LocalLawEnforcement当地法律涉入.ppt

Outline Incident Recovery Automated Response Disaster Recovery Planning Business Continuity Planning Model for a Consolidated Contingency Plan Law Enforcement Involvement Incident Recovery事件恢復 適用階段： 當事件已在系統中受到控制，下一階段的IRP—“事件恢復”則必須立刻執行 主要任務： 確認事件恢復所需的人力資源，並指派他們進行作業，同時告知員工所有損害的範圍都必須加以評估。 從電腦必須執行的過程中決定事件如何(How)發生與發生何事件(What)。事件必須在資料記錄之前或事件發生期間加以修復 修復弱點，找出防護上的缺點，並修復系統的資料與服務 一、Prioritization of Efforts效果的優先順序 隨著事件浮現，混亂與猜疑也隨之而來，由於各式各樣的攻擊都有可能影響所有人，因此，重點在於：系統的恢復。涉入的每個人都應該依據IRP的適當部份以恢復營運。 二、Damage Assessment損害評估 定義：事件損害評估（incident damage assessment）是立即衡量「機密」、「資訊的可獲取性」等等的破壞情況。 花費時間：依損失的範圍可能為數天或數週。 損壞程度：可能很小，如：受好奇的駭客窺探。也可能大至信用卡號偷竊、或成千上百的系統受到病毒與蠕蟲的感染。 瞭解損害型態、範圍與內容的資訊來源： 1、系統日誌 2、入侵偵測日誌 3、結構日誌與文件 4、事件反應的文件 5、詳細評估系統與資料倉儲的結果 二、Damage Assessment損害評估（續） 與事件損害評估相關的是電腦鑑識（computer forensic）的領域。 電腦鑑識（Computer forensics）為收集、分析、保護電腦相關證據的過程。證據（Evidence）則提供其作用與意圖。電腦證據必須仔細收集、書面化並維持可接受的正式或非正式的處理程序。 組織在處理內部違反政策或行為準則時，採用非正式的處理程序。而當犯罪者受到司法審判時，則必須採用正式的證據或法定處理程序。 三、Recovery恢復 適用階段：一旦損害的範圍已決定，恢復的過程必須謹慎地開始。 步驟：恢復的過程比簡單的從失竊、損壞或受損檔案中重建（restoration）還來的複雜。主要有以下七個步驟： 1、確認使事件發生與散播的弱點所在，並解決之。 2、對付無法阻止事件發生的防禦機制，或者原本系統所漏失的機制，安裝、取代或升級之。 3、評估監控的能力（如果有的話）。 4、藉由備份恢復資料。（RAID) 5、修復使用中的服務與程序。 6、持續監控系統。 7、恢復組織對商業利益的信心。 三、Recovery恢復 (續） 注意事項：在我們回覆到例行責任之前，IR小組必須實施事後複核（after-action review,AAR）。 AAR之定義：所謂事後複核是指詳細檢驗最早至最後恢復的事件。所有的關鍵人員都會複核其紀錄，驗證IR文件的正確性。 AAR的功用： 1、可書面化並視為訓練未來員工的實例。 2、可能藉此終止IR小組的行動。 四、Backup Media備份的工具 最普遍的備份工具包含了digital audio tapes(DAT)、quarter-inch catridge drives(QIC)、8mm tape與digital linear tape(DLT)。每種型態的磁帶都有優缺點。備份也可利用CD-ROM與DVD與特別的磁碟機或磁碟陣列等。 Automated Response自動反應 陷阱與追蹤(trap and trace) 使用與資源相連的方法偵測入侵，然後將事件追蹤至其來源。 優點： 安全不再侷限於防禦，安全的管理者也可站在積極的角度追蹤犯罪者，並在適當的授權之下將他們擊倒。 缺點： 較不謹慎的管理者可能試圖back hack（反侵入）或侵入駭客的系統，以找出駭客所有可能侵入的方法。而狡猾的駭客可能會使用IP 愚弄(spoofing)、侵害系統，或採用其他技術去除追蹤系統。最後使管理者本身成為駭客，抓駭客的任務失敗。 Automated Response自動反應 Honeypots：指的是電腦伺服器安裝類似的生產系統，當中包含了許多駭客想竊取的資訊。當駭客入侵系統時，警報系統會響起，管理人員會因此注意。 Honeynets：作用的方法近似，但他們包含了網路系統，而成為內容更豐富、更明顯的目標。 引誘(Enticem