2008年10月19日 星期日

企業事件應變管理 (Enterprise Incident Management)

資安事件「應變處理 (Incident management, Incident Response(IR), Emergency Response, Incident Handling)」,它有很多名稱,簡體名稱為「应急响应(應急響應)」。相關政府單位、組織可以參考這裡

相關事件應變處理 (IR) 步驟或過程可以參考下列文章:
1. SANS InfoSec Reading Room:
Incident Handling
2. GIAC Research in the Common Body of Knowledge:
Analysis of the Incident Handling Six-Step Process
3. SecurityFocus
An Introduction to Incident Handling

SANS (SysAdmin, Audit, Network, Security) 對於資安事件應變處理上,有提出六大步驟,這些步驟並沒有一定的標準程序,但是有些模式可循,可以參考最經典的 SANS 處理建議:
Computer Security Incident Handling: Step-by-Step
1. Preparation (準備):
這階段是應變處理階段最重要的,我常說的一句話:「你準備好被入侵了嗎?」。這階段除了系統、設備...等需要留下相關事件記錄及資料備份外,還要成立危機處理小組 (緊急應變處理小組),讓相關人員了解在重大事件中扮演的角色,整理緊急聯絡清單 (Emergency Contact Lists)...等,這些都是要準備好的,且準備的越周密,在做應變處理時越不容易手忙腳亂的。
2. Identification (判斷):
簡單的說就是,判斷是否為資安事件,重點是「誰」有這權責可以決定 Yes or No。這是啟動後續緊急事件應變處理的關鍵點,並成立危機處理小組進行事件處理作業。有時「誰」可能還不知道有資安事件,就先一步處理掉了,參考先前一文「低調、詭譎與資安」;很多系統管理者會忽略入侵徵兆或怕被責難,私下了結問題,導致真正問題被隱匿了。
3. Containment (遏制):
這過程主要是避免事態持續擴大或凍結事件,但前提是要先進入狀況,才能做出正確的第一步。
4. Eradication (消除):
消除病狀,也就是要對症下藥的階段,達到藥到病除。切記:「病好了,不代表不會再生病」。
5. Recovery (復原):
恢復正常的營運或運作。很多人都只有做到這個階段,這樣只有做一半的,其實就跟沒有做 IR 一樣的。「歷史不能遺忘,經驗必須記取」。
6. Follow-up (後續作業):
這部分是 IR 成敗的關鍵,因為很多企業或單位幾乎都沒有做這階段的工作。要記錄相關事件應變處理過程 (文件化),要檢討是否還可以做的更好,該如何做?並且找出真正病因,思考如何不會再患...等,甚至是加強準備階段的工作事項、對工作同仁表現的適當獎懲、內部問題的溝通協調。想想,真的有很多工作且有些還是棘手問題,重點都是管理上的問題,你發現了嗎?

SANS 有教育訓練課程 -SECURITY 504,共有六天,第一天課程是「事件應變處理與電腦犯罪調查」,其中有建議目前的應變處理步驟,可以參考:
SECURITY 504 : Hacker Techniques, Exploits & Incident Handling
Day 1 : Incident Handling Step-by-Step and Computer Crime Investigation
Day 2~5 : Computer and Network Hacker Exploits - Part 1~4
Day 6 : Hacker Tools Workshop
這是目前 SECURITY 504 課程建議的事件應變處理步驟:
● Preparation
● Identification
● Containment
● Eradication
● Recovery
● Special Actions for Responding to Different Types of Incidents
● Incident Record Keeping
● Incident Follow-Up
比較一下有何不同還要思考為何不同的?這也是我特別寫出前後差異的原因,要深思的哩...可參考之前的一篇文「深思網站淪陷背後的意義」,希望大家有些收穫...

不過,這裡重點不是在討論應變處理步驟或過程,還是以管理的角度切入作探討,到底在事件應變管理上需要注意哪些議題:
1.新聞媒體
必須思考重大資安事件在新聞媒體曝光後的應變處理,尤其是與企業品牌形象有密切相關者,這部分必須加以特別注意,這部分的處理相當複雜。但,我的建議「誠實為上」並「化危機為轉機」。最近比較知名的就是「金車食品公司之三聚氫胺」事件,雖然與資訊安全並沒有太大關聯,但就應變處理結果是成功的。正確的應變處理就成為相當重要的關鍵,這平常是需要做好「準備」工作的。
2.資安事件的本質
資安問題最終都會有根本原因 (Root Cause),「根本原因分析 (Root Cause Analysis, RCA)」找出真正的問題,並加以根除,這樣才可以真正解決問題。有些時候不一定能找到根本原因,那其次的要求就是要能及時發現並立即反應處理,但,大多數都會採取這部分的措施,也就是所謂的「治標」方案,而非真正「治本」之道。很多時候即使找出真正原因,也會有多方角力影響最終的結果,事實總是殘酷的,你會發現很多事是經不起考驗的,你該如何做呢?
3.資安事件的分類與統計
在應變處理事件的分類是哪些?攻擊、惡意程式、內部資訊外洩....等;然後進行統計分析工作,是否偶發性還是經常性?嚴重程度?處理時間?處理成本?花費人力...等。最後,衡量解決資安病因的優先順序,並計畫未來資安預算的參考、採購依據。
4.應變處理結果的回饋
這個過程將是 IR 成敗的關鍵,簡單的說,如何避免資安問題的重複發生。IR 的最終結果,必須回到資訊安全防護的佈署計畫與策略中,加以調整或因應,或需要新的資安技術來預防或抵禦目前遭遇威脅。很多企業或單位常抱怨資安防護產品都沒有效用,花了錢都沒解決問題,除了沒有發揮產品功能外,大多都是根本就買錯資安產品;因為你不知道你的真正問題,卻認為這資安產品可以解決你的問題,甚至是所有問題。
5.如果不做 IR 你將不知道真正資安問題在哪裡?
很多企業都用「資訊安全風險評估 (Information Security Risk Assessment)」來找出可能的資安問題,或「營運衝擊分析(Business Impact Analysis, BIA)」模擬各種天災人禍的威脅,理論上並沒錯,這廂是紙上推演,模擬可能狀況並加以演練;但「資安事件應變處理」的結果報告,這是資安實際案例的發生,相較之下往往卻不受任何重視,當然資安問題就會一再發生。常見的是「資安事件應變處理」結果報告,會顛覆「資訊安全風險評估」及「營運衝擊分析」的內容,而後兩者報告可能是巨資做的,衝突之下「資安事件應變處理」結果更顯孤寂。
6.深入分析調查工作的 IR
這部分一般是比較少做到的,如果正確的說,這已經進入鑑識的範疇了,電腦鑑識 (Computer Forensics)。一台主機的入侵事件,調查最終,可能演變成一個網段的淪陷;一個未知惡意程式的發現,追查最終,可能是一群使用者的電腦受害,甚至可能是機密資料的外洩,這很常見的。我想企業針對部分資安事件必須做深入的調查分析工作,它也許還不到電腦鑑識的階段,當然,可以全面做深入的調查分析是最好,但考量人力成本負擔,可以考慮「選擇性辦案」吧。這些問題都是管理者需要衡量的,我的建議一定要重視「資安事件應變處理」結果。

沒有留言: