資安事件通報與應變 基隆市教育網路中心 講師：王言俊.

Presentation on theme: "資安事件通報與應變 基隆市教育網路中心 講師：王言俊."— Presentation transcript:

1 資安事件通報與應變 基隆市教育網路中心 講師：王言俊

2 學術單位資安等級分類 A級單位(重要核心)： 1.負責教育政策審定單位，如：教育部。 2.凡涉及各相關部會委託研究具國家安全機
密性或敏感性之數位資料之執行單位。如： 國科會。 3.教學醫院。

3 B級單位(核心單位)： 2.各大學（含科技大學）。 3.台灣學術網路各區域網路中心暨各縣市 教育網路中心。 C級單位(重要單位)：
1.凡涉及社會秩序運作及民眾隱私等機敏系統 之學研機構。 2.各大學（含科技大學）。 3.台灣學術網路各區域網路中心暨各縣市 教育網路中心。 C級單位(重要單位)： 各技術學院及專科學校。 D級單位(一般單位)： 各高中職（含）以下學校。

4 學術單位資安事件等級分類 四級事件： 1.國家機密資料遭洩漏。 2.國家重要資訊基礎建設系統或資料遭竄改。
3.國家重要資訊基礎建設運作遭影響或系統停頓，無法 於可容忍中斷時間內回復正常運作。 三級事件： 1.密級或敏感公務資料遭洩漏。 2.核心業務系統或資料遭嚴重竄改。 3.核心業務運作遭影響或系統停頓，無法於可容忍中斷 時間內回復正常運作。

5 資等機敏資料，因涉及個資法，符合三級事件的1. 例2：某高職因停水空調水塔缺水，使得機房溫度升高，
例1：某國中教務處註冊組長的電腦遭竊，內含學生個 資等機敏資料，因涉及個資法，符合三級事件的1. 例2：某高職因停水空調水塔缺水，使得機房溫度升高， 造成伺服器及網路設備當機，對外網路中斷。符 合三級事件的3. 二級事件： 1.非屬密級或敏感之核心業務資料遭洩漏。 2.核心業務系統或資料遭輕微竄改。 3.核心業務運作遭影響或系統效率降低，於可容忍中斷時 間內回復正常運作。 例1：某國中網站的公告系統資料庫疑似遭SQL Injection 置入Javascript字串，導致系統無法正常登入，調用 備份之資料，還原資料表，僅影響數筆資料。修改公 告系統的程式碼與資料庫後解決此問題。符合二級事 件中的2.與3.

6 例2：某國小網站疑似遭駭客入侵置入惡意程式，致使網
站被迫暫時關閉修補漏洞。符合二級事件中的3. 一級事件： 1.非核心業務資料遭洩漏。 2.非核心業務系統或資料遭竄改。 3.非核心業務運作遭影響或短暫停頓。 例1：某國小專任辦公室公用電腦發現受BotNet感染濫發 垃圾郵件，經掃毒軟體掃描後已清除BotNet。符合 一級事件中的2. 例2：某國中校護用的電腦一旦連上網路就慢到不行，經 防毒軟體檢測亦無改善，重新安裝作業系統並將資 料備份回去後就一切正常。符合一級事件的1.2.3.

7 資訊人員與資安人員在中小學是重疊的，所以訓練時數取最大值8小時。 一般使用者即一般教職員。
作業 名稱 等級 防護縱深 ISMS推動作業 稽核方式 資安教育訓練(一般 主管、資訊人員、資 安人員、一般使用者 (註一 )) 專業證照 檢測機關網 站安全弱點 A級 NSOC直接防護/ SOC自建或委外、IDS、防火牆、防毒、郵件過濾裝置 通過第三者驗証 每年至少2 次內稽 每年至少(3、6、18、3小時) 資訊人員、資安人員需通過資安職能鑑定(註三) 維持至少2張 資安專業證照 每年2次 B級 SOC(選項)、IDS、防火牆、防毒、郵件過濾裝置 每年至少1 次內稽 每年至少(3、6、16、3小時) 維持至少1張 資安專業證照 每年1次 C級 防火牆、防毒、郵件過濾 裝置 自行成立推動小組規劃作業 自我檢視 每年至少(2、6、12、 3小時) 資安專業訓練 D級 推動ISMS觀念宣 導 每年至少(1、4、8、 2小時) 註一：一般主管指的是校長、各處室主任。 資訊人員與資安人員在中小學是重疊的，所以訓練時數取最大值8小時。 一般使用者即一般教職員。

8 通報應變流程說明 依來源區分 - 告知通報(來自A-soc、Abuse、ICST、NTU-soc、Mini-soc、 依處理方式區分
NCKU、NTHU…的告知) - 自行通報(自行發現) 依處理方式區分 - 通報應變同時處理 - 通報應變分開處理 依資安事件等級區分 - 一、二級資安事件(輕微) - 三、四級資安事件(嚴重)

9 資安事件通報處理時效 無論級別，通報時限均為1個小時內。 處理時間： ■一、二級資安事件為72小時內完成。
事件單成立一個小時，後每12個小時會寄通 知信，逾時(72小時)每12個小時寄逾時通知。 ■三、四級資安件為36小時內完成。 知信，逾時(36小時)每12個小時寄逾時通知。

10 通報應變同時處理流程(一、二級) SMS簡訊 區縣市網人員 資安通報應變小組 教育部相關人員

11 通報應變分開處理流程(一、二級) SMS簡訊 區縣市網人員 資安通報應變小組 教育部相關人員 SMS簡訊 區縣市網人員

12 資安事件 告知

13 資安事件簡訊告知 Tanet Cert在確認收到資安事件告知後，除了 外，還會發送簡訊到學校及市網中心資安聯絡人的手機裡。收到簡訊毋須回復。

14 資安事件通報網站 教育機構資安通報平台網站 https://info.cert.tanet.edu.tw
OID碼如：

15 如果忘記當初設定的密碼為何，點擊「忘該密碼」，Cert系統會自動將重設後的密碼發送至當初指定的信箱內。
如果連當初指定的信箱都不知道，請電洽或 詢問。

16 Tanet Cert登入後的畫面，如果有新進資安告知，會在上圖綠色框線處顯示。
上圖紅色框線處即機關名稱和單位資安聯絡人基本資料，如果有異動請點擊「修改個人資料」進行修改。

17 為避免發生資安事件時聯絡不到負責人，建議最少要留下兩位聯絡人。
密碼要8碼(含)以上，文數字混合，其中必需包含大寫的英文字母。 切記，每次修改完資料均要變更密碼。

18 自行通報表單填寫 依序輸入如圖所示的各項次。 如果不知道或是沒有就填寫「無」(例如：IPS/IDS)
或填寫系統內建(如Windows作業系統內建的防火牆。 Asus EeePC WinXP SP3 Avast Windows Defender

19 事件分類只能在INT與DEF中任選一項。
一般來說，個人電腦發生的事件為INT，若是Server，則INT或DEF均有可能，若不幸兩者兼有，請選擇你覺得比較嚴重的一類。 一般PC遭BotNet入侵，對外發送垃 圾信，造成本校對外網路流量異常。 本校MRTG顯示某辦公室流量異常 經檢查係教務處幹事用的電腦遭 BotNet入侵，對外發送垃圾件。

20 依據事件的機密性、完整性和可用性衝擊填寫。切記不可填0級。填寫完畢後資安事件綜合評估等級會自行出現，毋須填寫。
是否需要支援，預設是「否」。如有需要請勾選「是」及期望的支援方式(電話告知或是 告知) 1級：輕微資安事件 1. 本校對外網路流量異常。 2. 本校其它電腦可能也受BotNet感染。

21 是否同時進行通報流程與應變流程。無論是否完成通報流程，應變流程均需填寫。
1.重新安裝作業系統並安裝防毒軟體。 2.倒回備份的資料。 是否同時進行通報流程與應變流程。無論是否完成通報流程，應變流程均需填寫。

22 告知通報表單填寫 新進告知通知報圖例。點擊工單編號(數字)後會出現通報流程表單，表單分為兩大項，第一項是發生資安事件之機關聯絡資料(毋須填寫，會自動顯示；第二項是因外在因素產生資安事件時的通報事項(共七項)。

23 IBM Server X3200 FreeBSD 7.1 Perl 5.8.8 PacketFilter

24 對網站各項服務無明顯破壞。 經Tanet Cert告知本校Server遭入侵成為駭客中繼站。經查係該Server的Perl版本較舊，駭客利用其堆疊溢位漏洞進行攻擊，使該Server成為中繼站。 更新Perl版本後已無此一問題。

25 2級：一般資安事件 本校Server成為駭客中繼站，但該Server僅存放學校網頁，無個資外洩問題，故影響範圍不大，亦無損失。

26 建議通報流程與應變流程一起完成。 將Tanet Cert告知的駭客IP加入PacketFilter中。並將本Server的Apache停用，中斷port 80(駭客進入的port)通連。再利用portupgrade升級Perl 5.8.8至5.1x.x版，升級完畢後重啟作業系統。

27 攻擊行為分類與破壞程度描述 伺服器 – INT與DEF攻擊均有可能發生 個人電腦(含筆電) – 多半為INT攻擊
1.惡意網頁(網頁遭駭客置換或放置不當內容) 2.惡意留言(網頁遭駭客放上惡意留言) 3.網頁置換(網頁遭駭客置換) 4.釣魚網站(主機遭駭客置入釣魚網站) 1.系統入侵(資訊設備遭惡意使用者入侵) 2.對外攻擊(對外部主機進行攻擊行為) 3.針對性攻擊(針對特定個人資訊洩漏與身份盜取) 4.散播惡意程式(主機對外進行惡意程式散播) 5.中繼站(主機成駭客中繼站，接收惡意程式連線) 6.社交工程攻擊(帳號遭盜用對外發動社交工程攻擊) 7.Spam(資訊設備從事Spam Mail散播行為) 8.C&C(主機疑似為駭客之Botnet C&C Server) 9.Bot(資訊設備疑似成為駭客所控制之Botnet成員)

28 可能影響及損失評估描述示例 1.本校網站討論區(留言版)遭XSS攻擊， 目前暫時關閉該項功能。 2. 本校網站內容遭置換，目前已利用備 份資料復原，資料均無損失。刻正進 行系統漏洞修補。 3. 本校伺服器遭置入釣魚網站。經查係 該伺服器上某帳號的密碼不符密碼原 則，致使駭客連入該帳號後置入釣魚 網站。破壞程度未知。 4.該Server因系統漏洞而成為駭客的中 繼站，然該Server內無機敏資料，故 本校網路運作無影響。 5.該Server疑似Mail Service漏洞，對外 大量發送垃圾郵件，嚴重影響本校對 外網站流量。 6.該Server疑似遭駭客入侵，對外掃描 特定主機某些通訊埠。造成本校部份 網站服務受到上級單位的阻擋。 7.該Server疑似成為BotNet的C&C Server， 影響力與破壞程度不可限量。 1.該筆電疑似遭BotNet入侵而成為Bot， 對外散佈垃圾信件與含惡意碼的信件， 嚴重 影響本校對外網站流量，同時亦 可能感染其它的電腦。 2.該部個人電腦主機疑似遭惡意程式或 駭客入侵，針對特定主機的特定埠號 進行掃描，嚴重影響本校對外網站流 量。

29 解決辦法描述示例 1.本校網站討論區(留言版)遭XSS攻擊， 暫時關閉該項功能。 2. 本校網站內容遭置換，目前已利用備 份資料復原，資料均無損失。系統漏 洞修補後一切正常。 3. 本校伺服器遭置入釣魚網站。經查係 該伺服器上某帳號的密碼不符密碼原 則，致使駭客連入該帳號後置入釣魚 網站。強制更改該帳號的密碼之後， 目前運作正常，刻正清查其餘帳號是 否有密碼過於簡單的問題。 4.該Server因系統漏洞而成為駭客的中 繼站，系統重新安裝後重置備份資料， 目前正常 。 5.該Server疑似Mail Service漏洞，對外 大量發送垃圾郵件，暫時將Mail Service 功能停止，待更新Mail Service 後再持續觀察運作是否有異常。 6.該Server疑似遭駭客入侵，對外掃描 特定主機某些通訊埠。系統重新安裝 後重置備份資料， 目前正常 。 1.該筆電疑似遭BotNet入侵而成為Bot， 對外散佈垃圾信件與含惡意碼的信件， 經掃毒後仍有疑似狀況，故重新安裝 作業系統，目前仍持續觀察是否有異 狀。 2.該部個人電腦主機疑似遭惡意程式或 駭客入侵，經掃毒後已將惡意程式移 除，目前運作正常，持續觀察是否有 異狀。

30 查詢所屬單位的OID： 點擊「組織與團體性識別碼OID查詢」 自行輸入關鍵字，如：基隆市。

31

32 資訊安全相關網站 台灣學術網路危機處理中心 http://cert.tanet.edu.tw 行政院國家資通安全會報技術服務中心
教育部資訊安全服務網 資安人 - iThome - 微軟資訊安全首頁