工作輔助 4:意外事件回應快速參考卡

 

您可以將下面這份檢查清單當作指導方針,有效完成回應意外事件的必要步驟。但是步驟的確實順序,則要根據貴公司和意外事件的性質而定。有關意外事件回應的詳細資訊,請參閱第 7 章〈回應意外事件〉。
 

意外事件回應的通則
記錄每一件事。可以考慮用錄音機錄下備註。詳細記錄誰在何時做了什麼,以及為什麼這麼做。
保持冷靜。不要過度反應或過度驚慌。要按步就班的遵守安全性原則。
使用無線通訊以外的方式通訊,例如電話、傳真和面對面溝通。攻擊者也許能夠監聽。
持續與小組和其他受到波及的個人保持通訊。
避免重新開機,登入和登出,否則會不慎啟動惡意程式碼。
方針 1 – 進行最初評定
1.1 聯絡技術小組,確定意外事件並非假象。
1.2 檢查審核記錄,看看有沒有不尋常的活動,或者記錄有沒有間斷或缺少。
1.3 尋找駭客工具 (密碼破解工具,特洛伊病毒等等)。
1.4 檢查有沒有未經授權、且被設定要自動啟動的應用程式。
1.5 檢查帳戶,看看是否有提高的權限,或是未經授權的群組成員。
1.6 檢查是否有未經授權的處理程序。
1.7 判斷有沒有保留證據。
1.8 將受害系統的效能,與基準互相比對。
1.9 指派最初的優先順序層級以及意外事件領導人。
方針 2 – 傳達意外事件
2.1 將意外事件傳達給適當的股東和 CSIRT 聯絡人。
方針 3 – 抑制損毀和降低風險
3.1 根據嚴重程度和安全性原則,將受到波及的系統以離線方式加以隔離。
3.2 更改受害系統的密碼。
3.3 備份系統以備復原時使用,可以的話,也一併收集證據。
方針 4 – 指出受害的類型和嚴重性
4.1 判斷攻擊的類型。
4.2 判斷攻擊的意圖 (針對貴公司、自動攻擊、收集資訊)
4.3 找出攻擊牽涉到的所有系統。如果找出其他系統,則重新執行抑制步驟。
4.4 重新評估,必要的話,再重新指派優先順序層級給事件。
方針 5 – 保護證據
5.1 儘早在回應和復原週期當中,以從未用過的媒體來備份系統。
5.2 可能的話,不妨備份整個系統,包括記錄和系統狀態在內。
5.3 針對收集的證據,維護有跡可循的監管鏈。
5.4 保護證據,並且記錄由誰收集,如何收集,何時收集,以及誰有存取權。
方針 6 – 通知外部機構
6.1 在法律顧問引導下,通知當地和 (或) 聯邦執法機構。
6.2 將結果通知CSIRT 公共關係聯絡人,並且在必要時予以協助。
6.3 通知其他適當的機構,如 Carnegie Mellon 大學的 CERT 協調中心 。CERT 和其他這類機構都可以提供有用的復原資訊。
方針 7 – 將系統復原
7.1 尋找和驗證最近的非受害備份。
7.2 還原系統。
7.3 驗證功能並且將系統效能與歷程基準互相比對。
7.4 監視是否有重複的攻擊行動,以及因抑制步驟所導致的設定錯誤。
方針 8 – 編譯和組織意外事件記錄
8.1 將所有的附註和記錄,編譯到豐富的安全性意外事件活動記錄當中。
8.2 分送給意外事件參與人,請他們檢閱及核准 (包括檢查證據是否合法)。
8.3 檢查破壞的導因,並且加強防衛,防止未來再發生同樣或相關的攻擊事件。
8.4 協助財務部門估計破壞的成本。
8.5 準備向管理階層和其他股東提出報告,解釋事件如何發生,破壞的成本多高,以及未來如何防範。


顯示: