资安人报告-资安事故调查

1、企業資安事故調查出處：資安人 82期報告人：客服部 葉啟祥中華民國102年9月9日觀察目前詐騙案例發現，從會員交易完成到收到詐騙集團的電話，已從過去的6個月縮短到1個月內的交易資料，顯示犯罪模式越趨成熟，駭客可快速的兜售竊取出來的交易資。時間縮短的好處，便是可以快速利用近期的交易資訊，大大提高電話詐騙的成功率。以往消費者收到詐騙集團謊稱的金流交易失敗，很容因為收到貨品且信用卡已出帳完成繳費，而識別出詐騙行為，但縮短時間後，交易到資料被利用詐騙僅需不到1個月，很容易讓會員因為信用卡尚未出帳請款，而誤信詐騙以為交易失敗必須重新使用銀行轉帳匯款。駭客與詐騙集團的結合詐騙過程 駭客入侵網站手法常見的固

2、定步驟，如下常見的固定步驟，如下: : 1.掃描目標網站可用來上傳之漏洞或弱點。2.上傳網頁木馬(Web Shell)取得網站伺服器的控制權。如: JFoler3.植入反向連結後門， 繞過防火牆的正向阻擋。4.透過伺服器上的資料庫連線設定檔的連線資訊，連接資料庫竊取交易資料。錯誤事故處理方法許多人遭到入侵時，並未確實調查出駭客入侵的途徑以及其所利用的弱點漏洞，或根本不知如何處理，逕自利用備份還原，就以為系統安全。因此駭客可以再次的利用漏洞入侵，再次的植入後門。因此僅是表面處理入侵事故，常常也是導致交易資料持續外洩，無法根除防範，甚至到最後，連資料怎麼外洩出去的都亳無頭緒。正確處理方法(1)1.

3、 從外洩的資料來推測或繪製所有可能的外洩節點。例如：內部處理人員或是對外開放的網購網站等。2. 根據機率與難易度排序最先調查的可能外洩節點。3. 調查前先針對收集的日誌建立檔案MD5，以確保調查日誌副本與正本間內容一致性，並記錄所有調查過程以利日後的法證保留。4. 最好能夠中斷服務或甚至斷網，切斷駭客可能的持續連線。5. 調查出外洩節點後，找出外洩的漏洞，並列出被駭客修改過的資料、可能外洩帳號密碼，評估駭客是否有進行横向滲透入侵，列出欲檢查、調查以及復原的主機清單。正確處理方法(2)6. 根據前一步驟所列之主機清單進行大範圍的掃描，清查所有植入的後門或各種惡意程式，可利用防毒軟體掃描電腦或利用

4、收集到駭客所上傳的工具特徵撰寫檢查腳本程式進行掃描，也可選擇直接重灌電腦作業系統並備份還原應用系統以及恢復資料。7. 更改可能外洩的帳號以及密碼，並修復調查到駭客所利用的漏洞。最後對整體資安進行強化，例如透過弱點掃描與滲透測試找出更多潛藏的弱點漏洞。8. 確認問題已修護完成後再恢復服務，並持續監控觀察是否有再度發生資訊外洩。9. 最後就是準備以及因應可能的各項法律問題，並擬定因應措施。上線前及定期資安檢測常見的資安檢測如下:1.白箱程式源碼檢測:透過對原始碼的檢測審查，直接發掘程式錯誤之處予以修改。2.黑箱系統弱點掃描、網頁弱點掃描:主要是檢查營運環境的系統設定、漏洞修補或網頁程式執行階段的漏洞問題。3.黑箱滲透測試:模擬駭客思維，對受測網站進行各種情境的入侵模擬測試，並根據測試結果進行修護。4.日常的監控，對於網頁程式的任何異動都要能產生警報。5.導入WAF，設定檢測網頁木馬的防護規則來進行阻擋或監控。入侵對應模式END人有了知识，就会具备各种分析能力，明辨是非的能力。所以我们要勤恳读书，广泛阅读，古人说“书中自有黄金屋。”通过阅读科技书籍，我们能丰富知识，培养逻辑思维能力；通过阅读文学作品，我们能提