關於我自己

2021年3月25日 星期四

[系列文章] 資安事件回應與管理 (一):組織困境與目標



全球疫情風險高居不下,在資訊世界裡的各種資安風險也從未缺席過。近期接手一件專案需求,該團隊 (以下簡稱為 C-Team) 過去協助許多非資訊相關的組織單位做資安問題處理,例如各式常見的利用漏洞入侵、弱密碼登入,或是更嚴重的加密勒所等等層出不窮的資安問題,讓支援的資安專家疲於奔命。

既然資安問題越來越多,不能不開始考慮採用一個可以收納問題回報以及追蹤的系統,方才可讓回報者、分派者、處理者能夠依循,且讓所有資料在系統中有序的保存與記錄,日後調閱或者仍在處理的事件要關心與追蹤,提升效率,讓專業的人專注在做更多專業的事,而非在行政作業與連繫事務中耗掉寶貴的時間。





故事緣由

過去 C-Team 一直以資訊專業協助許多組織單位進行資訊安全的教育訓練與觀念推廣,但是在網路充滿危險的世代,沒有人可以置身事外。

Pellaeon Lin 發現,參與的 NGO組織 較常面臨的問題有釣魚郵件、政府竊聽、翻牆技術和間諜追蹤等,其實與企業面臨威脅相似,但這些組織缺乏許多保護資源, NGO組織 目前需要的是最基本的資安措施。 


APT29 與 Cozy Bear 的俄羅斯駭客組織以假造的 Gmail 帳號及入侵哈佛大學文理學院的郵件帳號發送 5 波網釣郵件,受害者指向與美國國家安全或國防、國際事務、公共政策及歐亞研究有關的 非政府組織 、知庫及個人。


進一步的分析指出了這一系列的攻擊範圍。最初的受害者名單不僅包括政府機構,還包括資安和其他科技公司以及 非政府組織


在過去的日子中,C-Team 仍然陸續接收到有不少組織單位發生資安問題,需要有資安專家協助進場查明問題原因以及協助解決。在協助的對象不多時還可以勝任,但隨著越來越多單位發生事件,C-Team 已經感受到力有未逮,需要系統來協助將這些事務與流程做有效的管理,才能避免堆積如山的任務導致問題來不及處理,甚至更嚴重的人員疲於奔命。

當 C-Team 找我聊這件事的時候,我回想到我過去在軟體研發公司時所建置與導入專案管理系統的經驗,經由這類系統的管理可以將流程與問題追蹤有效建檔,所以啟動了這次評估專案。









評估方向

為了能夠協助 C-Team 改善現有的大量工作與不足人力,我們必須導入適合的系統解決問題。在此之前,需要先將需求清單收斂之後整理下來,方才能夠以此做為系統軟體評估的方向。

權限:
  1. 提供帳號與權限管理機制
  2. 可以設定權限,讓所屬人員只能進入其專案
  3. 可以依據單位或客戶建立專案,以收納所屬的回報問題項目

議題:
  1. 可以建立問題項目,用以記載需要處理的問題或任務
  2. 項目內容可以撰寫有連結、編號、清單
  3. 專案管理權限者可以將項目指派給應處理的人員   
  4. 提供訪客身份登入建立項目
  5. 每個項目可以回覆其處理狀態與結果,或是留言表達建議
  6. 通知訊息可以用電子郵件通知
  7. 可以在畫面讓容易的識別未處理的項目,以及即將到期的項目

安全:
  1. 發送通知電子郵件需要支援 GPG 加密
  2. 帳密驗證希望支援 G-Suite OAuth Login

其它:
  1. 開放原始碼
  2. 俱備繁體中文介面






軟體測試

本次項目將會拆為五篇文章,分別就以下主題編寫:
  1. 資安事件回應與管理 (一):組織困境與目標
    http://blog.jason.tools/2021/03/c-team-1.html
     
  2. 資安事件回應與管理 (二):開源資安事件回應平台 TheHive
    http://blog.jason.tools/2021/03/c-team-2.html

  3. 資安事件回應與管理 (三):開源技術支援管理平台 CDR Link / Zammad
    http://blog.jason.tools/2021/03/c-team-3.html
     
  4. 資安事件回應與管理 (四):開源專案管理系統 Redmine
    http://blog.jason.tools/2021/03/c-team-4.html
     
  5. 資安事件回應與管理 (五):評選總結與建議
    http://blog.jason.tools/2021/03/c-team-5.html