資安事件通報與應變 - 基隆市政府教育處全球資訊網
Download
Report
Transcript 資安事件通報與應變 - 基隆市政府教育處全球資訊網
資安事件通報與應變
暨通報應變演練
基隆市教育網路中心
講師:王言俊
學術單位資安等級分類
• A級單位(重要核心):
1.負責教育政策審定單位,如:教育部。
2.凡涉及各相關部會委託研究具國家安全機
密性或敏感性之數位資料之執行單位。如:
國科會。
3.教學醫院。
• B級單位(核心單位):
1.凡涉及社會秩序運作及民眾隱私等機敏系統
之學研機構。
2.各大學(含科技大學)。
3.台灣學術網路各區域網路中心暨各縣市
教育網路中心。
• C級單位(重要單位):
各技術學院及專科學校。
• D級單位(一般單位):
各高中職(含)以下學校。
學術單位資安事件等級分類
• 四級事件:
1.國家機密資料遭洩漏。
2.國家重要資訊基礎建設系統或資料遭竄改。
3.國家重要資訊基礎建設運作遭影響或系統停頓,無法
於可容忍中斷時間內回復正常運作。
• 三級事件:
1.密級或敏感公務資料遭洩漏。
2.核心業務系統或資料遭嚴重竄改。
3.核心業務運作遭影響或系統停頓,無法於可容忍中斷
時間內回復正常運作。
例1:某國中教務處註冊組長的電腦遭竊,內含學生個
資等機敏資料,因涉及個資法,符合三級事件的1.
例2:某高職因停水空調水塔缺水,使得機房溫度升高,
造成伺服器及網路設備當機,對外網路中斷。符
合三級事件的3.
•二級事件:
1.非屬密級或敏感之核心業務資料遭洩漏。
2.核心業務系統或資料遭輕微竄改。
3.核心業務運作遭影響或系統效率降低,於可容忍中斷時
間內回復正常運作。
例1:某國中網站的公告系統資料庫疑似遭SQL Injection
置入Javascript字串,導致系統無法正常登入,調用
備份之資料,還原資料表,僅影響數筆資料。修改公
告系統的程式碼與資料庫後解決此問題。符合二級事
件中的2.與3.
例2:某國小網站疑似遭駭客入侵置入惡意程式,致使網
站被迫暫時關閉修補漏洞。符合二級事件中的3.
•一級事件:
1.非核心業務資料遭洩漏。
2.非核心業務系統或資料遭竄改。
3.非核心業務運作遭影響或短暫停頓。
例1:某國小專任辦公室公用電腦發現受BotNet感染濫發
垃圾郵件,經掃毒軟體掃描後已清除BotNet。符合
一級事件中的2.
例2:某國中校護用的電腦一旦連上網路就慢到不行,經
防毒軟體檢測亦無改善,重新安裝作業系統並將資
料備份回去後就一切正常。符合一級事件的1.2.3.
作業 防護縱深
ISMS推動作業
稽核方式
名稱
資安教育訓練(一般
專業證照
主管、資訊人員、資
檢測機關網
站安全弱點
安人員、一般使用者
(註一 ))
等級
A級
每年至少(3、6、 維持至少2張
18、3小時)
資訊人員、資 資安專業證照
安人員需通過
資安職能鑑定
(註三)
每年2次
每年1次
次內稽
2.
每年至少(3、6、 維持至少1張
16、3小時)
資訊人員、資 資安專業證照
安人員需通過
資安職能鑑定
(註三)
自我檢視
每年至少(2、6、12、 資安專業訓練
每年1次
每年至少2
1.
次內稽
2.
SOC(選項)、IDS、防火牆、 通過第三者驗証
每年至少1
1.
防毒、郵件過濾裝置
NSOC直接防護/ SOC自建
通過第三者驗証
或委外、IDS、防火牆、
防毒、郵件過濾裝置
B級
C級
D級
防火牆、防毒、郵件過濾
自行成立推動小
裝置
組規劃作業
防火牆、防毒、郵件過濾
推動ISMS觀念宣
裝置
導
3小時)
自我檢視
每年至少(1、4、8、
資安專業訓練
每年1次
2小時)
註一:一般主管指的是校長、各處室主任。
資訊人員與資安人員在中小學是重疊的,所以訓練時數取最大值8小時。
一般使用者即一般教職員。
通報應變流程說明
• 依來源區分
- 告知通報(來自A-soc、Abuse、ICST、NTU-soc、Mini-soc、
NCKU、NTHU…的告知)
- 自行通報(自行發現)
• 依處理方式區分
- 通報應變同時處理
- 通報應變分開處理
• 依資安事件等級區分
- 一、二級資安事件(輕微)
- 三、四級資安事件(嚴重)
資安事件通報處理時效
• 無論級別,通報時限均為1個小時內。
• 處理時間:
■一、二級資安事件為72小時內完成。
事件單成立一個小時,後每12個小時會寄通
知信,逾時(72小時)每12個小時寄逾時通知。
■三、四級資安件為36小時內完成。
事件單成立一個小時,後每12個小時會寄通
知信,逾時(36小時)每12個小時寄逾時通知。
通報應變同時處理流程(一、二級)
SMS簡訊
- 區縣市網人員
- 資安通報應變小組
- 教育部相關人員
通報應變分開處理流程(一、二級)
SMS簡訊
- 區縣市網人員
- 資安通報應變小組
- 教育部相關人員
SMS簡訊
- 區縣市網人員
資安事件Email告知
資安事件簡訊告知
Tanet Cert在確認收到資安事件告知後,除了Email外,還會發送簡訊到學校及市網
中心資安聯絡人的手機裡。收到簡訊毋須回復。
資安事件通報網站
• 教育機構資安通報平台網站
https://info.cert.tanet.edu.tw
OID碼如:
2.16.886.101.90001.20002.20071.20001
• 學校第一位資安聯絡人(主)的OID:
Ex: 2.16.886.101.90001.20002.20071.20001
• 學校第二位資安聯絡人(副)的OID:
Ex:2.16.886.101.90001.20002.20071.20001.1
學校至少要有兩位資安聯絡人,至多五位。
第三位資安聯絡人的結尾為.2、第四位為.3、
第五位為.4
如果忘記當初設定的密碼為何,點擊「忘該密碼」,Cert系統會自動將重
設後的密碼發送至當初指定的信箱內。
如果連當初指定的信箱都不知道,請電洽或Email 詢問。
Tanet Cert登入後的畫面,如果有新進資安告知,會在上圖綠色框線處顯示。
上圖紅色框線處即機關名稱和單位資安聯絡人基本資料,如果有異動請點擊
「修改個人資料」進行修改。
資安演練整備期間,登入後會出現提醒變更密碼的對話框。
密碼要8碼(含)以上,文數
字混合,其中必需包含大
寫的英文字母。
切記,每次修改完資料均
要變更密碼。
修改完畢後按送出,系統會出現一個對話框,表示第?個資安聯絡人
資料更新成功,請登出後重新以新密碼登入。
兩組資安聯絡人的Mail切勿留同一個,手機亦同。
資安事件的通報應變
• 告知通報
接獲手機簡訊、E-mail後,連上資安通報
應變網站,進行相關事項填寫。
• 自行通報
學校主機發現的資安事件,自行連上資安
通報應變網站填寫相關事項。
注意:自行通報的情形很少,沒事別亂填。
建議「通報」、「應變」一併填寫。
告知通報表單填寫
新進告知通知報圖例。點擊工單編號(數字)後會出現通報流程表單,表
單分為兩大項,第一項是發生資安事件之機關聯絡資料(毋須填寫,會
自動顯示;第二項是因外在因素產生資安事件時的通報事項(共七項)。
210.240.35.193
http://test.cccs.kl.edu.tw
IBM Server X3200
FreeBSD 7.1
Perl 5.8.8
PacketFilter
經Tanet Cert告知本校IP:xxx.xxx.xxx.xxx疑似成為
Bot的成員。經查xxx.xxx.xxx.xxx為本校無線認證閘
道器,疑似下轄的電腦受BotNet入侵。
經Tanet Cert告知本校IP:xxx.xxx.xxx.xxx疑似成為
Bot的成員。經查xxx.xxx.xxx.xxx為本校無線認證閘
道器,疑似下轄的電腦受BotNet入侵。
1級:一般資安事件
本校對外網路頻寬可能受影響。
建議通報
流程與應
變流程一
起完成。
全面清查xxx.xxx.xxx.xxx下轄的電腦,如有異常
則先行下線,待重新安裝作業系統後才上線。
自行通報表單填寫
依序輸入如圖所示的各項次。
如果不知道或是沒有就填寫
「無」(例如:IPS/IDS)
或填寫系統內建(如Windows作
業系統內建的防火牆。
210.240.35.202
Asus EeePC
WinXP SP3
Avast 10.3.2.1
Windows Defender
事件分類只能在INT與DEF中
任選一項。
一般來說,個人電腦發生的
事件為INT,若是Server,則
INT或DEF均有可能,若不幸
兩者兼有,請選擇你覺得比
較嚴重的一類。
一般PC遭BotNet入侵,對外發送垃
圾信,造成本校對外網路流量異常。
本校MRTG顯示某辦公室流量異常
經檢查係教務處幹事用的電腦遭
BotNet入侵,對外發送垃圾件。
依據事件的機密性、完整性和可
用性衝擊填寫。切記不可填0級。
填寫完畢後資安事件綜合評估等
級會自行出現,毋須填寫。
是否需要支援,預設是「否」。
如有需要請勾選「是」及期望的
支援方式(電話告知或是Email告知)
1級:輕微資安事件
1. 本校對外網路流量異常。
2. 本校其它電腦可能也受
BotNet感染。
1.重新安裝作業系統並安裝防毒軟體。
2.倒回備份的資料。
是否同時進行通報流程與應變流程。無論是否完成通報流程,應變流程均
需填寫。
攻擊行為分類與破壞程度描述
伺服器 – INT與DEF攻擊均有可能發生
個人電腦(含筆電) – 多半為INT攻擊
1.惡意網頁(網頁遭駭客置換或放置不當內容)
2.惡意留言(網頁遭駭客放上惡意留言)
3.網頁置換(網頁遭駭客置換)
4.釣魚網站(主機遭駭客置入釣魚網站)
5.個資外洩(主機遭個資外洩)
1.系統入侵(資訊設備遭惡意使用者入侵)
2.對外攻擊(對外部主機進行攻擊行為)
3.針對性攻擊(針對特定個人資訊洩漏與
身份盜取)
4.散播惡意程式(主機對外進行惡意程式
散播)
5.中繼站(主機成駭客中繼站,接收惡意
程式連線)
6.社交工程攻擊(帳號遭盜用對外發動社
交工程攻擊)
7.Spam(資訊設備從事Spam Mail散播行
為)
8.C&C(主機疑似為駭客之Botnet C&C
Server)
9.Bot(資訊設備疑似成為駭客所控制之
Botnet成員)
1.系統入侵(資訊設備遭惡意使用者入侵)
2.對外攻擊(對外部主機進行攻擊行為)
3.針對性攻擊(針對特定個人資訊洩漏與身份盜取)
4.散播惡意程式(主機對外進行惡意程式散播)
5.中繼站(主機成駭客中繼站,接收惡意程式連線)
6.社交工程攻擊(帳號遭盜用對外發動社交工程攻擊)
7.Spam(資訊設備從事Spam Mail散播行為)
8.C&C(主機疑似為駭客之Botnet C&C Server)
9.Bot(資訊設備疑似成為駭客所控制之Botnet成員)
可能影響及損失評估描述示例
1.本校網站討論區(留言版)遭XSS攻擊, 1.該筆電疑似遭BotNet入侵而成為Bot,
目前暫時關閉該項功能。
對外散佈垃圾信件與含惡意碼的信件,
2. 本校網站內容遭置換,目前已利用備
嚴重 影響本校對外網站流量,同時亦
份資料復原,資料均無損失。刻正進
可能感染其它的電腦。
行系統漏洞修補。
2.該部個人電腦主機疑似遭惡意程式或
3. 本校伺服器遭置入釣魚網站。經查係
駭客入侵,針對特定主機的特定埠號
該伺服器上某帳號的密碼不符密碼原
進行掃描,嚴重影響本校對外網站流
則,致使駭客連入該帳號後置入釣魚
量。
網站。破壞程度未知。
4.該Server因系統漏洞而成為駭客的中
繼站,然該Server內無機敏資料,故
本校網路運作無影響。
5.該Server疑似Mail Service漏洞,對外
大量發送垃圾郵件,嚴重影響本校對
外網站流量。
6.該Server疑似遭駭客入侵,對外掃描
特定主機某些通訊埠。造成本校部份
網站服務受到上級單位的阻擋。
7.該Server疑似成為BotNet的C&C Server。
8.因相關人員操作不當,學校網站發生
個資不當揭露事件,影響甚大。
解決辦法描述示例
1.本校網站討論區(留言版)遭XSS攻擊, 1.該筆電疑似遭BotNet入侵而成為Bot,
暫時關閉該項功能。
對外散佈垃圾信件與含惡意碼的信件,
2. 本校網站內容遭置換,目前已利用備
經掃毒後仍有疑似狀況,故重新安裝
份資料復原,資料均無損失。系統漏
作業系統,目前仍持續觀察是否有異
洞修補後一切正常。
狀。
3. 本校伺服器遭置入釣魚網站。經查係 2.該部個人電腦主機疑似遭惡意程式或
該伺服器上某帳號的密碼不符密碼原
駭客入侵,經掃毒後已將惡意程式移
則,致使駭客連入該帳號後置入釣魚
除,目前運作正常,持續觀察是否有
網站。強制更改該帳號的密碼之後,
異狀。
目前運作正常,刻正清查其餘帳號是
否有密碼過於簡單的問題。
4.該Server因系統漏洞而成為駭客的中
繼站,系統重新安裝後重置備份資料,
目前正常 。
5.該Server疑似Mail Service漏洞,對外
大量發送垃圾郵件,暫時將Mail
Service 功能停止,待更新Mail Service
後再持續觀察運作是否有異常。
6.該Server疑似遭駭客入侵,對外掃描
特定主機某些通訊埠。系統重新安裝
後重置備份資料, 目前正常 。
7.已將不當揭露之個資下架,同時聯繫
當事人,設法取的諒解。
• 查詢所屬單位的OID:
http://oid.nat.gov.tw/
點擊「組織與團體性識別碼OID查詢」
自行輸入關鍵字,如:基隆市。
2014年通報應變演練期程
• 依據臺教資(四)字第1030110619號函辦理。
日期
作為
9/29 ~ 10/12
1. 確認資安聯絡人的基本資料。
2. 修改資安聯絡人的密碼。
10/13 ~ 10/17
(09:00 ~ 17:00)
收到通報應變演練的簡訊、Email
後立即連上測試網站,進行演練。
10/13 ~10/17期間,除非必要,否則不要離開學校。在學校期
間,請切記手機不要離身太遠(如上課時間,可調成震動)。
演練方式
• 本次演練將以「告知通報」形式進行,教育部
將於資安通報演練作業期間以郵件及簡訊傳送
「資安事件通報單」。為避免與真實事件產生
混淆,演練模擬事件通知簡訊及郵件上皆加註
「告知通報演練」字樣,另事件單編號皆以
「DRILL」開頭進行編碼。
• 執行演練單位於收到mail及簡訊通知後,應於
1小時內至教育機構資安通報演練平台完成事
件通報流程,並依事件等級於處理時限內完成
事件應變處理並結案。
• 手機簡訊號碼:0961295368
• Mail:[email protected](140.117.101.5)
演練模擬10種資安事件類型
更新資安聯絡人及填報應變作為
• 演練整備期,請至「教育機構資安通報平
台」更新資安聯絡人資料(含密碼):
https://info.cert.tanet.edu.tw
• 演練期間,請於時限內上通報應變測試網
站,填報應變作為:
https://drill.cert.tanet.edu.tw
演練事件通知單內容範例
縣市網路中心評分標準說明
給分標準
2
1
0
評分項目
密碼更新率
達90%以上
達90%~70%
未達70%
通報完成率
所轄連線單位於24
小時內完成通報比
率達85%
所轄連線單位於24
小時內完成通報比
率達85%~70%
所轄連線單位於24
小時內完成通報比
率未達70%
審核及時率
所轄連線單位事件
單審核作業於時限
內完成率達85%
所轄連線單位事件
單審核作業於時限
內完成率達85%~
70%
所轄連線單位事件
單審核作業於時限
內完成率未達70%
各學校評分標準說明
給分標準
2
1
0
評分項目
通報及時率
4小時內完成
24小時內完兼
24小時內未完成
應變時效率
時限內完成
時限 + 4小時內完
成
未於(時限 + 4小
時)內完成
資料正確率
2位以上資安聯絡
人所有欄位資料填
寫完整(含密碼更
新)
填寫2位以上資安
聯絡人,但僅一位
資安聯絡所有欄位
資料填寫完整(含
密碼更新)
1. 未填寫資安聯
絡人
2. 資安聯絡人資
料均不完整
資安宣導問卷
此項目無此分數,
最高分數為1分
單位內有1位人員
以上填寫
單位內無人員填寫
檢討與改善作為
類別
績優單位
對象
說明
區縣(市)網路中心
連線單位150個(含)以上,取演練成績最優前3
名。
連線單位50(含)~149個,取演練成績最優前3
名。
連線單位50個以下,取演練成績最優前3名。
機關、學校
A、B級機關、學校,取演練成績最優5名。
C、D級機關、學校,取演練成績最優前5名。
需要改善單位
部屬機關
演練成績最優前3名。
全體
區縣(市)網路中心及各級機關、學校演練成績
總分在2分以下,函請其研提改善作為。
檢討與改善作為
• 需改善單位:區縣(市)網路中心及各機
關、學校總分在2分以下,請該單位檢具檢
討改善報告報部備查,並列入教育部資訊
安全稽核優先單位。
• 參演成績將列入「103年度統合視導地方教
育事務」評分項目之一,如有待加強事項,
教育部將發函至需改善單位,研提改善作
為,並於視導單位時驗證單位改善成效。
資訊安全相關網站
• 台灣學術網路危機處理中心
http://cert.tanet.edu.tw
• 行政院國家資通安全會報技術服務中心
http://www.icst.org.tw
• 教育部資訊安全服務網
http://cissnet.edu.tw
• 資安人 - http://www.informationsecurity.com.tw/
• iThome - http://www.ithome.com.tw/
• 微軟資訊安全首頁
http://www.microsoft.com/taiwan/security/