事故回應是指企業用來偵測及解決資訊保安事件的策略、標準化政策、程序及工具。
目錄
事故回應(IR)有時又稱為網絡保安事件回應,就是要準備、發掘、遏止及解決網絡攻擊或資料洩漏等資訊保安事件。事故回應政策、計劃及技術的設計是為了快速偵測威脅與攻擊、防範或限制損害、提供有效且即時的修正、盡可能減少停機時間與成本,以及降低未來事件發生的風險。
事故回應是主動式防護的重要一環,目標是要維持業務永續性,包括短期營運與長遠目標。其目的是要迅速復原企業營運,進而發掘事故並降低損失,包括營業收入及停機與修正工作的成本。
此外,事故回應也協助企業遵守其產業的法規或法律規定,例如健康保險可攜性與責任法案(HIPAA)、支付卡產業資料防護(PCI DSS)或歐盟通用資料保護法規。如此可避免企業遭到罰款或其他法律責任。
要了解事故的回應,很重要的一點是清楚定義「事故」。事故是指任何危及企業安全、或危及資料或系統完整性或機密性的實體或數碼事件。
意外或無法預見的情況,例如營運中斷或天災,或是刻意的網絡攻擊,例如網絡釣魚詐騙、惡意程式、阻斷服務攻擊、中間人(MitM)攻擊、勒索程式、供應鏈攻擊、內部威脅、權限提升攻擊、密碼攻擊以及網站應用程式攻擊。
事故回應是事故管理功能的一環。事故管理是指企業處理嚴重資訊保安事件的整體方法,內部與外部持份者皆來自高階主管團隊、人力資源、法務、通訊、公共關係及資訊科技部門。事故回應的重點更集中,也就是企業對網絡資訊保安事件的技術處理。
隨著罪犯資源的增加,以及人為過失的可能性,網絡攻擊已經變得無可避免。資訊保安事故的潛在負面後果已經遠超想像,令事故回應成為企業網絡資訊保安平台的重要一環。網絡事故不能只看作是技術問題,而是影響整個企業,從內部運作到營運關鍵的運算系統,再到機密的客戶或公開資訊。
能夠有效回應網絡保安事件,讓企業能夠:
缺乏預先定義、詳細的事故回應方法,幾乎影響了企業的各個層面。保安與資訊科技團隊在危機發生時被迫陷入困境,甚至缺乏必要的技術或高階主管支援來有效應付網絡攻擊。此外,還有一個組織紊亂、不協調的回應,讓網絡犯罪分子有更多機會利用漏洞攻擊企業,擴大了攻擊的負面影響。
企業內部因停機、服務中斷、與及對外損害品牌形象與持份者關係而蒙受損失。這些事故將消耗企業更多成本,更可能面對法律訴訟或監管罰款。
事故回應的關鍵要素之一就是事故回應計劃(IRP),它詳細說明了偵測、遏止及解決網絡資訊保安事故的程序、技術、角色與責任。
事故回應計劃必須支援企業的優先次序、營運需求與限制,並且根據可接受的風險程度來度身訂做。事故回應政策的持久性也很重要。就像網絡資訊保安不斷演變一樣,企業的需求和營運也在不斷演變,所以事故回應計劃不能只是一份「設定就忘記」的文件。它必須定期檢討、審查及測試。
一套完整的事故回應計劃將包括:
許多機構都覺得製作事故回應程序手冊非常有幫助。雖然事故回應計劃是一套首要政策,但程序手冊詳細說明了事故回應週期各階段的標準化步驟與程序、角色與責任。它能確保事故回應有效、有效率且一致,因為每個人都在遵循相同的工作流程。
事故回應程序手冊也可用於模擬和訓練,讓團隊為某個假設性活動做好準備,包括:
美國國家標準與技術局(NIST)與 SANS Institute 建立了廣為業界接受的模型來定義事故回應的各個階段。SANS Institute 提出的六個階段為
1. 做好準備
這就是建立、檢視或完善事故回應政策和程序的流程,而且應該視為一項持續的工作。企業應定期進行風險評估,以便根據系統、資料及事故嚴重性來判斷事故回應的優先次序。其目標是決定最有效的程序、技術與方法來偵測、減少及復原事件。這應該包含一個可靠的程序來定期建立備份,而這些備份在復原時是必要的。這也是執行模擬與情境的階段。接著就能建立一些工具,例如程序手冊和範本,讓面對真正攻擊時能採取最有效的回應方式。
2. 身分辨識
這個階段又稱為偵測,利用技術和方法來了解網絡攻擊之類的資訊保安事故。有許多資訊保安方案可即時監控系統與資料、將警示及回應自動化。企業通常會採用一套安全資訊和事件管理(SIEM)平台。來自裝置記錄檔、入侵偵測系統、防火牆等工具的資料都可用來尋找可疑活動。接著,警示會傳送給事故回應團隊來分析並分類,找出入侵指標資料並消除誤判。發生資訊保安事故時,事故回應計劃會通知適當的人員,並遵循相關通訊計劃。
3. 遏制
遏制就是防止已發現的事故或攻擊繼續損害系統、資料或企業。最重要的是,這牽涉到隔離受影響的系統,令攻擊無法擴散。此外,企業還需要採取一些長期的遏制措施,在未受影響的系統上建立更嚴格的資訊保安管控,例如實施保安補丁或更新。此外,在事故後分析階段,蒐集並保留鑑識證據也很重要。
4. 根除
在這階段,威脅將被徹底清除。這可能意味著要驅逐黑客或移除惡意程式。務必確保沒有任何攻擊或入侵的痕跡,以便徹底復原資料和/或系統。
5. 復原
重點在於恢復系統、資料和營運,讓企業能夠順利運作。該團隊將從上次清除的資料中復原,並將更新的替代系統連網。系統一旦復原,就必須經過測試、監控及驗證。
6. 經驗累積
事後檢討是最後一個階段,團隊會檢視事故期間蒐集的證據,以及事故的管理方式。調查期間,企業可能需要尋求執法機構協助。整體來說,審查階段就是要了解企業事故回應的優缺點,並判斷改善的機會。就攻擊而言,重要的是要了解攻擊的根源,以及黑客如何入侵網絡。在這項分析中,團隊可能會考慮一些資料,例如平均偵測時間、平均辨識時間、平均回應時間、平均遏制時間,以及總成本。
事後分析是事故回應的重要一環,因為它能讓企業強化資訊保安策略,進而降低類似事故再次發生的可能性。同時也提供團隊更新其事故應變計劃所需的資料,以及對其工具、系統或流程進行任何升級或修改。
企業不僅需要事故回應計劃,還需要專責團隊來落實。這個團隊通常稱為電腦保事故應變團隊(CSIRT)、網絡事故應變團隊(CIRT)或電腦緊急應變團隊(CERT)。成員和規模可能因企業而異,但通常是具備各種背景和技能的跨部門團隊。
絕大多數的事故回應團隊都包括一名執行成員(保安長或資訊保安長)、資訊保安與資訊科技人員及分析師、人力資源、法務、傳訊或公共關係主管,以及顧問、託管服務商、廠商或業務夥伴等外部持份者。
該團隊將負責領導、調查、傳訊、記錄及法律等事宜。它會設定政策及程序、建立事故回應計劃、制定資訊保安最佳實務守則、支援所有事故回應行動,以及訓練一般用戶網絡保安最佳實務守則。
事故應變團隊的主要成員包括:
由於事故回應的策略重要性、網絡攻擊的頻率,以及網絡資訊保安不斷改變的性質,定期為事故應變團隊成員提供訓練就非常重要。這可能包括根據先前事故或模擬情境而進行演練。重要的是,這類情境必須涵蓋各式各樣的攻擊管道,例如勒索程式、惡意內部人員,以及暴力攻擊。許多企業都會進行桌面練習,包括實際操作任務及事故回應計劃的各個階段,以找出任何弱點或改善。
多項技術有助於發掘威脅、簡化數據、將回應自動化。
其中最常見的包括:
由於這些監控技術會發出大量警示,因此絕大多數團隊,無論是如何專業都沒時間分析及全數處理。這可能導致錯過嚴重的事故或太遲才發現。因此我們需要自動化程序。
自動化可以:
這些功能可減輕警示疲勞,讓團隊專心於更具策略性的工作。此外,自動化還能讓團隊更快回應及解決事故,讓企業處於更強地位,盡可能減少損害與停機時間,並節省成本。
隨著雲端技術的普及,事故回應流程也面對新挑戰。越來越多儲存在雲端上的企業資料和應用程式令企業很難準確、快速地偵測資訊保安事故並徹底調查。這意味著企業必須將雲端納入其事故回應計劃中,並可能需要採用一些新的技術,如雲原生應用程式防護平台(CNAPP)、學習新的技能,或與雲服務商合作。
人工智能具備快速處理大量資料的能力,因此能夠更快、更準確地偵測可疑的行為或模式。生成式人工智能甚至可以即時檢查資料、了解事故的情境,並根據其分析來產生回應。這些啟示可縮短人力,並協助更主動的回應。此外,人工智能所產生的資料也有助於判斷事故的根源、預測未來的威脅,以及開發訓練情境。
趨勢科技全天候 24 小時的託管式偵測與回應、網絡資訊保安風險顧問、事故回應、紅紫色團隊演練(包括滲透測試),以及即時聯絡全球支援,都可提供主動的資訊保安成效。
進一步了解我們的事故回應如何協助您立即獲得回應、專家建議,以及進階威脅情報。