臺東縣中小學資訊教育校園網路管理暨資訊安全防護計畫研習 教育機構資安通報平臺(TANet CERT)與通報流程簡介
台灣學術網路所面臨的資安威脅(1) 台灣位置特殊,駭客攻擊頻傳 大量的使用者和設備,造成管理上困難 各單位網管人員以及相關資源不足 部份單位網站架設不夠嚴謹或缺乏後續管理 台灣學術網路的主機有重要個資與學校資產 -99年5月「個人資料保護法」正式施行 基於以上原因,校園網路容易遭受攻擊,成為攻擊跳板
台灣學術網路所面臨的資安威脅(2) 台灣學術網路從前仰賴行政院國家資通安全會報技術服務中心進行通報- TANet本身缺乏一個完整的通報應變機制 根據台灣(.tw)網站淪陷統計表,顯示學術網站(.edu.tw)網域遭入侵、植入惡意程式等事件,占全台灣將近20%。 統計資料來源:資安之眼(從2007年統計至今)
台灣目前的 CERT 組織架構 TWCERT/CC (負責所有.tw網域) TWNCERT TANet CERT Other CERTs (負責.gov.tw網域) TANet CERT (負責.edu.tw網域) Other CERTs
TANet CERT 運作方式 教育部電算中心 TANet CERT 區域網路中心 所屬連線學校 其他連線單位 縣網教育網路中心 市網教育網路中心 教育部電算中心委託國立中山大學成立TANet CERT,負責各連線單位間的資安事件應變與處理。
TANet CERT 網站 TANet CERT網址:http://cert.tanet.edu.tw 最新消息 -提供最新國內外資安新聞 資安統計 數據 近期活動 -提供資安相關研討會訊息 簡介網站區塊。 統計數據目前由shadowserver提供,之後會由系統產生。 資安文件目前由教育學術資訊分享與分析中心(A-ISAC)提供。
TANet CERT 網站功能 即時訊息 提供最新訊息及活動資訊 安全通報 提供相關安全性更新資訊 網路資源 提供資安相關程式、參考網站及資安文件
教育機構資安通報平台 教育機構資安通報平台網址:https://info.cert.tanet.edu.tw/ 介紹Q&A
弱點與威脅資料庫 各大資安實驗室或各國危機處理中心所公告之弱點與威脅與各作業系統、軟體或硬體設備的即時安全漏洞 進行中文化翻譯,方便使用者閱讀及查詢 目前進行資料整理中
資安通報平台簡介
教育機構資安通報平台 教育機構資安通報平台網址:https://info.cert.tanet.edu.tw
修改登入密碼 第一次登入時會出現此畫面,請務必於此畫面進行密碼修改。程式方可認定修改完密碼。
登入畫面 單位資訊 二級單位資 三級單位資訊 工單處理區 個人資料區
修改個人資料 於此處可變更聯絡人資料,平台最多可支援五個聯絡人。同時於此處也可進行密碼變更的動作。
通報應變規劃重點 為使通報應變流程更有效掌握,通報應變平台之流程畫分為「通報流程」與「應變流程」。 第一線人員由於處理時間的限制,可先進行”通報流程”,待完成處理後再進行”應變流程”。 請各單位盡可能通報與應變同時進行。 所有通報應變流程之通報,都必須審核過後才是(教育部規範)正式結束通報流程。 如此規劃著眼於不同層級之資安人員可充分掌握所發生之資安事件,並能依輕重等級啟動不同對應之處理機制。
通報應變流程說明 依來源區分 (1)告知通報 (2)自行通報 依資安等級區分 (1)1、2級資安事件 (2)3、4級資安事件 依來源區分 (1)告知通報 (2)自行通報 依資安等級區分 (1)1、2級資安事件 (2)3、4級資安事件 依處理方式區分 (1)通報、應變同時處理 (2)通報、應變分開處理
依來源區分 告知通報 自行通報 自行(主動)通報係由各單位(可以是【第一線人員】、【區縣市網人員】或是【營運人員】)自行(主動)發現問題時,需主動向上級報告。 不管是那一級資安事件,當第一線人員發現事件時須於1小時內登入通報平台完成通報此事件。 3-4級資安事件因事態嚴重,因此第一線人員尚須電話通知上層管理單位,落實緊急通報。 告知通報係由其他單位所告知教育部所屬單位所發生之資安事件。 當第一線人員收到告知通報之 E-mail 與 SMS簡訊 時,須於 1小時內 登入通報平台完成通報此事件。 告知單位來源包括: (1)ICST(行政院/技服中心) (2)A-SOC(教育部) (3)Mini-SOC(99年度計畫新增) (4)其他(99年度計畫新增)
依資安等級區分 1、2級資安事件 3、4級資安事件 事件處理時間為 72小時 內完成「應變流程」 如為自行通報,不需和上級管理單位報備且建立連絡網。 事件處理時間為 24小時 內完成「應變流程」 如為自行通報,需和上級管理單位報備且建立連絡網。並指定相關人員待命追蹤處理狀況。
事件等級說明:1 級事件 符合下列任一情形者,屬 1 級事件: 非核心業務資料遭洩漏。 非核心業務系統或資料遭竄改。 非核心業務運作遭影響或短暫停頓。 案例1: 99 年 x月 y 日某國小,發現科任教室教學電腦被植入惡意程式,經修復後移除惡意程式無損失,此符合(2).非核心業務系統或資料遭竄改,故判定為1級資安事件
事件等級說明:2 級事件 符合下列任一情形者,屬 2 級事件: 非屬密級或敏感之核心業務資料遭洩漏。 核心業務系統或資料遭輕微竄改。 核心業務運作遭影響或系統效率降低,於可容忍中斷時間內回復正常運作。 案例2:98年9月12日某大學,遭到入侵並安裝惡意程式,得暫時關閉web,影響部份網頁收信功能,此符合上述(3).核心業務運作遭影響或系統效率降低,於可容忍中斷時間內回復正常運作,故判定為2級資安事件。
事件等級說明:3 級事件 符合下列任一情形者,屬3 級事件: 密級或敏感公務資料遭洩漏。 核心業務系統或資料遭嚴重竄改。 核心業務運作遭影響或系統停頓,無法於可容忍中斷時間內回復正常運作。 案例1: 98年x月y 日某中學,教務處一台正處理期考成績的電腦遭竊,因該電腦裡有全校學生姓名、電話及地址,因涉及個資法,且符合上述條款(1).密級或敏感公務資料遭洩漏,故判定為3級資安事件。
事件等級說明:4 級事件 符合下列任一情形者,屬4 級事件: 國家機密資料遭洩漏。 國家重要資訊基礎建設系統或資料遭竄改。 國家重要資訊基礎建設運作遭影響或系統停頓,無法於可容忍中斷時間內回復正常運作。 附註:目前於國家資通應變平台上尚未有4級事件(資料來源於國家資通安全應變平台,因2009年2月12日起變更資安影響等級評定標準,故於2009/2/12後迄今2011/7/31,未有4級事件)。
通報、應變 “同時” 處理流程 SMS簡訊 區縣市網人員 資安通報應變小組 教育部人員
通報、應變 “分開” 處理流程 1,2級資安事件 應變無需審核 SMS簡訊 區縣市網人員 資安通報應變小組 教育部人員 SMS簡訊
事件工單
資安通報流程簡介
當告知工單進入資安平台時…… SMS簡訊格式 E-mail 格式 第一線人員會收到 SMS簡訊 與 E-mail 通知 (告知通報)[高雄市XX區XX國民小學],[入侵事件]警訊,[9997],請盡速至平台完成事件處理。
輸入帳號、密碼與圖形驗證碼
成功登入後,新進告知通報欄位
填寫資安事件 請依照”資安工單填寫說明”填寫資安工單說明
資安工單填寫說明 通報流程: 應變流程:二大項: 第一大項: 發生資通安全之機關(機構)聯絡資料(使用者無須填寫,系統會自動顯示) 第二大項: 各機關因受外在因素所產生資通安全事件時通報事項(七大項,使用者須填寫部分內容) 應變流程:二大項: 緊急應變措施 持續追蹤與登錄解決辦法
一.1 發生資通安全之機關(機構)聯絡資料 (使用者無須填寫,系統會自動顯示) 使用者登入後,系統自動產生填報時間 使用者登入後,系統自動載入通報人資訊
一.2 顯示主管機關與營運單位聯絡資訊 (系統會自動顯示)
二、各機關因受外在因素所產生資通安全事件時通報事項 1〉通報型態 系統自動顯示通報型態: 主動通報 告知通報 (使用者無須填寫,系統會自動顯示)
2 〉事件發生時間 使用者手動選擇事件發生時間(下拉選單)
3 〉填寫設備資料
4 〉資通安全事件:◎事件分類
4 〉資通安全事件: ◎破壞程度、◎事件說明
5〉資通安全事件:影響等級及說明 資安事件判斷 資安事件 綜合評估 等級系統 會自動顯 示
5 〉資通安全事件:影響等級及說明◎可能影響範圍
6 〉是否需要支援? 若需支援可與系統顯示之主管機關聯絡人連繫
7 〉是否同時進行通報流程與應變流程? 若否,此工單會顯示於第一線人員應變待處理欄位等待處理 ★請注意★ 1.2級資安事件請於72小時內完成應變流程 3.4級資安事件請於24小時內完成應變流程
第二大項:應變流程 當通報流程與應變流程分開處理時, 第一線人員需再次登入首頁之”應變待處理”欄位完成該工單之應變流程
第二大項:應變流程 II.1 緊急應變措施 填寫緊急應變措施
第二大項:應變流程 II.2 〉解決辦法 填寫解決辨法與解決時間 按”發佈通報”後,確定送出該工單
連絡方式 電話:07-5250211 傳真:07-5250212 MAIL:service@cert.tanet.edu.tw 留言版: http://cert.tanet.edu.tw/prog/saverpt.php
相關網址 TANet CERT網址:http://cert.tanet.edu.tw 教育機構資安通報平台網址:https://info.cert.tanet.edu.tw 資安教育平台網址: https://elearning.aisac.tanet.edu.tw/
謝謝
社交工程
如何從內部下手? 社交工程 可能是其中最容易達到目的的手法
社交工程之定義 社交工程(Social Engineering) 為利用人性弱點或人際之間的信任關係,應用簡單的溝通和欺騙技倆,以獲取帳號、通行碼、身分證號碼或其他機敏資料,來突破校園的資通安全防護,進行非法的存取、破壞行為,獲取不當利益。 利用非技術性手段,獲得存取資訊或系統的機會 和善的聲音、假冒的能力、誘惑人的內容等是社交工程的武器 通常運用於特定目標
社交工程攻擊定義 早期社交工程是使用電話或其他非網路方式來詢問個人資料,而目前社交工程大都是利用電子郵件或網頁來進行攻擊 透過電子郵件進行攻擊之常見手法 假冒寄件者 使用與業務相關或令人感興趣的郵件內容 含有惡意程式的附件 利用應用程式之弱點(包括零時差攻擊)
社交工程之特性 以人為本騙術為主 技術門檻較低 貪心:撿便宜的個性 好奇:探索感興趣的事務 缺乏警覺:有那麼嚴重嗎?
傳統入侵方式
社交工程入侵方式
社交工程攻擊模式 駭客設計攻擊陷阱程式(如特殊Word檔案或外部惡意連結) 將攻擊程式置入電子郵件中 受害者開啟電子郵件 啟動駭客設計的陷阱,將被植入後門程式 後門程式逆向連接,向遠端駭客報到 寄發電子郵件給特定的目標
社交工程對校園網路安全的影響 個人對社交工程的輕忽,給予不法份子有機可乘的機會,將構成校園資通安全的漏洞,輕則影響個人權益,重則威脅校園資通安全,實不可不慎。
常見的社交攻擊手法與目標 假冒身分;新進員工;廠商;客戶;政府單位;具有權威的人;系統廠商… 提供資訊 協助解決問題 目標 製造問題 系統修補程式或更新程式; 目標 一般同學 與校園網路業務無直接關係之人員
電話社交工程手法範例 「您好,我是XXX,是XXX 公司的客服代表,我們正在進行一項服務滿意度調查,請問能耽誤您2, 3 分鐘的時間嗎?」 「請問宿舍的開放時間從幾點到幾點?」 「請問宿舍大約有多少同學使用我們的服務?」 「請問您大概多久使用一次我們的服務?」 「我們的免費服務電話是幾號?號碼好記嗎?」 「我們客服人員的態度是否每次都很禮貌?」 「我們對網路問題反應的時間,您滿意嗎?」 「我們提供給同學的資訊有效嗎?是否曾經有錯誤?」 「如果您希望我們改善服務,您希望我們在那一方面能做得更好呢?」 「如果我們寄問卷給你,您願意填寫嗎?」
社交工程攻擊途徑 帶有惡意程式的電子郵件 網路釣魚 利用社交工程的概念,將病毒、蠕蟲與惡意程式等隱藏在電子郵件中,以看起來像朋友所寄來的郵件,來誘騙使用者打開郵件。 網路釣魚 偽裝成知名企業或機關單位寄發的電子郵件,通知收件人必須重新驗證密碼或登入某網址輸入個人資料等。
社交工程攻擊途徑 圖片中的惡意程式 偽裝成修補程式 即時通訊軟體 利用使用者對名人的好奇心來散佈惡意程式。 由於即時通訊軟體上的聯絡人名單,通常都是自己的朋友,因此當惡意程式利用即時通軟體散播時,通常都能造成危害。
社交工程─時事相關惡意電郵
社交工程─公務相關惡意電郵
社交工程─偽冒身份惡意電郵
社交工程─抽獎活動
網路釣魚的事件 銀行帳戶密碼 信用卡號碼 常見的網路釣魚郵件標題 「如果您不在 48 小時內回應,您的帳戶將會關閉。 「親愛的客戶。」 「請按一下下方的連結,進入您的帳戶。」 常見的網路釣魚郵件標題 YOU GOT MAIL! 「請確認您的帳戶資訊。」 「要求更新信用卡資訊」 「如果您不在 48 小時內回應,您的帳戶將會關閉。 「親愛的客戶。」
網路釣魚示意圖 誘騙手法 電子郵件或 即時通訊等方式。
社交工程─釣魚網頁
社交工程─釣魚網頁
社交工程─釣魚網頁
社交工程─惡意網頁 Google Safe Browsing http://www.google.com/safebrowsing/diagnostic?site=http://網址
瀏覽網路的風險 最好不要下載及安裝未經授權軟體 避免下載不明的軟體 點選連結網站要確認網址以免受騙 可能為詐騙之郵件標題 「請確認您的帳戶資訊。」 要求更新信用卡資訊 「如果您不在 48 小時內回應,您的帳戶將會關閉。」 「親愛的客戶。」 「請按一下下方的連結,進入您的帳戶。」
社交工程容易成功的原因 校園人數眾多 校園佔地廣闊 學校單位組織架構明確公開 學校行政人員普遍缺乏安全訓練 缺乏資訊分級體系 缺乏事件通報機制/ 反應計劃
社交工程的應對方式 社交工程雖然利用人性弱點來騙取機敏資料,讓人覺得防不勝防,但如果能隨時提高警覺,不未經確認即提供資料、不開啟來路不明的電子郵件及附加檔案、不連結及登入未經確認的網站、不下載非法軟體及檔案,就能避免社交工程的攻擊傷害。
社交工程攻擊防治之道 落實確認/ 授權程序 教育訓練 確認身分 確認在學/在職狀況 確認對方有取得資訊的需求及權限 認識常見社交工程的可疑徵兆 了解並遵守校園安全政策與程序 演練、演練、再演練
案例分享- 一般事件 USB 隨身碟暗藏木馬程式 駭客冒名寄含木馬程式電郵 無名小站帳號遭人盜用 病毒模仿成 MSN 安裝程式 釣魚網站偽裝銀行 無線網路信用卡盜刷 個人資料外洩 政府單位網頁被篡改 殭屍網路攻擊 主題式社交攻擊尤須當心 資料來源: 提昇校園資訊安全服務計畫-案例分享-一般事件 http://cissnet.edu.tw/case_generally.aspx
案例分享-校園事件 網站涉洩露學師生個人資料 電腦失竊造成資料遺失 學生駭客竊取帳號修改網站 電子郵件帳號遭駭客竊取 公事家辦洩密 警所私灌 FOXY 偵查筆錄外洩 全台近千網站植入惡意程式 網路銀行資料遭竊取 資料來源: 提昇校園資訊安全服務計畫-案例分享-校園事件 http://cissnet.edu.tw/case_school.aspx