事中應處
- 發布單位:TWCERT/CC
- 更新日期:2023-08-28
- 點閱次數:1544
當發生資安事件時,事件處理負責人員必須根據事前的籌劃來應變。在準備階段我們已知道哪些是重要的系統、誰是這些系統的負責人、該使用何種工具。此章節將介紹面臨不同情境的資安事件時可能會有的症狀。本章節的內容對應圖1事件處理流程圖中的「偵測與分析」與「事件應處」。
圖 1 事件處理流程
1、資安事件偵測與分析
此階段針對資安事件進行偵測,並藉由流量、Log監控資訊、系統資源狀態對事件進行分析。表1攻擊類型判別對應表列出系統異常症狀及對應的攻擊類型,事件處理負責人員可參考此表來判別可能遭受的攻擊類型。
表 1 攻擊類型判別對應表
2、保存數位證據
安事件應變之目的為讓組織能在最短時間內回復正常作業,並保存數位證據供未來採取法律途徑時的證據。即使組織將來不採取法律行動,事件處理負責人員仍應保存數位證據,以利找出入侵的原因並進行修補。底下列出建議保存的資訊;相關的保存工具之使用,請參閱《附件4.基本數位證據保存工具使用說明》。
- Registry機碼
- USB使用紀錄
- Event Log(含OS、Web、DB、網通設備(Switch、Router等)、資安設備(IDS、Firewall等))
- 記憶體資訊
- 系統使用狀態資訊
- 可疑檔案加密封存
- 硬碟映像檔(不在附件內)
3、資安事件應變與處理
在處理事件之前,最重要的便是防止災害擴大,常見的措施如:隔離受感染的主機、系統;中斷受感染的主機、系統之網路。本小節提供對於DDOS、勒索軟體及惡意程式進行應變處理之建議,並於《附件5.資安應處事中處理工具說明》說明相關之工具與使用方式。
3.1 DDoS的應變與處理
- 設置防火牆拒絕外部ICMP請求
- 使用具備抵禦DDoS的進階防火牆
- 限制流量但不關閉服務
- 設置存取控制清單(ACL)來阻擋可疑IP位址的存取
- 允許的情況下增加頻寬以降低攻擊能力
- 網頁服務使用reCAPTCHA防止自動連線
- 限制最大連線數量,縮短idle timeout時間
- 網路流量清洗
3.2 勒索軟體的應變與處理
- 立即斷開受感染設備與所有網路的連接,無論是有線、無線還是基於行動網路。
- 監控網路流量並執行防毒掃描以確定是否仍有感染
- 盤點其他可能受影響的設備,並對這些設備執行防毒軟體掃描
- 根據勒索軟體名稱、副檔名等資訊,查找該病毒的類型;在No More Ransom Project的網站上,尋找可信任資安單位提供的解密工具。
3.3 惡意程式的應變與處理
- 隔離受感染系統,避免擴散感染
- 阻斷惡意程式嘗試通聯的網路
- 使用TCPView偵測網路行為,觀察受感染的系統是否連線至外部惡意伺服器。若是,則將其封鎖。請參考《附件5.資安應變事中處理工具說明》之第2點
- 使用AutoRuns查看可疑程式是否於系統開機後自動執行。若是,則將其刪除。請參考《附件5.資安應變事中處理工具說明》之第4點
- 使用Process Explorer查看是否有可疑的程式正在執行。若有,則將其刪除。請參考《附件5.資安應變事中處理工具說明》之第3點
- 在主機端和防火牆上關閉所有不必要的TCP/UDP Port
- 利用Msert(微軟掃毒軟體)找出可疑檔案,並將其刪除。請參考《附件5.資安應變事中處理工具說明》之第1點
4、通知利害關係人
通知各利害關係人,如:客戶、系統使用者、上下游供應商、主管機關等,告知他們目前正面臨何種資安事件、處理的進度、影響的範圍與結果,及預計恢復的時程。
免責聲明
1.TWCERT/CC(以下簡稱本中心)保留對於本指南所提供之資訊,不另告知而作修正的權利,亦不對任何在本指南上所揭露的資訊精確度、完整性、可靠性或合適性等作擔保聲明,且不負任何明示或默示的保證責任。
2.本中心盡力維護本指南所提供之內容,並確保資料之正確性,但對於內容提供有關之瑕疵或不能,或因該瑕疵或不能所造成之直接或間接損害,本中心不負任何責任。
3.本指南僅供參考使用,本中心並不擔保其正確性,且用戶明確瞭解並同意,任何因使用、或無法使用本中心指南所造成之直接、間接、偶發、特殊、連帶、或懲戒性損害賠償,包括但不限於獲利損失、資料損失、名譽損害、或其他無形損失等,本中心不負任何損害賠償責任。