HOME 回資訊服務處首頁 Login
2017年第13期
簡訊
完成RapidILL文獻服務系統採購案
院網「影音服務」近期新增影片
106年資訊處推廣課程公告
106年度資安、個資課程
近期惡意信件整理
資安通報
協助近史所完成「1911-1949 民國時期中文期刊全文資料庫 (第11輯)」建置安裝作業
一項資料庫開放使用
資訊安全
淺談CSIRT建置與運用(一)
 
資訊安全 >
上一篇 | 返回電子報
 
淺談CSIRT建置與運用(一)
 
自由作家:林子煒

壹、 前言
 筆者曾於去年六月撰寫《淺談資安防禦哲學與CSIRT》一文,並針對CSIRT (Computer Security Incident Response Team,電腦安全事件應變中心)之歷史、功能、業務及人才培育進行簡單介紹。但未提及相關建置及運用時所需要素或建議;日本國內雖然各個組織皆成立各自的CSIRT,但面對及應付漸進複雜的網路攻擊,單一CSIRT獨立作業將難以處理千變萬化的攻擊型態與資安事件。為了能夠及時並妥善應對網路攻擊,必須與其他CSIRT單位進行密切地資安事件相關資訊交換,及早取得相關弱點威脅等資訊,甚至收集相關攻擊預警資訊並積極分享。而為了針對協助多個CSIRT之間緊密的相互協調作業,解決共同的問題,日本便成立了「日本CSIRT協調組織」(Nippon CSIRT Association,日文為「日本シーサート協議会」)。本文將針對日本CSIRT協調組織對於CSIRT之建置及運用之見解進行相關簡介。

貳、 CSIRT分類
 設立CSIRT之前必須先決定所擔當的職責及保護對象(例如產品安全、組織內資訊系統、關鍵基礎設施等),並將「資安事件預防」作為CSIRT設立之主要目的。根據美國CERT/CC公開之與CSIRT相關之FAQ (Frequently Asked Questions)資料,依據保護對象範圍,CSIRT可分為以下幾類:

  1. 組織內CSIRT (Internal CSIRTs):主要保護CSIRT所屬組織之員工、系統、網路等等,並處理與組織直接相關之事件。
  2. 國家級CSIRT (National CSIRTs):主要處理國家級資安事件,並代表所屬國家作為資安事件處理對外聯絡窗口。
  3. 協調中心(Coordination Centers):保護對象為互有合作關係之其他組織的CSIRT,負責各CSIRT之間的資訊交換分享及協調溝通。
  4. 分析中心(Analysis Centers):對象含該CSIRT所屬組織、國家及地區,進行惡意程式活動分析(含入侵路徑、攻擊軌跡分析、逆向工程分析等),並在必要時發出告警。
  5. 產品團隊(Vendor Teams):主要對象為所屬組織及其產品使用者,並處理產品之安全性弱點、發布修正檔(Patch)、發布安全性告警等。
  6. 事件回應提供者(Incident Response Providers):此可為組織內CSIRT的機能之一,若將此機能有償委任外部單位進行,受委託單位即屬於此角色,例如委外資安維運中心(Security Operation Center,即SOC)。

 國際資安組織FIRST (Forum for Incident Response and Security Teams)公開的《SIRT服務框架(Security Incident Response Team Service Framework)》中,則是將CSIRT分為國家級CSIRT、關鍵基礎設施CSIRT(Critical Infrastructure / Sectoral CSIRT)、企業級CSIRT (Enterprise CSIRT)、區域性/多組織CSIRT (Regional / Multi-party CSIRT)及產品安全性應對團隊(Product Security Incident Response Team, PSIRT),但不影響各CSIRT所擔當之職責及任務內容。

參、 CSIRT任務
 CSIRT主要任務包含事後處理、事前因應及安全品質管理。事後處理主要目的為將災害最小化,並處理與事件有直接相關或間接相關之相關事宜,包括發出告警、事件掌握、安全性弱點確認及攻擊手法分析;事前因應為預防事件發生,並隨時注意安全技術的發展趨勢及資訊安全相關情報,並將資訊分享出去,以降低事件發生之可能性,資訊服務處所發佈之《資安通報》及《資安預警情報分享》訊息即屬此類,此外亦包括入侵偵測、資安標準稽核等;安全品質管理則以提升組織內安全品質為主要任務,以CSIRT為主要視角提供專門意見、風險分析或教育訓練,包括營運持續及災害復原計畫等。

 通常資訊安全事件發生的速度迅雷不及掩耳,稍有不慎影響範圍亦會快速擴大至無法輕易掌握的等級,若有必要則須做出立即關閉系統的決策。故,CSIRT需有下達停止系統運作的權限,以達到災害最小化之目的。

 然而,CSIRT的任務不單單是以足夠的技術方式處理資安事件,以需注重「防範於未然」,此即威脅情資收集與分享,並需要與其他CSIRT建立互助合作關係,包括作為國家級資安事件處理窗口的CERT/CC (以日本為例即為JPCERT/CC),才得以即時收到來自國際重要資安組織所發出之資安情資。

 CSIRT需處理各式各樣的資安事件,根據日本CSIRT協調組織所提出的一般事件大類整理如下表所示。

表1一般事件大類

分類 常見手法
探測(Probe)、掃描(Scan)或其他不正當存取方式
  • 弱點掃描
  • 嘗試入侵
  • 嘗試利用蠕蟲感染
利用網路應用程式做為不正當中繼站  
  • 利用郵件伺服器或代理伺服器(Proxy Server)作為中繼站
惡意郵件  
  • 即社交工程郵件
入侵系統  
  • 入侵系統並竄改
  • 植入對外惡意程式(例如DDoS)
服務中斷攻擊(DoS)  
  • 網路中斷
  • 中斷系統服務
  • 中斷伺服器作業系統運作
電腦蠕蟲/病毒感染  
其他  
  • SPAM Mail

肆、 CSIRT人員組成
 CSIRT人員編制確實是相當困難的問題,但組成型態可大致分為「獨立組織(常備組織)」、「既定單位中分派業務」及「多個單位人員召集編組(非常備組織)」三種,如圖所示:

獨立組織  既定單位中
分派業務 
多個單位人員召集編組

圖1人員編制型態

  1. 獨立組織:成立像是網路安全戰略室或系統管理部門之類特定部門,在組織體制上為明定之組織。成員有以原各單位中負責安全部分的員工組成的情形,亦有以舊有組織成員中再編成專門組織的情形。
  2. 既定單位中分派業務:在資訊系統單位或安全對應單位等類似單位中,分配出「CSIRT業務」之人員,屬於組織剛成立CSIRT時的情形,此狀況下需明確指出聯絡窗口負責人員。
  3. 多個單位人員召集編組:此編制並無實際的CSIRT位置,而是由多個單位人員組成的假想CSIRT小組,平時亦執行CSIRT業務。

 此章並非強調「為了建置CSIRT就要編制專門單位」。CSIRT主要目的為,組織遇到網路攻擊時,為了降低風險而可以適當發揮其功能。是故,並非一定要成立專責部門,而是著重在CSIRT小組的業務範圍內能正常作用並加以活用。最終,凡事要成立一個新的小組皆必須獲得管理層級的支持,CSIRT也不例外,必須讓管理層級的人充分了解當組織面臨網路攻擊時,CSIRT可以帶來的效益及成員會如何應對資安事件。

伍、 本篇結語
 筆者於本篇簡介CSIRT分類、主要任務及人員組成,希望讀者可以對於CSIRT的基本功能有初步的了解,關於CSIRT的運作方式將於《淺談CSIRT建置與運用(二)》進行簡介。

參考資料來源 :

  1. 林子煒,《淺談資安防禦哲學與CSIRT》,中央研究院資訊服務處ITs通訊,2016年第16期. URL: http://newsletter.ascc.sinica.edu.tw/news/read_news.php?nid=3645
  2. 日本シーサート協議会,《CSIRT構築から運用まで》,NTT出版株式会社,2016年11月21日
  3. CSIRT—Nippon CSIRT Association. URL. http://www.nca.gr.jp/



上一篇 | 返回電子報
 
 本電子報所有文字、圖片版權為中央研究院所有 。 電子報出版系統由中央研究院資訊服務處開發。