【資安專欄】淺談資安事件應變機制
撰文\電算中心資訊網路組 張力允組長
更新日期:2024-03-29 Friday
點閱次數:2191
我們可以從很多的新聞案例中得知,某組織遭受駭客攻擊、某組織因管理疏失造成資料外洩,但這些被遭受駭客攻擊的組織,往往對外發出新聞稿,內容不外乎幾種敘述:1.我們在察覺遭受網路攻擊時,已於第一時間啟動相關防禦機制,並會同外部專家進行處理及復原工作;2.資安設備自動偵測到資訊系統遭駭客攻擊時,會啟動防禦機制,並與資安專家協同處理,我們好奇的是,這些組織真的知道資安事件發生的原因為何?又或者有哪些是常見的管理缺失,有哪些地方可以加強管理,以下簡單討論。
遠距工作並未隨著疫情的緩和,而減少遠距辦公工具的使用,最常見且相當普及的遠距工具:虛擬私人網路(Virtual Private Network, VPN),就是組織內很常見的資安漏洞風險,許多組織因為對外有一定的保護機制,故駭客不會使用直接攻擊手法來滲透組織,進而改由VPN入侵,而且最容易被滲透的大部分都發生在高階主管身上,其主要原因是因為,缺乏嚴格的身分驗證,很多高階主管都會使用瀏覽器的記憶密碼功能,很容易就被截取帳號密碼;另一個是VPN漏洞未及時修補,系統漏洞是很常見的問題,駭客會透過漏洞竊取敏感性資料,這些都是VPN很常見的問題,因此,組織如果有使用VPN系統,定期更新系統程式、漏洞修補…等,這些在管控機制上是非常重要的。
組織遭受網路攻擊的情況持續增加,但在資安事件應變的層面,是否具有足夠的準備,是值得我們去思考的,資通安全管理不僅要從治理與防護層面去強化,正向面對資安事故的發生、了解事故原因,最重要的是:組織是否有成立資安應變團隊,讓真正發生資安事件時,能有獲得充分授權的指揮團隊,確認資安事件發生的原因及影響範圍,緊接著,才是讓組織能盡快恢復正常營運,但現在大部分組織仍缺乏資安應變團隊,更關鍵的是,組織高層也應加強這部分的思維。
因此,組織要開始著手建立緊急應變團隊機制,重新審視資安事故發生的應變機制,才能讓事故發生時,有一套系統化的處理程序,讓事故發生當下,可以依照不同事故等級,有一套標準的處理流程可依循,也可透過應變演練的方式,讓團隊知道事件發生當下,應該要如何處理,熟悉應變方式,可強化組織內部的資安事故管控量能,在最有效時間內,讓事故迅速且有程序化的處理完成。
Reference:
https://www.ithome.com.tw/news/161876
