藉由數位鑑識 強化洩密事件應變處理
伴隨勒索病毒肆虐、雲端儲存資料外洩、行動App安全等議題延燒,加上物聯網攻擊威脅加溫,使企業面臨巨大風險,為了守護機敏資料,便投入可觀資源建立防禦架構;但再高的城牆遲早被攻破,不少企業逐漸意識這般現實,開始導正事件回應的做法與態度,以期減少衝擊、重建客戶信心,連帶讓「數位鑑識」重要性水漲船高。
影響所及,近幾年不少資安產品,紛紛宣稱具有數位鑑識能量,但多數產品僅具保存日誌(Log)功能,這些Log能否協助企業向洩密者究責?證明自身已盡良善管理義務?著實有待商榷。
現任台灣數位鑑識發展協會副秘書長,同時兼任中華數位科技、鑒真數位等顧問職務的許大千,強調「數位鑑識」係以周延的方法、技術及程序,保存、識別、抽取、記載與解讀電腦網路媒體數位證據,並分析其成因之科學,須完整滿足合法蒐證、完整紀錄、嚴謹流程、防止竄改、證物保全等要件,才能在法庭展現說服力、公信力與證據力。
由此看來,企業即便導入含有數位鑑識功能的產品,也未必能在營業秘密訴訟取勝,要做的事還很多。首要之務,企業宜先全面盤點營業秘密與風險評估,把可能動搖經營根基的所有紙本或數位資料,依序標示不同機密等級,施以不同級別管制,且量化各機密的商業價值。
其次企業須釐清所有潛在威脅來源,包括外部專業駭客、競爭對手、客戶、供應商或合作夥伴,甚至政府單位,及內部高階主管、管制職務、技術人員與離職員工,並因應不同來源建立對應管控機制。
可惜的是,許大千發現多數企業不論在關鍵機敏資料保全、或數位鑑識架構的建立,皆有莫大改善空間。首先在實體管理面,企業最常犯的錯誤是「人員認知普遍不足」,甚至未曾舉辦資安教育訓練,其餘常見缺失還包括「管理制度未臻健全」、「管制職務管理欠周詳」及「實體監控設施不足」。
其中管理制度健全與否,除了端看企業是否針對高階主管、離職員工或其他管制職務,乃至第三方廠商等不同角色,制定合理管制措施,另對於外賓參訪內部廠房的路線安排、簡報內容去識別化,也要有縝密規劃。
其次在資訊技術面,同樣有亟待精進之處,一方面務須保存相關稽核記錄,尤其莫要為了節省硬碟空間,便任意覆蓋Log或壓低CCTV畫素,中小企業不妨可善用第三方SOC或儲存空間等服務,彌補經費不足的缺口;二方面善盡資訊媒體保全,特別針對離職員工繳回的電腦或硬碟,做好備份保存;三方面應定期實施員工訓練。
有賴長官支持 循序建立鑑識能量
至於數位鑑識能量的建立,許大千建議企業先做好強化法規遵循、取得長官認同支持、投入適度資金、加強人員應變能力、採購合用的資安輔助設備、確保管理與技術整合等基本功,接著朝向事前預防、事發調查、事後回復三管齊下。
所謂事前預防,首重建立事件處理程序(SOP),並設置異常行為稽核與監控、資訊媒體管制與封存等機制,同時不忘建立對外溝通平台,與外部數位鑑識服務商、營業秘密管理顧問及檢調單位持續交流。事發調查部份,需由企業偕同專業機構,齊力做好損害評估與控制、事件通報與記錄、證據蒐集暨保全、證據鑑識及調查、鑑識分析報告撰寫等工作,透過時間軸分析來還原犯罪現場。
在事後回復方面,一來需借助第三方專業機構引導,建立完備的法庭專家證人,二來有賴運用企業平日建立的備份備援資源,儘速進行業務回復與改善。