資安事件應變程序書 -...
91
0 【普通】 資安事件應變程序書 國家資通安全會報技術服務中心
Transcript of 資安事件應變程序書 -...
0
【普通】
資安事件應變程序書
國家資通安全會報技術服務中心
1
【普通】
1
大綱
ü 情境介紹
ü 目標與閱讀對象
ü 資安警訊說明
ü 電子郵件數位簽章與憑證檢驗
ü 資安預警警訊-可疑連線應變程序
ü 入侵事件警訊-對外攻擊應變程序
ü 網頁攻擊警訊-網頁置換應變程序
ü 範例
ü 結論
2
【普通】
2
情境介紹
ü 情境一
− 資安聯絡人接獲手機簡訊,內容為「09/07 11:30技服中心入侵事件警訊ICST-INT-2009-XXXX已寄至貴單位資安聯絡人信箱」
ü 情境二
− 資安聯絡人接獲資安警訊電子郵件,主旨為
「[網頁攻擊警訊]國家資通安全會報技術服務中心(事件編號:ICST-DEF-2009-XXXX)」
3
【普通】
3
您知道機關發生資安事件卻不清楚下一歩該怎麼做?
4
【普通】
4
目標與閱讀對象
ü 目標
− 協助進行資安事件緊急應變處理
− 快速進行資安事件損害管制作業
− 協助完成資安事件處理作業
− 協助完成資安事件通報作業
ü 閱讀對象
− 政府機關資安聯絡人或網管人員
− 政府機關委外之協力廠商
5
【普通】
5
資安警訊說明
6
【普通】
6
資安警訊說明-資安預警警訊(1/2)
ü 系統弱點
− 系統程式或網站應用程式設計不當
ü 跳板主機通知
− 適時調整惡意中繼站網域與IP
ü 可疑連線
− 資訊設備疑似連線或嘗試查詢特定中繼站網域
ü 可疑程式
− 資訊設備疑似遭駭客植入可疑程式
7
【普通】
7
資安警訊說明-資安預警警訊(2/2)
ü 資訊洩漏
− 未經授權即可存取資訊設備之機敏性資料
ü 網頁攻擊事件
− 受駭網頁可能存在於網站伺服器
ü Bot
− 資訊設備疑遭駭客利用系統弱點植入Bot程式
ü C&C(Command & Control)− 資訊設備疑似成為駭客利用之中繼站
8
【普通】
8
資安警訊說明-入侵事件警訊
ü 系統入侵
− 資訊設備遭駭客入侵,並持續連線駭客中繼站
ü 對外攻擊
− 資訊設備成為跳板或殭屍電腦,攻擊其他主機
ü 發現木馬
− 資訊設備已遭駭客放置惡意程式,進行系統操作
ü 針對性攻擊
− 資訊設備成為跳板或殭屍電腦,攻擊特定對象
9
【普通】
9
資安警訊說明-網頁攻擊警訊
ü 惡意網頁
− 網頁應用程式、內容遭竄改,或插入惡意程式碼
ü 惡意留言
− 透過公共留言版、意見欄輸入不當文字至網頁
ü 網頁置換
− 網站伺服器遭駭客新增或置換網頁
ü 釣魚網站
− 網站伺服器遭駭客植入釣魚網頁進行詐騙行為
10
【普通】
10
電子郵件數位簽章與憑證檢驗
11
【普通】
11
電子郵件數位簽章與憑證檢驗
ü 數位簽章與憑證說明
ü 數位簽章與憑證運作方式
ü 數位簽章與憑證資訊
ü 數位簽章辨識方式
− Microsoft Office Outlook 2003
− Microsoft Outlook Express 6.0
ü 數位簽章檢驗錯誤常見問題
− 數位簽章出現驚嘆號圖示
− WebMail無法驗證數位簽章
12
【普通】
12
數位簽章與憑證說明(1/2)
ü 數位簽章(Digital Signature)
− 以密碼學上的公開金鑰密碼系統(Public Key Cryptosystem)為基礎發展而成
− 利用寄件者之私鑰(Private Key)對郵件進行簽章動作
− 收件者可透過收信軟體驗證數位簽章的有效性
13
【普通】
13
數位簽章與憑證說明(2/2)
ü 數位憑證(Digital Certificate)
− 由受信任的第三方認證中心(Certificate Authority, CA) 進行核發
− 透過受信任的第三方認證中心來公證使用者與
憑證兩者間對應關係
CertificateAuthority
14
【普通】
14
數位簽章與憑證運作方式
ICST
數位簽章
CertificateAuthority
簽署憑證
數位憑證
回覆 驗證 Certificate Authority
CA憑證中心
申請憑證
傳遞信件
收信軟體
ICST
CA
含有數位簽章與憑證
驗證無誤
ICST
15
【普通】
15
數位簽章與憑證資訊(1/2)
ü 技服中心數位簽章與憑證內容
CN = 國家資通安全會報技術服務中心RFC822 [email protected]主體/主體別名
用途通報應變網站系統寄發郵件使用之帳號
資安諮詢服務使用之帳號
郵件地址 [email protected] [email protected]
寄件者國家資通安全會報技術服務中心
國家資通安全會報技術服務中心
簽名者 [email protected] [email protected]
拇指紋2c 85 61 c1 e4 b6 07 8f 4a c5 cd 8c 0e 34 59 fa 3c 39 65 be
6e 98 5f 44 29 24 6b e0 1e 69 13 90 e1 15 58 a8 26 43 d1 e9
有效日期 2011/3/16 2010/3/24
16
【普通】
16
數位簽章與憑證資訊(2/2)
ü 數位簽章與憑證檢驗流程
自動檢驗數位簽章與憑證
N,簽章有誤可疑郵件
正常郵件
Y,簽章正確
正常郵件
Y,簽章正確
N,簽章有誤 人工檢驗數位簽章與憑證
收信軟體
CA
個人懷疑偽冒或可疑信件
刪除郵件
轉寄技服中心分析
17
【普通】
17
數位簽章辨識方式-Outlook 2003(1/7)
ü 範例一:Microsoft Office Outlook 2003
【STEP 1】確認數位簽章標記(以[email protected]為例)
確認是否含有數位簽章之標記
18
【普通】
18
數位簽章辨識方式-Outlook 2003(2/7)
【STEP 2】開啟信件後,確認寄件者、簽名者與數位簽章標記是否正確
點選數位簽章圖示,執行STEP 3
!錯誤圖示
正確圖示
19
【普通】
19
數位簽章辨識方式-Outlook 2003(3/7)
【STEP 3】確認數位簽章之有效性
點選詳細資料,執行STEP 4
勾選此項目,若檢驗數位簽章錯誤時,收信軟體會在未開啟郵件前,出現警告訊息
20
【普通】
20
數位簽章辨識方式-Outlook 2003(4/7)
【STEP 4】確認郵件安全性內容
點選檢視詳細資料,執行STEP 5
確認簽名者
21
【普通】
21
數位簽章辨識方式-Outlook 2003(5/7)
【STEP 5】確認郵件安全性內容
點選檢視憑證,執行STEP 6
確認簽名者與狀態
24
【普通】
24
數位簽章辨識方式-Outlook Express 6.0(1/6)
ü 範例一:Microsoft Office Outlook 2003
【STEP 1】確認數位簽章標記(以[email protected]為例)
確認是否含有數位簽章之標記
25
【普通】
25
數位簽章辨識方式-Outlook Express 6.0(2/6)
【STEP 2】開啟信件後,確認寄件者、安全性與數位簽章標記是否正確
點選數位簽章圖示,執行STEP 3
26
【普通】
26
數位簽章辨識方式-Outlook Express 6.0(3/6)
【STEP 3】確認數位簽署者是否正確
點選檢視憑證,執行STEP 4
確認數位簽署者
27
【普通】
27
數位簽章辨識方式-Outlook Express 6.0(4/6)
【STEP 4】點選檢視憑證
點選檢視憑證,執行STEP 5
30
【普通】
30
數位簽章檢驗錯誤常見問題
ü 數位簽章出現驚嘆號圖示→「 」
− 錯誤訊息:「憑證撤消清單」需要驗證簽名憑證
是無法使用或是已過期
ü WebMail無法驗證數位簽章
− 錯誤原因: WebMail伺服器未提供驗證簽章功能
31
【普通】
31
數位簽章出現驚嘆號圖示「 」(1/4)
ü 錯誤訊息
− 「憑證撤消清單」需要驗證簽名憑證是無法使用
或是已過期
ü 錯誤原因
− Outlook憑證撤消清單序號為
4 bytes
− GCA憑證則採用國際標準
7 bytes的序號
− 序號長度不同,無法驗證
32
【普通】
32
數位簽章出現驚嘆號圖示「 」(2/4)
ü 解決方式(一):驗證主體別名與拇指紋
主體別名 拇指紋
點選詳細資料
33
【普通】
33
數位簽章出現驚嘆號圖示「 」(3/4)
ü 解決方式(二):確認憑證主體與拇指紋後,宣告信任該憑證
【STEP 1】點選編輯信任
34
【普通】
34
數位簽章出現驚嘆號圖示「 」(4/4)
【STEP 2】點選「信任」標籤,於「編輯信任選項」核選「明確宣告信任這個憑證」
35
【普通】
35
WebMail無法驗證數位簽章
ü 錯誤原因
− Webmail伺服器並未提供驗證簽章功能
− Webmail伺服器將簽章轉換成smime.p7s之附件
ü 解決方式
− 透過電子郵件軟體收取Webmail之郵件,如:Microsoft Office Outlook或Outlook Express
− 檢視smime.p7s內容
36
【普通】
36
檢視smime.p7s內容-Gmail(1/5)
ü 以[email protected]為例
【STEP 1】選擇下載smime.p7s檔案
下載smime.p7s,執行STEP 2
37
【普通】
37
檢視smime.p7s內容-Gmail(2/5)【STEP 2】選擇開啟舊檔
【STEP 3】出現憑證視窗
開啟舊檔,執行STEP 3
【STEP 2】選擇開啟舊檔
【STEP 3】出現憑證視窗
38
【普通】
38
檢視smime.p7s內容-Gmail(3/5)【STEP 4】展開資料夾後,滑鼠點選研究發展考核
會,並按滑鼠右鍵,選擇「開啟」
按滑鼠右鍵,點選「開啟」,執行STEP 3
39
【普通】
39
檢視smime.p7s內容-Gmail(4/5)【STEP 5】檢視憑證資訊
40
【普通】
40
檢視smime.p7s內容-Gmail(5/5)【STEP 6】點選詳細資料,檢視主體別名與拇指紋
點選詳細資料
主體別名 拇指紋
41
【普通】
41
資安預警警訊-可疑連線應變程序
42
【普通】
42
資安預警警訊-可疑連線應變程序資安預警警訊可疑連線應變程序
STEP 1確認受駭資訊設備
STEP 2觀察受駭資訊設備連線情形
STEP 3判斷與應變措施
STEP 4執行通報程序
STEP 5釐清事件發生原因
STEP 6參考復原建議
蒐集受駭資訊設備基本資訊
STEP 1.1
觀察是否有異常連線
觀察1週是否有異常連線
NSTEP 2.1 STEP 2.2
1. 內部通報程序2. 通報技服中心
STEP 4.1~4.2
1. 協力廠商支援2. 技服中心支援
STEP 5.1~5.2
1. 執行復原作業2. 執行通報結案
STEP 6.1~6.2
事件結案
1. DNS Query2. DNS + Firewall3. 網路封包側錄
DNS、NAT or Host 使用工具搜尋疑似遭入侵之資訊設備
DNS/NAT
Host
1. 中斷連線行為2. 停止網路服務3. 確認資訊設備破壞程度4. 判斷資安事件影響等級5. 判斷資安事件真偽
Y
STEP 3.1~3.5
N
43
【普通】
43
資安預警警訊-可疑連線應變程序
ü 【STEP 1】確認受駭資訊設備
− STEP 1.1 蒐集受駭資訊設備基本資訊
Ø DNS、NAT轉址或Host之IP位址
Ø 設備廠牌與機型
Ø 設備財產編號
Ø 網際網路位址
Ø 作業系統名稱與版本
Ø 已裝置之安全機制
44
【普通】
44
資安預警警訊-可疑連線應變程序
ü 【STEP 2】觀察受駭資訊設備連線情形
− STEP 2.1 觀察是否有異常連線
Ø DNS查詢紀錄、DNS搭配防火牆、網路封包側錄
− STEP 2.2 觀察1週內是否有異常連線
Ø 無法經由STEP 2.1觀察異常連線
45
【普通】
45
資安預警警訊-可疑連線應變程序
ü 【STEP 3】判斷與應變措施− STEP 3.1 是否中斷連線行為Ø 考量機敏資料外洩之疑慮
− STEP 3.2 是否停止網路服務Ø 縮小資安事件受害範圍
− STEP 3.3 確認資訊設備破壞程度Ø 系統當機、資料庫毀損、網頁竄改、無受到影響
− STEP 3.4 判斷資安事件影響等級Ø 機密性、完整性、可用性衝擊
− STEP 3.5 判斷資安事件誤判情形Ø 未發現任何異常連線、特殊系統
46
【普通】
46
資安預警警訊-可疑連線應變程序
ü 【STEP 4】執行通報程序
− STEP 4.1 是否完成內部通報程序
Ø 經確認為資安事件,需循內部通報程序
− STEP 4.2 是否通報至技服中心
Ø 完成內部通報程序並通知技服中心
Ø 若資安事件判定誤判,以電子郵件或電話回報技
服中心
47
【普通】
47
資安預警警訊-可疑連線應變程序
ü 【STEP 5】釐清事件發生原因
− STEP 5.1 是否需請協力廠商支援
Ø 調查與確認事件根因,提供解決方案
− STEP 5.2 是否需請技服中心支援
Ø 協力廠商無法解決時,由技服中心判斷是否可協
助處理
48
【普通】
48
資安預警警訊-可疑連線應變程序
ü 【STEP 6】參考復原建議
− STEP 6.1 是否進行復原作業
Ø 1、2級事件:72小時內完成復原
Ø 3、4級事件:36小時內完成復原
Ø 記錄完成日期與復原方式
− STEP 6.2 是否完成技服中心通報結案作業
Ø 說明資安事件後續處理情形
Ø 記錄後續追蹤事項
49
【普通】
49
資安預警警訊-可疑連線應變程序
ü 查核清單(1/3)
設備廠牌、機型:____________________
設備財產編號: ____________________ (若無可免填)
技服中心警訊編號:ICST-EWA-________-________事件分類:o系統弱點 o跳板主機通知 o可疑連線 o可疑程式 o資訊洩漏 o網頁攻擊事件 oBot oC&C o其他______________
已裝置之安全機制:o防火牆 o防毒軟體 o入侵偵測系統 o入侵防禦系統 o其他_____________________
作業系統名稱、版本:1. Windows系列:o 95 o 98 o XP o Vista o 7 o Server 2000 o Server 2003 o Server 2008 o其他________
2. Linux系列:o RedHat(版本______) o Fedora(版本______) o Ubuntu(版本______) o其他______
3. 其他系統平台: ____________________
網際網路位址:____________________
查核情形查核項目步驟
確認DNS、NAT轉址或Host IP位址:o DNS(IP位址____________) o NAT(IP位址____________) o Host(IP位址____________)
蒐集受駭資訊設備基本資訊STEP 1.1
o是(請於STEP 2.2勾選「否」) o否(請執行STEP 2.2)觀察是否有異常連線STEP 2.1
o是 o否觀察1週內是否有異常連線STEP 2.2
【STEP 2】觀察受駭資訊設備連線情形
【STEP 1】確認受駭資訊設備
50
【普通】
50
資安預警警訊-可疑連線應變程序
ü 查核清單(2/3)
資安事件評斷:1. 機密性衝擊-o無 o1級 o2級 o3級 o4級2. 完整性衝級-o無 o1級 o2級 o3級 o4級3. 可用性衝級-o無 o1級 o2級 o3級 o4級
o是,中斷時間____年____月____日____時____分 o否,原因_______________________是否中斷連線行為STEP 3.1
o是,停止時間____年____月____日____時____分 o否,原因_______________________是否停止網路服務STEP 3.2
o系統當機 o資料庫毀損 o網頁竄改 o無受到影響 o其他_____________________確認資訊設備破壞程度STEP 3.3
資安事件綜合評估等級:o無需通報o1級(輕微資安事件) o2級(一般資安事件) o3級(重要資安事件) o4級(重大資安事件)
判斷資安事件影響等級STEP 3.4
【STEP 3】判斷與應變措施
查核情形查核項目步驟
o是,完成日期____年____月____日____時____分 o否,無需通報是否完成內部通報程序STEP 4.1
o是,誤判原因(請於STEP 4.2、5.2勾選「否」, STEP 6.1勾選「無需復原」,STEP 6.2勾選「無需通報」)o否
判斷資安事件誤判情形STEP 3.5
o是(完成日期 年 月 日) o否 o無需通報是否通報至技服中心STEP 4.2
【STEP 4】執行通報程序
51
【普通】
51
資安預警警訊-可疑連線應變程序
ü 查核清單(3/3)查核情形查核項目步驟
o是1. 完成日期____年____月____日____時____分2. 復原方式:o還原系統 o重新安裝系統 o安裝修補程式 o其他________________o否,預計完成日期____年____月____日____時____分o無需復原
是否完成復原工作STEP 6.1
【STEP 6】參考復原建議
o是,期望支援項目____________________ o否是否需請技服中心支援STEP 5.2
o是,期望支援項目____________________ o否是否需請協力廠商支援STEP 5.1
【STEP 5】釐清事件發生原因
o是,完成日期____年____月____日____時____分o否,預計完成日期____年____月____日____時____分o無需復原
是否完成技服中心通報結案作業STEP 6.2
52
【普通】
52
入侵事件警訊-對外攻擊應變程序
53
【普通】
53
入侵事件警訊-對外攻擊應變程序
入侵事件警訊對外攻擊應變程序
STEP 1確認受駭資訊設備
STEP 3判斷與應變措施
STEP 4釐清事件發生原因
STEP 2執行通報程序
STEP 5參考復原建議
事件結案
蒐集受駭資訊設備基本資訊
STEP 1.1
1. 內部通報程序2. 通報技服中心
STEP 2.1~2.2
1. 中斷連線行為2. 停止網路服務3. 確認資訊設備破壞程度4. 判斷資安事件影響等級
STEP 3.1~3.4
1. 協力廠商支援2. 技服中心支援
STEP 4.1~4.2
1. 執行復原作業2. 執行通報結案
STEP 5.1~5.2
DNS、NAT or Host 使用工具搜尋疑似遭入侵之資訊設備
DNS/NAT
1. DNS Query2. DNS + Firewall3. 網路封包側錄
Host
54
【普通】
54
入侵事件警訊-對外攻擊應變程序
ü 【STEP 1】確認受駭資訊設備
− STEP 1.1 蒐集受駭資訊設備基本資訊
Ø DNS、NAT轉址或Host之IP位址
Ø 設備廠牌與機型
Ø 設備財產編號
Ø 網際網路位址
Ø 作業系統名稱與版本
Ø 已裝置之安全機制
55
【普通】
55
入侵事件警訊-對外攻擊應變程序
ü 【STEP 2】執行通報程序
− STEP 2.1 是否完成內部通報程序
Ø 經確認為資安事件,需循內部通報程序
− STEP 2.2 是否通報至技服中心
Ø 完成內部通報程序並通知技服中心
56
【普通】
56
入侵事件警訊-對外攻擊應變程序
ü 【STEP 3】判斷與應變措施
− STEP 3.1 是否中斷連線行為
Ø 考量機敏資料外洩之疑慮
− STEP 3.2 是否停止網路服務
Ø 縮小資安事件受害範圍
− STEP 3.3 確認資訊設備破壞程度
Ø 系統當機、資料庫毀損、網頁竄改、無受到影響
− STEP 3.4 判斷資安事件影響等級
Ø 機密性、完整性、可用性衝擊
57
【普通】
57
入侵事件警訊-對外攻擊應變程序
ü 【STEP 4】釐清事件發生原因
− STEP 4.1 是否需請協力廠商支援
Ø 調查與確認事件根因,提供解決方案
− STEP 4.2 是否需請技服中心支援
Ø 協力廠商無法解決時,由技服中心判斷是否可協
助處理
58
【普通】
58
入侵事件警訊-對外攻擊應變程序
ü 【STEP 5】參考復原建議
− STEP 5.1 是否進行復原作業
Ø 1、2級事件:72小時內完成復原
Ø 3、4級事件:36小時內完成復原
Ø 記錄完成日期與復原方式
− STEP 5.2 是否完成技服中心通報結案作業
Ø 說明資安事件後續處理情形
Ø 記錄後續追蹤事項
59
【普通】
59
入侵事件警訊-對外攻擊應變程序
ü 查核清單(1/2)
設備財產編號: ____________________ (若無可免填)
設備廠牌、機型:____________________
技服中心警訊編號:ICST-INT-________-________事件分類:o系統入侵 o對外攻擊 o發現木馬 o針對性攻擊 o其他_______________
已裝置之安全機制:o防火牆 o防毒軟體 o入侵偵測系統 o入侵防禦系統 o其他_____________________
作業系統名稱、版本:1. Windows系列:o 95 o 98 o XP o Vista o 7 o Server 2000 o Server 2003 o Server 2008 o其他________
2. Linux系列:o RedHat(版本______) o Fedora(版本______) o Ubuntu(版本______) o其他_______
3. 其他系統平台: ____________________
網際網路位址:____________________
查核情形查核項目步驟
確認DNS、NAT轉址或Host IP位址:o DNS(IP位址____________) o NAT(IP位址____________) o Host(IP位址____________)
蒐集受駭資訊設備基本資訊STEP 1.1
o是,完成日期____年____月____日____時____分 o否,尚未通報是否完成內部通報程序STEP 2.1
o是,完成日期____年____月____日____時____分 o否,尚未通報是否通報至技服中心STEP 2.2
【STEP 2】執行通報程序
【STEP 1】蒐集受駭資訊設備基本資訊
60
【普通】
60
入侵事件警訊-對外攻擊應變程序
ü 查核清單(2/2)
資安事件評斷:1. 機密性衝擊-o無 o1級 o2級 o3級 o4級2. 完整性衝級-o無 o1級 o2級 o3級 o4級3. 可用性衝級-o無 o1級 o2級 o3級 o4級
資安事件綜合評估等級:o無需通報o1級(輕微資安事件) o2級(一般資安事件) o3級(重要資安事件) o4級(重大資安事件)
判斷資安事件影響等級STEP 3.4
o系統當機 o資料庫毀損 o網頁竄改 o無受到影響 o其他_____________________確認資訊設備破壞程度STEP 3.3
o是,停止時間____年____月____日____時____分 o否,原因_______________________是否停止網路服務STEP 3.2
o是,中斷時間____年____月____日____時____分 o否,原因_______________________是否中斷連線行為STEP 3.1
【STEP 3】判斷與應變措施
查核情形查核項目步驟
o是,期望支援項目____________________ o否是否需請協力廠商支援STEP 4.1
o是,完成日期____年____月____日____時____分o否,預計完成日期____年____月____日____時____分是否完成技服中心通報結案作業STEP 5.2
o是1. 完成日期____年____月____日____時____分2. 復原方式:o還原系統 o重新安裝系統 o安裝修補程式 o其他________________o否,預計完成日期____年____月____日____時____分
是否完成復原工作STEP 5.1
o是,期望支援項目____________________ o否是否需請技服中心支援STEP 4.2
【STEP 5】參考復原建議
【STEP 4】釐清事件發生原因
61
【普通】
61
網頁攻擊警訊-網頁置換應變程序
62
【普通】
62
網頁攻擊警訊-網頁置換應變程序
網頁攻擊警訊網頁置換應變程序
STEP 1確認受駭資訊設備
STEP 2執行通報程序
STEP 3判斷與應變措施
STEP 5釐清事件發生原因
STEP 6參考復原建議
STEP 4蒐集相關證據
事件結案
1. 蒐集受駭資訊設備基本資訊2. 記錄受駭網頁名稱
STEP 1.1~1.2
1. 內部通報程序2. 通報技服中心
STEP 2.1~2.2
1. 停止提供服務2. 清查網頁目錄內容3. 清除資料庫內容4. 確認資訊設備破壞程度5. 判斷資安事件影響等級
STEP 3.1~3.5
蒐集網站日誌檔資訊
檢視網站日誌檔1. IIS2. Apache3. Tomcat4. JBOSS
STEP 4.1
1. 協力廠商支援2. 技服中心支援
STEP 5.1~5.2
1. 執行復原作業2. 執行通報結案
STEP 6.1~6.2
63
【普通】
63
網頁攻擊警訊-網頁置換應變程序
ü 【STEP 1】確認受駭資訊設備
− STEP 1.1 蒐集受駭資訊設備基本資訊
Ø DNS、NAT轉址或Host之IP位址
Ø 設備廠牌與機型
Ø 設備財產編號
Ø 網際網路位址
Ø 作業系統名稱與版本
Ø 已裝置之安全機制
− STEP 1.2 記錄受駭網頁名稱
Ø 檢視是否存有其他非授權之網頁或檔案
64
【普通】
64
網頁攻擊警訊-網頁置換應變程序
ü 【STEP 2】執行通報程序
− STEP 2.1 是否完成內部通報程序
Ø 經確認為資安事件,需循內部通報程序
− STEP 2.2 是否通報至技服中心
Ø 完成內部通報程序並通知技服中心
65
【普通】
65
網頁攻擊警訊-網頁置換應變程序
ü 【STEP 3】判斷與應變措施− STEP 3.1 是否停止網站服務Ø 避免使用者瀏覽器讀取惡意程式碼之網頁
− STEP 3.2 是否清查網頁目錄內容Ø 確認其他非授權之網頁或檔案存在
− STEP 3.3 是否清查網站資料庫內容Ø 立即更改管理者帳號密碼,並檢視使用者權限
− STEP 3.4 確認資訊設備破壞程度Ø 系統當機、資料庫毀損、網頁竄改、無受到影響
− STEP 3.5 判斷資安事件影響等級Ø 機密性、完整性、可用性衝擊
66
【普通】
66
網頁攻擊警訊-網頁置換應變程序
ü 【STEP 4】相關證據蒐集
− STEP 4.1 是否蒐集網站日誌檔資訊
Ø 確保日誌檔有確實記錄與保存機制
Ø 資安事件當日起,往前蒐集一至二個月日誌檔
Ø 提供協力廠商或技服中心進行分析
67
【普通】
67
網頁攻擊警訊-網頁置換應變程序
ü 【STEP 5】釐清事件發生原因
− STEP 5.1 是否需請協力廠商支援
Ø 調查與確認事件根因,提供解決方案
− STEP 5.2 是否需請技服中心支援
Ø 協力廠商無法解決時,由技服中心判斷是否可協
助處理
68
【普通】
68
網頁攻擊警訊-網頁置換應變程序
ü 【STEP 6】參考復原建議
− STEP 6.1 是否進行復原作業
Ø 1、2級事件:72小時內完成復原
Ø 3、4級事件:36小時內完成復原
Ø 記錄完成日期與復原方式
− STEP 6.2 是否完成技服中心通報結案作業
Ø 說明資安事件後續處理情形
Ø 記錄後續追蹤事項
69
【普通】
69
網頁攻擊警訊-網頁置換應變程序
ü 查核清單(1/3)
設備財產編號: ____________________ (若無可免填)
已裝置之安全機制:o防火牆 o防毒軟體 o入侵偵測系統 o入侵防禦系統 o其他_____________________
蒐集受駭資訊設備基本資訊STEP 1.1
設備廠牌、機型:_____________________________
技服中心警訊編號:ICST-DEF-_______-_______事件分類:o惡意網頁 o惡意留言 o網頁置換 o釣魚網站 o其他_______________
受駭網頁名稱:____________________
作業系統名稱、版本:1. Windows系列:o 95 o 98 o XP o Vista o 7 o Server 2000 o Server 2003 o Server 2008 o其他________
2. Linux系列:o RedHat(版本____) o Fedora(版本_____) o Ubuntu(版本_____) o其他_______
3. 其他系統平台: ____________________
網際網路位址:____________________
查核情形查核項目步驟
確認受駭資訊設備IP位址:IP位址_______________
記錄受駭網頁名稱STEP 1.2
o是,完成日期____年____月____日____時____分 o否,尚未通報是否完成內部通報程序STEP 2.1
o是,完成日期____年____月____日____時____分 o否,尚未通報是否通報至技服中心STEP 2.2
【STEP 2】執行通報程序
【STEP 1】蒐集受駭資訊設備基本資訊
70
【普通】
70
網頁攻擊警訊-網頁置換應變程序
ü 查核清單(2/3)
資安事件評斷:1. 機密性衝擊-o無 o1級 o2級 o3級 o4級2. 完整性衝級-o無 o1級 o2級 o3級 o4級3. 可用性衝級-o無 o1級 o2級 o3級 o4級
o系統當機 o資料庫毀損 o網頁竄改 o無受到影響 o其他_____________________確認資訊設備破壞程度STEP 3.4
【STEP 3】判斷與應變措施
o是,中斷時間____年____月____日____時____分 o否,原因_______________________是否停止網站服務STEP 3.1
o是,清查時間____年____月____日____時____分 o否,原因_______________________是否清查網頁目錄內容STEP 3.2
o是,清查時間____年____月____日____時____分 o否,原因_______________________是否清查網站資料庫內容STEP 3.3
查核情形查核項目步驟
o是,日誌檔範圍____年____月____日____時____分 o否,原因_____________________是否蒐集網站日誌檔資訊STEP 4.1
資安事件綜合評估等級:o無需通報o1級(輕微資安事件) o2級(一般資安事件) o3級(重要資安事件) o4級(重大資安事件)
判斷資安事件影響等級STEP 3.5
【STEP 4】蒐集相關證據
71
【普通】
71
網頁攻擊警訊-網頁置換應變程序
ü 查核清單(3/3)查核情形查核項目步驟
o是1. 完成日期____年____月____日____時____分2. 復原方式:o還原系統 o重新安裝系統 o安裝修補程式 o其他________________o否,預計完成日期____年____月____日____時____分
是否完成復原工作STEP 6.1
【STEP 6】參考復原建議
o是,期望支援項目____________________ o否是否需請技服中心支援STEP 5.2
o是,期望支援項目____________________ o否是否需請協力廠商支援STEP 5.1
【STEP 5】釐清事件發生原因
o是,完成日期____年____月____日____時____分o否,預計完成日期____年____月____日____時____分是否完成技服中心通報結案作業STEP 6.2
72
【普通】
72
範例一
資安預警警訊-可疑連線警訊
73
【普通】
73
範例一:接獲資安預警警訊
ü 事件類型:可疑連線
74
【普通】
74
範例一:STEP 1
ü 確認受駭資訊基本資訊(1/2)− 假設受駭IP為DNS或NAT轉址,應檢視DNS日誌
192.168.74.2為DNS或NAT伺服器
192.168.74.129為實際受駭內部主機
日期與時間
假設可疑網域為www.google.com
75
【普通】
75
範例一:STEP 1
ü 確認受駭資訊基本資訊(2/2)− 廠牌、機型:HP Compaq dc7800
− 財產編號:3140101-03(若無免填)
− 網際網路位址:無
− 作業系統名稱、版本:Windows Server 2003
− 已裝置之安全機制:防火牆、防毒軟體
76
【普通】
76
範例一:STEP 2
ü 觀察受駭資訊設備連線情形(1/2)− Wireshark過濾IP:ip.addr ==192.168.0.174
77
【普通】
77
範例一:STEP 2
ü 觀察受駭資訊設備連線情形(2/2)− Wireshark過濾網域名稱:dns.qry.name == [domain]
78
【普通】
78
範例一:STEP 3
ü 判斷與應變措施
− 中斷連線行為:是,2009年12月25日8時0分
− 停止網路服務:是,2009年12月25日8時0分
− 資訊設備破壞程度:系統當機
− 資安事件影響等級:
Ø 機密性衝擊:無受到影響
Ø 完整性衝擊:無受到影響
Ø 可用性衝擊:1級(非核心業務遭影響或短暫停頓)
Ø 綜合評估:1級(輕微資安事件)
− 資安事件誤判情形:無誤判
79
【普通】
79
範例一:STEP 4~STEP 5
ü 執行通報程序
− 內部通報程序:是,2009年12月25日9時0分
− 通報技服中心:是,2009年12月25日9時30分
ü 釐清事件發生原因
− 協力廠商支援:是,協請找出事件發生根因
− 技服中心支援:否,通報機關自行解決
80
【普通】
80
範例一:STEP 6
ü 參考復原建議
− 完成復原作業:
是, 2009年12月26日8時0分
− 復原方式:還原系統
− 完成通報結案作業
是, 2009年12月26日9時0分
81
【普通】
81
範例二
網頁攻擊警訊-網頁置換警訊
82
【普通】
82
範例二:接獲網頁攻擊警訊
ü 事件類型:網頁置換
受駭畫面
受駭網址
83
【普通】
83
範例二:STEP 1
ü 確認受駭資訊基本資訊
− 廠牌、機型:IBM X Series 345
− 財產編號:無
− 網際網路位址:www.test.gov.tw
− 作業系統名稱、版本:Windows Server 2000
− 已裝置之安全機制:入侵偵測系統、防毒軟體
− 受駭網頁名稱:hem.htm
84
【普通】
84
範例二:STEP 2
ü 執行通報程序
− 內部通報程序:是,2009年12月19日23時30分
− 通報技服中心:是,2009年12月19日23時45分
85
【普通】
85
範例二:STEP 3
ü 判斷與應變措施
− 停止網站服務:是, 2009年12月19日23時30分
− 清查網頁目錄:是, 2009年12月19日23時50分
− 清查資料庫內容:是, 2009年12月19日23時55分
− 資訊設備破壞程度:網頁竄改
− 資安事件影響等級:
Ø 機密性衝擊:無受到影響
Ø 完整性:1級(非核心業務系統或資料資竄改)
Ø 可用性:1級(非核心業務遭影響或短暫停頓)
Ø 綜合評估:1級(輕微資安事件)
86
【普通】
86
範例二:STEP 4
ü 蒐集相關證據(1/2)− 蒐集網站日誌檔(預設)Ø Windows IIS
C:\WINDOWS\system32\LogFiles\W3SVC1
Ø Apache on Windows XPC:\AppServe\apache\logs
C:\Program Files\Apache Software Foundation\Apache2.2\logs
87
【普通】
87
範例二:STEP 4
ü 蒐集相關證據(2/2)− 蒐集網站日誌檔(預設)Ø Apache on Unix
/var/log/httpd/access_log (RedHat、CentOS、Fedora)
/var/log/apache2/access.log (Debian、Ubuntu)
/var/log/httpd-access.log (FreeBSD)
88
【普通】
88
範例二:STEP 5~STEP 6
ü 釐清事件發生原因
− 協力廠商支援:是,協請找出事件發生根因
− 技服中心支援:否,通報機關自行解決
ü 參考復原建議
− 完成復原作業:是, 2009年12月22日12時0分
− 復原方式:重新安裝作業系統、修改網頁程式
− 完成通報結案作業:是, 2009年12月22日12時30分
89
【普通】
89
結論
ü 說明電子郵件數位簽章與憑證檢驗方式
− 避免人員開啟偽冒技服中心身分之電子郵件
ü 說明3大類型警訊事件分類
− 讓人員了解技服中心各類警訊的事件分類
ü 建立3大類型警訊應變流程與查核清單
− 協助人員於接獲資安警訊後之處置措施
ü 設計4份參考工具書
− 輔助人員於進行應變措施需要瞭解的技術細節
90
【普通】
90
報告完畢
敬請指教
