2013年11月29日 星期五

資料外洩事故後安全資料分析的5項重要考量

資料外洩事故後安全資料分析的5項重要考量

發生資料外洩事故後,安全分析資料的檢查工作不但講究時效,也需要不同的蒐集和處置方法。

專家建議的 5 項考量事項包括:

1) 蒐集相關資料
時間迫在眉睫,要迅速調查出事原因以防止傷害擴大並一一補救。公開充分的資訊可減少外洩事故的影響範圍。蒐集所有系統日誌、資料庫日誌和網路日誌,並保持隨時可用的狀態以利分析

2) 讓資料蒐集成為可能
事先設置資料蒐集的機制,才能在發生事故時第一時間掌握狀況。進行災難預演以及各種情境測試,做好未雨綢繆的工作。

3) 延長資料保存期限,以備不時之需
資料保存夠久,在必要時能回溯至最初被入侵的時候。專家建議至少保留一年。發生事故後,相關資料之保存應再酌予延長。調查結束後資料應封存,既是方便法律訴訟所需,萬一發現入侵危險未徹底解除時也能派上用場。

4) 建立證物監管鏈 (chain of custody)
鑑識資料是物證,必須妥善保管,尤其是進入法律程序後。資料之獲取、由誰取得、何時取得等都要做書面記錄,而且要保持資料之完整性 ,保證未被竄改

5 ) 深入調查但抓緊目標
資料很多,牽涉很廣,由於時間緊迫必須抓緊搜查目標。由發現問題的證據著手,在必要時擴大範圍。入侵的徵兆可作為調查之蛛絲馬跡。

原文出處:5 Considerations for post breach security analytics
轉載自《Chalet Taiwan Support Forum》