跳到主要內容區塊 :::
臉書分享 line分享 推特分享 微博分享 複製網址

NPO個資外洩應變指南 - 資訊人員盤查要點

        先前電子報當中和大家分享到NPO個資外洩時對於捐款人的通知、機構同仁的資安意識提升以及系統防護上的應變措施,今天就讓我們深入探討當資安事件發生時,該做哪些盤查來了解駭客入侵原因,才能防止駭客再度入侵可能,以下我們就會分為技術小組以及系統小組來分工合作,幫助機構用最快的時間做反應降低傷害!


技術小組


        針對技術小組的主要職責就是先停止損害防止系統持續暴露在危險的環境當中,同時盤點所有存在風險預判可能發生狀況,做法上可以先將Server環境複製㇐份出來作為證據保存並可協助進行漏洞搜查,複製出來的Server環境切記要做斷網動作避免駭客連網入侵做資料竄改影響漏洞搜查執行,也切記立即使用防毒軟體掃描Server及同仁的電腦檢查是否存有木馬程式等惡意軟體!機構條件許可的情況下,盡可能將整個Server環境做重建且更換IP位置,讓駭客無法透過原先路徑找到機構的資料,如短時間無法進行Server重建可以利用防火牆、限定IP位置連線以及2FA多重身分驗證機制來限縮使用者連線,待到事件風險降低後再逐步開放使用者權限!

 


系統處理小組


        系統處理小組主要負責工作就是立即追查系統漏洞提出防堵策略,像是系統中會有系統log查詢紀錄每一組帳號在登入、新增、修改、查詢以及匯出哪些資訊以及時間節點,這些都可以幫這後續盤查系統異常登入的追查,同時也要提醒機構盡量提供每一位系統使用者個別的登入資訊不要共用同一組帳號,避免出現資安狀況時無法辨識登入者身份造成盤查困難!

        系統管理員在發生資安事件的當下,應立即清查系統中所有帳號資訊,將沒在使用的帳號做停用動作,同時為避免駭客持有系統登入資訊再度入侵系統,應立即強制更換所有帳號的密碼!完成帳號清查下一步動作我們就要來盤查系統過往異常登入的可能,以下在做Log查詢有幾個面向需要特別留意,如:登入時間及異常IP、大量匯出資料、異常查詢紀錄以及錯誤登入次數!這些都可以協助我們在發生資安事件時去了解駭客可能攻擊的途徑!這些措施其實也可以將它排入定期排查作業,當今天有異常連線狀況時,我們就可以對駭客攻擊有所預警,提升資訊安全的戒備和防範!

        最後也要提醒大家可以透過綁定IP或是增加2FA身分驗證功能來避免駭客由登入入侵,如果您在這方面有相關需求,都可以再進一步找網軟來做洽談唷!

回到上方