作业风险管理-淡江大学.ppt

* 在95年度研考會編定資安事件應變作業參考指中，在導入SOC實務中宜遵循資安事故應變處理流程。 * (1)事件產生模組 事件產生模組(Event Generators, E Box)負責生成安全事件，可區分為兩 種：一是屬於數據類型的事件發生模組，係指令偵測器，如網路入侵偵測系統、 主機偵測系統、防火牆等，主要產生由操作系統、應用和網路操作所引發的事 件；另一類屬於狀態類型的事件發生模組，是由輪詢器(Poller)，產生反應外部 試探(如Ping、SNMP 等)的事件，外部試探主要用來檢查服務狀態和資料完整 性等，這類事件如網管系統中的輪詢器工作站向管理主機發送的警告信息。安 全事件主要由偵測器產生，最典型的偵測器是入侵偵測系統，亦可以由任何具 備日誌功能的過濾器，如防火牆、具有存取控制表列功能之路由器、網路位址 過濾功能交換機、網路監聽設備(Sniffer)或誘捕系統(Honey pot)等處理。 (2)事件蒐集模組 事件蒐集模組(Event Collectors, C Box)負責從不同偵測器蒐集訊息，並轉 換為事件標準格式，進而形成統一格式以方便後續相關作業的處理。在事件蒐 集的過程中，鑑於傳送中安全性考量，往往需要應用加解密技術以保證訊息的 機密性與完整性，實現對SOC 系統的安全和可信賴的管理。 * (3)事件訊息資料庫 事件訊息資料庫(Message Database, D Box)負責儲存偵測器所蒐集來的至 不同來源之事件訊息，而這些訊息應能適時的產生、儲存處理與分析，以便於 能即時對入侵企圖作出反應，亦提供稽核驗證、趨勢統計研判與後續電腦鑑識 分析等所需原始資料之應用，必須考慮資料庫資訊之可用性、完整性與機密 性，以及格式化等議題的處理方式。 (4)事件分析模組與知識庫模組 事件分析模組(Analysis Engines, A Box)負責進行分析儲存在資料庫中之 事件，為事件反應模組提供反應之依據，在進行事件分析時須參照引用知識 庫模組(Knowledge Base, K Box)資訊來支援，知識庫儲存相關判釋訊息與評 估準則，如入侵位址與路徑、脆弱性評鑑資訊、安全政策、使用者端組態與 客戶狀態記錄、系統安全模型等。分析模組進行包括事件相關性分析、結構 化分析、入侵路徑分析及登錄與存取行為分析等，亦是SOC 系統中最複雜的 部分。 * (5)事件反應與通報管理模組： 事件反應與通報管理模組(Reaction and Reporting Management Software, R Box)負責對安全事件做出及時有效的反應，包括反擊正在發生之安全事件的所 有反應和報告。由於牽涉到人員安全因素，反應行為具有相當的主觀因素，必 需具有長期累積最佳實務經驗與具備相關知識之人員方能勝任。事件反應模組 不只需要對外提供自動化控制介面，事件快速反應介面、隨時監控介面、統計 分析介面、提供用戶脆弱性的風險評鑑報告、安全行為和系統安全狀態報告 等。除了需要安全子系統即時報告安全事件，SOC 亦可對安全事件的反應藉 助如防火牆與入侵偵測系統來建立聯防機制，譬如在防火牆中加入動態過濾安 全規則等。 * (1)安全事件的蒐集與儲存 在分散式網路環境中為了達到蒐集不同來源如syslog、snmp、smtp、html 等數據之目的，需要應用不同通訊協定代理及應用程式代理，中間利用調度器 來連接這兩個模組進行處理。為了確保在分散式環境中處理蒐集數據的效能， 須考慮到不影響到系統執行效能的高可用性及負載平衡外，尚須考慮資訊的安 全性。 在數據的獲取及儲存方面，需充分考量資訊的管理與維護。一般在建立 偵測器和設計事件相關性或分析規則前，必須對所有被監控IT 基礎建設評估 其安全等級和存取權限、許可操作等之安全政策。安全等級評估可以做為判 定企圖入侵一個目標系統可否成功之依據，安全等級評估的資訊獲得可以分 為兩部分：脆弱性評鑑及系統關鍵性分析。可利用執行黑箱測試(Black Box) 和白箱測試(White Box)方法獲得脆弱性評鑑資料；由分析一個入侵事件可能 會產生系統相對衝擊後果而獲得關鍵性的資料。 (2)脆弱性資料庫 脆弱性資料庫儲存有關弱點的資訊，脆弱性是指系統中安全環境的缺陷或 不符安全的行為，這些脆弱性可能會影響整體安全等級，也可能被駭客加以利 用作為入侵攻擊。作為知識庫的組成部分，脆弱性資料庫儲存有三類脆弱性資 訊： (i)結構性脆弱性：通常係指軟體本身設計的內部缺陷，例如緩衝區溢位、字符 串格式等弱點。 (ii)功能性脆弱性：係指組態配置、操作行為與使用者等進行環境有關的弱點、 定義、格式化等通常需要操作環境、網路與應用各方專家的參與。 (iii)拓樸相關脆弱性：主要基於網路基礎建設及佈署之脆弱性，如監聽