這幾週 NPO 遇到很多資安事件(可參考:NPO 的資安議題—捐款者個資被盜,怎麼辦?),包括個資外洩、檔案被加密,或者可能是系統的資料外洩等事件。這場活動希望能讓大家了解資安的精髓,不管資源投入多寡,策略正確是很重要的,作對就能減少焦慮。
因為我本身也是 HITCON 的成員,也宣傳一下,這是一個線上和線下混合的實體會議活動,能和各界資安的專家多交流,都有幫助。
一、資安攻擊趨勢
我今天的角色就是你們的資安顧問。資安是一件辛苦的事。美國聯邦調查局局長曾說:「在美國,大公司有二種:一種是被中國駭過,另一種是還不知道已經被中國駭過。」資安不被攻擊幾乎是不可能的,重點是如何盡量避免,並去適應它,讓組織自身的體質更好,能快速回應、不會慌,也不會做錯決策。
組織在資安上的疑難雜症有很多,下圖是之前針對一些 NPO 所蒐集到的意見,包括:人力不足和設備不足,擔心勒索病毒、資料外洩等等狀況。
感覺到大家很慌張,加上廠商有時也無法馬上配合。而以上這些等一下都會提到,怎麼去看待、盤整和解決的方式。
政府及企業面對的不是攻擊,而是資訊不對稱。這讓我們在做資安規劃和防禦是辛苦的。所以從「木桶理論」來看,只要組織內有人知識或行為不對,就會成為被駭客攻擊的弱點,譬如最老的伺服器設備。所以整體資安意識的提高,包括人員和設備等軟硬體,是很重要的。
而針對資安事件,我們可以從 6W2H 著手,也能讓你的主管知道你需要投入多少資源,及組織的資安防護應該做到什麼等級:
- Who:攻擊者是誰?
- Why:為何要攻擊?
- What:攻擊者要的是什麼?
- Which:選擇哪些路徑主機進行攻擊?(如:有些無法升級的設備)
- Where:從哪裡開始攻擊?(從內部或外部發動?)
- When:什麼時候發動攻擊?(可以觀察攻擊的時間,如果很規律的話,例如三班輪流,可能就是政府的網軍。當然,這些情資需要資安公司來提供,才比較準確。)
- How:怎麼攻擊?
- How much:攻 / 防需要多少資源?
平時也可以留意資安事件的報導,或詢問外包公司這幾個問題和面向,就可以知道一個輪廓。
企業最大的對手是誰?不是駭客,更不是駭客組織,而是黑色產業(Black Market)。因為有需求,就有供給;有利益,就有產業。正因有需求、有利益,才會有駭客集團進行組織性的攻擊;因為有人想要資料,取得之後為詐騙集團所用,於是成為一個產業鏈。
黑色產業的營利模式(請見上圖):要思考組織內有哪些資料是這些人感興趣的,譬如暗網上面的地下市集,有 Yahoo 某一年的整個資料庫備份,大約台幣三萬元就可以取得二百萬筆用戶的資料。市集上也有各大廠商的資料庫,和信用卡、個資等等,這些資料會不斷被販售和被利用。
所以要盤點自己的弱點!想想看以下問題:
- 你最重要的資產是什麼?譬如捐款的個資和信用卡等資料,放在哪裡?
- 你可以怎麼存取你的資產?有誰可以存取?你怎麼保護他的?Ex. 加密、設定帳密等等。
- 你怎麼保護他的?Ex. 加密、設定帳密等等。
二、組織內的資安規劃
這一塊是很難的。可以從以下來思考:1. 先解決目前燃眉之急,然後進行長遠規劃
大部分的人都會把精力放在資安事件上面,想掌握現況,做緊急處理,先恢復原狀。但這是很可惜的,如果要防微杜漸,組織應該要把精力放在中長遠的規劃,來預防問題的發生。
譬如之前很多人在家工作,很多企業會做 BCP(Business Continuity Plan,業務持續營運計劃),這就不會是短期的。更好的是「設定企業理想目標」,譬如整年度不應該發生怎樣等級的資安事件。所以要評估資源和排定,有沒有成效等等,當然對 NPO 來說是比較困難的,可能力有未逮。
2. NIST - Cybersecurity Framework(CSF,數位安全的架構)
這是美國在 2014 年發布的(網站),包括這幾個功能(function):
- Identify 識別:識別風險(資產)
- Protect 保護:保護上述風險的資產
- Detect 偵測:偵測到異常的行為
- Respond 回應:制定應變計畫,譬如更改帳密,或收斂被攻擊的範圍
- Recover 復原:復原的計畫,讓資料和系統回復到原本運作的狀態
微軟也曾發布 NPO Guidelines for Cybersecurity and Privacy(NPO 數位安全和隱私政策指南)。一樣是上述的五大點步驟,另外加上應用特定、高價值的安全控制措施,包含:
- 資料的備份和離線。
- 定期更新軟體和硬體:譬如零時差漏洞(0-day vulnerability),代表時間上是廠商還不知道有漏洞的狀況下;而 1-day 則代表廠商已經釋出更新,但用戶可能還沒更新。可能發生的狀況是:有些大組織可能一個月或一季才更新某些不能停機的設備,這就給予駭客攻擊的時差(段)。
- 使用「多因子帳號認證」:現在很多帳號登入時,會需要另外輸入簡訊或 OTP 驗證碼
- 使用 VPN 來做遠端存取:這是見仁見智的。如果要用,安全性控管一定要做好,否則可能變成開一道門給外人。帳密和權限的切割很重要。
- 開啟端點防禦(Endpoint Protection):防毒軟體或微軟作業系統內隨附的 Windows Defender,可以在個人使用的電腦中進行即時阻斷和偵測。
- 設備管控:贖回或銷毀的機制。
- 限制個人行動裝置的使用
三、系統委外合作注意事項
可參考資通安全管理法施行細則第 4 條 第 1 項第 5 款:「受託業務包括客製化資通系統開發者,受託者應提供該資通系統之安全性檢測證明;該資通系統屬委託機關之核心資通系統,或委託金額達新臺幣一千萬元以上者,委託機關應自行或另行委託第三方進行安全性檢測;涉及利用非受託者自行開發之系統或資源者,並應標示非自行開發之內容與其來源及提供授權證明。」政府對資安的要求是比較高的,所以可以參考政府的作法和法規。
一般人不容易判別「安全性檢測證明」的報告,不過換個角度想:這也是在告訴廠商,資安是他們的責任,代表業主是有要求的。
接下來,供應商及委外注意項目,要留意:
- 供應商管理
- 供應鍊是現在網軍攻擊的熱點,需要密切管理供應商的資安措施。Ex: 所有相關連、串接的系統是否都是安全的?
- 是否有資安維護合約,明定漏洞修補時間、資安事件回應時間等等
- 程式碼是否安全、有無通過黑箱或白箱檢測(檢附報告)
- 委外開發管理
- 委外開發的系統、購入的設備不一定安全,可以依照不同的安全等級限制內網存取權限,與核心系統切開
- 定期進行系統、軟體安全性的更新
- 依照資安事件處理流程規劃,希望對方調查清楚資安事件始末
- 資安事件怎麼發生的?被取得什麼資料?攻擊者已經使用哪些外洩資料?公司做了哪些處理措施?
- 公司將提供給受影響使用者哪些額外防禦措施?
- 如何聯繫公司內的聯絡窗口
- 提出後續資安強化的說明
- 區分清楚資安事件角色,不同角色有不同的定位
- 委外廠商
- Server (系統) → 資安事件調查、伺服器入侵
- 個人電腦:EDR(偵測與回應的解決方案)、防毒軟體、社交工程
- 自己組織
- 伺服器(系統)
- 個人電腦
底下也提供一些 NPO 可以使用的資源,讓大家參考:
- 科技濃湯的產品:提供 NPO 的防毒軟體和資安防護計畫。
- OCF 的 公民團體資安暨隱私交流計劃:有很棒的資安教材。從 2017 年開始,也有工作坊和教育訓練、環境健檢和事件處理等等,NPO 可以善加利用。這個計畫裡面大多是志工,但資安服務其實是有價的。建議還是可以先接觸、問問看,是很棒的資源。
想像若未能掌握攻擊時,可能對企業造成的衝擊事件。所以企業會盤點重要資產、自行定義資產威脅、自行想像可能弱點,並自行判斷發生機率。但風險等級的分數是理想的風險評估,並不是準確,大多依賴個人判斷,而可能發生錯估情勢或不想面對的狀況。所以一般這樣的自我評估與定義,需要進一步的淬鍊。
企業會有多層式的資安框架,依照組織內部不同的角色,而有不同的規範要注意:
- 第一線技術人員:防禦執行和服務(Defence Appliance / Service)
- 基層資安主管:控管架構(Controls Framework)
- 高階資安主管 :方案架構(Program Frameworks)
- 資安長:風險架構(Risk Frameworks)
另外,買了廠商說的 100% 資安防禦無敵解決方案,可以解決什麼問題?如果放在一個 CDM(Cyber Defence Martrix)的矩陣裡面來看,會比較清楚。就可以看出哪裡有缺口。如果把前面政府的資安法部份放上去(如下圖),就可以看出裡面是沒有 recover(復原)的,自己要補強。大家可以把組織內部所有資安的措施都放上去,就能看出哪裡需要補強。
四、遇到資安事件該怎麼辦?
可參考 Crest(Cyber Security Incident Response Guide,網路安全事件回應指南),包含 Prepare(做好分析、框架和應變)、Response(識別、定義和採取合適的行動)和 Follow Up(深入調查資安事件、對內外部利害關係人正式報告、回顧、經驗傳承,並進行後續的應變方法更新和未來事件的模式評估)。這在企業算是蠻仔細的作法。而遇駭之後的處理,可以參考美國聯邦貿易委員會(FTC)的指引:
- 保護你的組織營運
- 召集專家組成團隊
- 保護實體區域的安全,包括門禁卡等等
- 避免更多資料的損失:將受影響的主機下線並禁止關機(編按:這在不同的狀況會有不同的處理方式,可見 QA 的討論),等鑑識團隊處理,更換帳密憑證等等。
- 移除網路上不適合出現的資訊。包括自己的網站和外部網站,可以和 Google 發出移除的請求,或一一找外部的站方
- 與發現外洩資訊的人面談
- 避免影響或摧毀證據
- 修復資安漏洞
- 外部服務廠商或供應鍊
- 確認網路隔離。因為駭客入侵了一台,若有機會,還會嘗試入侵更多台設備(如果漏洞一樣)
- 與數位鑑識專家合作
- 制訂溝通計畫:很重要。對員工、客戶、投資人、合作夥伴有完整的溝通計畫,避免資訊落差或公開資料 → 公開危機的處理。
- 通知相關單位及個人
- 大部分的人會比較害怕這件事
- 確認國家法律及規範需求
- 通知執法機關:165 詐騙專線或通報刑事警察局來報案
- 通知使用者:在國外有明確的規範(編按:臺灣也有相關法規的規定,可參考:NPO 的資安議題—捐款者個資被盜,怎麼辦?)
- 清楚描述目前資安事件的狀況(前面的 6W2H)
- 範例通知信:通知資安事件何時發生?什麼樣的資料牽涉其中?組織現在採取了什麼行動?使用者能做什麼?並提供其他重要資訊,以及更多相關資訊。
- 制定、檢視、修正事件應變計畫
- 組織內部及外部規範對應處置(ISMS 等)
- 立刻通知客戶、相關單位、主管機關:說明目前情況、損失、影響、企業處置、客戶後續該做什麼處理
- 了解相關法規,通知律師並協調法律策略
- 媒體公關處理:策略的調整
- 尋找外部事件應變團隊
- 風險管控(如資安險)
- 警調報案:可以降低損失,也可能找出攻擊方
- 有些團隊可能是兼職,要不到資料,因此資安團隊最好隸屬最高層,能方便獲得授權。
- 備份必須測試是有效的、可還原的,應該離線保存並定期測試
- 測試事件應變方案:至少有一個方案即可。
- 確認資安團隊的運作(演練並檢測)
組織內,大家也要留意一下密碼管理的方式:
- 每個網站必須使用不同密碼:或者至少要依據資料敏感等級進行「分群」,讓受害的範圍是可控的狀態
- 密碼不可為可視規律,如:生日、常見的 1234 之類的
- 網站若外洩,該密碼不得重複使用
- 長度 15 字元以上(比複雜度重要)
- 開啟二階段驗證,多一層防護
- 建議可使用密碼記憶工具(如:Lastpass, 1password 等等):使用這類工具,管理者的密碼一定要是強密碼,否則被駭之後會損失所有的密碼。
- 可參考 NIST SP 800-63-3 關於密碼設定的建議
QA 提問
- 廠商有或沒有 ISO 27001/27005,會是一個評估廠商安不安全的指標嗎?若沒有 ISO 認證,還可從哪些方面來評估?
- 這可以當作部份參考。通過代表對方有規劃,但不一定有落實,所以可以根據裡面規定的東西,要求廠商提供相關資料來確認。
- 委外廠商發生資料被盜取,後續若有詐騙集團使用該資料去詐騙,組織跟系統廠商的法律責任歸屬,是要共同分擔嗎?還是有明確的責任分擔方式?
- 這一題需要法律專家來回答比較好。原則上要回到原本的合約,當初合約有寫好的話,委外廠商的責任會比較多,以及不管誰分攤,自己要做的事情是哪些,還是比較重要的。
- 如果用戶提出了法律訴訟,那麼組織必須證明自己有做好相關的資安防護措施。
- 有律師提到:組織要證明自己有善盡管理之責。
- 自律聯盟有舉辦相關的法律說明活動。
- 「將影響主機下線並禁止關機」,請問為何要禁止關機?
- 主機直接關閉,可能需要被鑑識的證據就會消失了。不過還是要看遇到什麼樣的狀況,如果是勒索軟體,就應該要關機,避免更多檔案被鎖起來。
- 過去都以為 NPO 沒有有價值的資料,對於資安缺乏警覺。請問可否再講一講如何盤點資產和風險,如何提高組織的警覺性?
- 資安意識的宣導很重要。
- 盤點是比較複雜的,這算是「資料流」,也就是資料的輸入和輸出點。例如:捐款者填寫捐款的資料,會從網站 → 資料庫 → 備份或到其他外部團隊。如果資料流比較複雜,可能就是比較有價值的。
- 請問委外廠商的雲端系統外洩怎麼辦?
- 雲端與否不重要,只要是資料外洩,一樣應該要求資安調查的報告。根據這個報告,就可以再做進一步的判斷——是否應該繼續信任這個廠商。
- 有通過 PCI DSS 驗證的金流公司,是不是就不可能外流卡號?
- 沒有什麼東西是百分之一百不會發生的。有通過驗證,信心程度可能會上升一些,但還是要多了解和監督。
- 居家辦公使用 AnyDesk 之類的遠端連線程式,是否會有資安疑慮?若有資安疑慮,有無較安全的方式?特別是在沒有資訊人員的情況下。
- 任何開放遠端連線的程式,都有風險,因為便利性和資安總是相反的。
- 要用比較多配套方法來讓資安風險降低。
- 有時跟廠商要資料不是很容易,是否還要往前推在合約裡去要求?
- 能在合約階段談清楚是最好的。業主通常會有很多要求,而有「專屬窗口」和「資安事件回應的限期時間」是比較好的。把要求說清楚是有幫助的。
0 意見:
張貼留言