資安事件通報與應變 基隆市教育網路中心 講師:王言俊
學術單位資安等級分類 A級單位(重要核心): 1.負責教育政策審定單位,如:教育部。 2.凡涉及各相關部會委託研究具國家安全機 密性或敏感性之數位資料之執行單位。如: 國科會。 3.教學醫院。
B級單位(核心單位): 2.各大學(含科技大學)。 3.台灣學術網路各區域網路中心暨各縣市 教育網路中心。 C級單位(重要單位): 1.凡涉及社會秩序運作及民眾隱私等機敏系統 之學研機構。 2.各大學(含科技大學)。 3.台灣學術網路各區域網路中心暨各縣市 教育網路中心。 C級單位(重要單位): 各技術學院及專科學校。 D級單位(一般單位): 各高中職(含)以下學校。
學術單位資安事件等級分類 四級事件: 1.國家機密資料遭洩漏。 2.國家重要資訊基礎建設系統或資料遭竄改。 3.國家重要資訊基礎建設運作遭影響或系統停頓,無法 於可容忍中斷時間內回復正常運作。 三級事件: 1.密級或敏感公務資料遭洩漏。 2.核心業務系統或資料遭嚴重竄改。 3.核心業務運作遭影響或系統停頓,無法於可容忍中斷 時間內回復正常運作。
資等機敏資料,因涉及個資法,符合三級事件的1. 例2:某高職因停水空調水塔缺水,使得機房溫度升高, 例1:某國中教務處註冊組長的電腦遭竊,內含學生個 資等機敏資料,因涉及個資法,符合三級事件的1. 例2:某高職因停水空調水塔缺水,使得機房溫度升高, 造成伺服器及網路設備當機,對外網路中斷。符 合三級事件的3. 二級事件: 1.非屬密級或敏感之核心業務資料遭洩漏。 2.核心業務系統或資料遭輕微竄改。 3.核心業務運作遭影響或系統效率降低,於可容忍中斷時 間內回復正常運作。 例1:某國中網站的公告系統資料庫疑似遭SQL Injection 置入Javascript字串,導致系統無法正常登入,調用 備份之資料,還原資料表,僅影響數筆資料。修改公 告系統的程式碼與資料庫後解決此問題。符合二級事 件中的2.與3.
例2:某國小網站疑似遭駭客入侵置入惡意程式,致使網 站被迫暫時關閉修補漏洞。符合二級事件中的3. 一級事件: 1.非核心業務資料遭洩漏。 2.非核心業務系統或資料遭竄改。 3.非核心業務運作遭影響或短暫停頓。 例1:某國小專任辦公室公用電腦發現受BotNet感染濫發 垃圾郵件,經掃毒軟體掃描後已清除BotNet。符合 一級事件中的2. 例2:某國中校護用的電腦一旦連上網路就慢到不行,經 防毒軟體檢測亦無改善,重新安裝作業系統並將資 料備份回去後就一切正常。符合一級事件的1.2.3.
資訊人員與資安人員在中小學是重疊的,所以訓練時數取最大值8小時。 一般使用者即一般教職員。 作業 名稱 等級 防護縱深 ISMS推動作業 稽核方式 資安教育訓練(一般 主管、資訊人員、資 安人員、一般使用者 (註一 )) 專業證照 檢測機關網 站安全弱點 A級 NSOC直接防護/ SOC自建或委外、IDS、防火牆、防毒、郵件過濾裝置 通過第三者驗証 每年至少2 次內稽 每年至少(3、6、18、3小時) 資訊人員、資安人員需通過資安職能鑑定(註三) 維持至少2張 資安專業證照 每年2次 B級 SOC(選項)、IDS、防火牆、防毒、郵件過濾裝置 每年至少1 次內稽 每年至少(3、6、16、3小時) 維持至少1張 資安專業證照 每年1次 C級 防火牆、防毒、郵件過濾 裝置 自行成立推動小組規劃作業 自我檢視 每年至少(2、6、12、 3小時) 資安專業訓練 D級 推動ISMS觀念宣 導 每年至少(1、4、8、 2小時) 註一:一般主管指的是校長、各處室主任。 資訊人員與資安人員在中小學是重疊的,所以訓練時數取最大值8小時。 一般使用者即一般教職員。
通報應變流程說明 依來源區分 - 告知通報(來自A-soc、Abuse、ICST、NTU-soc、Mini-soc、 依處理方式區分 NCKU、NTHU…的告知) - 自行通報(自行發現) 依處理方式區分 - 通報應變同時處理 - 通報應變分開處理 依資安事件等級區分 - 一、二級資安事件(輕微) - 三、四級資安事件(嚴重)
資安事件通報處理時效 無論級別,通報時限均為1個小時內。 處理時間: ■一、二級資安事件為72小時內完成。 事件單成立一個小時,後每12個小時會寄通 知信,逾時(72小時)每12個小時寄逾時通知。 ■三、四級資安件為36小時內完成。 知信,逾時(36小時)每12個小時寄逾時通知。
通報應變同時處理流程(一、二級) SMS簡訊 區縣市網人員 資安通報應變小組 教育部相關人員
通報應變分開處理流程(一、二級) SMS簡訊 區縣市網人員 資安通報應變小組 教育部相關人員 SMS簡訊 區縣市網人員
資安事件Email告知
資安事件簡訊告知 Tanet Cert在確認收到資安事件告知後,除了Email外,還會發送簡訊到學校及市網中心資安聯絡人的手機裡。收到簡訊毋須回復。
資安事件通報網站 教育機構資安通報平台網站 https://info.cert.tanet.edu.tw OID碼如:2.16.886.101.90001.20002.20071.20001
如果忘記當初設定的密碼為何,點擊「忘該密碼」,Cert系統會自動將重設後的密碼發送至當初指定的信箱內。 如果連當初指定的信箱都不知道,請電洽或Email 詢問。
Tanet Cert登入後的畫面,如果有新進資安告知,會在上圖綠色框線處顯示。 上圖紅色框線處即機關名稱和單位資安聯絡人基本資料,如果有異動請點擊「修改個人資料」進行修改。
為避免發生資安事件時聯絡不到負責人,建議最少要留下兩位聯絡人。 密碼要8碼(含)以上,文數字混合,其中必需包含大寫的英文字母。 切記,每次修改完資料均要變更密碼。
自行通報表單填寫 依序輸入如圖所示的各項次。 如果不知道或是沒有就填寫「無」(例如:IPS/IDS) 或填寫系統內建(如Windows作業系統內建的防火牆。 210.240.35.202 Asus EeePC WinXP SP3 Avast 10.3.2.1 Windows Defender
事件分類只能在INT與DEF中任選一項。 一般來說,個人電腦發生的事件為INT,若是Server,則INT或DEF均有可能,若不幸兩者兼有,請選擇你覺得比較嚴重的一類。 一般PC遭BotNet入侵,對外發送垃 圾信,造成本校對外網路流量異常。 本校MRTG顯示某辦公室流量異常 經檢查係教務處幹事用的電腦遭 BotNet入侵,對外發送垃圾件。
依據事件的機密性、完整性和可用性衝擊填寫。切記不可填0級。填寫完畢後資安事件綜合評估等級會自行出現,毋須填寫。 是否需要支援,預設是「否」。如有需要請勾選「是」及期望的支援方式(電話告知或是Email告知) 1級:輕微資安事件 1. 本校對外網路流量異常。 2. 本校其它電腦可能也受BotNet感染。
是否同時進行通報流程與應變流程。無論是否完成通報流程,應變流程均需填寫。 1.重新安裝作業系統並安裝防毒軟體。 2.倒回備份的資料。 是否同時進行通報流程與應變流程。無論是否完成通報流程,應變流程均需填寫。
告知通報表單填寫 新進告知通知報圖例。點擊工單編號(數字)後會出現通報流程表單,表單分為兩大項,第一項是發生資安事件之機關聯絡資料(毋須填寫,會自動顯示;第二項是因外在因素產生資安事件時的通報事項(共七項)。
210.240.35.193 http://test.cccs.kl.edu.tw IBM Server X3200 FreeBSD 7.1 Perl 5.8.8 PacketFilter
對網站各項服務無明顯破壞。 經Tanet Cert告知本校Server遭入侵成為駭客中繼站。經查係該Server的Perl版本較舊,駭客利用其堆疊溢位漏洞進行攻擊,使該Server成為中繼站。 更新Perl版本後已無此一問題。
2級:一般資安事件 本校Server成為駭客中繼站,但該Server僅存放學校網頁,無個資外洩問題,故影響範圍不大,亦無損失。
建議通報流程與應變流程一起完成。 將Tanet Cert告知的駭客IP加入PacketFilter中。並將本Server的Apache停用,中斷port 80(駭客進入的port)通連。再利用portupgrade升級Perl 5.8.8至5.1x.x版,升級完畢後重啟作業系統。
攻擊行為分類與破壞程度描述 伺服器 – INT與DEF攻擊均有可能發生 個人電腦(含筆電) – 多半為INT攻擊 1.惡意網頁(網頁遭駭客置換或放置不當內容) 2.惡意留言(網頁遭駭客放上惡意留言) 3.網頁置換(網頁遭駭客置換) 4.釣魚網站(主機遭駭客置入釣魚網站) 1.系統入侵(資訊設備遭惡意使用者入侵) 2.對外攻擊(對外部主機進行攻擊行為) 3.針對性攻擊(針對特定個人資訊洩漏與身份盜取) 4.散播惡意程式(主機對外進行惡意程式散播) 5.中繼站(主機成駭客中繼站,接收惡意程式連線) 6.社交工程攻擊(帳號遭盜用對外發動社交工程攻擊) 7.Spam(資訊設備從事Spam Mail散播行為) 8.C&C(主機疑似為駭客之Botnet C&C Server) 9.Bot(資訊設備疑似成為駭客所控制之Botnet成員)
可能影響及損失評估描述示例 1.本校網站討論區(留言版)遭XSS攻擊, 目前暫時關閉該項功能。 2. 本校網站內容遭置換,目前已利用備 份資料復原,資料均無損失。刻正進 行系統漏洞修補。 3. 本校伺服器遭置入釣魚網站。經查係 該伺服器上某帳號的密碼不符密碼原 則,致使駭客連入該帳號後置入釣魚 網站。破壞程度未知。 4.該Server因系統漏洞而成為駭客的中 繼站,然該Server內無機敏資料,故 本校網路運作無影響。 5.該Server疑似Mail Service漏洞,對外 大量發送垃圾郵件,嚴重影響本校對 外網站流量。 6.該Server疑似遭駭客入侵,對外掃描 特定主機某些通訊埠。造成本校部份 網站服務受到上級單位的阻擋。 7.該Server疑似成為BotNet的C&C Server, 影響力與破壞程度不可限量。 1.該筆電疑似遭BotNet入侵而成為Bot, 對外散佈垃圾信件與含惡意碼的信件, 嚴重 影響本校對外網站流量,同時亦 可能感染其它的電腦。 2.該部個人電腦主機疑似遭惡意程式或 駭客入侵,針對特定主機的特定埠號 進行掃描,嚴重影響本校對外網站流 量。
解決辦法描述示例 1.本校網站討論區(留言版)遭XSS攻擊, 暫時關閉該項功能。 2. 本校網站內容遭置換,目前已利用備 份資料復原,資料均無損失。系統漏 洞修補後一切正常。 3. 本校伺服器遭置入釣魚網站。經查係 該伺服器上某帳號的密碼不符密碼原 則,致使駭客連入該帳號後置入釣魚 網站。強制更改該帳號的密碼之後, 目前運作正常,刻正清查其餘帳號是 否有密碼過於簡單的問題。 4.該Server因系統漏洞而成為駭客的中 繼站,系統重新安裝後重置備份資料, 目前正常 。 5.該Server疑似Mail Service漏洞,對外 大量發送垃圾郵件,暫時將Mail Service 功能停止,待更新Mail Service 後再持續觀察運作是否有異常。 6.該Server疑似遭駭客入侵,對外掃描 特定主機某些通訊埠。系統重新安裝 後重置備份資料, 目前正常 。 1.該筆電疑似遭BotNet入侵而成為Bot, 對外散佈垃圾信件與含惡意碼的信件, 經掃毒後仍有疑似狀況,故重新安裝 作業系統,目前仍持續觀察是否有異 狀。 2.該部個人電腦主機疑似遭惡意程式或 駭客入侵,經掃毒後已將惡意程式移 除,目前運作正常,持續觀察是否有 異狀。
查詢所屬單位的OID: http://oid.nat.gov.tw/ 點擊「組織與團體性識別碼OID查詢」 自行輸入關鍵字,如:基隆市。
資訊安全相關網站 台灣學術網路危機處理中心 http://cert.tanet.edu.tw 行政院國家資通安全會報技術服務中心 http://www.icst.org.tw 教育部資訊安全服務網 http://cissnet.edu.tw 資安人 - http://www.isecutech.com.tw iThome - http://www.ithome.com.tw/ 微軟資訊安全首頁 http://www.microsoft.com/taiwan/security/