Incident Response
資安事故應變

即時回應、降低損失、回復正常運作

 

因應數位轉型,企業高度仰賴連網的資訊系統,提供客戶優質的產品與服務。資訊系統運作健全與數位化的企業營業秘密數位保護,成為企營關鍵的競爭優勢。由於資訊系統的網路連結性,也因此成為駭客發動網路攻擊的主要目標。企業也充分了解網路攻擊可能造成營運風險的重大衝擊,因此投資各式網路縱深防禦(defense-in-depth)解決方案,阻攔或偵測網路攻擊。

但由於網路攻擊的日趨精密、持續、複雜,駭客攻擊手法千變萬化,網路安全的天秤已逐漸往攻擊方傾斜,縱使企業已建置完整的網路縱深防禦,企業仍應意識「沒有100% 的安全」網路威脅,必須假設「滲透入侵不可免」的情形。

因此,妥善具備資安事故應變能力,透過外部專業服務團隊協助,即時有效的處理網路攻擊入侵的事故,防堵入侵管道,盡速復原資訊系統至正常狀態,成為企業網路安全防禦所不可或缺的關鍵因素。

服務內容

趨勢科技資安事故應變服務內容可分為事中與事後,分別說明如下兩點:

事中

1. 客戶訪談與網路環境資訊蒐集,劃定調查範圍

團隊進駐後與客戶訪談,了解事故現況與背景資訊,同時蒐集已知受駭主機與網路架構資訊,劃定調查範圍

2. 受駭主機調查

● 惡意程式取樣與DNA分析,關聯全球威脅情資資料庫,分析駭客族群與攻擊來源,彙整駭客慣用TTP (Tactical, Techniques, Process)

● 惡意中繼站分析與情蒐,關聯全球威脅情資資料庫

● 駭客入侵行為彈道(trajectory)重建

● 檔案時間線重建與分析

● 記憶體取樣與分析

● 系統日誌分析

● 網路服務日誌分析,例如網站存取日誌、資料庫存取日誌等

● 網頁應用程式分析

● 系統操作歷程分析

● Registry分析

專家團隊同時可視情形而定,搭配客戶現有SIEM日誌、網路設備日誌、資安產品日誌,完整拼出駭客入侵足跡

3. 部署趨勢科技相關網路設備與端點軟體,由專家團隊監控,偵測潛伏受駭主機與攻擊來源,進行調查與清除

4. 提供客製化解決方案與工具,例如惡意程式客製化清除工具、惡意中繼站阻擋清單、弱點防禦,避免駭客持續入侵攻擊

5. 規劃緊急應變措施,提供客戶執行顧問建議,避免受駭範圍與影響程度擴大,盡速回復資訊系統至可接受的運作狀態

  • 事後

1. 綜合調查結果發現與資料蒐集,分析根本問題(root-cause),剖析客戶網路安全的人員、技術、管理不足之處理與風險,提供客戶中、長期改善方針,由根本解決網路安全風險

2.  協助客戶對外、對內利害關係人事故回應說明與事故報告內容的顧問建議

3. 密集監控趨勢科技網路設備與端點軟體,偵測駭客嘗試再次入侵攻擊事件,即時因應防堵

專業優勢

 

趨勢科技事故調查團隊經歷

● 成員均有5年以上資安技術工作經歷,實際執行事故調查分析3年以上實務經驗

● 核心技術成員曾服務國家資訊安全單位,具10年以上駭客行為分析與追蹤實務經驗

● 政府單位或民間企業資安事故調查技能培訓講師

● 成員除具備MSCE、CCNA、RHCE等資訊證照外,亦取得CEH、CHFI、SANS GCFA、SANS GCFE、SANS GREM、SANS GNFA資安專業證照

趨勢科技全球威脅情資優勢

● 大數據雲端威脅情資(SPN,Smart Protection Network )於2006建立,至今約部署100萬個偵測器在全球網路節中,蒐集全球惡意中繼站資料庫、全球網路信譽評資料庫、檔案信譽評等資料庫、惡意郵件資料庫、APT攻擊族群資料庫等情資。平均每日處理100TB資料,識別500,000個新威脅

● 與各國執法單位或國際刑警組織合作,分享交換網路威情資,協助各國政府執法單位偵防網路攻擊

● 台灣第一家民間企業加入資安事件應變及安全小組(FIRST)組織、SWIFT MSSP Program會員之外,同時長期參與國內、外資安組織,如行政院資通安全會報資安諮詢小組