#135- NPO 的完整資安強化守則：從預防到應變_Austin

Transcript

1. NPO資安事件反應及數 位鑑識處理指南 賴重睿(Austin) 臺北市政府警察局 2023.6.13 NetTuesday

2. 講者簡介 姓名：賴重睿 Austin 學歷：中央警察大學 資訊管理學系 國立政治大學 資訊科學系(就讀中) 現職：臺北市政府警察局 業務內容：資訊安全(資安專責人員) 專長：數位鑑識、科技偵查及資訊安全管理等

3. Contents 01 以CIA方式說明資安 事件的類型及種類 什麼是資安事件 02 介紹近期重大資安事 件以及常見攻擊手法 常見資安事件發 生原因

   03 舉兩個例子 資安事件案例分 享 04 數位證據特性、理論 以及如何保存證據 碰到資安事件該 怎麼做 05 對於NPO來說可行的 方案 資安策略分析規 劃 06 結論

4. 什麼是資安事件? 01 什麼情況才算資安事件呢? 以CIA方式說明資安事件的類型及種類

5. 1. 內部資安事件(操作不 慎、設備損壞) 2. 外力入侵事件(非法入 侵、駭客攻擊、網頁攻 擊、阻斷服務) 3. 天然災害或突發事件 (斷線、停電、火災、

   颱風、設備) 資安事件類別 第一級：非核心業務遭輕微洩漏、非核心業務系統或資料遭 竄改、非核心業務運作遭影響或短暫停頓 第二級：非屬密級或敏感之核心業務資料遭洩漏、核心業務 系統或資料遭輕微竄改、核心業務運作遭影響或系統效率降 低(於可容忍中斷時間內回復正常運作) 第三級：密級或敏感公務資料遭洩漏、核心業務系統或資料 遭嚴重竄改、核心業務運作遭影響或系統停頓(無法於可容 忍中斷時間內回復正常運作) 第四級：國家機密資料遭洩漏、國家重要資訊基礎建設系統 或資料遭竄改、國家重要資訊基礎建設運作遭影響或系統停 頓(無法於可容忍中斷時間內回復正常運作) 資安事件影響等級 可用性

6. 資安事件範例 電廠斷電，UPS 運作不正常， 經10分鐘後恢 復供電 不可想像 捐款訂單外洩 (但沒有個資) 信用卡號外洩 (接獲客戶電話、

   網路訊息) 第四級 第三級 第一級 第二級

7. 常見資安事件發生原因 02 介紹近期重大資安事件以及 常見攻擊手法

8. 近期資安 事件

9. 近期資安 事件

10. 變臉詐騙(BEC) 簡訊 惡意連結、程式 USB 網路釣魚 社交工程 NAS傳資料 微軟Exchange WIFI 供應鏈

    常用系統 駭客常見攻擊手法

11. 收到惡意簡訊實例

12. 惡意郵件實例

13. ATT & CK 攻擊者的思維 Techniques 技術 Tactic 戰略

14. 資安事件案例分享 03 舉兩個例子 (內容純屬虛構，如有雷同純屬巧合)

15. 供應鏈攻擊 合法管道進入 系統成功，信 任A公司 取得帳密 取得會員個資 可以變賣、詐 騙等應用 抓取資料 A公司可遠端

    登入組織的會 員資料進行維 護 會員資料 A公司通報、 事件反應、公 關處理、報案 發現問題

16. 郵件伺服器遭入侵 爬蟲找到B公 司有使用郵件 伺服器 找公司 利用漏洞成功 執行指令，放 入webshell 嘗試成功 Exchange漏洞

    常受駭客喜愛 微軟漏洞 偵測到惡意行 為，通知B公 司，接續修補 異常通知

17. 如何察覺可能 有資安事件? 組織通常是被動得知，無有效 主動方法，相較之下很難察覺

18. 具有識別事件能力 察覺資安事件前提 能力 得知民眾個資外洩， 發現是我們的資料 新聞or同業 高風險標的 民眾反映 165反詐騙 突然變慢

    無法操作 網路變卡 資料遺失 電腦異常 SOC服務 告警訊息 監控 防毒 端點設備 防火牆 設備防護 WAF SPAM 弱點掃描

19. 碰到資安事件該怎麼做？ 04 數位證據特性、理論以及如 何保存證據

20. 從資安新聞或事件中，可以知道甚麼? 發生了甚麼事情? 為什麼會發生? 後續如何處理? 我們可以怎麼做?如何因應?

21. 資安事件發生-四大要素 要素 前期處理 理由 目標 來源網址 (IP Address) 1.內部或外部? 2.遠端控制?

    3.可能遭竄改? 追查來源裝置 保存證據 修補措施 稽核檢查 報案追查 時間戳記 (Timestamp) 1.時區 2.陽光節約時間 3.關聯校正 比對帳號以及電話號碼 數位行為 (Digital Action) 1.攻擊類型? 2.行為是可允許的嗎? 3.造成甚麼影響? 判斷影響範圍以及可能 危害到什麼 回應訊息 (System Response) 1.駭客目的? 2.發生甚麼事? 3.有沒有成功? 駭客是否成功，犯罪剖 繪

22. 路卡交換原理(Locard’s Exchange Principle) Every contact leaves traces.凡走過必留下痕跡 犯罪現場 攻擊者 受害者

    數位 證據

23. 數位證據的特性 資料發散性 證據動態性 格式多樣性 紀錄存在不 同地點 易變動需要 專業、技術 及能力(KSA) 不同儲存裝

    置、格式 難辨真實性 易修改、複 製或刪除 證明不易 01 02 03 04 05 關係連結性 人事時地物 軌跡分析 Chain of Custody

24. 1.日誌檔、組態 設定、整機備份 2.檢視是否有危 害進行(依情況) 如何保存數位證據 備份、斷網 應變處置 鑑識根因分析 1.應變措施執行 2.額外防禦措施

    3.有備機嗎? 4.是否恢復服務? 5.應變是否有效? 1.還原攻擊路徑、 方法 2.補救措施 3.司法程序 1.確認被入侵之 系統、主機範圍、 2.拿到什麼資料 3.準備工具 4.聯絡窗口 範圍判斷

25. NPO對於資訊的應用有哪些? • 工作夥伴：打卡、請假、信箱、官網、 粉絲專業、印表機、遠端、網路磁碟、 電腦作業系統版本、網頁服務、公私 環境混和… • 捐款者：捐款系統(信用卡、行動支 付支付)、捐款資料庫、會員資料庫、 公開資訊…

    • 廠商：維護系統、接觸組織資料、網 路設備 • 首先你得需要一張表列出組織內有哪 些資訊正在被使用?誰可以使用等? • 各項資料是否都有保存到? 用了什麼系統?如何用? 鑑識面 • 甚麼資料在哪個系統? • 系統是否皆有紀錄可循? • 紀錄放在哪裡? • 系統承辦人是否知悉如何操作系 統? • 是否規範廠商提供系統安全檢測 以及處理資安事件之服務 • 備份à備份à備份

26. 資安事件發生之應變流程-SOP 1. 應變小組成立(主管、組織成員、供應商) 2. 確定侵害範圍，影響層面 3. 進行損害控制：系統監控、異常行為側錄、即時隔離阻擋 4. 保留證據：日誌檔備份、系統備份、紀錄事件處理流程 5.

    服務重啟：備機、新增防護措施完成 6. 對外說明：宣導、聲明、補救措施等 7. 報案調查：若有損失，報案進入調查 8. 情資分享：組織間資訊環境相近，即時分享資訊避免災害擴大 9. 檢討改進：系統面維護、人員面管理、供應商能力 10. 重建流程：改善SOP並加入新的風險控管措施

27. 資安策略分析規劃 05 對於NPO來說可行的方案 (資源有限效益最大化之方向)

28. 1. 計畫（Plan）-資安的目標是什麼? (現況分析、組織文 化) 1. 執行（Do）-依計畫執行資安事項 2. 查核（Check）-檢查是否有完成 3. 行動（Act）-檢討重新規劃改進

    PDCA 循環 ISO 27001 的管理週期

29. 資安三大面向-資安法 制定計畫 領導人支持 追蹤管考 管理面 資訊拓譜圖 外對內阻擋 內對外防護 異常通報 更新檢視

    技術面 資訊人員 資安意識 上網習慣 資安演練 教育面

30. Cybersecurity Framework(CSF) NIST提供解決預算缺乏以及高成本建立驗證 難題的方法 先找出組織所需要的控制風險，再進行排序， 優先處理較為嚴重的資安漏洞，最後建立完 整的管理週期，逐步提升資安成熟度

31. CSF-7步驟5功能 Step 1：確定優先級和範圍 Step 2：確認組織目標與方向 Step 3：描述當前資安狀況 Step 4：進行風險評估 Step

    5：描述目標資安狀況 Step 6：確定、分析差距並確 定其優先級 Step 7：實施行動計劃 風險評鑑 風險管理 識別( Identify )：建立組織規則以 管理系統、人員、資產、資料和功 能的網路安全風險。 保護( Protect )：建立和實施適當 的安全措施以確保重要服務的運行。 偵測( Detect )：制定並實施適當的 作為以識別網路安全事件的發生。 回應( Respond )：對偵測到的網路 安全事件，規劃並實施適當的行動。 復原( Recover )：制定並實施適當 的措施以修復因網路安全事件受損 的功能和服務。

32. Cyber Defense Matrix 1. 更直觀的方式，掌握到資安缺口 2. 大多針對供應商產品的用途面 3. 對於不大的組織來說不易應用

33. 沒計畫之解法 • 系統確保更新 • 備份 • 供應商共同負責 資料保護 • 資安敏感度

    • 教育訓練 • 區分權限 使用習慣 • 技術人員 • 聯絡清冊 • 流程SOP 資源整備

34. 資料保護 1. 弱點管理：知道系統弱點在哪，優先修補à最常見 2. 用戶端：作業系統更新、瀏覽器附加元件、防毒、資 料加密 3. 伺服器端：作業系統更新、網頁伺服器、資料庫儲存、 外掛元件版本 4.

    大多數遭入侵是：明明弱點都出來了(甚至有公開攻 擊程式)，但往往都是未修補漏洞造成的，若修補完 後企業風險將大幅降低。

35. 資料保護 1. 備份3-2-1原則： a. 資料至少備份3份 b. 用2種以上儲存方式 c. 至少要有1份資料放在不同地方 2.

    供應商責任：供應商資安維護合約、程式安全檢測報 告(有無通過測試)、發生資安事件的處理時間

36. 使用習慣 1. 資安意識與訓練：資料外洩往往透過釣魚攻擊或社交 工程方式導致 2. 若企業有技術面的設備(防火牆、反垃圾郵件、資料 過濾)當然很好，可以相互搭配防護à但就是沒有 3. 教育訓練應常舉辦，頻率不得太低，而且應有效執行 (簡訊、郵件社交工程，集會場合宣導)

    4. 如何認出惡意行為，如果有察覺該怎麼做à第一時間 的重要性 5. 權限控管：最小權限原則、多因子認證、定期檢查更 換

37. 資源整備 1. 有效紀錄事件資料，找到入侵證據降低傷害 2. 是否有資安事件發生時的聯絡清冊(主管、供 應商、其他夥伴) 3. 維持有效的應變團隊、工具與處理程序 4. BCP演練計畫(情境演練、實際演練)

    5. 供應鏈安全

38. 結論 06

39. 確認組織現狀， 建構資安姿態

40. Q&A

41. 如何請單位人員配合資訊 安全作業與有效控管資安 規範、組織文化、長官支持

42. 可以做什麼，不可以做什 麼 取決於組織對於資訊使用的習慣以及適應能力

43. 平常如何宣導與培養員工 資安意識 自然讓資安成為生活中的一部份

44. 個資法底下，資安有哪些 要做 • 不直接將個資傳遞(明碼傳送) • 加密(壓縮檔、PDF) • 檔案及文字分開 • 不使用USB等隨身裝置

    • 紙本資料非必要保存時直接銷毀(碎紙機) • 注意傳送個資管道是否正確(軟體或傳給誰?) • 個資遮罩(Ex. 賴O睿)

45. 資安重擔似乎落到了平台 端上-供應商管理很重要 • 確保產品本身無慮 • 針對資訊安全多注意：定期資安檢測第三方 廠商或政府之報告 • 與廠商訂立相關資訊傳達之管道(確保雙方不 被其他方式干擾)

46. 常用的Google、WordPress或 各種社交平台等工具 一般人在使用上是否有需特別注意的資安觀念，以防 被盜用。以及萬一遭到盜用，我們可以如何自救 雙因素驗證 定期更改密碼 確保產品更新 紀錄救援方式

47. Thanks! You can find me at Email:[email protected] Email:[email protected] Phone: 0905359617