iT邦幫忙

2023 iThome 鐵人賽

DAY 19
0
Security

資安這條路:系統化培養紫隊提升企業防禦能力系列 第 19

紫隊這條路 Day 19 資安事件管理流程之通報應變

  • 分享至 

  • xImage
  •  

前言

前幾篇文章針對資安事件的生命週期進行介紹,而今天這篇文章將介紹政府法律有明訂相關的內容,也就是「通報應變」,在這一篇文章當中,其實作主要要做的事情,或是推薦的學習方式是:

  1. 確認有哪一些機關/學校/企業已經有現成的通報應變
  2. 直接研讀對應的法律、規定、流程
  3. 實際進行演練,假設發生通報之後該怎麼填寫通報單

通報應變是應急措施,也是策略。讓大家知道目前企業對資安的重視,希望「預防勝於治療」。

為了確保資安事件得到適當的處理,每一個企業都應該有一套完善的通報應變流程。

什麼是通報應變(Incident Reporting and Response)

資安事件發生後,進行的系統性的通報、分析、復原和後續追蹤工作。它強調的是事件的記錄、分析、報告和學習,以改善未來的安全防護。

為什麼需要設計通報應變的流程

系統化的管理內容

希望發生資安事件的時候,有一套完善的機制,可以確保這個事件可以被迅速、系統化地處理。

可以減少混亂和延誤,也可以確保所有相關資訊都被正確記錄。

法規規定

如同前言當中,其實已經有很多政府機關、學校單位、大型企業都有對應的通報流程,主要就是因為法律、金管會有明定,在資安事件發生時進行通報和回應。

假設沒有實施可能會有罰款。

減少影響、預防擴大

有效的通報應變可以防止資安事件擴大和惡化,保護企業/機關的資產,讓企業更快的恢復正常運作。

通報可以提高資安意識與能力

面對事件的處理,在過程當中可以進行學習,透過一系列的流程組織,可以識別資安弱點,提高員工/處理人員的資安意識,也就是「下次遇到這種問題可以怎麼解決」或是「直接在防護階段先進行預防」就不會遇到問題了。

資安通報可以增加與其他企業/組織進行合作

在政府機關與學校單位其實會有聯合的平台進行管理,這樣子的好處可以有效和共同應對資安的威脅。

如何進行資安通報應變

以企業的角度可以參考 "政府機關/學校" 撰寫的資安通報應變內容,並且修改企業適用的版本。

而資安通報應變也需要定期更新。

流程

  1. 偵測:目標是怎麼發現資安事件或目前已經違規行為。
    • 偵測來源
      1. 內部偵測:例如,通過內部的入侵偵測系統、防火牆、日誌管理系統等。
      2. 外部通報:例如,來自政府、學校或其他組織的SOC(安全運營中心)的警告或通報。
      3. 員工報告:員工在日常工作中發現的任何異常或疑似攻擊。
  2. 分析:確認是否真的發生了資安事件,並評估其影響範圍和嚴重性。
    • 事件確認:判斷是否真的發生了資安事件。
    • 影響評估:確定受影響的系統、資料和使用者。
    • 風險評估:評估是否影響企業的財務、法律和名譽。
  3. 通報
    • 根據通報系統進行撰寫內容
  4. 諮詢:如有需要,請尋求資安專家的幫助以解決技術問題。

在資安事件處理到底要做哪一些事情

  1. 確認機關/學校是否有規定
  2. 資安通報平台:可參考各平台的內容
  3. 資訊分享中心(情報分享/情資分享)
    • N-ISAC 國家資安資訊分享與分析中心 (僅限政府機關)
    • FISAC 金融資安資訊分享與分析中心
    • 交通部關鍵基礎設施資安資訊分享與分析中心(T-ISAC)
    • SP-ISAC 科學園區資安資訊分享與分析中心
    • H-ISAC 衛生福利部資安資訊分享與分析中心
  4. 民間企業回報

來源

  • 可能來自
    • 學術
      • 北區學術資訊安全維運中心(A-SOC)
      • ...分成很多區域
    • 醫院
      • H-SOC
  • 自己發現弱點

可以看到學術單位的能量也是非常足夠,都是可以互相學習

處理方式

  • 通報應變同時處理
  • 通報應變分開處理

資安事件與時效

  • 一、二級資安事件(輕微)
    • 接獲後八小時內通報
  • 三、四級資安事件(嚴重)
    • 接獲後兩小時內通報

資安事件告知

  • Email
  • 簡訊

參考事件類型

  • 事件類型
    • 網頁攻擊(如:網頁置換、惡意留言、惡意網頁、網頁木馬、釣魚網頁、個資外洩等)
    • 非法入侵(如:系統遭入侵、遭植入惡意程式、異常連線、發送垃圾郵件、資料外洩等)
    • 阻斷服務(DoS/DDoS)(如:服務中斷、效能降低等)
    • 設備問題(如:設備損毀、電力異常、網路服務中斷、設備遺失等)
    • 其他(非上述事件類型資安件。請說明異常狀況)

資安通報通報內容

資通安全事件之通報內容,應包括下列項目:
一、發生機關。
二、發生或知悉時間。
三、狀況之描述。
四、等級之評估。
五、因應事件所採取之措施。
六、外部支援需求評估。
七、其他相關事項。

資通安全事件通報範例

一、發生機關
OOOOO大學

二、發生或知悉時間
2023年10月3日 14:32

三、狀況之描述
在 2023 年 10 月 03 日下午 14:00 左右,資訊處內部網路監控系統檢測到不尋常的流量模式。

系統偵測到從外部 IP 地址連續多次嘗試非法存取學生資料庫系統。

四、等級之評估
高度危險。由於攻擊對象是學生資料庫,其中含有大量的個資,若被竊取將造成嚴重的影響。

五、因應事件所採取之措施

  1. 立刻中斷受影響系統的外部網路連接。
  2. 啟動緊急響應小組進行資訊收集和評估。
  3. 通知相關部門領導和資訊部門溝通對策。
  4. 啟用備份系統以確保學生資料不受影響。
  5. 紀錄攻擊的IP地址和活動模式以供後續追蹤與調查。

六、外部支援需求評估
我們需要資安顧問公司進行外部專業評估和諮詢,並與 ISP 合作追蹤攻擊源頭。

七、其他相關事項
已向警方報案,並將持續監控系統以確保不再受到攻擊。建議所有學生和教職員工修改個人密碼並啟用雙因子認證。

參考連結


上一篇
紫隊這條路 Day 18 資安事件管理流程之緊急應對 Emergency Response
下一篇
紫隊這條路 Day 20 資料安全、資料如何保護
系列文
資安這條路:系統化培養紫隊提升企業防禦能力30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言