$30 off During Our Annual Pro Sale. View Details »

#135- NPO 的完整資安強化守則:從預防到應變_Austin

#135- NPO 的完整資安強化守則:從預防到應變_Austin

https://www.youtube.com/watch?v=RZjP4-gPyXQ

賴重睿 Austin|遇到資安事件該如何應變
Austin 將分享該如何及早發現自己的組織有資料被入侵的現象,以減少損失和風險。還有不幸發生資安事件後應該怎麼應變,怎能防止災害擴大、保留證據以利後續調查。

-

在數位時代,資安保護對於任何組織都至關重要,尤其非營利組織(NPO)擁有許多支持者資料,資安防護的程度也左右公眾對 NPO 的信心和信任度。

這場講座我們將邀請雙講者來幫助 NPO 建立起全面的資安策略——世界級資安公司 DEVCORE 的執行長 Allen 將從預防開始著眼:怎麼利用零信任概念來加強組織的資訊安全防護;但入侵事件是無法完全避免的,所以資安警察 Austin 將分享如何及早發現入侵現象,並做出適當應對。

無論你是NPO組織的管理人員、資訊安全專業人士還是對資安議題感興趣的人,都歡迎來參加這場演講!

網路星期二

September 12, 2023
Tweet

More Decks by 網路星期二

Other Decks in Technology

Transcript

  1. NPO資安事件反應及數
    位鑑識處理指南
    賴重睿(Austin)
    臺北市政府警察局
    2023.6.13 NetTuesday

    View Slide

  2. 講者簡介
    姓名:賴重睿 Austin
    學歷:中央警察大學 資訊管理學系
    國立政治大學 資訊科學系(就讀中)
    現職:臺北市政府警察局
    業務內容:資訊安全(資安專責人員)
    專長:數位鑑識、科技偵查及資訊安全管理等

    View Slide

  3. Contents
    01
    以CIA方式說明資安
    事件的類型及種類
    什麼是資安事件
    02
    介紹近期重大資安事
    件以及常見攻擊手法
    常見資安事件發
    生原因
    03
    舉兩個例子
    資安事件案例分

    04
    數位證據特性、理論
    以及如何保存證據
    碰到資安事件該
    怎麼做
    05
    對於NPO來說可行的
    方案
    資安策略分析規

    06
    結論

    View Slide

  4. 什麼是資安事件?
    01
    什麼情況才算資安事件呢?
    以CIA方式說明資安事件的類型及種類

    View Slide

  5. 1. 內部資安事件(操作不
    慎、設備損壞)
    2. 外力入侵事件(非法入
    侵、駭客攻擊、網頁攻
    擊、阻斷服務)
    3. 天然災害或突發事件
    (斷線、停電、火災、
    颱風、設備)
    資安事件類別 第一級:非核心業務遭輕微洩漏、非核心業務系統或資料遭
    竄改、非核心業務運作遭影響或短暫停頓
    第二級:非屬密級或敏感之核心業務資料遭洩漏、核心業務
    系統或資料遭輕微竄改、核心業務運作遭影響或系統效率降
    低(於可容忍中斷時間內回復正常運作)
    第三級:密級或敏感公務資料遭洩漏、核心業務系統或資料
    遭嚴重竄改、核心業務運作遭影響或系統停頓(無法於可容
    忍中斷時間內回復正常運作)
    第四級:國家機密資料遭洩漏、國家重要資訊基礎建設系統
    或資料遭竄改、國家重要資訊基礎建設運作遭影響或系統停
    頓(無法於可容忍中斷時間內回復正常運作)
    資安事件影響等級
    可用性

    View Slide

  6. 資安事件範例
    電廠斷電,UPS
    運作不正常,
    經10分鐘後恢
    復供電
    不可想像
    捐款訂單外洩
    (但沒有個資)
    信用卡號外洩
    (接獲客戶電話、
    網路訊息)
    第四級
    第三級
    第一級 第二級

    View Slide

  7. 常見資安事件發生原因
    02
    介紹近期重大資安事件以及
    常見攻擊手法

    View Slide

  8. 近期資安
    事件

    View Slide

  9. 近期資安
    事件

    View Slide

  10. 變臉詐騙(BEC)
    簡訊
    惡意連結、程式
    USB
    網路釣魚
    社交工程
    NAS傳資料
    微軟Exchange
    WIFI
    供應鏈
    常用系統
    駭客常見攻擊手法

    View Slide

  11. 收到惡意簡訊實例

    View Slide

  12. 惡意郵件實例

    View Slide

  13. ATT & CK 攻擊者的思維
    Techniques 技術
    Tactic 戰略

    View Slide

  14. 資安事件案例分享
    03
    舉兩個例子
    (內容純屬虛構,如有雷同純屬巧合)

    View Slide

  15. 供應鏈攻擊
    合法管道進入
    系統成功,信
    任A公司
    取得帳密
    取得會員個資
    可以變賣、詐
    騙等應用
    抓取資料
    A公司可遠端
    登入組織的會
    員資料進行維

    會員資料
    A公司通報、
    事件反應、公
    關處理、報案
    發現問題

    View Slide

  16. 郵件伺服器遭入侵
    爬蟲找到B公
    司有使用郵件
    伺服器
    找公司
    利用漏洞成功
    執行指令,放
    入webshell
    嘗試成功
    Exchange漏洞
    常受駭客喜愛
    微軟漏洞
    偵測到惡意行
    為,通知B公
    司,接續修補
    異常通知

    View Slide

  17. 如何察覺可能
    有資安事件?
    組織通常是被動得知,無有效
    主動方法,相較之下很難察覺

    View Slide

  18. 具有識別事件能力
    察覺資安事件前提
    能力
    得知民眾個資外洩,
    發現是我們的資料
    新聞or同業
    高風險標的
    民眾反映
    165反詐騙
    突然變慢
    無法操作
    網路變卡
    資料遺失
    電腦異常
    SOC服務
    告警訊息
    監控
    防毒
    端點設備
    防火牆
    設備防護
    WAF
    SPAM
    弱點掃描

    View Slide

  19. 碰到資安事件該怎麼做?
    04
    數位證據特性、理論以及如
    何保存證據

    View Slide

  20. 從資安新聞或事件中,可以知道甚麼?
    發生了甚麼事情?
    為什麼會發生?
    後續如何處理?
    我們可以怎麼做?如何因應?

    View Slide

  21. 資安事件發生-四大要素
    要素 前期處理 理由 目標
    來源網址
    (IP Address)
    1.內部或外部?
    2.遠端控制?
    3.可能遭竄改?
    追查來源裝置
    保存證據
    修補措施
    稽核檢查
    報案追查
    時間戳記
    (Timestamp)
    1.時區
    2.陽光節約時間
    3.關聯校正
    比對帳號以及電話號碼
    數位行為
    (Digital Action)
    1.攻擊類型?
    2.行為是可允許的嗎?
    3.造成甚麼影響?
    判斷影響範圍以及可能
    危害到什麼
    回應訊息
    (System Response)
    1.駭客目的?
    2.發生甚麼事?
    3.有沒有成功?
    駭客是否成功,犯罪剖

    View Slide

  22. 路卡交換原理(Locard’s Exchange Principle)
    Every contact leaves traces.凡走過必留下痕跡
    犯罪現場
    攻擊者 受害者
    數位
    證據

    View Slide

  23. 數位證據的特性
    資料發散性
    證據動態性
    格式多樣性
    紀錄存在不
    同地點
    易變動需要
    專業、技術
    及能力(KSA)
    不同儲存裝
    置、格式
    難辨真實性
    易修改、複
    製或刪除
    證明不易
    01 02
    03 04
    05
    關係連結性
    人事時地物
    軌跡分析
    Chain of Custody

    View Slide

  24. 1.日誌檔、組態
    設定、整機備份
    2.檢視是否有危
    害進行(依情況)
    如何保存數位證據
    備份、斷網 應變處置 鑑識根因分析
    1.應變措施執行
    2.額外防禦措施
    3.有備機嗎?
    4.是否恢復服務?
    5.應變是否有效?
    1.還原攻擊路徑、
    方法
    2.補救措施
    3.司法程序
    1.確認被入侵之
    系統、主機範圍、
    2.拿到什麼資料
    3.準備工具
    4.聯絡窗口
    範圍判斷

    View Slide

  25. NPO對於資訊的應用有哪些?
    ● 工作夥伴:打卡、請假、信箱、官網、
    粉絲專業、印表機、遠端、網路磁碟、
    電腦作業系統版本、網頁服務、公私
    環境混和…
    ● 捐款者:捐款系統(信用卡、行動支
    付支付)、捐款資料庫、會員資料庫、
    公開資訊…
    ● 廠商:維護系統、接觸組織資料、網
    路設備
    ● 首先你得需要一張表列出組織內有哪
    些資訊正在被使用?誰可以使用等?
    ● 各項資料是否都有保存到?
    用了什麼系統?如何用? 鑑識面
    ● 甚麼資料在哪個系統?
    ● 系統是否皆有紀錄可循?
    ● 紀錄放在哪裡?
    ● 系統承辦人是否知悉如何操作系
    統?
    ● 是否規範廠商提供系統安全檢測
    以及處理資安事件之服務
    ● 備份à備份à備份

    View Slide

  26. 資安事件發生之應變流程-SOP
    1.
    應變小組成立(主管、組織成員、供應商)
    2.
    確定侵害範圍,影響層面
    3.
    進行損害控制:系統監控、異常行為側錄、即時隔離阻擋
    4.
    保留證據:日誌檔備份、系統備份、紀錄事件處理流程
    5.
    服務重啟:備機、新增防護措施完成
    6.
    對外說明:宣導、聲明、補救措施等
    7.
    報案調查:若有損失,報案進入調查
    8.
    情資分享:組織間資訊環境相近,即時分享資訊避免災害擴大
    9.
    檢討改進:系統面維護、人員面管理、供應商能力
    10.
    重建流程:改善SOP並加入新的風險控管措施

    View Slide

  27. 資安策略分析規劃
    05
    對於NPO來說可行的方案
    (資源有限效益最大化之方向)

    View Slide

  28. 1. 計畫(Plan)-資安的目標是什麼?
    (現況分析、組織文
    化)
    1. 執行(Do)-依計畫執行資安事項
    2. 查核(Check)-檢查是否有完成
    3. 行動(Act)-檢討重新規劃改進
    PDCA 循環
    ISO 27001 的管理週期

    View Slide

  29. 資安三大面向-資安法
    制定計畫
    領導人支持
    追蹤管考
    管理面
    資訊拓譜圖
    外對內阻擋
    內對外防護
    異常通報
    更新檢視
    技術面
    資訊人員
    資安意識
    上網習慣
    資安演練
    教育面

    View Slide

  30. Cybersecurity
    Framework(CSF)
    NIST提供解決預算缺乏以及高成本建立驗證
    難題的方法
    先找出組織所需要的控制風險,再進行排序,
    優先處理較為嚴重的資安漏洞,最後建立完
    整的管理週期,逐步提升資安成熟度

    View Slide

  31. CSF-7步驟5功能
    Step 1:確定優先級和範圍
    Step 2:確認組織目標與方向
    Step 3:描述當前資安狀況
    Step 4:進行風險評估
    Step 5:描述目標資安狀況
    Step 6:確定、分析差距並確
    定其優先級
    Step 7:實施行動計劃
    風險評鑑
    風險管理
    識別( Identify ):建立組織規則以
    管理系統、人員、資產、資料和功
    能的網路安全風險。
    保護( Protect ):建立和實施適當
    的安全措施以確保重要服務的運行。
    偵測( Detect ):制定並實施適當的
    作為以識別網路安全事件的發生。
    回應( Respond ):對偵測到的網路
    安全事件,規劃並實施適當的行動。
    復原( Recover ):制定並實施適當
    的措施以修復因網路安全事件受損
    的功能和服務。

    View Slide

  32. Cyber Defense Matrix
    1. 更直觀的方式,掌握到資安缺口
    2. 大多針對供應商產品的用途面
    3. 對於不大的組織來說不易應用

    View Slide

  33. 沒計畫之解法
    ● 系統確保更新
    ● 備份
    ● 供應商共同負責
    資料保護
    ● 資安敏感度
    ● 教育訓練
    ● 區分權限
    使用習慣
    ● 技術人員
    ● 聯絡清冊
    ● 流程SOP
    資源整備

    View Slide

  34. 資料保護
    1.
    弱點管理:知道系統弱點在哪,優先修補à最常見
    2.
    用戶端:作業系統更新、瀏覽器附加元件、防毒、資
    料加密
    3.
    伺服器端:作業系統更新、網頁伺服器、資料庫儲存、
    外掛元件版本
    4.
    大多數遭入侵是:明明弱點都出來了(甚至有公開攻
    擊程式),但往往都是未修補漏洞造成的,若修補完
    後企業風險將大幅降低。

    View Slide

  35. 資料保護
    1.
    備份3-2-1原則:
    a.
    資料至少備份3份
    b.
    用2種以上儲存方式
    c.
    至少要有1份資料放在不同地方
    2.
    供應商責任:供應商資安維護合約、程式安全檢測報
    告(有無通過測試)、發生資安事件的處理時間

    View Slide

  36. 使用習慣
    1.
    資安意識與訓練:資料外洩往往透過釣魚攻擊或社交
    工程方式導致
    2.
    若企業有技術面的設備(防火牆、反垃圾郵件、資料
    過濾)當然很好,可以相互搭配防護à但就是沒有
    3.
    教育訓練應常舉辦,頻率不得太低,而且應有效執行
    (簡訊、郵件社交工程,集會場合宣導)
    4.
    如何認出惡意行為,如果有察覺該怎麼做à第一時間
    的重要性
    5.
    權限控管:最小權限原則、多因子認證、定期檢查更

    View Slide

  37. 資源整備
    1.
    有效紀錄事件資料,找到入侵證據降低傷害
    2.
    是否有資安事件發生時的聯絡清冊(主管、供
    應商、其他夥伴)
    3.
    維持有效的應變團隊、工具與處理程序
    4.
    BCP演練計畫(情境演練、實際演練)
    5.
    供應鏈安全

    View Slide

  38. 結論
    06

    View Slide

  39. 確認組織現狀,
    建構資安姿態

    View Slide

  40. Q&A

    View Slide

  41. 如何請單位人員配合資訊
    安全作業與有效控管資安
    規範、組織文化、長官支持

    View Slide

  42. 可以做什麼,不可以做什

    取決於組織對於資訊使用的習慣以及適應能力

    View Slide

  43. 平常如何宣導與培養員工
    資安意識
    自然讓資安成為生活中的一部份

    View Slide

  44. 個資法底下,資安有哪些
    要做
    • 不直接將個資傳遞(明碼傳送)
    • 加密(壓縮檔、PDF)
    • 檔案及文字分開
    • 不使用USB等隨身裝置
    • 紙本資料非必要保存時直接銷毀(碎紙機)
    • 注意傳送個資管道是否正確(軟體或傳給誰?)
    • 個資遮罩(Ex. 賴O睿)

    View Slide

  45. 資安重擔似乎落到了平台
    端上-供應商管理很重要
    • 確保產品本身無慮
    • 針對資訊安全多注意:定期資安檢測第三方
    廠商或政府之報告
    • 與廠商訂立相關資訊傳達之管道(確保雙方不
    被其他方式干擾)

    View Slide

  46. 常用的Google、WordPress或
    各種社交平台等工具
    一般人在使用上是否有需特別注意的資安觀念,以防
    被盜用。以及萬一遭到盜用,我們可以如何自救
    雙因素驗證 定期更改密碼
    確保產品更新 紀錄救援方式

    View Slide

  47. Thanks!
    You can find me at
    Email:[email protected]
    Email:[email protected]
    Phone: 0905359617

    View Slide