 |
|
 |
|
|
|
所有文章及回文均受到法律、站規管理,網友發文不得因不知相關站規而免除責任。文章內容含有對特定人物、使用者、特定族群進行言詞侮辱、挑釁、威脅、謾罵、歧視、引戰之文章,將視情況嚴重性刪文或修改。含有色情內容、暴力內容、十八禁連結、含不雅文字(髒話)、或是含過多非正體中文、色碼、亂碼導致難以閱讀,一律視情節處理。 |
|
歡迎來到資安人網站,希望關心資安的資安人能夠在不違反版規的情況下,自由自在地發文、回文進行交流,並對各位資安訊息的交流有所幫助。 |
|
如欲爆料請多利用「爆料E-mail」私下與我們聯繫,謝謝! |
|
|
|
|
|
|
| 發表者:張維君整理 |
|
|
事件:
在今年跨年時,台灣大哥大系統當機長達5小時。在話務量最繁忙的時刻發生如此嚴重事件,造成2萬名客戶求償及商譽損失。經檢調介入調查,已查出是由台灣大哥大系統委外廠商諾基亞西門子通信公司(NSN)的離職員工所為。板橋地檢署於日前依妨害電腦使用罪將陳嫌提起公訴,並因犯行重大具體求刑2年。
陳嫌是在去年3月遭NSN解職,他先前主要被派駐台灣大哥大負責管理維修「門號可攜認證服務網路系統」,他在離職前違約設定一組帳號密碼,選擇在跨年時利用3.5G行動上網連上該系統,破壞主程式設定,刪除資料庫中可攜號碼資料與連線登入紀錄,讓兩套相互備援的系統同時無法運作。影響範圍包括新竹、花蓮以北8縣市數萬名手機用戶。
資料來源:自由時報、聯合報、台灣大哥大官方網站
討論點:
1.私設一組帳密的管理問題應該如何解決?
2.備援系統的設計如何才適宜?
3.使用3.5G行動上網追查的困難。
4.對於委外廠商人員管理的建議。
|
|
|
 |
| .................................................................................................. |
|
|
|
 |
 |
駐站專家 謝持恆:對高權限帳號使用者平日應進行控管及覆核 |
臺灣許多企業對於委外廠商的想法,不管是因為成本或是技術能力的考量,還停留在事情有人做就好的階段,對於委外廠商到底做了些什麼事,常常就用一句話:「我們又看不懂委外廠商做些什麼事,那我們怎麼管?」或是「反正委外合約上都會有註明罰則,他們應該不會明知故犯吧!」。然而從這幾年整個資安的趨勢看起來,資安作業已經不只是管好自身的行為,連委外廠商也都納入監督的項目。
簡單的說,例如機器設備的維修,這是可以委託委外廠商處理,但維修要包含那些內容,要做到怎樣得程度,或是有相關的申請作業,這些管理性的工作還是自行負責,同時也要進行覆核的作業。以個案中所提到的,離職的委外工程師可以自行建立一組沒有經過授權的帳號而未被發現,顯然權限控管作業還有很多改善的空間。存取控制作業,不是僅限於應用程式而已,從網路、作業系統、資料庫、以及應用系統,所有的帳號都是要經過申請核准,同時要確認所賦予的權限是否與當初申請的相同。而存取控制作業,現在也幾乎是資訊安全中不可或缺的一環。除了申請作業以外,還包括定期的覆核作業,要把現有的帳號做一個清查,以便確認是否有使用者因為職務的異動而需要更動相關權限。同時對於權限較高的使用者(如案例中可以直接刪除檔案的使用者帳號),對於這一類的帳號平日就應該就進行控管,需要有其他的人員覆核這些使用者所做的活動。這些管理的動作,覺對不可因為作業委外而同時一併委外出去,一定要由單位內的人員負責,同時更不可以抱著交差了事的心態在執行。
另外,雖然此案例系統分置於北部地區兩機房彼此備援,但很顯然備援作業是沒有成效的。備援作業並不是只是在不同的地方擺設機器設備,或是有兩三台機器共同完成特定作業,這樣就達到備援的目地。不管談的是災害復原計劃(Disaster Recovery Plan)或是業務持續計畫(Business Continuity Plan),談的都是當意外發生時,如何能將企業賴以生存的業務能夠在最短的時間內恢復作業。而以民眾目前對於手機使用的需求程度,即便是在事後的四個多小時回復作業,似乎對於復原時間的估算還是值得商榷。備援計畫所牽涉到的人力、物力和資源,覺對不是簡單兩句話就能說清楚的。一定要事先有完整的計劃,才能有備無患。也希望能藉由這個案例,讓國內企業對資訊安全有多一份的認識,不要每一次有發生資安事件,就全部都推到駭客的身上。先看看自己企業內還有那些地方是需要加強的才是當務之急。
|
|
 |
|
|
|
|
駐站專家 余俊賢:廠商帳號建立應經申請、謹守最小權限原則 |
帳號管理是一個大型企業非常頭痛的問題,現在透過目錄服務(AD)可以做較妥善的管理,一般應該由人事部門負責人員帳號的管理,對於臨時或委外廠商的帳號,除了要申請程序之外,於帳號建立之初便設定有效期間,建議不要太過長,且變更密碼的區間應該更短。而且要明確定義這些帳號存取的權限與資源,謹守最小權限原則。
但是實際環境中,很多是由IT部門或廠商自行建立於設備和服務中的權限,幾乎都是造成日後問題的開端,譬如廠商密碼因為應用程式設計而不得變更,或者換了之後無法維護的推拖說法,其實應該要更明確地在系統建置與管理文件中去避免此類問題。加上定期對存取權限的明確稽核,應該偵測與避免此一耗財又損商譽的情事發生。
|
|
|
|
|
|
|
駐站專家 吳家名:系統帳戶清冊的定期清查絕對必要 |
離職員工的報復行為其實屢見不鮮,不久前所羅門公司也遭受離職員工竊取機密資料,商業損失高達三億多台幣,而追根究底,離職員工之所以可以透過網路進行竊取或破壞等行為,幾乎都有一個共同點,就是擁有可存取企業系統的帳號與密碼。
其實,無論是員工自動離職或由企業資遣,離職程序都是必須執行的一道控制,藉由離職程序將員工的系統帳戶、密碼、識別證等各項權限取回,但對於被資遣或離職的員工來說,難道他們會不知道帳戶密碼會被公司取回嗎?特別是擁有特殊權限的員工,例如:系統管理員,如果他們有心想對公司進行報復或藉由公司漏洞圖利,相信早在離職前,他們便已在系統上留下適當的後門供日後使用。多數的企業對於各項流程的「進」與「出」都會有嚴謹的管控,但「例行性的檢查」卻往往被忽略,就以銀行的金庫為例,相信銀行對於每日金庫搬進多少錢、搬出多少錢,一定會有確實且完整的紀錄,除此之外,至少於每日結算前,一定會派員盤點金庫的庫存,並比對進出紀錄,確保金庫內的錢沒有在進出過程中遭監守自盜而遺失,而資訊系統其實就如同金庫般,系統帳號除了在合理的申請下被建立之外,亦可能在未經授權的情況下被建立,因此帳戶清冊的定期清查絕對是必然的。此次台哥大的案例,該名被資遣的員工便是藉由職務之便,在系統上預先建立一組帳戶密碼,之後更藉由此帳戶密碼順利入侵公司系統,且該名員工是在遭撤職後九個月才進行此一報復行為,可見在這九個月當中,該公司對於系統帳戶定期清查的工作並不確實,或甚至可能沒有定期執行系統帳戶清查的作業。
針對離職員工系統帳戶的控制,以下幾點建議提供參考:
1.系統帳戶的定期清查,除了針對「在職員工」與「系統帳戶」進行比對,找出在職員工以外的帳戶,並確認其允當性之外,對於預設的系統帳戶,也應定期清查,如有任何異常的帳戶都應予以停用。
2.儘量避免「共用帳戶」的存在,如有員工離職,所有共用帳戶的密碼應立即進行變更,以避免遭離職員工於離職後使用。
3.針對過久未登入使用的系統帳戶,應予以暫時停用,並與使用者確認其使用情形。
4.加強密碼控制,包含:定期更改密碼、密碼歷程控制、密碼錯誤次數限制、密碼傳輸或儲存時不可為明碼等控制。
5.針對擁有較高權限之帳戶進行監控,例如:啟動稽核軌跡,並針對帳戶登出入時間進行稽核,如有於非上班時間登入系統或嘗試執行權限以外的服務等等異常活動,都應適時回報,必要時停用該帳戶。
離職員工報復並不可怕,可怕的是企業缺乏適當的預防、偵測及補償性控制來避免或降低蓄意舞弊的風險,相信只要確保相關控制的確實執行,同時避免「過度信任」以及「疏忽」,資安風險對企業甚至民眾所帶來的損失將可降至最低。
|
|
|
|
|
|
|
駐站專家 徐子文:業主應要求委外廠商有相同的資安專責單位 |
這是一個在企業安全管理範疇中最典型的噩夢:外盜可躲,家賊難防。在ISMS中,特別是針對「委外廠商管理」和「人事安全」有專章,並指出要設立的控制點,其目的就是為了對應這種威脅。事實上,依據筆者經驗,這兩項其實正是企業安全管理的罩門。
現代企業中,向台哥大和西門子之間的關係,核心系統委外甚是常見,特別是大型企業,整個IT部門委外也不是什麼新鮮事。但是,技術可以委外,其一般作業管理可以委外,但安全管理可否同時委外,則是另外一個問題。
在安全管理程序上,業界先進或是學校學生都可以輕易的指出有哪些步驟或方法可以避免這種事情發生,例如避免共用帳號,定期進行高權限帳號的稽核(privilege review),擁有高權限帳號人員離職時要進行密碼變更和盤存稽核等等,筆者就不在此重複說明。
筆者想提出思考的問題是,請問企業是否有專責的企業安全官和專責安全部門在負責企業的安全管理?是否有要求委外廠商也必須要有對口單位,一起進行安全管理工作?以本案而言,委外前,業主有無對NSN公司進行過安全查核,通過後才進行合作?NSN在台有無安全部門?有無專責安全官?他們的安全管理是如何做?如何證明給業主他們的安全管理是符合公認的體系標準和作法品質?業主有無對委外廠商進行年度安全稽核,確認委外廠商有依照自己的安全作業規範(如果有的話)進行內部管理?
要做好企業管理,第一要務就是要有政策和組織。企業中若是無專門且位階職權相等的組織和專人負責,很難想像可以做的好。建議大企業在建置自己的資訊安全管理體系(ISMS)時,也要要求主要委外廠商達到同樣的安全標準。畢竟,安全就像一條鎖鏈一樣:它的整體最大強度只會等於其中最弱環節的強度 (A chain is only as strong as its weakest link !!)。
|
|
|
|
|
|
 |
| ................................................................................................. |
|
|
回應者 |
Sangreal 山哥 |
回應時間 |
2010/03/23 13:47 |
回應內容 |
資安的建立是從初期的基礎建設,制度規範到資安意識,從ROI來看前者較低,後者較高,可建制的順序可不能由後者開始,一般來說公司會花很多費用去擴充基礎建設和建立規範,對於員工的意識則容易被忽略,最好是能整體的規劃,當然依各行業別的不同有所差異,如不能,也一定要保留每一階段的KM,以避免做過多的重復投資和錯誤歷程(Try and error ).
從委外廠商的案例來看,資安基礎建設幫助了後續的資料跟蹤,但預防措施就要從制度及資安意識來做到, 不過最難的還是對高層主管的宣導,是要花很多心力去完成,只有由高層支持,相信推廣資訊安全是很快的.
到這裡就好了嗎?不,這只是開始,完美的資安是要做到真正的預防,其中的手法就是要結合技術,規範及產業熟悉來完成,視不同的產業和推行的力度而定.
|
|
|
|
回應者 |
Kevin bolton |
回應時間 |
2010/01/06 18:29 |
回應內容 |
帳號控管是基本的知識,相信許多MIS的從業人員都知道這控制項的道理。我也相信這事件絕對不是少數的案例。
依照經驗,常常遇到的問題主要有~
1. MIS主管重視執行效率,導致忽略流程的製訂並落實且複核。
2. 過多的系統,導致無法掌握離職員工有哪些主機的權限。
3. 選擇相信自己的頭腦,所以不願意製定程序及留下紀錄。
4. 主機管理者為了方便作業,私自建立帳號。〈常見於部門合作的需求〉
5. 擔心帳號移除時,會影響原本的功能。〈管理者把自己的帳號,用在自動化腳本上〉
6. 誤認該主機無法對外連線,所以降低應有的安全等級。
7. 雖然不可能,但是相信我,有時主管會選擇降低維護成本,然後相信事情不會這麼快發生。
所以,如何建立帳號的建立及異動流程,以及如何將員工與各主機的權限作一個連結並列冊,在加上稽核事件的通知,我相信可以降低不少風險。至於查核,我不太清楚現在國內有多少電腦稽核。
但是最重要的是,管理者要相信並落實流程,多重視流程帶來的效益,而不是成本。
還希望各位能多分享看法,讓我們這些晚輩能多加學習。 |
|
|
|
回應者 |
萬幼筠 |
回應時間 |
2009/12/29 00:06 |
回應內容 |
各位的高見, 我認為方向上很是, 惟這些苦口婆心, 如果能位企業主編排執行順序,
加上如何評估成本與建置何種深度, 當能讓吾輩協助客戶時,能夠更有說服力. |
|
|
|
回應者 |
小綠 |
回應時間 |
2009/11/18 11:08 |
回應內容 |
同意
尤其資安管理稽核由內部獨立組織來進行,平時是OK,但一旦發生資安事件,恐怕外界還是希望有公正的第三人來調查才為人信服。然而現在很多出事的單位都說自己內部調查過了,沒有異狀,就想呼嚨過去。其實出事誰沒有過,何必閃躲問題,自己到底有沒有找到問題的根源並解決,才是他們客戶或外界希望看到的吧。 |
|
|
|
回應者 |
陳劭宗 |
回應時間 |
2009/11/17 18:57 |
回應內容 |
就本根源,從業界、教育界或是政府部門,仍是許多負責系統管理人員負責資安管理之權,所以不論系統維護委外與否,資安管理稽核委外與否,就是資安管理稽核應為內部獨立之組織或為外部公正之第三者。如此一來,系統權限之分工與配賦、系統監控管理及委外程序管理是否均符合資訊安全管理系統,應是一目瞭然,而不是亡羊補牢,總顯太遲。 |
|
|
|
|
|
|
|
|
|
|
 |
|
 |
|
|
吳家名 |
光電產業 內部稽核主管
9年高科技製造業資安管理經驗 |
|
|
 |
|
|
|
|
|
|
徐子文 |
金融業 法規暨企業安全長
11年 國際認證CPP安全管理師 |
|
|
|
|
|
|
 |
|
| |
|