

• 解析
  • 基礎理論
    • 內部惡意行為
    • 或該員工帳號被外部攻擊者所利用
  • 緊急應對
    • 暫時停用該帳號
    • 查看相關日誌
    • 了解詳細的存取紀錄
    • 與員工聯繫確認其狀況

白話版本
你收到系統通知，表示某個員工在不正常的時間存取了檔案。

1. 聯絡該員工，確認是否是本人在進行存取。
2. 若員工表示不是他們所為，則立刻通知 IT 部門進行查看。

4. 異常的系統行為

某個伺服器突然開始使用大量的 CPU 和記憶體，並與多個外部 IP 進行連線。

• 解析
  • 基礎理論
    • 伺服器可能被惡意軟體或外部攻擊者所控制
    • 目的是用於加密挖礦或成為 botnet (殭屍網路)
  • 緊急應對
    • 隔離該伺服器
    • 進行數位鑑識分析
    • 查找並清除惡意軟體

白話版本
你的電腦或伺服器突然變得非常慢，或者開始有不正常的活動。

1. 若是個人電腦，嘗試執行防毒軟體進行掃描。
2. 若是伺服器，聯絡 IT 部門或供應商。

5. 應用程式漏洞

IT 部門收到一個匿名的報告，指出企業的網站存在漏洞，允許遠端執行指令。

• 解析
  • 基礎理論
    • 應用程式漏洞
    • 由於程式碼的錯誤或疏忽造成
  • 緊急應對
    • 立即通知開發團隊
    • 進行確認和修補
    • 檢查該網站的日誌
    • 查看是否有不當的存取或異常行為。

白話版本
你收到一封信件或通知，告訴你公司的網站或系統存在安全問題。

1. 不要忽略這個警告，立刻轉發給 IT 部門或相關人員。
2. 避免在問題解決前公開討論這個漏洞，以免給攻擊者機會。

參考資料

• 快速釋疑：CERT、CSIRT和PSIRT到底有什麼不同？