HW2 CYBERSEC 2021 心得報告

Group content visibility: 
Use group defaults

HW2 CYBERSEC 2021 心得報告

醫資三  406570209  竺佩蓁


       因為課程的關係而得知臺灣資安大會的活動,過去的學習歷程裡很少有機會接觸到有關資訊安全這方面的知識和技術,抱著好奇與求知的心情參加了5/5號的活動。進到會場就看到絡繹不絕的人潮,還有那些曾聽聞過的大型企業和教育部等政府機關都有進駐這次的活動,反映出資訊安全的議題在現今備受重視。幾乎每家廠商都推出琳瑯滿目的軟硬體產品及相關的體驗活動,舉辦多個抽獎活動,看上去都很新奇也很吸睛,可說是誠意滿滿、相當用心。

       印象比較深刻的是有一個闖關活動,目的是要測試自己是否能辨別得出釣魚信件的測驗遊戲,總共有11題,答對8題能得到一個小徽章,每一題答完都會有詳細的解釋,告訴你能從哪些地方看出他是釣魚信件。玩完之後覺得自己以後要更加小心謹慎,在點開任何連結之前務必要注意寄信者的信箱帳號及超連結,因為裡頭可能都藏有玄機。

      本來想實際出席下午的演講,但因當天下午已有別的重要行程,後來選擇在臉書觀看直播的回放,其中我對於「跟阿中學勒索軟體防疫之道」這場演講印象蠻深刻的,講者(TeamT5杜浦數位安全執行長蔡松廷)提到一個概念——「從防疫學資安」我認為相當貼切與好懂。防疫措施的五階段其實與資安領域中的NIST網路安全框架(Cyber Security Framework,CSF)存在許多相似之處,如下表所示:

Identify

Protect

Detect

Respond

Recovery

護國神文

盤點防疫資源

各國疫情通報

邊境管制

宣導防疫

防疫措施

關注所有症狀

快篩機制

快速隔離

完整疫調

復原追蹤

防疫策略檢討改善

疫情指揮中心、每日記者會、傳染病防治法

 

 

 

 

 

       從上面兩張圖表可看出防疫措施和NIST CSF的五大功能及其類別非常相似,講者提出實際例子來解釋,當時COVID-19疫情剛爆發,PTT上有一篇號稱護國神文的文章在2019/12/31 2:24:19 AM發布,提醒臺灣務必小心目前武漢發生的不尋常的狀況,疾管署立即在12/31當天開始進行邊境管制及登機檢疫,並對於武漢回來的班機做相關的應變措施,而在1/20成立疫情指揮中心,此為相當重要防疫能成功的關鍵,再來是針對醫療資源(如隔離病房、加護病房、口罩)進行盤點,此舉動造就之後民眾沒有面臨口罩不足的現象,之後開始實施防疫措施(強制戴口罩、體溫監測、禁止群聚和大型集會、醫院管制),以及入境管制(14天居家檢疫、7天自主健康管理),這些情況可以對應到NIST CSF的第一階段(Identify,識別)及第二階段(Protect,保護),相當於資訊安全裡提到的,要辨別出哪些流程和資產需要保護,以及清楚有哪些保護措施。緊接著會開始關注民眾是否患有所有相關症狀(發燒、咳嗽、味覺喪失、群聚感染、通報管道)及透過快篩機制來檢測,此步驟可以對應到NIST CSF的第三階段(Detect,檢測),知道哪些方法可以辨別事件。再來假使有人確診,必須快速應變進行隔離治療,同時做完整的疫調追蹤並召開每日線上記者會,保持疫情的透明,讓大家瞭解最新目前疫情的狀況,這些情況可對應到NIST CSF的第四階段(Respond,回應)及第五階段(Recovery,恢復),清楚知道哪些方法可以回應事件的影響及哪些方法可以恢復功能。講者透過臺灣防疫成功來呼籲國內的企業組織,在面對資安事件時不能群龍無首,可參考疾管署成立疫情指揮中心的方式,建議組織透過制度與規範建立資安應變團隊(Computer Security Incident Response Team ,CSIRT)並做好充足的演練,才能在事件發生時迅速作出決策,找到相對應的防範措施及保護機制,將安全風險降到最低。     

*小小整理講者精彩slide--疫情防疫與資安防駭相似處對照表

第一階段(Identify,識別)

  • 護國神文 -> 威脅情資(情資時效、情資來源(相信WHO的下場)、情資解讀及判斷能力、超前部署)
  • 盤點防疫資源 -> 資產盤點與風險評估(公司重要資產、對抗網路攻擊的資源準備,人力和軟硬體、策略流程SOP)
  • 各國疫情通報 -> *-ISAC(資安資訊分享與分析中心)

第二階段(Protect,保護)

  • 邊境管制 -> 存取控制(Zero Trust、信任與授權)
  • 宣導防疫 -> Awareness & Training
  • 防疫措施 -> 資安規範與安全政策(密碼措施、作業安全、通訊安全、資料安全、實體與環境安全)

第三階段(Detect,檢測)

  • 關注所有症狀 -> Anomalies and Events(部署異常偵測科技、SOC/MDR/XDR)
  • 快篩機制 -> 定期健檢

第四階段(Respond,回應)

  • 快速隔離 -> 隔離可疑電腦與清除感染(阻斷駭客控制、阻斷擴散途徑、清除感染)
  • 完整防疫 -> 事件鑑識調查(查受害電腦與資料、調查受害原因(root cause)、還原感染途徑)

第五階段(Recovery,恢復)

  • 復原追蹤 -> 復原受資安問題受損的任何功能或服務,並制定相關策略持續追蹤
  • 防疫策略檢討改善 -> 制定實施策略計劃,並持續溝通檢討與改善問題

疫情防疫中心 -> 電腦資安事件應變小組CSIRT(統一指揮(避免多頭馬車)、充分授權(權限不夠困境)、法源依據(資安規範、事件處理規範)、可動用資源(人力、預算)、資訊透明(每日記者會))  

總結:

      很高興能有時間和機會參加這麼盛大活動,一整天逛下來,不僅學到也玩到了,填了許多的問卷,也參加不少抽獎活動拿到不少獎品,可說是收穫滿滿。這次的活動讓我清楚知道自己在資訊安全領域的不足,無論是在相關技術上,抑或是該掌握的基本知識,都還有相當大的進步空間及必須慢慢扎根學習的地方,也因此我會更加警惕自己在使用網路時的安全,同時也會加緊腳步鞭策自己學習資訊安全領域的相關技術與知識,以因應目前的趨勢。

參考資料: