藉由数码监识 强化泄密事件应变处理

  • 魏淑芳

DIGITIMES企划

伴随勒索病毒肆虐、云端储存资料外泄、行动App安全等议题延烧,加上物联网攻击威胁加温,使企业面临巨大风险,为了守护机敏资料,便投入可观资源建立防御架构;但再高的城墙迟早被攻破,不少企业逐渐意识这般现实,开始导正事件回应的做法与态度,以期减少冲击、重建客户信心,连带让「数码监识」重要性水涨船高。

 点击图片放大观看

台湾数码监识发展协会副秘书长许大千强调,信息媒体保全与否,攸关数码搜证与监识的成效至钜,故对于高阶主管或管制职务等离职人员缴回的计算机硬盘,务必做好备份保存动作。

影响所及,近几年不少资安产品,纷纷宣称具有数码监识能量,但多数产品仅具保存日志(Log)功能,这些Log能否协助企业向泄密者究责?证明自身已尽良善管理义务?着实有待商榷。

现任台湾数码监识发展协会副秘书长,同时兼任中华数码科技、鉴真数码等顾问职务的许大千,强调「数码监识」系以周延的方法、技术及程序,保存、识别、抽取、记载与解读计算机网络媒体数码证据,并分析其成因之科学,须完整满足合法搜证、完整纪录、严谨流程、防止窜改、证物保全等要件,才能在法庭展现说服力、公信力与证据力。

由此看来,企业即便导入含有数码监识功能的产品,也未必能在营业秘密诉讼取胜,要做的事还很多。首要之务,企业宜先全面盘点营业秘密与风险评估,把可能动摇经营根基的所有纸本或数码资料,依序标示不同机密等级,施以不同级别管制,且量化各机密的商业价值。

其次企业须厘清所有潜在威胁来源,包括外部专业黑客、竞争对手、客户、供应商或合作伙伴,甚至政府单位,及内部高阶主管、管制职务、技术人员与离职员工,并因应不同来源建立对应管控机制。

可惜的是,许大千发现多数企业不论在关键机敏资料保全、或数码监识架构的建立,皆有莫大改善空间。首先在实体管理面,企业最常犯的错误是「人员认知普遍不足」,甚至未曾举办资安教育训练,其余常见缺失还包括「管理制度未臻健全」、「管制职务管理欠周详」及「实体监控设施不足」。

其中管理制度健全与否,除了端看企业是否针对高阶主管、离职员工或其它管制职务,乃至第三方厂商等不同角色,制定合理管制措施,另对于外宾参访内部厂房的路线安排、简报内容去识别化,也要有缜密规划。

其次在信息技术面,同样有亟待精进之处,一方面务须保存相关稽核记录,尤其莫要为了节省硬盘空间,便任意覆盖Log或压低CCTV画素,中小企业不妨可善用第三方SOC或储存空间等服务,弥补经费不足的缺口;二方面善尽信息媒体保全,特别针对离职员工缴回的计算机或硬盘,做好备份保存;三方面应定期实施员工训练。

有赖长官支持  循序建立监识能量

至于数码监识能量的建立,许大千建议企业先做好强化法规遵循、取得长官认同支持、投入适度资金、加强人员应变能力、采购合用的资安辅助设备、确保管理与技术集成等基本功,接著朝向事前预防、事发调查、事后回复三管齐下。

所谓事前预防,首重建立事件处理程序(SOP),并设置异常行为稽核与监控、信息媒体管制与封存等机制,同时不忘建立对外沟通平台,与外部数码监识服务商、营业秘密管理顾问及检调单位持续交流。事发调查部份,需由企业偕同专业机构,齐力做好损害评估与控制、事件通报与记录、证据搜集暨保全、证据监识及调查、监识分析报告撰写等工作,透过时间轴分析来还原犯罪现场。

在事后回复方面,一来需借助第三方专业机构引导,建立完备的法庭专家证人,二来有赖运用企业平日建立的备份备援资源,尽速进行业务回复与改善。

更多关键字报导: 资安 数码监识(digital forensics)