資安事件通報與應變 暨通報應變演練 基隆市教育網路中心 原始作者:王言俊
大綱 何謂資安事件? 學術單位資安事件等級分類 Tanet CERT通報應變網站介紹 資安事件的通報與應變程序介紹 資安事件通報與應變演練介紹 各校更新資安聯絡人資料(姓名、Email、密碼)
何謂資安事件 資訊設備(電腦、伺服器、智慧型手機…)受惡意程式(Bots、病毒、蠕 蟲、木馬…)感染,或受駭客入侵,導致系統無法提供正常服務,進而危及 組織安全的事件。 個資外洩也算資安事件,嚴重時恐致命。 資安事件按Tanet CERT的標準,分成DEF與INT兩種攻擊類型。 單機上最常見的資安事件為Bots與對外攻擊,伺服器上最常見的資安事件 為XSS / SQL Injection。
市網中心防火牆阻擋原則 限定各校的port 53與123只能對映特定的伺服器。 BT、影音串流(ex:ppplive)、翻牆(ex:freegate)全擋(國中小)。 pcAnywhere、teamviewer、RemoteDesktop需提出申請(國中小)。 Snort及各大Maleware網站提列的特定port與IP。 防火牆自身Report顯示有異常行為的內外IP或port。
本市各校資安事件統計 數據來源:Tacert發佈本市的資安事件。數據時間:104 / 105年的1/1至9/16。 可看出今年同期較去年同期減少約3成。防火牆的policy在今年6月後發生明顯的效果。
本市各校資安事件類型統計 數據時間:2014、2015年兩年的1/1 至9/16
學術單位資安事件等級分類 1.各大學(含科技大學)。 A級單位(重要核心): 凡涉及各相關部會委託研究具國家安全機 密性或敏感性之數位資料之執行單位。 如:教育部、國科會、教學醫院… B級單位(核心單位): 1.各大學(含科技大學)。 2.台灣學術網路各區域網路中心暨各縣市 教育網路中心。
C級單位(一般單位): 1.各技術學院、專科學校及各高中職 (含)以下學校。 2.教育部所屬研究機構。
學術單位資安事件等級分類 四級事件: 1.國家機密資料遭洩漏。 2.國家重要資訊基礎建設系統或資料遭竄改。 3.國家重要資訊基礎建設運作遭影響或系統停頓,無法 於可容忍中斷時間內回復正常運作。 三級事件: 1.密級或敏感公務資料遭洩漏。 2.核心業務系統或資料遭嚴重竄改。 3.核心業務運作遭影響或系統停頓,無法於可容忍中斷 時間內回復正常運作。
資等機敏資料,因涉及個資法,符合三級事件的1. 例2:某高職因停水空調水塔缺水,使得機房溫度升高, 例1:某國中教務處註冊組長的電腦遭竊,內含學生個 資等機敏資料,因涉及個資法,符合三級事件的1. 例2:某高職因停水空調水塔缺水,使得機房溫度升高, 造成伺服器及網路設備當機,對外網路中斷。符 合三級事件的3. 二級事件: 1.非屬密級或敏感之核心業務資料遭洩漏。 2.核心業務系統或資料遭輕微竄改。 3.核心業務運作遭影響或系統效率降低,於可容忍中斷時 間內回復正常運作。 例1:某國中網站的公告系統資料庫疑似遭SQL Injection 置入Javascript字串,導致系統無法正常登入,調用 備份之資料,還原資料表,僅影響數筆資料。修改公 告系統的程式碼與資料庫後解決此問題。符合二級事 件中的2.與3.
例2:某國小網站疑似遭駭客入侵置入惡意程式,致使網 站被迫暫時關閉修補漏洞。符合二級事件中的3. 一級事件: 1.非核心業務資料遭洩漏。 2.非核心業務系統或資料遭竄改。 3.非核心業務運作遭影響或短暫停頓。 例1:某國小專任辦公室公用電腦發現受BotNet感染濫發 垃圾郵件,經掃毒軟體掃描後已清除BotNet。符合 一級事件中的2. 例2:某國中校護用的電腦一旦連上網路就慢到不行,經 防毒軟體檢測亦無改善,重新安裝作業系統並將資 料備份回去後就一切正常。符合一級事件的1.2.3.
資訊系統 分類分級 ISMS推動 資安專 責人力 稽核方 式 業務持 續運作 演練 防護縱深 監控管理 安全性 檢測 專業證 照 作業 名稱 等級 資訊系統 分類分級 ISMS推動 資安專 責人力 稽核方 式 業務持 續運作 演練 防護縱深 監控管理 安全性 檢測 資安教育訓練( 一般主管、資 訊人員、資安 人員、一般使 用者) 專業證 照 A級 1.104年底 前完成資 訊安全系 統分級 2.105年底 前完成系 統資安防 護基準 1.105年底 前 全部 核心 資 訊系統 完成 ISMS導入 2.106年底 前 ISMS驗證 指派資安專責人力 2人 每年至少 2次內稽 每年至少辦理1次核心資訊系統持續運作演練 1.防毒、防 火牆、郵 件過濾裝 置 2.IDP/IPS、 WAF 3.APT攻擊 防禦 104年底前 完成SOC監 控 1.每年至 少 辦理 2次 網 站弱點 2.每年至少 辦理 1次 系統滲透 測試 3.每年至 少 辦理 1次 資安健診 1.每年資安人員 至少2人次須接 受12小時以上 的資安專業課 程訓練或資安 職能訓練 2.每年一般使用 者與主管至少 須接受3小時資 安宣導課程並 通過課程評量 每年維持 至少2張國 際資安證 照與2張資 安職能訓 練證書之 有效性 B級 1.106年底 前 2.107年底 前 1人 1次內稽 每2年至少辦理1次核心資訊系統持續運作演練 WAF(對 外服務之 核心資訊 系統) 105年底前 完成SOC監 控 2.每2年至少 3.每2年至 少 每年維持 至少1張國 際資安證 照與1張資 安職能訓 練證書之 有效性 C級 依各主管 機關規定 自行成立推 動小組規劃 作業 防火牆、防毒、郵件過濾裝置 依各主管機 關規定 1.依各主管機關 規定資安人員 資安專業課程 訓練或資安職 能訓練要求
資安事件通報網站簡介 教育機構資安通報平台網站 https://info.cert.tanet.edu.tw OID碼如:2.16.886.101.90001.20002.20071.20001
學校第一位資安聯絡人(主)的OID: Ex: 2.16.886.101.90001.20002.20071.20001 學校第二位資安聯絡人(副)的OID: Ex:2.16.886.101.90001.20002.20071.20001.1 學校至少要有兩位資安聯絡人,至多五位。第三位資安聯絡人的結尾為.2、 第四位為.3、第五位為.4 如果不想設定5位資安聯絡人,第一資安聯絡人可於「帳號管理」中將其 關閉。
如果忘記當初設定的密碼為何,點擊「忘該密碼」,Cert系統會自動將重設後的密碼發送至當初指定的信箱內。 如果連當初指定的信箱都不知道,請電洽或Email 詢問。
資安演練整備期間,登入後會出現提醒變更密碼的對話框。
Tanet Cert登入後的畫面,如果有新進資安告知,會在上圖綠色框線處顯示。 上圖紅色框線處即機關名稱和單位資安聯絡人基本資料,如果有異動請點擊「修改個人資料」進行修改。
密碼要8碼(含)以上,文數字混合,其中必需包含大寫的英文字母。 切記,每次修改完資料均要變更密碼。 修改完畢後按送出,系統會出現一個對話框,表示第?個資安聯絡人資料更新成功,請登出後重新以新密碼登入。 學校第一資安聯絡人,「是否接收訊息」處,請記得勾選。 今年新增加可以在自己的帳號內,看到其它的資安聯絡人姓名與Mail。
帳號管理功能。此功能為第一資安聯絡人才有的權限,可以設定關閉第三至第四資安聯絡人的帳號。點擊「關閉此帳號」後再點擊「送出」,該資安聯絡人的帳號就會被關閉。
若遺忘第二聯絡人,可用「關閉此帳號」再「啟用此帳號」方式重啟。 系統會在網頁上顯示OID碼與亂數產生的密碼,以此登入後即可輸入聯絡人資料
資安事件的通報應變 告知通報 接獲手機簡訊、E-mail後,連上資安通報 應變網站,進行相關事項填寫。 自行通報 學校主機發現的資安事件,自行連上資安 通報應變網站填寫相關事項。 注意:自行通報的情形很少,沒事別亂填。 建議「通報」、「應變」一併填寫。
通報應變流程說明 - 三、四級資安事件(嚴重) soc、NCKU、NTHU…的告知) - 自行通報(自行發現) - 通報應變分開處理 依來源區分 - 告知通報(來自A-soc、Abuse、ICST、NTU-soc、Mini- soc、NCKU、NTHU…的告知) - 自行通報(自行發現) 依處理方式區分 - 通報應變同時處理 - 通報應變分開處理 依資安事件等級區分 - 一、二級資安事件(輕微) - 三、四級資安事件(嚴重)
資安事件通報處理時效 無論級別,通報時限均為1個小時內。 處理時間: ■一、二級資安事件為72小時內完成。 事件單成立一個小時,後每12個小時會寄通 知信,逾時(72小時)每12個小時寄逾時通知。 ■三、四級資安件為36小時內完成。 知信,逾時(36小時)每12個小時寄逾時通知。
通報應變同時處理流程(一、二級) SMS簡訊 區縣市網人員 資安通報應變小組 教育部相關人員
通報應變分開處理流程(一、二級) SMS簡訊 區縣市網人員 資安通報應變小組 教育部相關人員 SMS簡訊 區縣市網人員
資安事件Email告知
資安事件簡訊告知 Tanet Cert在確認收到資安事件告知後,除了Email外,還會發送簡訊到學校及市網中心資安聯絡人的手機裡。收到簡訊毋須回復。
告知通報表單填寫 新進告知通知報圖例。點擊工單編號(數字)後會出現通報流程表單,表單分為兩大項,第一項是發生資安事件之機關聯絡資料(毋須填寫,會自動顯示;第二項是因外在因素產生資安事件時的通報事項(共七項)。
210.240.35.193 http://test.cccs.kl.edu.tw IBM Server X3200 FreeBSD 7.1 Perl 5.8.8 PacketFilter
經Tanet Cert告知本校IP:xxx. xxx. xxx. xxx疑似成為Bot的成員。經查xxx. xxx. xxx 經Tanet Cert告知本校IP:xxx.xxx.xxx.xxx疑似成為Bot的成員。經查xxx.xxx.xxx.xxx為本校無線認證閘道器,疑似下轄的電腦受BotNet入侵。 經Tanet Cert告知本校IP:xxx.xxx.xxx.xxx疑似成為Bot的成員。經查xxx.xxx.xxx.xxx為本校無線認證閘道器,疑似下轄的電腦受BotNet入侵。
1級:一般資安事件 本校對外網路頻寬可能受影響。
建議通報流程與應變流程一起完成。 全面清查xxx.xxx.xxx.xxx下轄的電腦,如有異常則先行下線,待重新安裝作業系統後才上線。
自行通報表單填寫 依序輸入如圖所示的各項次。 如果不知道或是沒有就填寫「無」(例如:IPS/IDS) 或填寫系統內建(如Windows作業系統內建的防火牆。 210.240.35.202 Asus EeePC WinXP SP3 Avast 10.3.2.1 Windows Defender
事件分類只能在INT與DEF中任選一項。 一般來說,個人電腦發生的事件為INT,若是Server,則INT或DEF均有可能,若不幸兩者兼有,請選擇你覺得比較嚴重的一類。 一般PC遭BotNet入侵,對外發送垃 圾信,造成本校對外網路流量異常。 本校MRTG顯示某辦公室流量異常 經檢查係教務處幹事用的電腦遭 BotNet入侵,對外發送垃圾件。
依據事件的機密性、完整性和可用性衝擊填寫。切記不可填0級。填寫完畢後資安事件綜合評估等級會自行出現,毋須填寫。 是否需要支援,預設是「否」。如有需要請勾選「是」及期望的支援方式(電話告知或是Email告知) 1級:輕微資安事件 1. 本校對外網路流量異常。 2. 本校其它電腦可能也受BotNet感染。
是否同時進行通報流程與應變流程。無論是否完成通報流程,應變流程均需填寫。 1.重新安裝作業系統並安裝防毒軟體。 2.倒回備份的資料。 是否同時進行通報流程與應變流程。無論是否完成通報流程,應變流程均需填寫。
攻擊行為分類與破壞程度描述 伺服器 – INT與DEF攻擊均有可能發生 個人電腦(含筆電) – 多半為INT攻擊 1.惡意網頁(網頁遭駭客置換或放置不當內容) 2.惡意留言(網頁遭駭客放上惡意留言) 3.網頁置換(網頁遭駭客置換) 4.釣魚網站(主機遭駭客置入釣魚網站) 5.個資外洩(主機遭個資外洩) 1.系統入侵(資訊設備遭惡意使用者入侵) 2.對外攻擊(對外部主機進行攻擊行為) 3.針對性攻擊(針對特定個人資訊洩漏與身份盜取) 4.散播惡意程式(主機對外進行惡意程式散播) 5.中繼站(主機成駭客中繼站,接收惡意程式連線) 6.社交工程攻擊(帳號遭盜用對外發動社交工程攻擊) 7.Spam(資訊設備從事Spam Mail散播行為) 8.C&C(主機疑似為駭客之Botnet C&C Server) 9.Bot(資訊設備疑似成為駭客所控制之Botnet成員)
可能影響及損失評估描述示例 1.本校網站討論區(留言版)遭XSS攻擊, 目前暫時關閉該項功能。 2. 本校網站內容遭置換,目前已利用備 份資料復原,資料均無損失。刻正進 行系統漏洞修補。 3. 本校伺服器遭置入釣魚網站。經查係 該伺服器上某帳號的密碼不符密碼原 則,致使駭客連入該帳號後置入釣魚 網站。破壞程度未知。 4.該Server因系統漏洞而成為駭客的中 繼站,然該Server內無機敏資料,故 本校網路運作無影響。 5.該Server疑似Mail Service漏洞,對外 大量發送垃圾郵件,嚴重影響本校對 外網站流量。 6.該Server疑似遭駭客入侵,對外掃描 特定主機某些通訊埠。造成本校部份 網站服務受到上級單位的阻擋。 7.該Server疑似成為BotNet的C&C Server。 8.因相關人員操作不當,學校網站發生 個資不當揭露事件,影響甚大。 1.該筆電疑似遭BotNet入侵而成為Bot, 對外散佈垃圾信件與含惡意碼的信件, 嚴重 影響本校對外網站流量,同時亦 可能感染其它的電腦。 2.該部個人電腦主機疑似遭惡意程式或 駭客入侵,針對特定主機的特定埠號 進行掃描,嚴重影響本校對外網站流 量。
解決辦法描述示例 1.本校網站討論區(留言版)遭XSS攻擊, 暫時關閉該項功能。 2. 本校網站內容遭置換,目前已利用備 份資料復原,資料均無損失。系統漏 洞修補後一切正常。 3. 本校伺服器遭置入釣魚網站。經查係 該伺服器上某帳號的密碼不符密碼原 則,致使駭客連入該帳號後置入釣魚 網站。強制更改該帳號的密碼之後, 目前運作正常,刻正清查其餘帳號是 否有密碼過於簡單的問題。 4.該Server因系統漏洞而成為駭客的中 繼站,系統重新安裝後重置備份資料, 目前正常 。 5.該Server疑似Mail Service漏洞,對外 大量發送垃圾郵件,暫時將Mail Service 功能停止,待更新Mail Service 後再持續觀察運作是否有異常。 6.該Server疑似遭駭客入侵,對外掃描 特定主機某些通訊埠。系統重新安裝 後重置備份資料, 目前正常 。 7.已將不當揭露之個資下架,同時聯繫 當事人,設法取的諒解。 1.該筆電疑似遭BotNet入侵而成為Bot, 對外散佈垃圾信件與含惡意碼的信件, 經掃毒後仍有疑似狀況,故重新安裝 作業系統,目前仍持續觀察是否有異 狀。 2.該部個人電腦主機疑似遭惡意程式或 駭客入侵,經掃毒後已將惡意程式移 除,目前運作正常,持續觀察是否有 異狀。
查詢所屬單位的OID: http://oid.nat.gov.tw/ 點擊「組織與團體性識別碼OID查詢」 自行輸入關鍵字,如:基隆市。
2015年通報應變演練期程 8/21 ~ 10/04 10/05 ~ 10/08 (09:00 ~ 17:00) 依據臺教資(四)字第1040110483號函辦理。 日期 作為 8/21 ~ 10/04 確認資安聯絡人的基本資料。 修改資安聯絡人的密碼。 10/05 ~ 10/08 (09:00 ~ 17:00) 收到通報應變演練的簡訊、Email後立即連上測試網站,進行演練。 10/05 ~10/08期間,除非必要,否則不要離開學校。在學校期間,請切記手機不要離身(如上課時間,可調成震動)。收到簡訊或信件,請逕行登入演練網站進行演練,不要再打電話給我「確認」是否為演練還是真實事件。
演練方式 本次演練將以「告知通報」形式進行,教育部將於資安通報演練作業期間 以郵件及簡訊傳送「資安事件通報單」。為避免與真實事件產生混淆,演 練模擬事件通知簡訊及郵件上皆加註「告知通報演練」字樣,另事件單編 號皆以「DRILL」開頭進行編碼。 執行演練單位於收到mail及簡訊通知後,應於1小時內至教育機構資安通 報演練平台完成事件通報流程,並依事件等級於處理時限內完成事件應變 處理並結案。 手機簡訊號碼:0961295368 Mail:service@cert.tanet.edu.tw(140.117.101.5)
演練模擬10種資安事件類型
更新資安聯絡人及填報應變作為 演練整備期,請至「教育機構資安通報平台」更新資安聯絡人資料 (含密碼): 演練整備期,請至「教育機構資安通報平台」更新資安聯絡人資料 (含密碼): https://info.cert.tanet.edu.tw 演練期間,請於時限內上通報應變測試網站,填報應變作為: https://drill.cert.tanet.edu.tw
演練事件通知單內容範例
縣市網路中心評分標準說明 給分標準 2 1 密碼更新率 達90%以上 達90%~70% 未達70% 通報完成率 密碼更新率 達90%以上 達90%~70% 未達70% 通報完成率 所轄連線單位於24小時內完成通報比率達85% 所轄連線單位於24小時內完成通報比率達85%~70% 所轄連線單位於24小時內完成通報比率未達70% 審核及時率 所轄連線單位事件單審核作業於時限內完成率達85% 所轄連線單位事件單審核作業於時限內完成率達85%~70% 所轄連線單位事件單審核作業於時限內完成率未達70% 評分項目
各學校評分標準說明 給分標準 2 1.5 1 通報及時率 1小時內完成 1-4小時內完成 24小時內完成 24小時內未完成 應變時效率 通報及時率 1小時內完成 1-4小時內完成 24小時內完成 24小時內未完成 應變時效率 時限內完成 (時限+2小時)內完成 時限+4小時內完成 未於(時限 + 4小時)內完成 資料正確率 2位以上資安聯絡人所有欄位資料填寫完整(含密碼更新) 填寫2位以上資安聯絡人,但僅一位資安聯絡所有欄位資料填寫完整(含密碼更新) 未填寫資安聯絡人 資安聯絡人資料均不完整 評分項目
檢討與改善作為 類別 對象 說明 績優單位 區縣(市)網路中心 連線單位150個(含)以上,取演練成績最優前3名。 連線單位50(含)~149個,取演練成績最優前3名。 連線單位50個以下,取演練成績最優前3名。 機關、學校 A、B級機關、學校,取演練成績最優5名。 C、D級機關、學校,取演練成績最優前5名。 部屬機關 演練成績最優前3名。 需要改善單位 全體 區縣(市)網路中心及各級機關、學校演練成績總分在2分以下,函請其研提改善作為。
檢討與改善作為 需改善單位:區縣(市)網路中心及各機關、學校總分在2分以下, 請該單位檢具檢討改善報告報部備查,並列入教育部資訊安全稽核 優先單位。 參演成績將列入「104年度統合視導地方教育事務」評分項目之一, 如有待加強事項,教育部將發函至需改善單位,研提改善作為,並 於視導單位時驗證單位改善成效。
本市各校往年常見的「狀況」 真實事件與演練事件,傻傻分不清 將通報應變網站與通報應變演練網站搞混 演練事件的簡訊與Mail,會出現演練事件類型、Drill字樣。 通報應變網站:https://info.cert.tanet.edu.tw 通報應變演網站:https://drill.cert.tanet.edu.tw
本市各校往年常見的「狀況」 切記,如果你連到的網站,找不到簡訊或是Mail中的事件單就代表你連錯網站了!請不要點擊自行通報。 將「演練事件」填到「通報應變網站」 將「真實事件」填到「通報應變演練網站」 如果真的填錯了,不要驚慌,速至「演練網站」填報,並電話通知我。 不要驚慌,請速至「通報應變網站」填報真實的事件,並電話通知我;如果通時也收到「演練事件單」,請速至「通報應變演練網站」再填報一次。 切記,如果你連到的網站,找不到簡訊或是Mail中的事件單就代表你連錯網站了!請不要點擊自行通報。
資訊安全相關網站 台灣學術網路危機處理中心 http://cert.tanet.edu.tw 行政院國家資通安全會報技術服務中心 http://www.icst.org.tw 教育部資訊安全服務網 http://cissnet.edu.tw 資安人 - http://www.informationsecurity.com.tw/ iThome - http://www.ithome.com.tw/ 微軟資訊安全首頁 http://www.microsoft.com/taiwan/security/
問題與討論