Slide 1
Slide 1 text
NPO資安事件反應及數
位鑑識處理指南
賴重睿(Austin)
臺北市政府警察局
2023.6.13 NetTuesday
Slide 2
Slide 2 text
講者簡介
姓名:賴重睿 Austin
學歷:中央警察大學 資訊管理學系
國立政治大學 資訊科學系(就讀中)
現職:臺北市政府警察局
業務內容:資訊安全(資安專責人員)
專長:數位鑑識、科技偵查及資訊安全管理等
Slide 3
Slide 3 text
Contents
01
以CIA方式說明資安
事件的類型及種類
什麼是資安事件
02
介紹近期重大資安事
件以及常見攻擊手法
常見資安事件發
生原因
03
舉兩個例子
資安事件案例分
享
04
數位證據特性、理論
以及如何保存證據
碰到資安事件該
怎麼做
05
對於NPO來說可行的
方案
資安策略分析規
劃
06
結論
Slide 4
Slide 4 text
什麼是資安事件?
01
什麼情況才算資安事件呢?
以CIA方式說明資安事件的類型及種類
Slide 5
Slide 5 text
1. 內部資安事件(操作不
慎、設備損壞)
2. 外力入侵事件(非法入
侵、駭客攻擊、網頁攻
擊、阻斷服務)
3. 天然災害或突發事件
(斷線、停電、火災、
颱風、設備)
資安事件類別 第一級:非核心業務遭輕微洩漏、非核心業務系統或資料遭
竄改、非核心業務運作遭影響或短暫停頓
第二級:非屬密級或敏感之核心業務資料遭洩漏、核心業務
系統或資料遭輕微竄改、核心業務運作遭影響或系統效率降
低(於可容忍中斷時間內回復正常運作)
第三級:密級或敏感公務資料遭洩漏、核心業務系統或資料
遭嚴重竄改、核心業務運作遭影響或系統停頓(無法於可容
忍中斷時間內回復正常運作)
第四級:國家機密資料遭洩漏、國家重要資訊基礎建設系統
或資料遭竄改、國家重要資訊基礎建設運作遭影響或系統停
頓(無法於可容忍中斷時間內回復正常運作)
資安事件影響等級
可用性
Slide 6
Slide 6 text
資安事件範例
電廠斷電,UPS
運作不正常,
經10分鐘後恢
復供電
不可想像
捐款訂單外洩
(但沒有個資)
信用卡號外洩
(接獲客戶電話、
網路訊息)
第四級
第三級
第一級 第二級
Slide 7
Slide 7 text
常見資安事件發生原因
02
介紹近期重大資安事件以及
常見攻擊手法
Slide 8
Slide 8 text
近期資安
事件
Slide 9
Slide 9 text
近期資安
事件
Slide 10
Slide 10 text
變臉詐騙(BEC)
簡訊
惡意連結、程式
USB
網路釣魚
社交工程
NAS傳資料
微軟Exchange
WIFI
供應鏈
常用系統
駭客常見攻擊手法
Slide 11
Slide 11 text
收到惡意簡訊實例
Slide 12
Slide 12 text
惡意郵件實例
Slide 13
Slide 13 text
ATT & CK 攻擊者的思維
Techniques 技術
Tactic 戰略
Slide 14
Slide 14 text
資安事件案例分享
03
舉兩個例子
(內容純屬虛構,如有雷同純屬巧合)
Slide 15
Slide 15 text
供應鏈攻擊
合法管道進入
系統成功,信
任A公司
取得帳密
取得會員個資
可以變賣、詐
騙等應用
抓取資料
A公司可遠端
登入組織的會
員資料進行維
護
會員資料
A公司通報、
事件反應、公
關處理、報案
發現問題
Slide 16
Slide 16 text
郵件伺服器遭入侵
爬蟲找到B公
司有使用郵件
伺服器
找公司
利用漏洞成功
執行指令,放
入webshell
嘗試成功
Exchange漏洞
常受駭客喜愛
微軟漏洞
偵測到惡意行
為,通知B公
司,接續修補
異常通知
Slide 17
Slide 17 text
如何察覺可能
有資安事件?
組織通常是被動得知,無有效
主動方法,相較之下很難察覺
Slide 18
Slide 18 text
具有識別事件能力
察覺資安事件前提
能力
得知民眾個資外洩,
發現是我們的資料
新聞or同業
高風險標的
民眾反映
165反詐騙
突然變慢
無法操作
網路變卡
資料遺失
電腦異常
SOC服務
告警訊息
監控
防毒
端點設備
防火牆
設備防護
WAF
SPAM
弱點掃描
Slide 19
Slide 19 text
碰到資安事件該怎麼做?
04
數位證據特性、理論以及如
何保存證據
Slide 20
Slide 20 text
從資安新聞或事件中,可以知道甚麼?
發生了甚麼事情?
為什麼會發生?
後續如何處理?
我們可以怎麼做?如何因應?
Slide 21
Slide 21 text
資安事件發生-四大要素
要素 前期處理 理由 目標
來源網址
(IP Address)
1.內部或外部?
2.遠端控制?
3.可能遭竄改?
追查來源裝置
保存證據
修補措施
稽核檢查
報案追查
時間戳記
(Timestamp)
1.時區
2.陽光節約時間
3.關聯校正
比對帳號以及電話號碼
數位行為
(Digital Action)
1.攻擊類型?
2.行為是可允許的嗎?
3.造成甚麼影響?
判斷影響範圍以及可能
危害到什麼
回應訊息
(System Response)
1.駭客目的?
2.發生甚麼事?
3.有沒有成功?
駭客是否成功,犯罪剖
繪
Slide 22
Slide 22 text
路卡交換原理(Locard’s Exchange Principle)
Every contact leaves traces.凡走過必留下痕跡
犯罪現場
攻擊者 受害者
數位
證據
Slide 23
Slide 23 text
數位證據的特性
資料發散性
證據動態性
格式多樣性
紀錄存在不
同地點
易變動需要
專業、技術
及能力(KSA)
不同儲存裝
置、格式
難辨真實性
易修改、複
製或刪除
證明不易
01 02
03 04
05
關係連結性
人事時地物
軌跡分析
Chain of Custody
Slide 24
Slide 24 text
1.日誌檔、組態
設定、整機備份
2.檢視是否有危
害進行(依情況)
如何保存數位證據
備份、斷網 應變處置 鑑識根因分析
1.應變措施執行
2.額外防禦措施
3.有備機嗎?
4.是否恢復服務?
5.應變是否有效?
1.還原攻擊路徑、
方法
2.補救措施
3.司法程序
1.確認被入侵之
系統、主機範圍、
2.拿到什麼資料
3.準備工具
4.聯絡窗口
範圍判斷
Slide 25
Slide 25 text
NPO對於資訊的應用有哪些?
● 工作夥伴:打卡、請假、信箱、官網、
粉絲專業、印表機、遠端、網路磁碟、
電腦作業系統版本、網頁服務、公私
環境混和…
● 捐款者:捐款系統(信用卡、行動支
付支付)、捐款資料庫、會員資料庫、
公開資訊…
● 廠商:維護系統、接觸組織資料、網
路設備
● 首先你得需要一張表列出組織內有哪
些資訊正在被使用?誰可以使用等?
● 各項資料是否都有保存到?
用了什麼系統?如何用? 鑑識面
● 甚麼資料在哪個系統?
● 系統是否皆有紀錄可循?
● 紀錄放在哪裡?
● 系統承辦人是否知悉如何操作系
統?
● 是否規範廠商提供系統安全檢測
以及處理資安事件之服務
● 備份à備份à備份
Slide 26
Slide 26 text
資安事件發生之應變流程-SOP
1.
應變小組成立(主管、組織成員、供應商)
2.
確定侵害範圍,影響層面
3.
進行損害控制:系統監控、異常行為側錄、即時隔離阻擋
4.
保留證據:日誌檔備份、系統備份、紀錄事件處理流程
5.
服務重啟:備機、新增防護措施完成
6.
對外說明:宣導、聲明、補救措施等
7.
報案調查:若有損失,報案進入調查
8.
情資分享:組織間資訊環境相近,即時分享資訊避免災害擴大
9.
檢討改進:系統面維護、人員面管理、供應商能力
10.
重建流程:改善SOP並加入新的風險控管措施
Slide 27
Slide 27 text
資安策略分析規劃
05
對於NPO來說可行的方案
(資源有限效益最大化之方向)
Slide 28
Slide 28 text
1. 計畫(Plan)-資安的目標是什麼?
(現況分析、組織文
化)
1. 執行(Do)-依計畫執行資安事項
2. 查核(Check)-檢查是否有完成
3. 行動(Act)-檢討重新規劃改進
PDCA 循環
ISO 27001 的管理週期
Slide 29
Slide 29 text
資安三大面向-資安法
制定計畫
領導人支持
追蹤管考
管理面
資訊拓譜圖
外對內阻擋
內對外防護
異常通報
更新檢視
技術面
資訊人員
資安意識
上網習慣
資安演練
教育面
Slide 30
Slide 30 text
Cybersecurity
Framework(CSF)
NIST提供解決預算缺乏以及高成本建立驗證
難題的方法
先找出組織所需要的控制風險,再進行排序,
優先處理較為嚴重的資安漏洞,最後建立完
整的管理週期,逐步提升資安成熟度
Slide 31
Slide 31 text
CSF-7步驟5功能
Step 1:確定優先級和範圍
Step 2:確認組織目標與方向
Step 3:描述當前資安狀況
Step 4:進行風險評估
Step 5:描述目標資安狀況
Step 6:確定、分析差距並確
定其優先級
Step 7:實施行動計劃
風險評鑑
風險管理
識別( Identify ):建立組織規則以
管理系統、人員、資產、資料和功
能的網路安全風險。
保護( Protect ):建立和實施適當
的安全措施以確保重要服務的運行。
偵測( Detect ):制定並實施適當的
作為以識別網路安全事件的發生。
回應( Respond ):對偵測到的網路
安全事件,規劃並實施適當的行動。
復原( Recover ):制定並實施適當
的措施以修復因網路安全事件受損
的功能和服務。
Slide 32
Slide 32 text
Cyber Defense Matrix
1. 更直觀的方式,掌握到資安缺口
2. 大多針對供應商產品的用途面
3. 對於不大的組織來說不易應用
Slide 33
Slide 33 text
沒計畫之解法
● 系統確保更新
● 備份
● 供應商共同負責
資料保護
● 資安敏感度
● 教育訓練
● 區分權限
使用習慣
● 技術人員
● 聯絡清冊
● 流程SOP
資源整備
Slide 34
Slide 34 text
資料保護
1.
弱點管理:知道系統弱點在哪,優先修補à最常見
2.
用戶端:作業系統更新、瀏覽器附加元件、防毒、資
料加密
3.
伺服器端:作業系統更新、網頁伺服器、資料庫儲存、
外掛元件版本
4.
大多數遭入侵是:明明弱點都出來了(甚至有公開攻
擊程式),但往往都是未修補漏洞造成的,若修補完
後企業風險將大幅降低。
Slide 35
Slide 35 text
資料保護
1.
備份3-2-1原則:
a.
資料至少備份3份
b.
用2種以上儲存方式
c.
至少要有1份資料放在不同地方
2.
供應商責任:供應商資安維護合約、程式安全檢測報
告(有無通過測試)、發生資安事件的處理時間
Slide 36
Slide 36 text
使用習慣
1.
資安意識與訓練:資料外洩往往透過釣魚攻擊或社交
工程方式導致
2.
若企業有技術面的設備(防火牆、反垃圾郵件、資料
過濾)當然很好,可以相互搭配防護à但就是沒有
3.
教育訓練應常舉辦,頻率不得太低,而且應有效執行
(簡訊、郵件社交工程,集會場合宣導)
4.
如何認出惡意行為,如果有察覺該怎麼做à第一時間
的重要性
5.
權限控管:最小權限原則、多因子認證、定期檢查更
換
Slide 37
Slide 37 text
資源整備
1.
有效紀錄事件資料,找到入侵證據降低傷害
2.
是否有資安事件發生時的聯絡清冊(主管、供
應商、其他夥伴)
3.
維持有效的應變團隊、工具與處理程序
4.
BCP演練計畫(情境演練、實際演練)
5.
供應鏈安全
Slide 38
Slide 38 text
結論
06
Slide 39
Slide 39 text
確認組織現狀,
建構資安姿態
Slide 40
Slide 40 text
Q&A
Slide 41
Slide 41 text
如何請單位人員配合資訊
安全作業與有效控管資安
規範、組織文化、長官支持
Slide 42
Slide 42 text
可以做什麼,不可以做什
麼
取決於組織對於資訊使用的習慣以及適應能力
Slide 43
Slide 43 text
平常如何宣導與培養員工
資安意識
自然讓資安成為生活中的一部份
Slide 44
Slide 44 text
個資法底下,資安有哪些
要做
• 不直接將個資傳遞(明碼傳送)
• 加密(壓縮檔、PDF)
• 檔案及文字分開
• 不使用USB等隨身裝置
• 紙本資料非必要保存時直接銷毀(碎紙機)
• 注意傳送個資管道是否正確(軟體或傳給誰?)
• 個資遮罩(Ex. 賴O睿)
Slide 45
Slide 45 text
資安重擔似乎落到了平台
端上-供應商管理很重要
• 確保產品本身無慮
• 針對資訊安全多注意:定期資安檢測第三方
廠商或政府之報告
• 與廠商訂立相關資訊傳達之管道(確保雙方不
被其他方式干擾)
Slide 46
Slide 46 text
常用的Google、WordPress或
各種社交平台等工具
一般人在使用上是否有需特別注意的資安觀念,以防
被盜用。以及萬一遭到盜用,我們可以如何自救
雙因素驗證 定期更改密碼
確保產品更新 紀錄救援方式
Slide 47
Slide 47 text
Thanks!
You can find me at
Email:[email protected]
Email:[email protected]
Phone: 0905359617