2025年10月期間,AWS在美國維吉尼亞北部(us-east-1) 區域發生了重大的服務中斷事件。論學習資訊安全,資安事件可謂是好老師,但卻是成本十分高昂的一堂課,任何組織發生資安事故後,復原都是漫漫長路。此事件屬於雲端服務對外部的影響更是劇烈,影響範圍遍及了全球大部分地區的服務,根據AWS當時的事件調查,起施只是一個DNS組態的設定切換錯誤,進而衝擊到近150個雲端服務,包括最直接的DynamoDB服務。論起當時台灣也有不少企業使用AWS的服務,實際上也導致服務在數小時內無法正常使用。不過,即使發生了這樣嚴重的事件,不免讓我們可以藉以探討有關ISO 27001的資訊安全事件管理內容。
安全事件管理可以分做幾個階段來討論,包括事前、事中及事後。
事件發生前包括了定義事件的類型、嚴重性或影響程度、事件管理的角色與職責、事件發生的通報與回應方式,以及事件處置或災害復原的相關資源,例如:操作手冊、備份資料、系統工具等。以AWS為例,可以在其網站上找到「AWS安全事件回應指南」,其中定義了事件的類型涵蓋了三個網域:服務、基礎設施和應用程式;嚴重性或影響程度是從日誌和監控功能、帳單活動、威脅情報……等幾個項目分別敘述;事件管理的角色AWS則是建議從組織本身做思考,定義發生事件時應該有許多人是負責者、當責者、事先諮詢者或事後被告知者,並且在這些角色中還可能包括人力資源 (HR)、管理團隊和法律部門的代表,甚至有可能涉及其他第三方,也就是外部的客戶、供應商或專家團隊;而事故發生的當下,也應該有相對的資源協助進行事件處置包括了備用帳戶、備用資料甚至是啟動備用的機器,不論是使用哪一類資源,無非是要快速進行環境的復原以便使服務能夠恢復正常,甚至有些情況是因為惡意軟體感染了原本的系統,導致原本系統無法使用,這可能還會牽扯到故障的隔離。
注:「AWS 安全事件回應指南(https://docs.aws.amazon.com/zh_tw/whitepapers/latest/aws-security-incident-response-guide/runbooks.html)」
事件發生中就如同事前的規劃,我們可能會遇到不同的情況,可能是系統面,也可能是資料面的障礙,但通常這些事件都可以依照事先建立的「安全事件回應指南」,鑑定事故發生的起因,確認影響的範圍,確認我們所需要聯繫的對象,找到我們的可用資源,進而處理這些狀況。同時一邊記載著事件的處理過程,必要時向相關關注方說明當時的情況。
事件結束後有必要確認相關證據是否保存,例如當時錯誤的設定、被加密的檔案、系統的事件日誌等,這些用來確認我們的事件處置步驟是否正確,甚至未來有沒有可能再次發生,做為一個完整的事件紀錄,並可能成為組織的學習題材。
組織發生資安事故代價是高昂的,相對來說,事件的預防更勝於事後的處置。如果您的組織能藉由別人的資安事件做為學習的對象,思考自身的脆弱點,建立完善的資安事件管理機制,組織將在一定程度上防範事件於未然。
#資安 #資訊安全 #網路安全 #資安防護 #電腦防護 #ISO27001 #IEC #IEC27001 #CNS27001
作者:潘柏廷 Conrad Pan
現職:亞瑟國際驗證專任資安技術專家,資深資安教育者,曾任資安輔導顧問,專長領域為資安、個資、人工智慧
