资安人报告-资安事故调查讲述.ppt

企業資安事故調查出處：資安人 82期 報告人：客服部 葉啟祥 中華民國102年9月9日 觀察目前詐騙案例發現，從會員交易完成到收到詐騙集團的電話，已從過去的6個月縮短到1個月內的交易資料，顯示犯罪模式越趨成熟，駭客可快速的兜售竊取出來的交易資。 時間縮短的好處，便是可以快速利用近期的交易資訊，大大提高電話詐騙的成功率。以往消費者收到詐騙集團謊稱的金流交易失敗，很容因為收到貨品且信用卡已出帳完成繳費，而識別出詐騙行為，但縮短時間後，交易到資料被利用詐騙僅需不到1個月，很容易讓會員因為信用卡尚未出帳請款，而誤信詐騙以為交易失敗必須重新使用銀行轉帳匯款。 駭客與詐騙集團的結合 詐騙過程 駭客入侵網站手法 常見的固定步驟，如下: 掃描目標網站可用來上傳之漏洞或弱點。 上傳網頁木馬(Web Shell)取得網站伺服器的控制權。如: JFoler 植入反向連結後門， 繞過防火牆的正向阻擋。 透過伺服器上的資料庫連線設定檔的連線資訊，連接資料庫竊取交易資料。 錯誤事故處理方法 許多人遭到入侵時，並未確實調查出駭客入侵的途徑以及其所利用的弱點漏洞，或根本不知如何處理，逕自利用備份還原，就以為系統安全。 因此駭客可以再次的利用漏洞入侵，再次的植入後門。因此僅是表面處理入侵事故，常常也是導致交易資料持續外洩，無法根除防範，甚至到最後，連資料怎麼外洩出去的都亳無頭緒。 正確處理方法(1) 從外洩的資料來推測或繪製所有可能的外洩節點。例如：內部處理人員或是對外開放的網購網站等。 根據機率與難易度排序最先調查的可能外洩節點。 調查前先針對收集的日誌建立檔案MD5，以確保調查日誌副本與正本間內容一致性，並記錄所有調查過程以利日後的法證保留。 最好能夠中斷服務或甚至斷網，切斷駭客可能的持續連線。 調查出外洩節點後，找出外洩的漏洞，並列出被駭客修改過的資料、可能外洩帳號密碼，評估駭客是否有進行横向滲透入侵，列出欲檢查、調查以及復原的主機清單。 正確處理方法(2) 根據前一步驟所列之主機清單進行大範圍的掃描，清查所有植入的後門或各種惡意程式，可利用防毒軟體掃描電腦或利用收集到駭客所上傳的工具特徵撰寫檢查腳本程式進行掃描，也可選擇直接重灌電腦作業系統並備份還原應用系統以及恢復資料。 更改可能外洩的帳號以及密碼，並修復調查到駭客所利用的漏洞。最後對整體資安進行強化，例如透過弱點掃描與滲透測試找出更多潛藏的弱點漏洞。 確認問題已修護完成後再恢復服務，並持續監控觀察是否有再度發生資訊外洩。 最後就是準備以及因應可能的各項法律問題，並擬定因應措施。 上線前及定期資安檢測 常見的資安檢測如下: 白箱程式源碼檢測:透過對原始碼的檢測審查，直接發掘程式錯誤之處予以修改。 黑箱系統弱點掃描、網頁弱點掃描:主要是檢查營運環境的系統設定、漏洞修補或網頁程式執行階段的漏洞問題。 黑箱滲透測試:模擬駭客思維，對受測網站進行各種情境的入侵模擬測試，並根據測試結果進行修護。 日常的監控，對於網頁程式的任何異動都要能產生警報。 導入WAF，設定檢測網頁木馬的防護規則來進行阻擋或監控。 入侵對應 模式 END