IT 安全性事件的回應


本頁內容

簡介
開始之前
使安全性事件的數目與嚴重性減到最少
召集核心電腦安全性事件回應小組
定義意外事件回應計劃
控制損毀和降低風險
相關資訊

簡介

您的資訊技術 (IT) 部門或管理員已做好什麼樣程度的準備來處理安全性事件?許多組織只有在遭受攻擊之後,才開始學習如何回應安全性事件。到了這個時候,解決事件所需花費,往往要高於事先預防的代價。適當的事件回應應該是您整體安全性原則與風險減輕策略不可或缺的部分。

回應安全性事件有清楚直接的好處。然而,它也可能會帶來財務方面的間接好處。例如,如果您可以證明您的組織能快速地、有成本效率地處理攻擊,您的保險公司可能會提供保費的折扣。或者,如果您是服務提供者,正式的事件回應計劃可能幫助您贏得業務,因為這表示您非常重視維護資訊安全性的程序。

當回應中小型 (SMB) 網路環境中發現的入侵時,這份文件將提供推薦的過程與程序供您使用,並對由明確的小組成員角色所組成的安全性事件回應小組的價值,與如何定義安全性事件回應計劃做說明。

若要成功地回應事件,您需要:

  • 使安全性事件的數目與嚴重性減到最少。

  • 召集核心電腦安全性事件回應小組 (CSIRT)。

  • 定義事件回應計劃。

  • 控制破壞程度並使風險減到最小。


開始之前

系統管理員在網路環境方面花費許多時間,並且對網路非常地熟悉。他們為環境提供文件,並在適當的地方備份。在適當的地方應該有稽核的程序,來監視效能與使用。實施事件回應小組之前,應有一定程度的察覺。

無論您對網路環境的了解有多詳盡,依然存在著被攻擊的風險。任何靈敏的安全性策略必須包含如何回應各種不同類型攻擊的明細。

使安全性事件的數目與嚴重性減到最少

在大部分的生活方面,預防重於治療,安全性不允許例外發生。只要有可能,您會在第一現場預防發生安全性事件。然而,要預防所有的安全性事件是不可能的。要是安全性事件的確發生了,您就得確保它的衝擊會降到最低。要將安全性事件的數目與衝擊降到最低,您應該要:

  • 清楚地建立與執行所有的原則與程序。許多的安全性事件是因為 IT 人員沒有依照程序、理解程序,而變更管理程序,或是不適當地規劃安全性裝置,如防火牆與驗證系統,而意外地引起。您的原則與程序必須被完全地測試,來確保它們是可行與清楚的,並提供適當的安全性等級。

  • 獲得安全性原則與事件處理的管理支援。

  • 例行地評估環境中的弱點。評估應由安全性專家進行,並應有適當的空間來執行評估的動作,換言之就是結合與賦予系統管理者的權利。

  • 例行地檢查所有電腦系統與網路裝置,確保它們已安裝最新的修補程式。

  • 為 IT 人員與使用者雙方建立安全性訓練課程。系統中最大的弱點其實來自經驗不足的使用者。ILOVEYOU 蠕蟲有機可趁,利用 IT 人員與使用者之間的弱點趁虛而入。

  • 發表安全性標題消息,與違反行為可能告發的警告,提醒使用者關於他們的責任與限制。這些標題消息有助於蒐集證據與告發攻擊者。您應該取得法律上的意見,確保安全性標題消息的遣詞用字是適當的。

  • 發展、執行與實施原則需要強性密碼。您可以在《Security Guidance Kit (英文)》的<Enforce Strong Password Usage Throughtout Your Organization>,了解更多有關密碼的資訊。

  • 例行地監視與分析網路流量與系統效能。

  • 例行地檢查所有日誌以及記錄的機制,包含作業系統的事件日誌,應用程式特定的日誌以及入侵偵測的系統日誌。

  • 核對備份與還原程序。您應該了解在何處進行備份,誰可以存取備份,以及資料還原與系統復原的程序。確定您定期藉由選擇性地還原資料來核對備份與媒體。

  • 建立電腦安全性事件回應小組 (CSIRT),來處理安全性事件。您可以在本文件以下的章節中,學習更多關於 CSIRT 的資訊。


召集核心電腦安全性事件回應小組

CSIRT 是您環境中處理電腦安全性事件的焦點。您的小組應該包含一組人員,負責處理任何的安全性事件。小組成員應該清楚地定義職務,確保能涵蓋回應的所有區域。

對組織來說,在事件發生之前召集小組是非常重要的,並且將對如何處理事件有正面地影響。一個成功的小組將會:

  • 監視系統的安全性缺口。

  • 做為中央的通訊點,既可以接收安全性事件的報告,也可以散播所需的資訊到與該事件有關的適當點。

  • 用文件證明與記載安全性事件。

  • 在公司內部提升安全性的體認,協助防止事件在組織內發生。

  • 藉由弱點評估與入侵測試等程序,支援系統與網路的稽核。

  • 學習攻擊者所採用的新弱點與攻擊策略。

  • 研究新的軟體修補程式。

  • 分析與開發新的技術,使安全性弱點與風險減到最小。

  • 提供安全性顧問服務。

  • 持續地改善與更新目前的系統與程序。

當您建立 CSIRT 時,需籌劃這個小組,使其有處理事件的能力。要籌劃這個小組,您應該要:

  • 訓練他們在關鍵的安全性工具位置上適當的使用。您也應該考慮提供已預先規劃這些工具的可攜式電腦,確保在安裝與規劃工具時,不會浪費時間,可以立即對事件進行回應。這些系統與相關的工具在不使用時,必須適當地保護。

  • 收集所有相關的通訊資訊。您應該確保您擁有組織內需要被通知者的連絡姓名與電話號碼 (包含 CSIRT 的成員,負責支援全部系統的人員,以及負責媒體關係的人員)。您也需要您的網際網路服務提供者 (ISP),以及當地或是國際法律執法機構的詳細資料。在事件發生之前,請先與您的法律顧問討論有關與當地法律執法機構接洽的事宜。這將有助您,確保您了解溝通事件與收集證據的適當程序。在與執法機關有任何接觸時,應通知法律顧問。

  • 將所有緊急系統資訊放置在中央、離線的位置,如實體資料夾或是離線的電腦中。這些緊急資訊包含系統的密碼、網際網路通訊協定 (IP) 位址、路由器規劃資訊、防火牆規則設定清單、憑證授權金鑰的副本、連絡姓名與電話號碼、以及擴大程序等等。這些資訊必須可以有效讀取,並且保持在非常安全的情況下。一種安全且可以有效讀取資訊的方法就是在指定的可攜式電腦上,將資訊譯成密碼,並放置在安全的保管庫,限制保管庫只能由被授權的專人進入。例如,CSIRT 組長、資訊長或是技術長。

理想的 CSIRT 成員與結構將視組織的類型與風險管理策略而定。然而,CSIRT 通常應該組成部分或是全部的組織安全性小組。在這個核心小組中,是負責對任何事件協調回應的安全性專家。CSIRT 成員的數目將典型地視組織的大小與複雜度而定。然而,您應該確保有足夠的成員,能在任何時間充分地頂替小組所有的職務。

建立小組角色

成功的 CSIRT 小組由許多重要的成員組成。

CSIRT 小組組長。CSIRT 必須有專人負責它的活動。CSIRT 小組組長通常負責 CSIRT 的活動,並協調它行動的檢閱。這可能在處理未來的事件時,引導原則與程序的改變。

CSIRT 事件主任。在事件的項目中,您應該指定專人負責協調回應。CSIRT 事件主任擁有特別事件或是相關安全性事件組的主導權。所有與此事件相關的通訊都必須經由事件主任進行協調,當面對 CSIRT 外部發表談話時,他或她將代表整個 CSIRT。事件主任將依事件性質的不同而有所更動,通常事件主任與 CSIRT 小組組長是由不同的人擔任。

CSIRT 相關成員。除了核心 CSIRT 小組之外,您應該要有一些特定的人員,處理與回應特別的事件。相關的成員將來自於組織內各種不同的部門。他們專精於受安全性事件影響的區域,但該區域不是由核心 CSIRT 直接處理。相關的成員可以直接投入事件中,或是擔任窗口,將責任分派給部門中更適當的人員。以下的表格顯示一些建議相關的成員以及他們所擔任的角色。

CSIRT 副成員

副成員

角色說明

IT 連絡人

本成員主要負責協調 CSIRT 意外事件領導人和 IT 群組其他人之間的通訊。IT 連絡人也許沒有特定的專業技術可以回應意外事件,但他們主要負責在 IT 群組當中尋找適當的人選,來處理特定的安全性事件。

法律代表

本成員是非常熟悉既有意外事件回應政策的法律人員。法律代表可以判斷如何在意外事件當中,以最小的法律責任和最大的能力來起訴犯人。

在意外事件發生時,法律代表必須負責監視和回應原則,確保公司在採取整肅或圍堵作業時,不必背負法律風險。他們必須考慮下面兩者的法律含意:關閉系統,但可能因此違反與客戶之間的服務等級合約或成員資格合約;或者不關閉受害系統,但必須擔負受害系統攻擊所導致的損壞。

任何與執法機關以外,或外部調查機構的通訊,也必須與法律代表協調。

公共關係人員

通常成員是公共關係部門的成員,負責保護和提升公司形象。

他們不一定要直接面對媒體和客戶,不過他們要負責技巧的傳達訊息 (而訊息的內容和方針,通常由管理階層負責)。所有的媒體的詢問,都應該由公共關係部門處理。

管理人員

取決於特定事件的情況,您可能只涉及部門管理人員,或是遍及整個公司。適當的管理人員將根據影響力、位置、嚴重性以及意外事件的類型而不同。

如果您有管理階層的連絡人,就可以很快的找到最適合某些特定環境的人選。管理人員負責核准和指導安全性原則。

管理人員同時也負責決定意外事件對於公司的總影響力 (包括財務和其他方面)。管理人員會指示通訊人員,哪些資訊應該透露給媒體,並且決定法律代表與執法機關之間的互動程度。

回應意外事件

在意外事件當中,CSIRT 會協調來自核心 CSIRT 的回應,並且與 CSIRT 的副成員通訊。下表所列的,是這些人在意外回應程序當中所擔負的責任。

CSIRT 在意外事件回應程序當中所擔負的責任

活動

角色

 

CSIRT 事件主任

IT 連絡人

法律代表

通訊人員

管理人員

最初評定

擁有者

指示

最初回應

擁有者

執行

更新

更新

更新

收集法庭證據

執行

指示

擁有者

執行暫時修正

擁有者

執行

更新

更新

指示

傳送通訊

指示

指示

指示

執行

擁有者

詢問當地執法機關

更新

更新

執行

更新

擁有者

執行永久修正

擁有者

執行

更新

更新

更新

判斷在業務上所受到的財務影響

更新

更新

指示

更新

擁有者


定義意外事件回應計劃

IT 環境的所有成員都應該知道,在意外事件發生時該採取哪些動作。在回應意外事件時大部份的行動是由 CSIRT 負責執行,而所有等級的 IT 人員應該要知道如何在內部報告意外事件。至於一般使用者則要直接向 IT 人員報告可疑活動,或者透過服務台 (而不是直接向 CSIRT) 報告。

意外事件回應計劃必須由所有的小組成員仔細審查。方便所有的 IT 人員存取計劃,是為了確保意外發生時,能採取正確的程序。

意外事件回應計劃應該包含下列幾個步驟:

  • 進行最初評定。

  • 傳達意外事件。

  • 控制損毀和降低風險。

  • 確定危害的類型和嚴重性。

  • 保護證據。

  • 在適當時通知外部代理人。

  • 復原系統。

  • 編譯和組織意外事件文件。

  • 評定意外事件的損失和成本。

  • 審查回應和更新原則。

這些步驟並沒有絕對的先後順序。而是在整個意外事件過程當中都會發生。例如,文件記錄一定是從意外事件開始就持續進行到事件結束為止;而通訊作業也是在整個意外事件過程中持續進行。

程序中的其他步驟則是彼此互動。例如,在進行最初評定時,就大約知道攻擊行動的一般性質。您必須利用這項資訊來控制損害,並且儘快將風險降到最低。如果動作夠快的話,就可以節省時間和金錢,並且挽救公司的信譽。

但是,如果沒有更進一步的了解危害的類型和嚴重性,就無法有效控制損害並降低風險。過度熱心的回應,其損害甚至會比最初的攻擊更加嚴重。透過步驟間彼此進行的互動,就可以在快速和有效行動之間取得平衡。

注意:在意外事件發生之前,先徹底測試意外事件的回應程序是非常重要的。如果沒有經過徹底的測試,就無法確定您的措施是否能夠有效回應意外事件。

進行最初評定

您可以從許多活動看出貴公司可能會遭到攻擊。例如,執行合法系統維護的網路系統管理員,與啟動某種攻擊的人看起來很類似。在其他情況下,設定不良的系統也可能會讓入侵偵測系統出現許多假象,很難辨認哪些才是真正的意外事件。

在進行最初評定時,最好能夠:

  • 採取幾個最初的步驟,判斷您所面對的是真正的意外事件還是假象。

  • 大致了解攻擊的類型和嚴重性。了解這一點之後,就可以傳達它進行更進一步的研究,並且開始控制損害和降低風險。

  • 徹底記錄您的動作。不管是這些記錄真還是假,會在稍後記錄意外事件時用上。

注意:您應該儘量避免假象的發生;不過針對假象採取行動,總比無法針對真正的意外事件採取行動來得好些。因此,最初評定要儘量簡單,但又能避免明顯的假象發生。

傳達意外事件

一旦您開始懷疑有安全性意外事件發生時,就應該迅速將破壞訊息傳達給核心 CSIRT 的其他人。意外事件領導人連同小組其他成員,也應該迅速找出核心 CSIRT 以外有哪些人需要連絡。這是為了能夠妥善控制和協調意外事件,儘量將損害範圍降到最低。

要知道損害可以來自各方面,而且,被報紙以頭條新聞報導安全性保護遭到破壞,後果可能遠比許多系統入侵來得嚴重。因此為了避免攻擊者接獲密報,在妥善控制意外事件之前,只有那些參與意外事件回應的人才會收到通知。根據個別獨特情況,您的小組會在稍後判斷需要將意外事件通知哪些人。其範圍從特定的個人,到整個公司和外部客戶都有可能。與外部的通訊應該跟法律代表協調。

控制損毀和降低風險

如果迅速採取行動,降低實際和潛在的攻擊破壞,還是有大事化小的可能。真正的回應將視貴公司和所面臨攻擊的本質而定。然而,建議使用下列優先順序當做起點:

  1. 保護性命與人身安全。這一點當然是第一優先。

  2. 保護機密和敏感資料。在規劃意外事件回應時,最好能夠清楚定義哪些是機密資料,哪些是敏感資料。這能夠讓您為保護資料所做的回應排出優先順序。

  3. 保護其他資料,其中包括財產、技術和管理方面的資料。環境當中的其他資料也可能很有價值。您應該先從最有價值的資料保護起,行有餘力再保護其他用途稍低的資料。

  4. 保護硬體和軟體來對抗攻擊。其中包括保護系統檔案,不讓它們遺失或被變更,以及保護硬體降低實際損失。系統損壞可能會導致高成本的停擺。

  5. 儘量避免運算資源 (包括處理程序) 的中斷。雖然在大部份的環境中存留時間相當重要,但是在受到攻擊時讓系統保持在啟動狀態,很可能會在日後導致更大的問題。因此,儘量降低運算資源的中斷次數,優先順序通常相對較低。

下面是幾種在您環境下控制損害和降低風險的方法。您至少應該要:

  • 儘量避免讓攻擊者知道您已經注意到他的活動。不過這一點不太容易,因為有些必要的回應難免會透露一些警訊給攻擊者。比方說,如果 CSIRT 召開緊急會議,或者要求立即更改所有密碼,那麼任何內部攻擊者就知道您已經警覺到意外事件了。

  • 比較讓受害和相關系統離線與繼續作業的風險,哪一種方式的成本較高。在大部份的情況下,應該採取立即讓系統離線的做法。但是,有的服務合約卻要求即使有發生進一步危險的可能,系統還是要保持在可用狀態下。在這些情況下,您可以選擇保持部分系統連線,以便在繼續受到攻擊期間收集其他證據。
    在某些案例中,意外事件的損害程度和範圍,已經逼得您不得不採取行動,即使接受服務等級合約所指定的懲罰也在所不惜。不管是哪一種情況,重要的是在意外事件發生時所採取的動作,都要經過事先討論,而且在回應計劃當中提及,這樣一旦發生攻擊時才能立即行動。

  • 判斷攻擊者所用的存取點,並執行方法來防止進一步的存取。這些措施可能包括停用數據機、在路由器或防火牆加上存取控制項目,或者增加實際安全性措施。

  • 考慮以新硬碟重建全新的系統(最好取出現有的硬碟放在保管箱中,如果決定要起訴攻擊者時,那麼這些都可以作為證據)。確定更改所有的本機密碼。最好連同環境當中其他部分的系統管理和服務帳戶密碼也一併更改。

確定危害的嚴重性

如果要有效復原,必須判斷系統受害的嚴重性。這是為了判斷如何進一步的控制和降低風險、如何復原、如何快速地將意外事件傳達給誰,以及是否要尋求法律賠償。

您應該採取下列行動:

  • 判斷攻擊的性質 (這可能與最初評定時所建議的不同)。

  • 判斷原始的攻擊點。

  • 辨別攻擊意圖。攻擊是直接針對您的組織而來,想要獲得某些資訊,還是隨機的?

  • 辨識被侵入的系統。

  • 辨識已經被存取過的檔案。

執行這些動作,可以為您的環境決定適當的回應。您越瞭解攻擊,就可以擬定事件回應計畫,決定可採取的詳細步驟。一般說來,依據攻擊徵兆的本質,您所採取的步驟先後也有所不同。時間是先決條件,應該優先執行較省時的程序。為了更瞭解入侵的嚴重性,您可以:

  • 連絡回應小組的其他成員,告知您的發現。讓他們驗證您的結果,決定是否有相關或潛在的攻擊行動,並且辨別這次事件是否為誤判。在某些案例中,一開始評估為真正攻擊的事件到後來卻證明是錯誤警報。

  • 判斷未授權的硬體是否已經連接到網路,或者是不是有任何跡象,顯示有經由實體保全控制侵入,進行未經授權的存取。

  • 檢驗金鑰群組 (網域系統管理員、系統管理員等等),看看是否有未經授權的項目。

  • 搜尋安全評估或 Exploitation 軟體在蒐證期間,破解被侵入系統中常發現的公用程式。

  • 使用啟動資料夾或註冊項目,以尋找未授權的程序或應用程序,不論是正在執行或即將執行的。

  • 尋找系統記錄檔中的間隔,或者系統記錄檔是不是根本不存在。

  • 回顧系統記錄檔的入侵偵測,若有入侵的跡象、系統可能已經受損、攻擊的模式、攻擊的時間及長度、潛在損毀的程度。

  • 檢驗其他的系統檔案是否有不尋常的連線;安全稽核失敗;不尋常的安全稽核成功;失敗的登入嘗試;嘗試登入預設帳號;非工作時間的活動;檔案、目錄、及共用使用權限的變更;使用者權限的提昇及變更。

  • 將系統跟先前執行的檔案/系統完整性檢查作比較。這樣能讓您瞭解系統檔案及登錄的變更,包括新增、刪除、修改、使用權限及控制。若清楚瞭解被侵入的部分及待修復的區域,在面對攻擊事件時,您將可以節省很多時間。

  • 尋找敏感的資料,可能已經被移動或隱藏,供日後重建或修改,例如信用卡號、員工及顧客資料。您可能也必須檢查非商業資料,違法的軟體複製,電子郵件及其他記錄,以協助調查進行。協助調查目的的系統搜尋,若可能會違反隱私權或其他法律時,應先向法務部門連絡再進行。

  • 符合可疑系統的效能,以抵禦基準線效能層級的效能。這點當然是假設已經建立基準線並經過正確更新的情況。

決定哪個系統受到危害以及危害方式時,一般都會比較同樣系統在遭受危害之前的記錄基準線。如果先前的陰影複製來自某個已經遭受攻擊的系統,而且假設最近的系統陰影複製不足以比較,那麼您可能會遭遇困難的處境。

注意:像 EventCombMT、DumpEL,以及 Microsoft Operations Manager (MOM) 這些工具,都可以協助您決定系統遭受攻擊的程度。協力廠商的入侵偵測系統可以給予攻擊預警,也提供其他工具來顯示您系統上變更的檔案。

保護證據

在多數情況下,如果環境遭受蓄意攻擊,您可能會想對入侵者採取法律行動。要保留這個選項,即使某個決策最後不能構成法律行動,您還是應該將可以用來抵制他們的證據蒐集起來。儘早備份遭受危害的系統是非常重要的。在執行任何會影響原有媒體上的資料完整性的動作前,優先備份系統。

擅長電腦鑑識的人員應該使用全新且不曾用過的媒體,製作兩份完整位元對位元的整體系統備份。至少有一個備份應該由一次性寫入且多次讀取的媒體製作,如 CD-R 或 DVD-R。這個備份應該只用來處裡違法情事,而且必須在實體上加以保護以備不時之需。

另一種備份可當作資料修復。這些備份除了合法的目的之外不應該存取,所以您應該在實體上確保這些備份的安全。您也需要將備份制定資料,像是誰備份此系統?在何時?如何維護?以及是誰來存取?

備份在執行時,您應該移除原始的硬碟,並儲存在一個實體安全的位置上。這些磁碟可當作起訴事件的呈堂證供。新硬碟應該用來還原系統。

在有些情況下,保存資料的好處可以省下不少應延誤回應以及系統修復的成本。保存資料的成本與好處應與每次較快的修復事件作比較。

對極大的系統而言,為所有受危害的系統全面備份是不可行的。取而代之,你應該備份系統中所有的記錄與選取的、被入侵的部份。

如有可能,備份系統也能陳述資料。起訴可能需要數月或數年才開始,所以擁有事件的眾多細節在未來的使用上是重要的。

通常大多數困難合法的起訴一件網路犯罪情形,是以收集可接受提交證據的特定司法條則的方式。因此,為了針對可靠的證據,大多數鑑識過程的犯罪元件,是詳細及完整的系統如何操作、被誰操作、何時操作的文件。在每頁文件上簽名與標誌日期。

您在工作之時,確認備份,您可以消除受感染的系統並加以重建。這將使您再執行操作。備份提供起訴所需的關鍵性、未修正的證據。使用鑑識備份的不同備份來還原資料。

通知外界機構

當事件已控制住並保留了可供訴訟的資料後,您應該考慮是否應該開始通知適當的外界實體單位。所有對外發言都應該先與您的法律顧問諮商過。應通知的機構包括當地與國家的執法單位、外界安全機構及病毒專家。外界機構可以提供技術協助、更快速的解決方式及從類似事件學得的經驗,幫助您從事件中完全復原並防止未來再次發生。

針對某些特定產業與破壞型態,您可能必須通知客戶與一般大眾,尤其是如果客戶可能會直接受到該事件影響時。

如果該事件在財務上造成連帶影響,您可能會向執法機構檢舉。

由於公司與事件的高知名度,媒體也可能會涉入其中。一般而言,安全性事件造成媒體關注是最不願見到的情況,但通常也難以避免。媒體關注讓您的組織能以主動立場來傳達該事件。至少在事件回應程序上,應該明確推派公司發言人向媒體代表說明。

一般來說,對媒體發言是由組織內的公關部門負責。您不應該嘗試對媒體否認發生過的事件,因為相較之下,主動承認並具體回應反而不會損及您的商譽。這並不表示您應該不論嚴重性與否,每次事件發生時都通知媒體。您應該針對個別狀況逐一評估適當的媒體回應。

復原系統

復原系統的方式通常是視安全性破壞的程度而定。您必須判斷是否要儘可能保留原狀而還原現有系統,或是必須完全重建系統。

若要還原資料,當然是假設您在事件發生前已有乾淨的備份。檔案整合性軟體可以幫助您在損害首次發生時精確偵測。如果軟體警告您檔案遭變更,您便可以確定在警告之前所作的備份是正常的,必須保留以便用來重建受損的系統。

有些事件可能在發現之前已損毀數個月的資料。因此您務必在事件回應程序時,判斷出事件的持續時間。(您可以透過檔案/系統整合性軟體與入侵偵測系統來進行此項工作。)在某些情況下,最新的或甚至前幾次的備份,時間長度可能都不足以取得乾淨的狀態,因此您應該定期將資料備份存檔到安全的外地位置。

蒐集與整理事件證據

CSIRT 應該在處理任何事件時,從頭到尾地記錄所有程序。其中應該包括破壞程度說明與每個執行過的動作 (該動作由誰執行、何時執行以及執行的原因)。所有涉入存取的人員,都應該記錄在回應程序的整個過程中。

接著,將此文件依時間順序整理、檢查完整性後,再由管理與法律顧問共同簽署與審查。您還必須在保護證據階段,嚴密監控收集到的證據。您必須考慮在所有階段指派兩名人員呈證,以便能在每一步驟答辯。這將會降低證據不被採納的可能性,以及之後遭到修改的機率。

請記得嫌犯可能會是員工、約聘人員、短期雇員或您組織內的其他成員。若沒有完整而詳盡的文件,要辨識出內部嫌犯將會非常困難。適當的文件還能有助於控告嫌犯。

評估事件造成的損害與成本

判斷對組織造成的損害時,您應該同時考慮直接與間接成本。如果您決定循法律途徑解決時,事件損害與成本將會是必須的重要證據。這些項目包括:

  • 由於洩漏公司專利與機密資訊而喪失競爭力所造成的成本。

  • 訴訟成本。

  • 分析破壞程度、重新安裝軟體及復原資料的人力成本。

  • 與系統當機時間相關的成本 (例如,損失員工產能、損失銷售量、汰換硬體、軟體及其他資產等)。

  • 修復及可能更新損壞或無效實體安全性措施的相關成本 (鎖、牆、機箱等)。

  • 其他連帶損害,例如損失商譽或客戶信任等。

檢討回應與更新原則

完成文件記錄與復原階段後,您必須從頭到尾地檢討整個程序。釐清您的小組順利執行了哪些步驟,以及犯了哪些錯誤。幾乎百分之百的情況下,您會發現某些程序必須進行修改,以便未來發生事件時能更輕易地處理。

您會發現此次事件回應計劃中的缺點,這份總結檢驗報告的重點在於尋求改善的機會,以便於作為下一次事件回應計劃程序的入門。

相關資訊

本文中有大量篇幅著重於您可以採用的措施,使遭受攻擊的風險降到最低。不過,組織若要能成功地達到安全性目標,除了儘可能降低本身遭到攻擊的機會外,還要對於遭到攻擊後的因應方式有所規劃。此程序的其中一部份,就是針對攻擊仔細稽核。其他重要部分還包括對於發生攻擊後您可以立即回應的動作,作清楚的定義與完善的演練。

如需關於建立事件回應計劃的更多資訊,請參閱下列連結:

如需關於安全性的詳細資訊,請參閱下列連結:

  • Juanita Ellis 與 Tim Speed 合著的《The Internet Security Guidebook: From Planning to Deployment (英文)》(Academic Press 出版,ISBN:0223747)。


顯示: