為了協助企業客戶處理新型態攻擊入侵事件,HPE(惠普企業)旗下的ESS(Enterprise Security Services)資安顧問服務項目中,2015年亦開始透過DIS(Digital Investigation Services)團隊提供IR服務。
首先是基於全球佈建的SOC監看客戶端狀態,一旦發現資安事件,即可交由資安顧問到場協助進行後續處理。而IR服務主要是運用合作夥伴Mandiant提供工具與方法,執行Compromise Assessment。
 |
| ▲HPE亞太區資訊安全服務事業部SIEM營運總監黃永昌認為,儘管企業面臨的資安事件,即使擁有技術背景都難以判斷是否為滲透攻擊,儘管如此,員工教育訓練仍必須跟進,畢竟現今的資安事件有九成以上都是直接從內部發生。 |
HPE亞太區資訊安全服務事業部SIEM營運總監黃永昌說明,其實過去HPE ESS就有提供事件回應與調查服務,至今大約有15年時間,只是以往較著重於歐美地區。近來開始跟Mandiant合作,把DIS推動到亞太區,並參考歐洲已累積十?多年的技術與標準作業流程,再依據不同國家的法規政策進行調整,同時也在新加坡與澳洲招募具鑑識背景的專業人才。不僅是協助企業調查內網中是否存在惡意程式,最後產出技術報告,也會進一步追查駭客背後的動機,一旦牽涉到法律問題,亦可直接做證據保存,以因應訴訟案件。
「在亞太區具鑑識背景的人才並不多見,但如今我們的IR團隊,已經有四位曾經在不同國家的警察單位擔任鑑識工作,累積許多實戰經驗。在警察單位,通常不乏最先進的工具與技術,更重要的是,經過警隊訓練後才得以擁有保留證物的知識。事實上,若非具備律師或警察背景的鑑識人員,根本無法具備確保證物效力的能力。」黃永昌強調。
他進一步提及,雖然DIS部門是2015年才開始在亞太區提供IR服務,但在澳洲、越南、印度、泰國,已開始有客戶應用此服務。多數企業的共同點可說是人的問題,也就是使用者資安意識不足所導致,例如開啟可疑的郵件附加檔,導致被駭客滲透成功。
此外,黃永昌以近來承接的銀行客戶為例,儘管該銀行內部的資安控管相當嚴謹,但共同的FTP伺服器,卻欠缺適當的控管措施,只要擁有登入FTP權限者,即可看到所有的檔案,且上傳或下載的資料內容皆未被規範。而員工為了工作方便,機敏資料也上傳至FTP,才被支付卡產業標準相關稽核調查發現,請HPE協助處理改善。
「其實客戶需要的往往不只是資安事件調查後提供報告,而是建議作法,甚至直接執行復原。」黃永昌說。但IR服務真正的目的,在於透過定期檢測、改善資安措施、資安教育訓練等方面,以避免類似事件再次發生,這也才是IR服務真正的價值。