資安事件通報與應變 暨通報應變演練 基隆市教育網路中心 原始作者：王言俊.

Presentation on theme: "資安事件通報與應變 暨通報應變演練 基隆市教育網路中心 原始作者：王言俊."— Presentation transcript:

1 資安事件通報與應變 暨通報應變演練 基隆市教育網路中心 原始作者：王言俊

2 大綱 何謂資安事件? 學術單位資安事件等級分類 Tanet CERT通報應變網站介紹 資安事件的通報與應變程序介紹
資安事件通報與應變演練介紹 各校更新資安聯絡人資料（姓名、 、密碼）

3 何謂資安事件 資訊設備（電腦、伺服器、智慧型手機…）受惡意程式（Bots、病毒、蠕 蟲、木馬…）感染，或受駭客入侵，導致系統無法提供正常服務，進而危及 組織安全的事件。 個資外洩也算資安事件，嚴重時恐致命。 資安事件按Tanet CERT的標準，分成DEF與INT兩種攻擊類型。 單機上最常見的資安事件為Bots與對外攻擊，伺服器上最常見的資安事件 為XSS / SQL Injection。

4

5 市網中心防火牆阻擋原則 限定各校的port 53與123只能對映特定的伺服器。
BT、影音串流(ex:ppplive)、翻牆(ex:freegate)全擋（國中小）。 pcAnywhere、teamviewer、RemoteDesktop需提出申請（國中小）。 Snort及各大Maleware網站提列的特定port與IP。 防火牆自身Report顯示有異常行為的內外IP或port。

6 本市各校資安事件統計 數據來源：Tacert發佈本市的資安事件。數據時間：104 / 105年的1/1至9/16。
可看出今年同期較去年同期減少約3成。防火牆的policy在今年6月後發生明顯的效果。

7 本市各校資安事件類型統計 數據時間：2014、2015年兩年的1/1 至9/16

8 學術單位資安事件等級分類 1.各大學（含科技大學）。 A級單位(重要核心)： 凡涉及各相關部會委託研究具國家安全機
密性或敏感性之數位資料之執行單位。 如：教育部、國科會、教學醫院… B級單位(核心單位)： 1.各大學（含科技大學）。 2.台灣學術網路各區域網路中心暨各縣市 教育網路中心。

9 C級單位(一般單位)： 1.各技術學院、專科學校及各高中職 （含）以下學校。 2.教育部所屬研究機構。

10 學術單位資安事件等級分類 四級事件： 1.國家機密資料遭洩漏。 2.國家重要資訊基礎建設系統或資料遭竄改。
3.國家重要資訊基礎建設運作遭影響或系統停頓，無法 於可容忍中斷時間內回復正常運作。 三級事件： 1.密級或敏感公務資料遭洩漏。 2.核心業務系統或資料遭嚴重竄改。 3.核心業務運作遭影響或系統停頓，無法於可容忍中斷 時間內回復正常運作。

11 資等機敏資料，因涉及個資法，符合三級事件的1. 例2：某高職因停水空調水塔缺水，使得機房溫度升高，
例1：某國中教務處註冊組長的電腦遭竊，內含學生個 資等機敏資料，因涉及個資法，符合三級事件的1. 例2：某高職因停水空調水塔缺水，使得機房溫度升高， 造成伺服器及網路設備當機，對外網路中斷。符 合三級事件的3. 二級事件： 1.非屬密級或敏感之核心業務資料遭洩漏。 2.核心業務系統或資料遭輕微竄改。 3.核心業務運作遭影響或系統效率降低，於可容忍中斷時 間內回復正常運作。 例1：某國中網站的公告系統資料庫疑似遭SQL Injection 置入Javascript字串，導致系統無法正常登入，調用 備份之資料，還原資料表，僅影響數筆資料。修改公 告系統的程式碼與資料庫後解決此問題。符合二級事 件中的2.與3.

12 例2：某國小網站疑似遭駭客入侵置入惡意程式，致使網
站被迫暫時關閉修補漏洞。符合二級事件中的3. 一級事件： 1.非核心業務資料遭洩漏。 2.非核心業務系統或資料遭竄改。 3.非核心業務運作遭影響或短暫停頓。 例1：某國小專任辦公室公用電腦發現受BotNet感染濫發 垃圾郵件，經掃毒軟體掃描後已清除BotNet。符合 一級事件中的2. 例2：某國中校護用的電腦一旦連上網路就慢到不行，經 防毒軟體檢測亦無改善，重新安裝作業系統並將資 料備份回去後就一切正常。符合一級事件的1.2.3.

13 資訊系統 分類分級 ISMS推動 資安專 責人力 稽核方 式 業務持 續運作 演練 防護縱深 監控管理 安全性 檢測 專業證 照 作業 名稱
等級 資訊系統 分類分級 ISMS推動 資安專 責人力 稽核方 式 業務持 續運作 演練 防護縱深 監控管理 安全性 檢測 資安教育訓練( 一般主管、資 訊人員、資安 人員、一般使 用者) 專業證 照 A級 1.104年底 前完成資 訊安全系 統分級 2.105年底 前完成系 統資安防 護基準 1.105年底 前 全部 核心 資 訊系統 完成 ISMS導入 2.106年底 前 ISMS驗證 指派資安專責人力 2人 每年至少 2次內稽 每年至少辦理1次核心資訊系統持續運作演練 1.防毒、防 火牆、郵 件過濾裝 置 2.IDP/IPS、 WAF 3.APT攻擊 防禦 104年底前 完成SOC監 控 1.每年至 少 辦理 2次 網 站弱點 2.每年至少 辦理 1次 系統滲透 測試 3.每年至 少 辦理 1次 資安健診 1.每年資安人員 至少2人次須接 受12小時以上 的資安專業課 程訓練或資安 職能訓練 2.每年一般使用 者與主管至少 須接受3小時資 安宣導課程並 通過課程評量 每年維持 至少2張國 際資安證 照與2張資 安職能訓 練證書之 有效性 B級 1.106年底 前 2.107年底 前 1人 1次內稽 每2年至少辦理1次核心資訊系統持續運作演練 WAF(對 外服務之 核心資訊 系統) 105年底前 完成SOC監 控 2.每2年至少 3.每2年至 少 每年維持 至少1張國 際資安證 照與1張資 安職能訓 練證書之 有效性 C級 依各主管 機關規定 自行成立推 動小組規劃 作業 防火牆、防毒、郵件過濾裝置 依各主管機 關規定 1.依各主管機關 規定資安人員 資安專業課程 訓練或資安職 能訓練要求

14 資安事件通報網站簡介 教育機構資安通報平台網站 https://info.cert.tanet.edu.tw
OID碼如：

15 學校第一位資安聯絡人（主）的OID： Ex： 學校第二位資安聯絡人（副）的OID： Ex： 學校至少要有兩位資安聯絡人，至多五位。第三位資安聯絡人的結尾為.2、 第四位為.3、第五位為.4 如果不想設定5位資安聯絡人，第一資安聯絡人可於「帳號管理」中將其 關閉。

16 如果忘記當初設定的密碼為何，點擊「忘該密碼」，Cert系統會自動將重設後的密碼發送至當初指定的信箱內。
如果連當初指定的信箱都不知道，請電洽或 詢問。

17 資安演練整備期間，登入後會出現提醒變更密碼的對話框。

18 Tanet Cert登入後的畫面，如果有新進資安告知，會在上圖綠色框線處顯示。
上圖紅色框線處即機關名稱和單位資安聯絡人基本資料，如果有異動請點擊「修改個人資料」進行修改。

19 密碼要8碼(含)以上，文數字混合，其中必需包含大寫的英文字母。
切記，每次修改完資料均要變更密碼。 修改完畢後按送出，系統會出現一個對話框，表示第?個資安聯絡人資料更新成功，請登出後重新以新密碼登入。 學校第一資安聯絡人，「是否接收訊息」處，請記得勾選。 今年新增加可以在自己的帳號內，看到其它的資安聯絡人姓名與Mail。

20 帳號管理功能。此功能為第一資安聯絡人才有的權限，可以設定關閉第三至第四資安聯絡人的帳號。點擊「關閉此帳號」後再點擊「送出」，該資安聯絡人的帳號就會被關閉。

21 若遺忘第二聯絡人，可用「關閉此帳號」再「啟用此帳號」方式重啟。
系統會在網頁上顯示OID碼與亂數產生的密碼，以此登入後即可輸入聯絡人資料

22 資安事件的通報應變 告知通報 接獲手機簡訊、E-mail後，連上資安通報 應變網站，進行相關事項填寫。 自行通報
學校主機發現的資安事件，自行連上資安 通報應變網站填寫相關事項。 注意：自行通報的情形很少，沒事別亂填。 建議「通報」、「應變」一併填寫。

23 通報應變流程說明 - 三、四級資安事件(嚴重) soc、NCKU、NTHU…的告知) - 自行通報(自行發現) - 通報應變分開處理
依來源區分 - 告知通報(來自A-soc、Abuse、ICST、NTU-soc、Mini- soc、NCKU、NTHU…的告知) - 自行通報(自行發現) 依處理方式區分 - 通報應變同時處理 - 通報應變分開處理 依資安事件等級區分 - 一、二級資安事件(輕微) - 三、四級資安事件(嚴重)

24 資安事件通報處理時效 無論級別，通報時限均為1個小時內。 處理時間： ■一、二級資安事件為72小時內完成。
事件單成立一個小時，後每12個小時會寄通 知信，逾時(72小時)每12個小時寄逾時通知。 ■三、四級資安件為36小時內完成。 知信，逾時(36小時)每12個小時寄逾時通知。

25 通報應變同時處理流程(一、二級) SMS簡訊 區縣市網人員 資安通報應變小組 教育部相關人員

26 通報應變分開處理流程(一、二級) SMS簡訊 區縣市網人員 資安通報應變小組 教育部相關人員 SMS簡訊 區縣市網人員

27 資安事件 告知

28 資安事件簡訊告知 Tanet Cert在確認收到資安事件告知後，除了 外，還會發送簡訊到學校及市網中心資安聯絡人的手機裡。收到簡訊毋須回復。

29 告知通報表單填寫 新進告知通知報圖例。點擊工單編號(數字)後會出現通報流程表單，表單分為兩大項，第一項是發生資安事件之機關聯絡資料(毋須填寫，會自動顯示；第二項是因外在因素產生資安事件時的通報事項(共七項)。

30 IBM Server X3200 FreeBSD 7.1 Perl 5.8.8 PacketFilter

31 經Tanet Cert告知本校IP：xxx. xxx. xxx. xxx疑似成為Bot的成員。經查xxx. xxx. xxx
經Tanet Cert告知本校IP：xxx.xxx.xxx.xxx疑似成為Bot的成員。經查xxx.xxx.xxx.xxx為本校無線認證閘道器，疑似下轄的電腦受BotNet入侵。 經Tanet Cert告知本校IP：xxx.xxx.xxx.xxx疑似成為Bot的成員。經查xxx.xxx.xxx.xxx為本校無線認證閘道器，疑似下轄的電腦受BotNet入侵。

32 1級：一般資安事件 本校對外網路頻寬可能受影響。

33 建議通報流程與應變流程一起完成。 全面清查xxx.xxx.xxx.xxx下轄的電腦，如有異常則先行下線，待重新安裝作業系統後才上線。

34 自行通報表單填寫 依序輸入如圖所示的各項次。 如果不知道或是沒有就填寫「無」(例如：IPS/IDS)
或填寫系統內建(如Windows作業系統內建的防火牆。 Asus EeePC WinXP SP3 Avast Windows Defender

35 事件分類只能在INT與DEF中任選一項。
一般來說，個人電腦發生的事件為INT，若是Server，則INT或DEF均有可能，若不幸兩者兼有，請選擇你覺得比較嚴重的一類。 一般PC遭BotNet入侵，對外發送垃 圾信，造成本校對外網路流量異常。 本校MRTG顯示某辦公室流量異常 經檢查係教務處幹事用的電腦遭 BotNet入侵，對外發送垃圾件。

36 依據事件的機密性、完整性和可用性衝擊填寫。切記不可填0級。填寫完畢後資安事件綜合評估等級會自行出現，毋須填寫。
是否需要支援，預設是「否」。如有需要請勾選「是」及期望的支援方式(電話告知或是 告知) 1級：輕微資安事件 1. 本校對外網路流量異常。 2. 本校其它電腦可能也受BotNet感染。

37 是否同時進行通報流程與應變流程。無論是否完成通報流程，應變流程均需填寫。
1.重新安裝作業系統並安裝防毒軟體。 2.倒回備份的資料。 是否同時進行通報流程與應變流程。無論是否完成通報流程，應變流程均需填寫。

38 攻擊行為分類與破壞程度描述 伺服器 – INT與DEF攻擊均有可能發生 個人電腦(含筆電) – 多半為INT攻擊
1.惡意網頁(網頁遭駭客置換或放置不當內容) 2.惡意留言(網頁遭駭客放上惡意留言) 3.網頁置換(網頁遭駭客置換) 4.釣魚網站(主機遭駭客置入釣魚網站) 5.個資外洩(主機遭個資外洩) 1.系統入侵(資訊設備遭惡意使用者入侵) 2.對外攻擊(對外部主機進行攻擊行為) 3.針對性攻擊(針對特定個人資訊洩漏與身份盜取) 4.散播惡意程式(主機對外進行惡意程式散播) 5.中繼站(主機成駭客中繼站，接收惡意程式連線) 6.社交工程攻擊(帳號遭盜用對外發動社交工程攻擊) 7.Spam(資訊設備從事Spam Mail散播行為) 8.C&C(主機疑似為駭客之Botnet C&C Server) 9.Bot(資訊設備疑似成為駭客所控制之Botnet成員)

39 可能影響及損失評估描述示例 1.本校網站討論區(留言版)遭XSS攻擊， 目前暫時關閉該項功能。 2. 本校網站內容遭置換，目前已利用備 份資料復原，資料均無損失。刻正進 行系統漏洞修補。 3. 本校伺服器遭置入釣魚網站。經查係 該伺服器上某帳號的密碼不符密碼原 則，致使駭客連入該帳號後置入釣魚 網站。破壞程度未知。 4.該Server因系統漏洞而成為駭客的中 繼站，然該Server內無機敏資料，故 本校網路運作無影響。 5.該Server疑似Mail Service漏洞，對外 大量發送垃圾郵件，嚴重影響本校對 外網站流量。 6.該Server疑似遭駭客入侵，對外掃描 特定主機某些通訊埠。造成本校部份 網站服務受到上級單位的阻擋。 7.該Server疑似成為BotNet的C&C Server。 8.因相關人員操作不當，學校網站發生 個資不當揭露事件，影響甚大。 1.該筆電疑似遭BotNet入侵而成為Bot， 對外散佈垃圾信件與含惡意碼的信件， 嚴重 影響本校對外網站流量，同時亦 可能感染其它的電腦。 2.該部個人電腦主機疑似遭惡意程式或 駭客入侵，針對特定主機的特定埠號 進行掃描，嚴重影響本校對外網站流 量。

40 解決辦法描述示例 1.本校網站討論區(留言版)遭XSS攻擊， 暫時關閉該項功能。 2. 本校網站內容遭置換，目前已利用備 份資料復原，資料均無損失。系統漏 洞修補後一切正常。 3. 本校伺服器遭置入釣魚網站。經查係 該伺服器上某帳號的密碼不符密碼原 則，致使駭客連入該帳號後置入釣魚 網站。強制更改該帳號的密碼之後， 目前運作正常，刻正清查其餘帳號是 否有密碼過於簡單的問題。 4.該Server因系統漏洞而成為駭客的中 繼站，系統重新安裝後重置備份資料， 目前正常 。 5.該Server疑似Mail Service漏洞，對外 大量發送垃圾郵件，暫時將Mail Service 功能停止，待更新Mail Service 後再持續觀察運作是否有異常。 6.該Server疑似遭駭客入侵，對外掃描 特定主機某些通訊埠。系統重新安裝 後重置備份資料， 目前正常 。 7.已將不當揭露之個資下架，同時聯繫 當事人，設法取的諒解。 1.該筆電疑似遭BotNet入侵而成為Bot， 對外散佈垃圾信件與含惡意碼的信件， 經掃毒後仍有疑似狀況，故重新安裝 作業系統，目前仍持續觀察是否有異 狀。 2.該部個人電腦主機疑似遭惡意程式或 駭客入侵，經掃毒後已將惡意程式移 除，目前運作正常，持續觀察是否有 異狀。

41 查詢所屬單位的OID： 點擊「組織與團體性識別碼OID查詢」 自行輸入關鍵字，如：基隆市。

42

43 2015年通報應變演練期程 8/21 ～ 10/04 10/05 ～ 10/08 （09:00 ～ 17:00）
依據臺教資(四)字第 號函辦理。 日期 作為 8/21 ～ 10/04 確認資安聯絡人的基本資料。 修改資安聯絡人的密碼。 10/05 ～ 10/08 （09:00 ～ 17:00） 收到通報應變演練的簡訊、 後立即連上測試網站，進行演練。 10/05 ～10/08期間，除非必要，否則不要離開學校。在學校期間，請切記手機不要離身（如上課時間，可調成震動）。收到簡訊或信件，請逕行登入演練網站進行演練，不要再打電話給我「確認」是否為演練還是真實事件。

44 演練方式 本次演練將以「告知通報」形式進行，教育部將於資安通報演練作業期間 以郵件及簡訊傳送「資安事件通報單」。為避免與真實事件產生混淆，演 練模擬事件通知簡訊及郵件上皆加註「告知通報演練」字樣，另事件單編 號皆以「DRILL」開頭進行編碼。 執行演練單位於收到mail及簡訊通知後，應於1小時內至教育機構資安通 報演練平台完成事件通報流程，並依事件等級於處理時限內完成事件應變 處理並結案。 手機簡訊號碼：

45 演練模擬10種資安事件類型

46 更新資安聯絡人及填報應變作為 演練整備期，請至「教育機構資安通報平台」更新資安聯絡人資料 （含密碼）：
演練整備期，請至「教育機構資安通報平台」更新資安聯絡人資料 （含密碼）： 演練期間，請於時限內上通報應變測試網站，填報應變作為：

47 演練事件通知單內容範例

48 縣市網路中心評分標準說明 給分標準 2 1 密碼更新率 達90%以上 達90%～70% 未達70% 通報完成率
密碼更新率 達90%以上 達90%～70% 未達70% 通報完成率 所轄連線單位於24小時內完成通報比率達85% 所轄連線單位於24小時內完成通報比率達85%～70% 所轄連線單位於24小時內完成通報比率未達70% 審核及時率 所轄連線單位事件單審核作業於時限內完成率達85% 所轄連線單位事件單審核作業於時限內完成率達85%～70% 所轄連線單位事件單審核作業於時限內完成率未達70% 評分項目

49 各學校評分標準說明 給分標準 2 1.5 1 通報及時率 1小時內完成 1-4小時內完成 24小時內完成 24小時內未完成 應變時效率
通報及時率 1小時內完成 1-4小時內完成 24小時內完成 24小時內未完成 應變時效率 時限內完成 （時限+2小時）內完成 時限+4小時內完成 未於（時限 + 4小時）內完成 資料正確率 2位以上資安聯絡人所有欄位資料填寫完整（含密碼更新） 填寫2位以上資安聯絡人，但僅一位資安聯絡所有欄位資料填寫完整（含密碼更新） 未填寫資安聯絡人 資安聯絡人資料均不完整 評分項目

50 檢討與改善作為 類別 對象 說明 績優單位 區縣(市)網路中心 連線單位150個(含)以上，取演練成績最優前3名。
連線單位50(含)～149個，取演練成績最優前3名。 連線單位50個以下，取演練成績最優前3名。 機關、學校 A、B級機關、學校，取演練成績最優5名。 C、D級機關、學校，取演練成績最優前5名。 部屬機關 演練成績最優前3名。 需要改善單位 全體 區縣(市)網路中心及各級機關、學校演練成績總分在2分以下，函請其研提改善作為。

51 檢討與改善作為 需改善單位：區縣（市）網路中心及各機關、學校總分在2分以下， 請該單位檢具檢討改善報告報部備查，並列入教育部資訊安全稽核 優先單位。 參演成績將列入「104年度統合視導地方教育事務」評分項目之一， 如有待加強事項，教育部將發函至需改善單位，研提改善作為，並 於視導單位時驗證單位改善成效。

52 本市各校往年常見的「狀況」 真實事件與演練事件，傻傻分不清 將通報應變網站與通報應變演練網站搞混
演練事件的簡訊與Mail，會出現演練事件類型、Drill字樣。 通報應變網站： 通報應變演網站：

53 本市各校往年常見的「狀況」 切記，如果你連到的網站，找不到簡訊或是Mail中的事件單就代表你連錯網站了!請不要點擊自行通報。
將「演練事件」填到「通報應變網站」 將「真實事件」填到「通報應變演練網站」 如果真的填錯了，不要驚慌，速至「演練網站」填報，並電話通知我。 不要驚慌，請速至「通報應變網站」填報真實的事件，並電話通知我；如果通時也收到「演練事件單」，請速至「通報應變演練網站」再填報一次。 切記，如果你連到的網站，找不到簡訊或是Mail中的事件單就代表你連錯網站了!請不要點擊自行通報。

54 資訊安全相關網站 台灣學術網路危機處理中心 http://cert.tanet.edu.tw 行政院國家資通安全會報技術服務中心
教育部資訊安全服務網 資安人 - iThome - 微軟資訊安全首頁

55 問題與討論