處理公司的資訊保安事故
主頁 > 
處理公司的資訊保安事故
< 返回

處理公司的資訊保安事故

它指在資訊系統及/或網絡上的負面事情,對資訊的機密性完整性可用性不可否認性認證等方面構成威脅。以下是負面事情的一些例子:

盜竊及爆竊
天然災害,例如水災、颱風、暴雨
來自周遭環境的潛在危險
數據線路故障
系統當機
小包氾濫
未經授權接達或使用電腦系統的資源
未經授權使用他人帳戶
未經授權使用系統權限
網頁竄改
闖入 /入侵系統
大規模惡意軟件攻擊
然而,天然災害、硬件 /軟件失靈、數據線故障、電力中斷等事故,並非以資訊保安事件處理,而是以系統維修及災害應變措施看待。

何謂資訊保安事故?

資訊保安事故處理是指一套連貫的程序,管理在保安事故發生前、發生時和發生後所執行的活動。

保安事故處理始於規劃和準備資料及制定適當程序(例如升級處理和保安事故應變程序),以備日後遵照執行。

一旦偵測到保安事故,負責保安事故應變的各方須按照預定程序實施應變。保安事故過後,應採取跟進行動評估事故,並加強保安保護措施,以防止再度發生事故。

保安事故應變的目標

主要的目標是

將商業損失和隨之而來的責任減至最低;
將可能發生的衝擊,例如資料外泄、資料受損和系統受襲等機會減至最低;
確保回應是有系統性和有效率的,並且可以迅速復原受影響的系統;
確保所需的資源,包括人手、技術等都齊備;
確定負責的人士清楚知道他們的職責,並遵從事先訂制的步驟處理事故;
確保應變的行動被認可和互相協調;
防止類似的襲擊和破壞再次發生;以及
處理和法律有關的事項。
不論風險緩減措施如何優秀,將保安事故的衝擊度和發生機率減至最低,但事故還是會出其不意地襲擊你!所以你必需作好準備。
保安事故應變的法律和合約考慮

有些保安事故和罪行有關,例如竄改別人網頁、破壞伺服器、發放垃圾電郵和盜取資料在香港都是違法的;但掃描連接埠便不屬刑事罪行。所以你要留意不同的國家有關網上罪行的法例是不同的。如果事故涉及違法活動,你應該向執法機關報告。如果你不肯定,你亦可以向執法機關查詢。

起訴入侵者的兩難

你想起訴入侵者嗎?如果是的話,你會否保持連接你的網絡以便追蹤入侵者的活動?這樣做會否讓入侵者繼續襲擊你的系統,造成更大的傷害?在恢復業務和追蹤和起訴入侵者之間,你會怎樣抉擇?

不論你的答案是什麼,你都應該:

讓管理層做決定。
根據事先制定的優先次序和條件實施事故應變計劃
確認決策過程的結構和通知執法機關。

搜集證據時的考慮

事故應變小組(又稱 IRT)人員會接觸第一手證據,例如日誌檔案和系統狀態資料(例如系統時間,正在運作的過程和連接的電腦)。但最重要的是他們知道如何處理這些證據。以下是一些指引:

一件證據是一個事件或事實。
電子證據一定要儘快搜集。
保持證據的先後次序。一連串的證物是一段歷史,可以在法庭上展示證據如何搜集、分析、運送和保存的時序。一連串清晰的證物表示它們是可信的。
收集證據時要根據一定的步驟,並使用適當的(沒有受污染)工具。
證據要受到保護,不可以讓未經授權的人接觸證據,和不可以讓證據被更改或破壞。要得到授權和有第三者在場才可以運送或複印證據。

事故應變小組人員應該記錄行動和結果。他們應該應用收集證據的指引:

清楚及整齊地依時序記錄事件,並標示當時的時間。可能的話用預先印製的表格去統一記錄的格式。有需要時可使用錄音和錄像。
寫下事實,而不是猜想或不肯定的推測。不清楚的和不小心的說話可能會削弱證據的說服力。
發現錯誤之後要立刻改正,並記錄錯誤的原因。

追蹤入侵者來源的考慮

惡意的入侵可能使技術人員產生強烈的反應。但是,不可以衝動地即時追捕入侵者而忽略減低保安的衝擊。以下是一些建議:

反擊?不要考慮這策略。發動襲擊的一方可能也是被入侵的受害者;其次,欺詐技術會令人錯誤推測襲擊的來源。而且根本沒有法理基礎進行報復。
保持低調。小心你的行為會令入侵者知道他已被發現。入侵者可能因此刪除他的足跡或破壞整個系統。
你要熟悉技術性步驟和工具,確保追蹤過程有效率和不被發現。
保安事故應變的六步曲

這個保安事故應變模型被分為六個步驟。成功的關鍵就是要有充足的準備。

提早作出恰當的計劃可以確保回應行動為人所知、互相協調和有系統地進行。這亦幫助管理層在追查保安事故和降低破壞程度時作出恰當而有效的決策。這計劃包括加強保安防護、適當地對事故作出回應、復原系統和其他跟進行動。

保安事故應變模型

準備

計劃能提供從上而下的事故應變管理模式,保證回應的質素和時間。

決定內部政策。
確保事故應變策略和公司的保安政策相容,事故應變小組有足夠的權力進行保安行動,例如在重要時刻將公司的伺服器關閉。
界定事故應變小組和參與保安事故處理過程的人的角色和責任。
界定其他職員的角色和責任,並將決定通知管理人員。
建立一個列表,顯示資訊資產和服務的優先次序和可以接受的關閉時間。
建立匯報機制、升級處理程序和保安事故應變程序。這些程式都應該通知每一個職員,包括人事、管理部門,讓他們參與和遵守。
建立預警系統,例如維持一個足夠應付日常工作需要的簡單技術環境和容易使用的服務台。
建立和維護良好的備份策略。
建立和維護良好的緊急事故聯絡電話表。
從 HKCERT和其他 CERT中心更新指引、檢核表和工具。
透過培訓和分享建立事故應變小組的知識和技術。
提供足夠的培訓,確保職員懂得處理緊急保安事故。
教育用戶緊急應變步驟和報告事故的方法。
將電腦系統的時鐘同步。
建立一個電腦系統監控和警報機制,例如安裝入侵偵測、抗惡意軟件和內容過濾工具、開啟系統及網絡審計記錄功能,以及定期利用保安掃描工具進行保安檢查。

偵測及確認

監控不正常事件,例如錯誤訊息、日誌記錄中的可疑事件、不正常的效能表現和容量不尋常地增加。
決定問題的種類和衝擊的程度。
用標準事故記錄表格作記錄。
參考搜集證據指引處理資料。
證實確有其事後,馬上把受影響的系統全面備份,並存放在一個安全的地方。
保留事故的記錄,例如審計日誌,帳戶日誌等等。
通知在緊急事故聯絡電話表上的高層管理人員和其他有關人士(包括 IRT、互聯網服務供應商、網絡服務供應商)以及通知系統擁有者。執行「有需要才知道」政策,需要時使用另外的安全通訊頻道。

制止情況惡化

這階段的行動包括:

評估因事故對系統內的數據和資料衝擊程度,確定有關資料是否已經被破壞或感染;
保護敏感或重要的資料和系統,例如將重要資料轉移到其他和受影響系統或網絡完全分隔的媒體(或其他系統);
決定受影響系統的作業狀態;
製作受影響系統的映像,作為以後跟進行動的證據;
記錄在這階段進行過的一切行動;以及
檢查所有透過分享網絡服務或其他信任連繫和受影響系統有連繫的系統。

這階段其中一個重要的決策是繼續還是停止受影響系統的運作。這大部份是根據事故的嚴重性、系統的要求和對公司的形象的影響,以及預設的目標和事故處理計劃的優先次序。

所需的行動包括:

暫時關閉或分隔受影響的主機或系統,避免對其他相連的系統產生傷害。這在可能傳播得特別快的事故、載有敏感資料的電腦或防止受影響系統被人利用進行其他襲擊等情況下適用;
停止受影響的伺服器的運作;
關閉系統的部份功能;
移除用戶的使用或登入權;
繼續運作以採集更多的證據。這可能只適用於擔當非重要任務的系統。這些系統可以承擔相當程度的服務中斷風險或資料破壞。但這做法需要特別小心的處理和在嚴謹的監控下進行。
禁止任何人接觸電掣、儲存媒體和電話,以保護電腦證據。
評估繼續停止運作和停止時間超過可接受程度的風險。管理層應該考慮 IRT的建議,決定是否啟動災難復原計劃。
知會系統擁有者最新的狀態,以獲得到他們的信任和令他們放心。

根除

根除的目標是完全排除或緩減保安事故的來源。在這階段,根據事故的性質和系統的要求,你可能需要進行以下的行動:

停止或取消所有入侵者正在運行的程式,藉此將他趕走。
刪除所有入侵者製造的假檔案。系統管理員可能要先將這些假檔案儲存,以幫助調查。
刪除所有由入侵者安裝的後門惡意程式碼
為所有作業系統、伺服器和網絡工具的保安漏洞安裝修補程式。你應徹底測試修補後的系統才把它投入正常服務。
改正所有系統和網絡的設定,例如防火牆和路由器的不正確設定。
如果事件由惡意軟件感染引起,依照防惡意軟件供應商的建議在所有被感染的系統和媒體上刪除惡意軟件。
確保後備系統沒有被感染,以避免使用後備系統復原時再被感染。
使用保安工具幫助根除事故的來源,例如使用保安掃描工具偵測入侵和使用建議的保安方案,並經常更新這些工具的入侵特徵資料庫。
更新所有登入帳戶的密碼,因為入侵者可能已經取得這些資料。
當系統支援人員不肯定對重要系統的破壞程度,或太難完全清理受感染系統時,他們可能需要重新格式化所有受感染的媒體,然後將備份資料重新安裝。

復原

這階段的目的是將系統復原至正常運作狀態。工作包括:

進行損壞的評估。
從可靠的備份媒體,重新安裝受破壞的系統。
根據需要的優先次序,逐步執行原有的功能和服務,例如先恢復最基本或最多人使用的的服務。
確保系統成功地恢復至正常運作狀態。
預先通知所有有關機構和人士,例如網絡操作人員、網絡管理員、高級管理人員和其他參與應變行動的人士有關系統將恢復運作的消息。
終止不必要的服務。
記錄所有進行過的行動。

事後的跟進

跟進的目的是從事故中汲取教訓,改良系統的運作。在事故發生之後應該儘快跟進,管理層、用戶和在現場的 IRT都應該參與。

進行事後檢討,找出需要改善的地方,例如:
檢討現行的設定和步驟是否足夠。
檢討是否需要給予用戶更多培訓。
決定是否需要由外來專家進行保安審計。
決定是否就事故進行法律行動。
所有參與的人士應該對事後檢討分析報告提供意見。
向管理層提交一個包括改善建議的行政報告。
管理層應評估這報告,並選擇建議去執行,管理層應嗚謝或獎勵舉報事故和參與事故應變的人員。

事故的跟進的下一步是回到事故應變循環的第一步「準備」,執行被選擇的建議,進行另一周期的持續改善工作。