資安事件管理作業

一、 資安事件之通報

資安事件警訊通報是 SOC 人員依據系統分析處理的資安原始訊息，輔以人員 本身豐富的資安知識與經驗分析，對客戶所進行之通報，目的在提醒客戶檢查與 比對警訊通報內容與實際環境狀況，判定是否發生異常事件。

SOC 將於客戶 SLA 協議的時效內，以電子郵件、電話通知客戶權責人員，並 於 SOC 營運管理系統中詳細記錄。在發佈警訊通報時，將依分工權責領域決定通 報對象（表 4 ），讓相關管理者即時獲得通知，達到真正責任劃分與即時問題診斷 的目的。

表4 通報對象表

對象 說明 對應人員

管理 單位內，具有政策擬定、規範發佈等職 責之人員

資訊主管、單位管理人

網路 單位內之技術人員，如網路設備、資訊 設備…相關負責人

Router, Switch, Firewall, 入 侵偵測設備等之管理者 系統 單位內之系統人員，如程式設計、網站

網頁、伺服器系統…相關負責人

Web/Mail Server，應用系 統、重要主機管理者

二、 資安事件通報之回饋與改善

由於 SOC 監控之各種網路、主機與應用程式的設定和彼此間互動關係複雜，

資安事件難免有誤判。為提升 SOC 資安事件通報之精準度，必須對應檢核客戶環 境實際狀況後進行通報回饋作業。SOC 資安通報均含可疑電腦之 IP 位址，客戶端 權責窗口接獲通報後應檢視該 IP 主機是否有通報所述之異常行為。如該主機之正 常行為被 SOC 誤判為異常，則需透過 SOC 之入口網站（圖 12）回饋此資訊，以 便 SOC 調整偵測規則，避免未來持續誤判。

圖 12. 通報回饋改善網頁

三、 事件之處理（追蹤、鑑識與復原）

SOC 對於事件之處理，係依循 ISO/IEC TR 18044[7]流程四個階段的精神。除 了第一、二階段之事前準備與監控、偵測外，處理作業上係集中力量於第三階段 的「封鎖與復原階段」，執行封鎖作業與證據蒐集、事故還原外，以及事後的蒐集 與存證（經驗學習），以完成事件之處理。

依據 ISO/IEC TR 18044 第三、四階段之精神，SOC 設計出事件通報之作業分 工與流程（圖 14），除進行通報適當對象（客戶權責人員或駐點服務人員）外，

亦需進行通報之追蹤，確認負責現場事件處理之人員已收到通報，同時瞭解事件 之複雜度以及是否需要後端提供遠端與現場支援與諮詢等。

如遇資安事件於指定時間內無法圓滿解決，或 SOC 工程師研判事件複雜度達 一定程度，則會啟動「重大資安事件流程」，除將事件處理升級、投入更多資源外，

也將持續回報客戶、宏碁相關主管處理之進展。

準備與預防階段 偵測與分析階段 封鎖與復原階段 蒐集與存證階段

事前準備

安全認知與 教育訓練

發現 事件徵兆

初步分析

確認事故？

持續 監控與偵測

進行 通報應變作業

執行封鎖作業 與證據蒐集

資安事故還原

經驗學習

蒐集事故資料 與保留證據 里程碑

里程碑

否

是

圖 13. ISO/IEC TR 18044資安事件作業流程

圖 14. 資安事件通報與處理

（一） 事件鑑識

一旦確認客戶環境遭受入侵，則需進行鑑識，找出入侵管道，並確認是否感

染惡意程式，進行清除作業。SOC 依據過去眾多事件的鑑識經驗，設計了「惡意 程式清除與採證 SOP」，作為惡意程式清除之依循。SOP 乃是擷取經驗智慧的精髓，

並參照 SANS（SysAdmin, Audit, Networking, and Security）國際組織的建議精神，

依圖 15「鑑識排除根除回復追蹤」五個階段進行作業。主要工作項目包 括：

 鑑識：分析事件資訊，尋找攻擊來源，並評估威脅與衝擊。

 排除：隔離受害主機，控制損害程度，並防堵事件繼續擴大。

 根除：確認問題根源，據以調整系統或政策。

 回復：恢復系統至未受害前之狀態。

 追蹤：持續觀察事件是否復發。

圖 15. SANS事件處理程序

上述步驟中，事件之鑑識為技術相當複雜之作業，全賴資安技術人員之經驗 與知識，配合現場狀況之判斷，執行機動作業。鑑識工作共包括下述程序：

 檢視不當連線

 檢視可疑程式

 利用工具檢測惡意程式

 蒐集系統組態

 收集、採樣可疑程式

 收集、保存事證、檔案與作業畫面

（二） 系統復原程序

系統復原程序建立前，應先調查現行系統環境，記錄系統、網路、服務等設 定參數；再行調查現行系統軟體，記錄系統安裝軟體清單，最後再建立復原程序 與流程，據以進行復原作業。在人員搭配上，系統復原前須先知會硬體供應商以 及系統管理、應用軟體管理維護、網路管理人員，以便於復原作業發生問題之第 一時間聯絡相關人員排除問題。

系統復原工作極為細緻，SOC 以從事的復原工作經驗為基礎，提供系統復原 的諮詢服務，並適時提出建議及風險評估，以及對應之處理方案。

（三） 事件處理報告

資安事件排除後，Acer SOC 將交付資安事件處理報告書，其項目包括：

 資安事件發生之原因

說明資安事件的整體始末，以及使用的系統漏洞或入侵攻擊方法的說明。

 處理的過程

包括事件整體的過程、入侵或攻擊過程、鑑識及追查過程。

 事件分析判斷

分析判斷所有事件所代表的意義與訊息。

 檢測鑑識所使用的工具

如：網路工具（TcpView 等）、程序檢查工具（ProceView 等）、間諜程式 移除工具（Microsoft Windows Malicious Software Removal Tool）、系統基 本程式（如防毒軟體、系統工具等系統具有的合法軟體），以及其他臨時 依當時情況所使用的軟體或工具。

 蒐證的紀錄及相關資訊

包括：被入侵攻擊系統的關鍵記錄（Logs）或事件（Events）、系統程序 及網路連線狀態紀錄、入侵或惡意程式檔案、網路設備或系統偵測之事 件紀錄（Firewall、IDS、IPS、Anti-Virus Gateway、Anti-Virus Server 等），

以及被入侵攻擊系統軟硬體設備資料。

 事件之結論與改善建議

總結所有鑑識過程、入侵方式、事件影響、強化改善建議等資料及具體 改善建議。