廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 7102 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
lens690 手機
個人頭像
個人文章 個人相簿 個人日記 個人地圖
初露鋒芒
級別: 初露鋒芒 該用戶目前不上站
推文 x1 鮮花 x51
分享: 轉寄此文章 Facebook Plurk Twitter 版主評分 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[資訊教學] 資安觀念-[資安] 遇「駭」後五分鐘內該作的事

◆ 資料來源
Robert L. Bogue原著‧陳奭璁譯
03/06/2003
資料來源: 台灣CNET
 
◆ 遇「駭」後五分鐘內該作的事

  你坐在辦公桌前研究一個使用者問題,卻留意到log檔(記錄檔)有些奇怪的活動,你進一步瞭解,發現情況並不單純。等你察覺可能是系統遭到入侵時,你的心臟也暫時停止了跳動,此時全身緊繃的你腦中浮現的第一句話多半是,「怎麼可能發生這種事?」、「現在該怎麼辦?」

  市面上教你防範駭客的方法還真不少,但教人如何處理駭客入侵後的問題卻不多。因此,接下來幾週我們將分階段推出一系列專題,告訴你遇「駭」後五分鐘、一小時與一週內應該採取的因應對策。本篇文章將著重在系統遭入侵後應立即採取的保護步驟:評估、通報、斷線。


評估狀況

  遭受攻擊後首先必須思考你的目標為何?(當然,這最好事前想好)。 一般而言,目標應該很單純:避免遭到二度入侵,並儘速解決此一問題。但在某些情況下,你可能會想找出入侵者身份,或者進一步探索駭客利用何種入侵管道(漏洞)。

找出入侵者身份

  若你能找出入侵者的身份,並轉交給檢警機構偵辦是最好了。但這不是讓系統恢復上線,避免二度被入侵的最快方法。要辨認出入侵者身份並不容易,尤其釵h高手都會掩飾自己的行蹤。電影中,要追蹤駭客好像很容易,但實際上,若對方將流量傳經好幾個系統後就很不容易追查了,最後往往只能不了了之。

找出漏洞所在

  部分企業會優先找出被駭客利用的漏洞所在,這樣的邏輯在於「事後補破網」,好讓駭客不能再度作怪,但此種作法並非最理想。比較好的策略是趕快找出系統中所有可能漏洞,避免駭客還有其他入侵管道,而非僅只專注在駭客入侵過的地方而已。目前市面上有釵h安全評量工具,可供快速測試並解決所有漏洞。

系統恢復運作

  若你是第一次碰上駭客入侵事件,你會鹿野騉饇l蹤入侵者或找出特定漏洞的念頭,基本上,要產生一份完整的log檔來追蹤入侵來源並沒那麼容易。

  趕快補好漏洞並讓系統恢復營運通常是最直接了當的作法,這樣一來你不但可降低風險,也可強化自己的系統防衛,避免駭客有繼續入侵的機會。

事前規劃

  一般而言,企業都會在事前便模擬遭受攻擊後所要採取的應變措施,但同樣地,遭受攻擊後,企業也同樣要馬上決定如何採取應變手段,除了決定達成目標外,你應該考慮執行一套災難復原計畫,假如貴公司有的話。依照事件嚴重程度,把這類狀況視為跟資料庫損毀同等級並不為過。

  唯一比較棘手之處是,一般企業內的災難復原計畫都是已知的事件,且有已知的時間。但在駭客入侵狀況中,你可能無法斷定系統被入侵的確切時間點,因此復原程序可能會比較複雜,因為不確定每台系統應該回復哪些備份資料。更棘手的是,有些系統可能被入侵的時間較早,因此你必須一面探索第一次入侵究竟發生在哪一個系統上,同時還需多次重複復原過程。


局部或完全斷線?

通報

  一旦決定步因應之道,你必須馬上跟上司報告狀況,描述一下你知道的狀況。這或閉O最難以啟齒的部分,也因此釵h人寧願釩h隱匿不報,或者延遲通報。雖然這在內部可能造成一些責任歸屬問題,但你還是應該讓高層知道此一狀況,好讓大家可共商彌補之道。另一方面,你也可以藉此讓高層確認問題解決得目標所在,看是否要追查入侵者,或者先查出漏洞,或者只要盡快解決問題就可以。

  你也必須告知你的IT同事此一問題,藉由團隊的力量來尋找任何可疑的活動,確保網路不會再度被入侵。在這方面的作為上,若有越多專業人士參與,誤判的情況就會越低。

  另一方面,你不應該告知一般員工你偵測到入侵事件,說不定員工就是造成入侵的主因,他有可能刻意提供帳號與密碼給有心人士進行破壞,或者也可能只是無心之過。最好的方式是先別公告給員工知道,靜候人事部門出面發佈公司政策,並傳達相關訊息。

  最後,若你有安全基礎設施的合作夥伴,請立即通知對方。即使過去你只是請對方來作公司的安全查核,你還是應該通知對方有這樣的入侵事件,此一作法的用意不在於立即尋求救援,而是在於告知的義務,好讓對方在必要時提供協助。


斷線

  若你沒有計畫追究入侵者身份或被入侵的漏洞,你應該盡快切斷整個系統與內部網路的對外網路連結。這樣可避免入侵者趁你還在清理善後階段時再度趁虛而入,同時也可避免任何資料損失或影響持續擴大。

  這樣的缺點是,必須使用到網路對內或對外聯繫的員工將受到影響,你可能會因為內部壓力的關係而想採取捷徑,盡快讓系統恢復上線。但你應該堅持立場,不要在系統未經完整評估前就進行重新連線,因為你即可有能在逐一檢查伺服器的途中再度遭到入侵。

  你該關閉整個公司的網際網路連線還是只要關閉部分即可?這問題並不容易回答,尤其又是要你在事發後短短幾分鐘內回答的話。你根本沒時間去評估有多少系統遭到入侵,只有移除單一系統可能無法解決問題,但另一方面,你也會希望將衝擊降至最低,讓企業還能正常運作。

  最終而言,此一決定還是要看公司的風險忍受程度。公司若不願停機的話,能接受多少風險?就多數企業而言,他們可能寧願短暫切斷連線也不願甘冒二度被入侵的風險。換言之,多數企業都同意趕快切斷網路連線比較重要,好讓系統可接受檢查,並確保入侵者無法毀師滅跡自己的行蹤。

結論

  發現系統被入侵後的頭幾分鐘最是令人手足無措、倍感壓力的時刻,因此在事發前就應該做好模擬計畫演練。一旦發現系統真的被入侵後,趕快找出你想採要取的解決目標、立即將案情通報給上司與部門同事知悉,同時也需決定要關閉多少系統的網路連線。決定如何回應並不容易拿捏,在決定做與不做之間都將對公司產生重大衝擊,也會影響你的聲望。不過,遵循既定計畫行事比較不會手忙腳亂,也有助於你儘速讓系統回復正常。


此文章被評分,最近評分記錄
財富:50 (by upside) | 理由: 感謝提供資訊 數位男女因你而豐富




確保電腦安全,勿點選不明檔案或網址
獻花 x1 回到頂端 [樓 主] From:台灣中華電信 | Posted:2006-10-24 21:07 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.053080 second(s),query:15 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言