資安花費-處理網頁置換的經驗？

伺服器資料庫駭客政府機關網頁設計

Oo_花之舞__oO 2023-01-16 21:23:38 ‧ 2888 瀏覽

分享至

最近跟朋友聊到
他在搞一個公家機關的網站聊到資安問題
就之前去年八月很多政府學校網頁被置換導致行政院下令現在做網頁都要
具備：
一旦被置換後"立即關閉網站，並導向維護頁面"的「措施」

我覺得有點好笑，不是應該先避免漏洞嗎？
他覺得也能認同。
我說：啊那你們怎麼處理

他說就後端設定通知不要亂開port然後備份那些做好啊怎麼處理
畢竟網頁本身沒有什麼太常見的漏洞(XSS,SQL injection)的話要置換也不容易

我說那這樣就好了啊他說白癡喔公司原本外包
人家說加上這個「立即關閉網站，並導向維護頁面」的功能要加十五萬啦
老闆看不下去說媽的錢丟水溝是不是指派他來搞
搞這個不難只是莫名多了一個伺服器的工作覺得很機歪而已(汗

我聽了覺得一笑也沒什麼想法
只是經濟不景氣我也覺得這十五萬外包出去是有點小虧
畢竟網站本身就靜態的也要十萬了弄這個功能要再加錢
的確是會有點幹啦

不過也不是不能理解外包那邊的難處維護很麻煩...
是否只能說政府機關自己網頁沒搞好之後就下令一個有點奇怪的命令(?
有沒有人有經手過這種資安問題?
置換網頁喔通常漏洞都蠻大的....

sd3388 iT邦好手 1 級 ‧ 2023-01-17 01:16:24 檢舉

就先問網頁被置換了要怎麼先知道
等上新聞可就來不及了
某X航資安新聞只會否認
結果換CISO後又上資安新聞，還是否認
真的是很慘的好笑

James iT邦大師 6 級 ‧ 2023-01-17 14:32:39 檢舉

任何系統不管做了多少備援都會需要維護的一天，有時是排定的有時是臨時的意外，等到了這一天網站如果能顯示維護中當然比一直轉圈圈好多了，不覺得這種做法有什麼奇怪的。

打雜工 iT邦研究生 1 級 ‧ 2023-01-20 10:25:27 檢舉

有錢商品還蠻多的，沒錢自己寫程式檢查及處理，我的經驗是雙管齊下

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

6 個回答

Ray

iT邦大神 1 級 ‧ 2023-01-16 22:48:18

最佳解答

沒有人可以肯定的說, 自己做的網站有沒有甚麼漏洞? (連 Google, FB 都辦不到)
通常漏洞需要經高手進行滲透測試才會知道有沒有洞? (所以才會有漏洞懸賞獎金制)
通過滲透測試也不代表100%沒有洞, 漏洞是隨時間而出現的. 業界統計, 平均六個月就會挖掘到新的漏洞; 也就是說: 如果你的網站即使現在偵測不到漏洞, 在甚麼程式都不改的前提下, 六個月後有可能突然被發現新漏洞.

(題外話, 目前滲透測試的行情是: 每次 30~100 萬, 每次大約要執行 2~4 周才會得到結果, 而且只要網站程式改版, 就必須重做. 所以, 把漏洞補到完全沒有的成本是非常高的)

資安是由層層防守堆疊出來的, 不是只靠一面銅牆鐵壁就全守住.
我們知道目前沒辦法做到 100% 無漏洞, 所以就要在其他方面補強.

NIST CSF 盤點了有五大功能要防守:

有沒有漏洞? 屬於五大功能裡面的:
識別和保護功能

但萬一真的被突破, 後續就要馬上接著:
偵測:(透過監測, 隨時知道有沒有被偷換網頁?)
回應:(萬一被換掉, 就趕快改進網站維護模式)
復原:(把被換掉的網頁修好之後, 重新開放)

近幾年的資安都已經不再強調盾牌攻防: 是否被擊破?
轉而強調網路韌性（Cyber Resilience）, 也就是:
可以被打倒, 但倒下去之後, 多快能回神(發覺)? 然後站起來恢復正常?

回到樓主的情境, 業主要求:

被置換後立即關閉網站，並導向維護頁面

我們只要問一個問題:

半夜 01:20 網站被換掉了, 你多久才會發現? 多久能夠應變和復原?
如果你等到早上 9:00 上班才看到, 那樣就太久了 (萬一遇上連休?);

(這裡還涉及另外一個議題: 你如何能馬上知道網頁被換掉?)
(萬一你手上要管上百個網站的話呢?)

根據: 行政院>數位發展部頒布的,
資通安全事件通報及應變辦法>第 4 條:
https://law.moj.gov.tw/LawClass/LawSingle.aspx?pcode=A0030305&flno=4

公務機關知悉資通安全事件後，應於一小時內依主管機關指定之方式及對象，進行資通安全事件之通報。

資通安全事件通報及應變辦法>第 5 條:
https://law.moj.gov.tw/LawClass/LawSingle.aspx?pcode=A0030305&flno=5

主管機關應於其自身完成資通安全事件之通報後，依下列規定時間完成該資通安全事件等級之審核，並得依審核結果變更其等級：
一、通報為第一級或第二級資通安全事件者，於接獲後八小時內。
二、通報為第三級或第四級資通安全事件者，於接獲後二小時內。

前項機關依規定完成資通安全事件等級之審核後，應於一小時內將審核結果通知主管機關，並提供審核依據之相關資訊。

以上的時間都是 24hr 連續計算, 不會跳過休假暫停的.

你覺得, 需要派多少人力去守這個網站, 才能確保以上合規?

一個人背 Call 機值星?
那如果這個人不小心睡死了呢?
出事了要不要通知主管? 那主管睡死呢?

要一個主管/工程師 24hr 待命, 半夜驚醒接回應電話, 給他多少月薪才願意做?
(台積電的工程師確實隨時可能在半夜被叫回公司處理, 但是人家領多少薪水?)
這些在第一線值班的人會不會請病假? 事假? 特休假?
休假要不要代理人? 需要多少人輪班+代理?

我們估一個值班小組通常都是 5 人起跳,
(含補位/休假/代理等員額, 符合勞基法),
五個 30K 薪水的人, 一個月剛好 15 萬.

回應 2
分享
檢舉

Oo_花之舞__oO iT邦新手 1 級 ‧ 2023-01-17 00:11:31 檢舉

大師說明格局就是不一樣受教了

player iT邦大師 1 級 ‧ 2023-02-03 17:16:32 檢舉

資料夾監控比對軟體
一旦資料夾內發生檔案異動
立刻跑相關事前規劃的Script
進行處理
這種軟體不難寫啦
因為是如果網站漏洞沒補起來
也是問題重複發生
通報的email或簡訊
會很多喔

登入發表回應

hsiang11

iT邦好手 1 級 ‧ 2023-01-16 23:31:35

聽說學校的網站被搞了
校長還是教育部的要求是底下的人去輪班刷網頁
業界總有很多奇事

回應 1
分享
檢舉

Oo_花之舞__oO iT邦新手 1 級 ‧ 2023-01-17 00:11:41 檢舉

這倒是真的

登入發表回應

ak02

iT邦研究生 1 級 ‧ 2023-01-17 08:47:38

我的作法是這樣
如果網頁本身內容有異動就會用LINE通知管理者去檢查狀況
當然裡面是有很多細則
只是單純提供方向

回應
分享
檢舉

登入發表回應

㊣浩瀚星空㊣

iT邦大神 1 級 ‧ 2023-01-17 19:40:52

剛好近期處理過，哪個機關我就不說了。

一樣也是依具政府的公文，要做當網站被侵入時做切換處理到維修頁上。
一開始是報15萬，為手動處理。並做安全通知。且非24小時待命。

但他們覺得很貴。建議用另外一個方式會比較便宜。
也就是想要自動跳轉無需人工。

是的，這個想法沒錯。少了人工費用。
我一開始是說不太可能。花費成本會很高。
他們說能有多高。

我就大約列了一下，監看器，多2台主機。(備存及自動導向CDN)
合計起來每個月大約會多3~4萬的成本出來。一年就4X萬。
跟原本的15萬相差很大。

而且我後來還說了，這還只是低估。因為人工成本還是要算進去的。

回應 1
分享
檢舉

Oo_花之舞__oO iT邦新手 1 級 ‧ 2023-01-17 19:56:52 檢舉

有趣~

登入發表回應

dscwferp

iT邦高手 1 級 ‧ 2023-01-18 09:09:35

關於

網路韌性（Cyber Resilience）
被置換後立即關閉網站，並導向維護頁面

提供幾個想法:
1.寫個程式, 定期去下載網站的"特殊檔" 比如首頁檔(index.php...) 或全部檔案, 然後跟合法的"特殊檔" checksum 比對, checksum 不一樣表示被改了, 並更改首頁檔(index.php...) 導向維護頁面, 然後通知相關人員!
2.用RPA 機器人流程自動化, 寫個腳本, 定期更新網站,辨識內容, 然後發現畫面不一樣了, 同上處理....!
3.用影像辨識IPCAM,對著定時更新網站的螢幕辨識, 然後發現畫面不一樣了, 同上處理....!
4.....
方法總比問題多
剩下就是考量成本及罰則了
罰則也是$
方法也是$
以上提供參考!