2021年10月12日 星期二

[網二紀錄] 09/28 給非營利組織的資安自保手冊

9/28 的網二邀請到老朋友,戴夫寇爾 (DEVCORE) 的執行長 Allen,和我們分享非營利組織(NPO)在組織的資安規劃,以及和外部廠商合作時,需要注意的眉角。

這幾週 NPO 遇到很多資安事件(可參考:NPO 的資安議題—捐款者個資被盜,怎麼辦?),包括個資外洩、檔案被加密,或者可能是系統的資料外洩等事件。這場活動希望能讓大家了解資安的精髓,不管資源投入多寡,策略正確是很重要的,作對就能減少焦慮。

因為我本身也是 HITCON 的成員,也宣傳一下,這是一個線上和線下混合的實體會議活動,能和各界資安的專家多交流,都有幫助。



一、資安攻擊趨勢

我今天的角色就是你們的資安顧問

資安是一件辛苦的事。美國聯邦調查局局長曾說:「在美國,大公司有二種:一種是被中國駭過,另一種是還不知道已經被中國駭過。」資安不被攻擊幾乎是不可能的,重點是如何盡量避免,並去適應它,讓組織自身的體質更好,能快速回應、不會慌,也不會做錯決策。

組織在資安上的疑難雜症有很多,下圖是之前針對一些 NPO 所蒐集到的意見,包括:人力不足和設備不足,擔心勒索病毒、資料外洩等等狀況。



感覺到大家很慌張,加上廠商有時也無法馬上配合。而以上這些等一下都會提到,怎麼去看待、盤整和解決的方式。

政府及企業面對的不是攻擊,而是資訊不對稱這讓我們在做資安規劃和防禦是辛苦的。所以從「木桶理論」來看,只要組織內有人知識或行為不對,就會成為被駭客攻擊的弱點,譬如最老的伺服器設備。所以整體資安意識的提高,包括人員和設備等軟硬體,是很重要的。

而針對資安事件,我們可以從 6W2H 著手,也能讓你的主管知道你需要投入多少資源,及組織的資安防護應該做到什麼等級:
  1. Who:攻擊者是誰?
  2. Why:為何要攻擊?
  3. What:攻擊者要的是什麼?
  4. Which:選擇哪些路徑主機進行攻擊?(如:有些無法升級的設備)
  5. Where:從哪裡開始攻擊?(從內部或外部發動?)
  6. When:什麼時候發動攻擊?(可以觀察攻擊的時間,如果很規律的話,例如三班輪流,可能就是政府的網軍。當然,這些情資需要資安公司來提供,才比較準確。)
  7. How:怎麼攻擊?
  8. How much:攻 / 防需要多少資源?
攻擊是資源和時間的競爭。駭客們可能為了賺錢,竊取機敏資料,所以如果讓他花上很多成本、高風險或時間長,那麼就會降低駭客的意願。

平時也可以留意資安事件的報導,或詢問外包公司這幾個問題和面向,就可以知道一個輪廓。

企業最大的對手是誰?不是駭客,更不是駭客組織,而是黑色產業(Black Market)。因為有需求,就有供給;有利益,就有產業。正因有需求、有利益,才會有駭客集團進行組織性的攻擊;因為有人想要資料,取得之後為詐騙集團所用,於是成為一個產業鏈。



黑色產業的營利模式(請見上圖):要思考組織內有哪些資料是這些人感興趣的,譬如暗網上面的地下市集,有 Yahoo 某一年的整個資料庫備份,大約台幣三萬元就可以取得二百萬筆用戶的資料。市集上也有各大廠商的資料庫,和信用卡、個資等等,這些資料會不斷被販售和被利用。

所以要盤點自己的弱點!想想看以下問題:
  1. 你最重要的資產是什麼?譬如捐款的個資和信用卡等資料,放在哪裡?
  2. 你可以怎麼存取你的資產?有誰可以存取?你怎麼保護他的?Ex. 加密、設定帳密等等。
  3. 你怎麼保護他的?Ex. 加密、設定帳密等等。

二、組織內的資安規劃

這一塊是很難的。可以從以下來思考:

1. 先解決目前燃眉之急,然後進行長遠規劃

大部分的人都會把精力放在資安事件上面,想掌握現況,做緊急處理,先恢復原狀。但這是很可惜的,如果要防微杜漸,組織應該要把精力放在中長遠的規劃,來預防問題的發生。

譬如之前很多人在家工作,很多企業會做 BCP(Business Continuity Plan,業務持續營運計劃),這就不會是短期的。更好的是「設定企業理想目標」,譬如整年度不應該發生怎樣等級的資安事件。所以要評估資源和排定,有沒有成效等等,當然對 NPO 來說是比較困難的,可能力有未逮。

2. NIST - Cybersecurity Framework(CSF,數位安全的架構)

這是美國在 2014 年發布的(網站),包括這幾個功能(function):
  • Identify 識別:識別風險(資產)
  • Protect 保護:保護上述風險的資產
  • Detect 偵測:偵測到異常的行為
  • Respond 回應:制定應變計畫,譬如更改帳密,或收斂被攻擊的範圍
  • Recover 復原:復原的計畫,讓資料和系統回復到原本運作的狀態
3. Cyber Defense Matrix

微軟也曾發布 NPO Guidelines for Cybersecurity and Privacy(NPO 數位安全和隱私政策指南)。一樣是上述的五大點步驟,另外加上應用特定、高價值的安全控制措施,包含:
  • 資料的備份和離線。
  • 定期更新軟體和硬體:譬如零時差漏洞(0-day vulnerability),代表時間上是廠商還不知道有漏洞的狀況下;而 1-day 則代表廠商已經釋出更新,但用戶可能還沒更新。可能發生的狀況是:有些大組織可能一個月或一季才更新某些不能停機的設備,這就給予駭客攻擊的時差(段)。
  • 使用「多因子帳號認證」:現在很多帳號登入時,會需要另外輸入簡訊或 OTP 驗證碼
  • 使用 VPN 來做遠端存取:這是見仁見智的。如果要用,安全性控管一定要做好,否則可能變成開一道門給外人。帳密和權限的切割很重要。
  • 開啟端點防禦(Endpoint Protection):防毒軟體或微軟作業系統內隨附的 Windows Defender,可以在個人使用的電腦中進行即時阻斷和偵測。
  • 設備管控:贖回或銷毀的機制。
  • 限制個人行動裝置的使用

三、系統委外合作注意事項

可參考資通安全管理法施行細則第 4 條 第 1 項第 5 款:「受託業務包括客製化資通系統開發者,受託者應提供該資通系統之安全性檢測證明該資通系統屬委託機關之核心資通系統,或委託金額達新臺幣一千萬元以上者,委託機關應自行或另行委託第三方進行安全性檢測;涉及利用非受託者自行開發之系統或資源者,並應標示非自行開發之內容與其來源及提供授權證明。」

政府對資安的要求是比較高的,所以可以參考政府的作法和法規。

一般人不容易判別「安全性檢測證明」的報告,不過換個角度想:這也是在告訴廠商,資安是他們的責任,代表業主是有要求的。

接下來,供應商及委外注意項目,要留意:
  • 供應商管理
    • 供應鍊是現在網軍攻擊的熱點,需要密切管理供應商的資安措施。Ex: 所有相關連、串接的系統是否都是安全的?
    • 是否有資安維護合約,明定漏洞修補時間、資安事件回應時間等等
    • 程式碼是否安全、有無通過黑箱或白箱檢測(檢附報告)
  • 委外開發管理
    • 委外開發的系統、購入的設備不一定安全,可以依照不同的安全等級限制內網存取權限,與核心系統切開
    • 定期進行系統、軟體安全性的更新
而委外廠商發生資安事件時,要注意:
  • 依照資安事件處理流程規劃,希望對方調查清楚資安事件始末
    • 資安事件怎麼發生的?被取得什麼資料?攻擊者已經使用哪些外洩資料?公司做了哪些處理措施?
    • 公司將提供給受影響使用者哪些額外防禦措施?
    • 如何聯繫公司內的聯絡窗口
  • 提出後續資安強化的說明
  • 區分清楚資安事件角色,不同角色有不同的定位
    • 委外廠商
      • Server (系統) → 資安事件調查、伺服器入侵
      • 個人電腦:EDR(偵測與回應的解決方案)、防毒軟體、社交工程
    • 自己組織
      • 伺服器(系統)
      • 個人電腦
什麼是國家資助的攻擊?如果使用 Google 的服務,發生時可能會出現相關的警告訊息。可以更改密碼,或看看組織內是否有人的帳號被鎖定?也可參考 Google 進階保護計畫:查詢自己的帳號是否被鎖定?並取得安全金鑰(USB)。

底下也提供一些 NPO 可以使用的資源,讓大家參考:
  1. 科技濃湯的產品:提供 NPO 的防毒軟體和資安防護計畫。
  2. OCF 的 公民團體資安暨隱私交流計劃:有很棒的資安教材。從 2017 年開始,也有工作坊和教育訓練、環境健檢和事件處理等等,NPO 可以善加利用。這個計畫裡面大多是志工,但資安服務其實是有價的。建議還是可以先接觸、問問看,是很棒的資源。


想像若未能掌握攻擊時,可能對企業造成的衝擊事件。所以企業會盤點重要資產、自行定義資產威脅、自行想像可能弱點,並自行判斷發生機率。但風險等級的分數是理想的風險評估,並不是準確,大多依賴個人判斷,而可能發生錯估情勢或不想面對的狀況。所以一般這樣的自我評估與定義,需要進一步的淬鍊。

企業會有多層式的資安框架,依照組織內部不同的角色,而有不同的規範要注意:
  1. 第一線技術人員:防禦執行和服務(Defence Appliance / Service)
  2. 基層資安主管:控管架構(Controls Framework)
  3. 高階資安主管 :方案架構(Program Frameworks)
  4. 資安長:風險架構(Risk Frameworks)
資安風險通常從最基層開始、由下而上,可能在某一層就發現資安事件的發生。

另外,買了廠商說的 100% 資安防禦無敵解決方案,可以解決什麼問題?如果放在一個 CDM(Cyber Defence Martrix)的矩陣裡面來看,會比較清楚。就可以看出哪裡有缺口。如果把前面政府的資安法部份放上去(如下圖),就可以看出裡面是沒有 recover(復原)的,自己要補強。大家可以把組織內部所有資安的措施都放上去,就能看出哪裡需要補強。



四、遇到資安事件該怎麼辦?

可參考 Crest(Cyber Security Incident Response Guide,網路安全事件回應指南),包含 Prepare(做好分析、框架和應變)、Response(識別、定義和採取合適的行動)和 Follow Up(深入調查資安事件、對內外部利害關係人正式報告、回顧、經驗傳承,並進行後續的應變方法更新和未來事件的模式評估)。這在企業算是蠻仔細的作法。

遇駭之後的處理,可以參考美國聯邦貿易委員會(FTC)的指引:
  • 保護你的組織營運
    • 召集專家組成團隊
    • 保護實體區域的安全,包括門禁卡等等
    • 避免更多資料的損失:將受影響的主機下線並禁止關機(編按:這在不同的狀況會有不同的處理方式,可見 QA 的討論),等鑑識團隊處理,更換帳密憑證等等。
    • 移除網路上不適合出現的資訊。包括自己的網站和外部網站,可以和 Google 發出移除的請求,或一一找外部的站方
    • 與發現外洩資訊的人面談
    • 避免影響或摧毀證據
  • 修復資安漏洞
    • 外部服務廠商或供應鍊
    • 確認網路隔離。因為駭客入侵了一台,若有機會,還會嘗試入侵更多台設備(如果漏洞一樣)
    • 與數位鑑識專家合作
    • 制訂溝通計畫:很重要。對員工、客戶、投資人、合作夥伴有完整的溝通計畫,避免資訊落差或公開資料 → 公開危機的處理。
  • 通知相關單位及個人
    • 大部分的人會比較害怕這件事
    • 確認國家法律及規範需求
    • 通知執法機關:165 詐騙專線或通報刑事警察局來報案
    • 通知使用者:在國外有明確的規範(編按:臺灣也有相關法規的規定,可參考:NPO 的資安議題—捐款者個資被盜,怎麼辦?
      • 清楚描述目前資安事件的狀況(前面的 6W2H)
      • 範例通知信:通知資安事件何時發生?什麼樣的資料牽涉其中?組織現在採取了什麼行動?使用者能做什麼?並提供其他重要資訊,以及更多相關資訊。
做個整理,「如果發生資安事件時,建議流程」的懶人包
  1. 制定、檢視、修正事件應變計畫
  2. 組織內部及外部規範對應處置(ISMS 等)
  3. 立刻通知客戶、相關單位、主管機關:說明目前情況、損失、影響、企業處置、客戶後續該做什麼處理
  4. 了解相關法規,通知律師並協調法律策略
  5. 媒體公關處理:策略的調整
  6. 尋找外部事件應變團隊
  7. 風險管控(如資安險)
  8. 警調報案:可以降低損失,也可能找出攻擊方
最後來談談大家時常遇到的,該如何因應勒索軟體。可以參考美國白宮的勒索軟體企業防範指引,其中請留意:
  1. 有些團隊可能是兼職,要不到資料,因此資安團隊最好隸屬最高層,能方便獲得授權。
  2. 備份必須測試是有效的、可還原的,應該離線保存並定期測試
  3. 測試事件應變方案:至少有一個方案即可。
  4. 確認資安團隊的運作(演練並檢測)
也可以套回去前面提到的 CDM 矩陣來看(如下圖):



組織內,大家也要留意一下密碼管理的方式:
  1. 每個網站必須使用不同密碼:或者至少要依據資料敏感等級進行「分群」,讓受害的範圍是可控的狀態
  2. 密碼不可為可視規律,如:生日、常見的 1234 之類的
  3. 網站若外洩,該密碼不得重複使用
  4. 長度 15 字元以上(比複雜度重要)
  5. 開啟二階段驗證,多一層防護
  6. 建議可使用密碼記憶工具(如:Lastpass, 1password 等等):使用這類工具,管理者的密碼一定要是強密碼,否則被駭之後會損失所有的密碼。
  7. 可參考 NIST SP 800-63-3 關於密碼設定的建議

QA 提問

  1. 廠商有或沒有 ISO 27001/27005,會是一個評估廠商安不安全的指標嗎?若沒有 ISO 認證,還可從哪些方面來評估?
    1. 這可以當作部份參考。通過代表對方有規劃,但不一定有落實,所以可以根據裡面規定的東西,要求廠商提供相關資料來確認。

  2. 委外廠商發生資料被盜取,後續若有詐騙集團使用該資料去詐騙,組織跟系統廠商的法律責任歸屬,是要共同分擔嗎?還是有明確的責任分擔方式?
    1. 這一題需要法律專家來回答比較好。原則上要回到原本的合約,當初合約有寫好的話,委外廠商的責任會比較多,以及不管誰分攤,自己要做的事情是哪些,還是比較重要的。
    2. 如果用戶提出了法律訴訟,那麼組織必須證明自己有做好相關的資安防護措施。
    3. 有律師提到:組織要證明自己有善盡管理之責。
    4. 自律聯盟有舉辦相關的法律說明活動。

  3. 「將影響主機下線並禁止關機」,請問為何要禁止關機?
    1. 主機直接關閉,可能需要被鑑識的證據就會消失了。不過還是要看遇到什麼樣的狀況,如果是勒索軟體,就應該要關機,避免更多檔案被鎖起來。

  4. 過去都以為 NPO 沒有有價值的資料,對於資安缺乏警覺。請問可否再講一講如何盤點資產和風險,如何提高組織的警覺性?
    1. 資安意識的宣導很重要。
    2. 盤點是比較複雜的,這算是「資料流」,也就是資料的輸入和輸出點。例如:捐款者填寫捐款的資料,會從網站 → 資料庫 → 備份或到其他外部團隊。如果資料流比較複雜,可能就是比較有價值的。

  5. 請問委外廠商的雲端系統外洩怎麼辦?
    1. 雲端與否不重要,只要是資料外洩,一樣應該要求資安調查的報告。根據這個報告,就可以再做進一步的判斷——是否應該繼續信任這個廠商。

  6. 有通過 PCI DSS 驗證的金流公司,是不是就不可能外流卡號?
    1. 沒有什麼東西是百分之一百不會發生的。有通過驗證,信心程度可能會上升一些,但還是要多了解和監督。

  7. 居家辦公使用 AnyDesk 之類的遠端連線程式,是否會有資安疑慮?若有資安疑慮,有無較安全的方式?特別是在沒有資訊人員的情況下。
    1. 任何開放遠端連線的程式,都有風險,因為便利性和資安總是相反的。
    2. 要用比較多配套方法來讓資安風險降低。

  8. 有時跟廠商要資料不是很容易,是否還要往前推在合約裡去要求?
    1. 能在合約階段談清楚是最好的。業主通常會有很多要求,而有「專屬窗口」和「資安事件回應的限期時間」是比較好的。把要求說清楚是有幫助的。

0 意見:

張貼留言