對企業 IT 部門而言,資料洩漏已經成為生活中難以避免的事實,所有員工對於安全性都必須不斷提高警覺。當企業致力將入侵者拒於門外之時,也必須有相關策略,以便在出現漏洞時加以因應。
發現漏洞後的數天或數週相當關鍵,但此時也相當敏感。由於過度記錄內容、中斷伺服器連線、甚至嘗試回應資安事端的傾向,可能導致不慎刪除證據卻不自知。事實上,竭盡全力進行蒐證反而會適得其反,並且引發更嚴重的問題。因此,關鍵在於瞭解發生漏洞後所採取的常見流程、納入最佳實務準則以及備妥資安事端教戰守則。
一開始最重要的步驟之一就是擬定明確的流程,向 IT 部門通知公司內任何可能發生的資安問題。受害部門在第一時間通常都不會發現重大資安事端。要等到執法機關、業務合作夥伴 (例如支付廠商) 甚至客戶反應,該部門才會發覺安全問題,而且也因為收到此資訊的聯絡人可能不知道向誰呈報,因此得花上一段時間 CIO (資訊長) 才會得知。
發現漏洞後的第 1 天至第 1 週:一旦 CIO、CISO (資訊安全長) 以及 IT 人員得知漏洞時,CISO 應該遵行包括下列三個部分的計劃:指導 IT 人員保留證據並評估漏洞規模與範圍、與法務團隊共同判定需向大眾公開的資訊,以及建議 CIO 和 CEO (執行長) 對業務關係人說明情況的最新發展。
IT 安全人員 (與第三方蒐證專家合作) 的首要工作是開始找出事件記錄檔、防火牆記錄檔、清除多餘的網路流量、尋找新的網域帳戶,以及檢視任何端點防護警示。部門的系統管理員應該針對確定已受到漏洞影響的伺服器和資料庫,開啟預定的記錄機制。透過這份記錄,可以深入分析入侵系統的對象和手法;然而由於某些檔案若收集的資訊過多,檔案數量可能會迅速成長,因此審慎運用這份記錄同樣重要。若是可以,請事先定義要制訂的區域和流程,並經常測試。
有時候,IT 人員出於善意的第一反應是在發生漏洞後刪除檔案或變更設定,以嘗試修復問題;但這卻是「錯誤的」方式,因為在某些情況下可能會破壞寶貴的證據。為了保存資料,不應變更或移除任何記錄 (例如漏洞屬於 SQL 溢注攻擊時的 SQL 交易記錄)。查看伺服器記錄可能會呈現過於繁瑣的資訊,因此不該急著開啟整個網路的所有記錄,因為這些記錄檔案可能迅速佔滿整個系統,使系統癱瘓,因而造成其他問題。最好的辦法是將所有記錄檔案、錯誤記錄或防毒報告當成犯罪現場的證據;著重於保留與分析。
發現漏洞後的第 1 週至第 3 週:當 IT 人員控制漏洞並瞭解漏洞範圍後,行銷和法務團隊應開始專注在向客戶和與該資安事端相關的重要對象公開更多資訊。分享資訊時應誠實地公開漏洞實情,切勿造成恐慌,並且隱瞞執行漏洞的方式或是入侵系統的對象。隱匿「對象」和「方式」的原因是為了避免影響進行中的調查,或是為日後的攻擊提供可能的入侵機會。
公開法 (disclosure law) 會因地區而不同,因此請密切諮詢您的法務團隊,避免發生過失。請務必使用最新版本的 Symantec Endpoint Protection,才能享有最高的安全性。
值得注意的是,這些建議應視為指導方針與診斷方式,畢竟不會出現完全相同的兩個問題。可以確定的是,針對重大資安事件未雨綢繆絕對有其必要。若是缺乏納入這些部門的經理與 IT 主管的資安事端應變計劃和危機溝通計劃,那麼在 IT 部門採取行動之前可能就會有好幾天的空窗期。
瞭解漏洞後的數小時內,各部門之間的協調至關重要;擬定計劃並遵循教戰守則可省去不必要的猜測。最理想的情況是在發生漏洞之前先行定義,以免造成混淆。我看過為許多企業發現漏洞時所準備的應變/溝通計劃不夠完善,甚至根本沒有制定相關計劃,因而喪失相當寶貴的資料。每個資安事端都是個案,但如果企業能夠堅守指導原則並擬定如何因應特定資安事端的教戰守則,便可在某些事端發生時,做好準備加以克服。