從中油資安事件學到的資安架構必做六件事

NIST 國家標準指南：資安管理者如何重建環境與制度

組織型駭客入侵的動機通常不單純，但其實可被這些駭客「入侵的機會」，也並不是那麼隨手可得。駭客們通常是投機的機會找尋者 Opportunist，也可以說是專挑軟柿子的概念，他們的任務就是一直不斷地尋找「最容易攻擊」的弱點，包含人員、流程或是技術等面向。所以一個「成功被駭」的資安事件通常反映多個層面的破口 gaps，這個時候資安管理的主要任務，就放在還原 Recover 並重新識別 Identify 系統架構兩大重點，才能更有效地預防 Protect 與偵測 Detect 未來可能的攻擊。請參考NIST框架，圖一。本文會利用中油的案例，資安專家與執法調查員所提供的駭客手法，來討論系統復原後如何重建環境重新識別 Identify 來落實資安防護。

圖一 、Photo Credit: NIST

中油相關文章：

調查局完整揭露中油、台塑遭勒索軟體攻擊事件調查結果，駭客集團入侵途徑大公開

中油勒索病毒事件幕後黑手來自中國，威脅「再攻10家台灣企業」，資安防護該怎麼做？

針對中油5月初遭受勒索病毒攻擊，奧義智慧共同創辦人推敲更全面的事件樣貌，點出駭客精心策畫的作案過程

還記得上述文章提到資安架構中幾個共同的處置事項嗎？：

[A] 加強 Windows AD (GPO)與 Windows 工作站的保護

[B] 加強密碼強度

[C] 檢查網路架構

[D] 防火牆規則

[E] 更新防毒與補強弱點

[F] 加強SOC監控條件 (休息時間做攻擊)

接下來我會把上述項目，用比較結構性的方式作整合建議，來幫助大家建立制度化的管理與監控流程，讓資安管理變成一個完整的循環，未來更能預防中長期可能發生的資安問題。

第一： 了解自己的環境與系統 [A][C][D][E]

(請參考資安評估的相關文章，由於需評估的項目細節繁多，以下僅列出大項方向)

1. Windows Active Directory 針對以下幾個項目做檢視與設定上的防護

• 檢視 Group Policy Object 設定，根據資安規範做設定上的調整
• 「網路芳鄰」應用安全設定
• 注意主機在網路架構中的設置
• 檢視網路架構與防火牆規則 Access Control List，縮小Windows AD可連線範圍
• 針對每一個必要服務做資料流 Data Flow 的控制分析 (Control and Gap Analysis) 與安全上的設定確認
• 關閉不必要的服務與無法安全管制的服務
• Remote Desktop Protocol 應用最小化、安全設定與風險評估
• 設立弱點更新管理流程與監控完成度
• 減少使用local administrator 與 administrator 帳號，列入變更管理與監控
• 端點防護監控作業系統重要的 exe, processes, dll, handles, autorun, registry
• 日誌監控與設定變更事件

2. Windows 工作站

• 建立標準系統符合 Group Policy Object 權限的應用
• 建立單一標準 ISO Image 版本控管
• 應用標準網路隔離 Proxy 機制設立使用者上網的控管與日誌記錄
• 防毒與端點防護監控作業系統重要的 exe, processes, dll, handles, autorun, registry

第二： 了解自己的風險 (風險評估)[C]

根據「自己公司」對於資料(資產)的重要性與防護機制來作風險高低的定義，而不是產品設備所提供的風險值。例如：針對網段應用做風險評估，高風險網段如Web DMZ， 需要用符合 Web的防禦機制（如 WAF），或是注意Windows AD 主機在網路架構中的設置，並針對資料種類做分級與風險上的區分、保護機制與預算。

第三： 能見度與識別度(偵測與監控)[C][E]

於平時的管理流程中就應定義好基準系統的起始狀態 Baseline、資料風險、及網路架構風險的高低各是如何，才能有效地偵測出異常狀況。特別注意特權帳號、監控系統的 Config檔 與 Registry 檔的變更、與防火牆資安設備的設定檔。這樣一來才能更了解偵測系統與特權帳號是否在非正常的變更流程時做了變更，也才能有效的防止 0-day 攻擊。

第四： 降低溝通成本 (應變措施) [D][E]

有了基準系統的能見度與標準流程作比較，才能有更精準的擬定應變措施 Response，進而降低 SOC 的溝通成本，並減少系統、流程與人為整體的破口 Gap。

第五： 建立資安理念 (組織規範的制定)[B]

密碼強度的規範標準應根據「組織層級」來制訂，所有系統與應用軟體都應該遵守此標準原則。

第六： 確保制度持續的執行 (資安指標的制定) [A][B][C][D][E][F]

必須規範常態性的自動化稽查測試，例如檢查密碼強度是否符合標準，並制定改善計畫。需設定好指標來監控防毒軟體的有效性與失敗率，才能更有效地做風險緩釋 Risk Mitigation, 例如：更改架構、更換防毒系統或增加多個防毒系統等。

資安風險 Security Risk 與資安指標 Security Metrics 是資安管理者在向上溝通時，非常重要的工具，之後的文章將會有更深入的討論。

文章日期： 2020.09.11

作者 李彥民 Anthony3000 曾多年服務於美國金融機構，專精於資訊安全策略及框架規劃、資安評鑑與架構規劃，協助多家美國金融機構改善資安流程與制度管理。曾任大型投資銀行的資訊安全長(BISO)，擁有資訊管理碩士學位(專修資安管理) 與「電腦駭客鑑識調查員」證照 (CHFI)。本文撰寫時，任職於凱信資訊股份有限公司的資訊安全顧問經理。

Disclaimer: 本文圖片及內容由作者 Anthony3000 彙集製作，如需轉貼或改作我的文章與圖片：1. 請在圖片上與文章內註明並引用作者與網頁的出處連結。2. 歡迎您在尊重智慧財產權的前提下分享或轉貼我的文章與圖片，若有其他商業用途請先徵求本人的審查與同意。3. 歡迎下載提供的範例檔案或軟體，本網站作者不保證內容的完整性或適合在所有場合使用。