非營利組織近期資安事件連連，彷彿不管我們做了什麼事情，駭客都還是有辦法竊取資料。 事實上真的是這樣嗎？這場講座我們將請Allen來分享「給非營利組織的資安自保手冊」。在人力資源有限的情況下，非營利組織該怎麼拉高資安的防禦水準？從人員、流程、技術等面向，從組織本身到委外單位，制訂好資安的策略才有機會將資安到位。希望可以透過這樣的演講，讓大家的時間及資源花在刀口上，用最有限的資源做最有效的防禦。

1. 給非營利組織的資安⾃保⼿冊
翁浩正 (Allen Own)
戴夫寇爾股份有限公司
allenown@devco.re 2021.09.28 網路星期⼆

2. 講者簡介
翁浩正 (Allen Own)
戴夫寇爾 DEVCORE 執⾏長
台灣駭客協會 HITCON 副理事長
TiEA 協會理事及資安⼩組負責⼈
allenown@devco.re

3. 你⾯對的是駭客
知⼰才能知彼
紅隊演練
滲透測試
教育訓練
顧問服務

5. ⼤綱
• 資安攻擊趨勢
• 組織內的資安規劃
• 系統委外合作注意事項
• 發⽣資安事件該怎麼辦

6. 我今天的⾓⾊，是你們的資安顧問

7. There are two kinds of big companies in the United States.
There are those who've been hacked by the Chinese,
and those who don't know they've been hacked by the Chinese.
- James Comey (美國聯邦調查局局長)
https://www.businessinsider.com/fbi-director-china-has-hacked-every-big-us-company-2014-10

8. 組織在資安上的疑難雜症
• ⼈⼒不⾜和設備不⾜
• 不知如何做起
• 不容易發現是否有電腦受到攻擊
• ⽬前遭遇捐款⼈個資外洩，未來如果捐
款⼈資料庫回到機構⾃⼰管理，需要準
備甚麼?
• 如何說服組織同仁遵循安全規範與措施
• 害怕來⾃政府資助的攻擊
• 捐款⼈個資外洩
• 組織沒有設置資訊或資安⼈員，針對資
安的防護有什麼建議的措施。
• 資安疑慮很多種，不知道從何開始處理
• 對於各式捐款管道可對更縝密資安的了
解與防範認識作法
• 擔⼼勒索病毒、資料外洩等狀況
• 檔案被綁架病毒攻擊

9. 組織在資安上的疑難雜症
• ⼈⼒不⾜和設備不⾜
• 不知如何做起
• 不容易發現是否有電腦受到攻擊
• ⽬前遭遇捐款⼈個資外洩，未來如果捐
款⼈資料庫回到機構⾃⼰管理，需要準
備甚麼?
• 如何說服組織同仁遵循安全規範與措施
• 害怕來⾃政府資助的攻擊
• 捐款⼈個資外洩
• 組織沒有設置資訊或資安⼈員，針對資
安的防護有什麼建議的措施。
• 資安疑慮很多種，不知道從何開始處理
• 對於各式捐款管道可對更縝密資安的了
解與防範認識作法
• 擔⼼勒索病毒、資料外洩等狀況
• 檔案被綁架病毒攻擊

10. 政府及企業⾯對的不是攻擊，⽽是資訊不對稱

11. Minimum

12. WHO
WHY
WHAT
WHICH
WHERE
WHEN
HOW
HOW MUCH

13. 資安事件的 6W2H
• WHO：攻擊者是誰？
• WHY：為什麼要攻擊？
• WHAT：攻擊者要的是什麼？
• WHICH：選擇哪些路徑主機進⾏攻擊？
• WHERE：從哪裡開始攻擊？
• WHEN：什麼時候發動攻擊？
• HOW：怎麼攻擊？
• HOW MUCH：攻/防需要多少資源？
讓你的主管知道你需要投入多少資源，
及組織的資安防護應該做到什麼等級

14. Matrix for Enterprise
https://attack.mitre.org/matrices/enterprise/

15. 企業最⼤的對⼿是誰？

16. 不是駭客，更不是駭客組織
⽽是⿊⾊產業

17. ⿊⾊產業 Black Market
有需求，就有供給；有利益，就有產業。
正因有需求、有利益，才會有駭客集團進⾏組織性的攻擊。

18. ⿊⾊產業的營利模式
• 帳號密碼
• 資料庫
• 流量
• 攻擊程式
• 情資
• 個⼈資料
• 電⼦郵件信箱
• 信⽤卡號
• 交易資料
• 設計、專利⽂件
• 客⼾清單
詐騙集團
}} 廣告信
}駭客組織
} 撞庫
} 販賣、
加密勒索
} DDoS
} 競爭對手
國家級網軍

19. ⿊⾊產業地下市集

24. 盤點你的弱點！

25. 想想看以下問題
你最重要的資產是什麼？
你可以怎麼存取你的資產？
你怎麼保護他的？
https://www.flickr.com/photos/thomasleuthard/8638205968

26. 組織內的資安規劃

27. 組織內的資安規劃
• 先解決⽬前燃眉之急，後進⾏長遠規劃
• NIST - Cybersecurity Framework
• Cyber Defense Matrix

28. 技術⼈員
資安
主管
恢復原狀 防微杜漸 追求理想
1. 掌握現況
2. 緊急處理，將危害控制
在最⼩範圍
3. 查明及分析發⽣原因
4. 將問題修復並還原
5. 研究對策，避免復發
1. 定義對企業營運可能造
成衝擊的問題
2. 識別造成問題的原因
3. 思考預防問題對策
4. 思考問題發⽣時的對策
1. 盤點並分析問題的優缺點
2. 設定企業理想⽬標
3. 制定⾏動計畫來達成理想
的對策
資安事件調查結果
每週監控結果
每週設備 Top10 阻擋統計
每⽉事件單關單統計表
管理審查會議
勒贖軟體導致營運中斷
攻擊推陳出新
設備追到最新
訂定企業持續營運計畫
防微杜漸都做不完，不可能
談理想，因為資源有限
資安官
資安長

29. 技術⼈員 資安
主管
恢復原狀 防微杜漸 未雨綢繆
1. 掌握現況
2. 緊急處理，將危害控制
在最⼩範圍
3. 查明及分析發⽣原因
4. 將問題修復並還原
5. 研究對策，避免復發
1. 定義對企業營運可能造
成衝擊的問題
2. 識別造成問題的原因
3. 思考預防問題對策
4. 思考問題發⽣時的對策
1. 盤點並分析問題的優缺點
2. 設定企業理想⽬標
3. 制定⾏動計畫來達成理想
的對策
資安事件調查結果
每週監控結果
每週設備 Top10 阻擋統計
每⽉事件單關單統計表
管理審查會議
勒贖軟體導致營運中斷
攻擊推陳出新
設備追到最新
訂定企業持續營運計畫
資安資源的對企業的幫助
預算投入的有效性評估
資安資源持續安排優先順序
資安官
資安長

30. NIST - Cybersecurity Framework (CSF)

31. NIST Cybersecurity Framework (CSF)
• https://www.nist.gov/cyberframework
• 2014 年 2 ⽉正式發布
• Identify 識別
• Protect 保護
• Detect 偵測
• Respond 回應
• Recover 復原
• https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf
• https://www.nist.gov/document/2018-04-16frameworkv11core1xlsx

32. NIST
Cybersecurity
Framework
https://www.nist.gov/
cyberframework
Function Category
IDENTIFY (ID)
資產管理 Asset Management (ID.AM)
營運環境 Business Environment (ID.BE)
治理 Governance (ID.GV)
風險評估 Risk Assessment (ID.RA)
風險管理策略 Risk Management Strategy (ID.RM)
供應練風險管理 Supply Chain Risk Management (ID.SC)
PROTECT (PR)
⾝分認證管理、授權及存取控制 Identity Management, Authentication and Access Control (PR.AC)
意識及教育訓練 Awareness and Training (PR.AT)
資料安全 Data Security (PR.DS)
資訊保護流程及過程 Information Protection Processes and Procedures (PR.IP)
維護 Maintenance (PR.MA)
防護技術 Protective Technology (PR.PT)
DETECT (DE)
異常偵測及事件管理 Anomalies and Events (DE.AE)
安全持續性監控 Security Continuous Monitoring (DE.CM)
偵測流程 Detection Processes (DE.DP)
RESPOND (RS)
應變計畫 Response Planning (RS.RP)
溝通 Communications (RS.CO)
事件分析 Analysis (RS.AN)
事件緩解 Mitigation (RS.MI)
改善 Improvements (RS.IM)
RECOVER (RC)
復原計畫 Recovery Planning (RC.RP)
改善 Improvements (RC.IM)
溝通 Communications (RC.CO)

33. Microsoft - Nonprofit Guidelines for Cybersecurity and Privacy
1. Identify cybersecurity risks
2. Protect against cybersecurity threats
3. Detect cybersecurity incidents
4. Respond to cybersecurity incidents
5. Recover from a cybersecurity incident
6. Implement specific, high-value security controls
https://www.councilofnonprofits.org/sites/default/files/documents/nonprofit-guidelines-for-cybersecurity-and-privacy.pdf

34. 6. Implement specific, high-value security controls
• Create backups of all data regularly
• Update software and hardware regularly
• Implement multifactor authentication
• Use virtual private networks for remote access
• Enable endpoint protection
• Monitor devices
• Restrict usage of personal mobile devices

35. 委外廠商合作⽅式

36. 委外開發資安要求
• 資通安全法施⾏細則第 4 條第 1 項第 5 款
• > 五、受託業務包括客製化資通系統開發者，受託者應提供該資通系統之安全
性檢測證明；該資通系統屬委託機關之核⼼資通系統，或委託⾦額達新臺幣⼀
千萬元以上者，委託機關應⾃⾏或另⾏委託第三⽅進⾏安全性檢測；涉及利⽤
非受託者⾃⾏開發之系統或資源者，並應標⽰非⾃⾏開發之內容與其來源及提
供授權證明。
https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030303

37. 供應商及委外注意項⽬
• 供應商管理
• 供應鍊是現在網軍攻擊的熱點，需要密切管理供應商的資安措施
• 是否有資安維護合約，明訂漏洞修補時間、資安事件回應時間等
• 程式碼是否安全、有無通過⿊箱或⽩箱檢測（檢附報告）
• 委外開發管理
• 委外開發的系統、購入的設備不⼀定安全，可以依照不同的安全等級限制內
網存取權限，與核⼼系統切開
• 定期進⾏系統、軟體安全性更新

38. 委外廠商發⽣資安事件
• 依照資安事件處理流程規劃，希望對⽅調查清楚資安事件始末
• 資安事件怎麼發⽣的
• 被取得了什麼資料
• 攻擊者已經如何使⽤這些外洩資料
• 公司已經做了哪些處理措施
• 公司將提供給受影響使⽤者哪些額外防禦措施
• 如何聯繫公司內的聯絡窗⼝
• 提出後續資安強化的說明

39. 委外廠商發⽣資安事件
• 區分清楚資安事件⾓⾊，不同⾓⾊有不同的定位
• 委外廠商：
• 伺服器（系統） => 資安事件調查、伺服器入侵
• 個⼈電腦 => EDR、防毒軟體、社交⼯程
• ⾃⼰公司
• 伺服器（系統）
• 個⼈電腦

40. 國家資助的攻擊？

41. 國家資助的攻擊

42. Google 進階保護計畫
• https://landing.google.com/
intl/zh-TW/
advancedprotection/

43. 我們的資源不夠怎麼辦

44. TechSoup 科技濃湯
• https://www.techsoup-taiwan.org.tw/

45. CSCS (Civil Society Cyber Shield) 公⺠團體資安暨隱私交流計劃
• https://ocf.tw/p/cscs/

46. CSCS 資安教材
• https://drive.google.com/
drive/folders/
1g4zKozybOwbCfFT4HGV
vT1u_bo6OLNMb

47. CSCS (Civil Society Cyber Shield)計畫怎麼來的?
2017 年，在臺灣⺠主基⾦會⽀援下，
從⼀個亞洲跨國⼈權資安⼯作坊起步。共
有 4 個科技、⼈權組織發起成立。
這四年我們：
● 2018開辦「資安種⼦講師培訓」招募新⾎。
● 2019 開始提供 NGO 資安培訓、設備健檢、
事件處理服務。
● 2020 教材、流程模組系統化中，以分享給
更多需要的團體。

48. CSCS (Civil Society Cyber Shield) 的⽬標
協助公⺠團體提升資安能
量，接觸最新的資安⼯
具、對抗資安威脅，在安
全的線上環境中推動社會
議題
* 隨著數位平台、數位設備的快速發展，許多實
體線下的社會運動也都在網路上開枝散葉，⽽相
關的壓迫、監控、迫害、威脅，也⼀樣透過網路
和數位⼯具直接影響公⺠團體和社會倡議。其中
關於資安的能⼒，將是得以抵抗相關威脅的重要
技能。
Awareness
教育訓練
Human Mind
Assistance
事件處理
Incident
Handling
Assessment
環境健檢
Infra. Risk
資安
能量
公⺠ 團體
透過三個⽅案，協助公
⺠團體提升資安能量：
1.教育訓練
組織內部資安基礎訓練課程
2.環境健檢
⼯作場域的數位設備安全檢查
3.事件處理
若遇可疑資安攻擊事件，將以個
案處理

49. 運作機制
● CSCS 成員⼤多以志⼯形式運作，非 CSCS 正
職。
● 開放⽂化基⾦會 (OCF) 扮演 CSCS 社群的「秘書
處」，協助聯繫 NGO、安排活動、⾏政庶務等。
OCF
社群的”秘書處”
- 專案管理
- ⾏政⽀援
CSCS 社群
- 資安講師
- 社群成員
怎麼接洽 CSCS 呢?
第⼀步：寄信到 info@cscs.asia
第⼆步：OCF 安排諮詢會議，以釐清需求
第三步：資安講師到你辦公室 (培訓 or 健檢)
公⺠團體
NGOs
協調講師
接收需求
資安協助
Q:會有費⽤嗎?
A: 我們覺得，所有服務都應該是有價的，但也了
解 NGO 的運作不易，會有多元合作⽅案。

50. ⾃⾏判斷發⽣機率
可能錯估情勢、可能不想⾯對
無法掌握可能對企業造成的衝擊事件
盤點重要資產 ⾃⾏定義資產威脅 ⾃⾏想像可能弱點
資產名稱 資產價值 威脅 弱點 衝擊等級 可能性 風險等級
控制措施降
低可能性
企業承受
的風險
SW - 核⼼系統 3 軟體失效 維護服務時間過長 3 1 9 1 9
SW - 核⼼系統 3 軟體失效 遭到 DDOS 攻擊 3 2 18 1 9
SW - 核⼼系統 3 未經授權存取 橫向移動 3 2 18 1 9
SW - 內部老舊系統 1 系統入侵 無法上 patch 2 2 4 2 4
DA - 重要電⼦紀錄 2 蓄意破壞 ⼈員訓練不⾜ 2 2 8 2 8
DA - 重要電⼦紀錄 2 蓄意破壞 建築物管制不⾜ 2 2 8 2 8

51. 第⼀線技術⼈員
基層資安主管
⾼階資安主管
資安長 EXECUTIVE
Risk Frameworks (SANS)
• NIST 800-39、NIST 800-30
• ISO 27005、CIS RAM
PROCESS
Program Frameworks (SANS)
• NIST Cybersecurity Framework
• ISO 27001
PROCEDURE
Controls Frameworks (SANS)
• NIST 800-53
• CIS Critical Security Controls
TECHNOLOGY VIEW
Defense Appliance / Service

52. ATTACK's VIEW MITRE ATT&CK
EXECUTIVE
Risk Frameworks (SANS)
• NIST 800-39、NIST 800-30
• ISO 27005、CIS RAM
PROCESS
Program Frameworks (SANS)
• NIST Cybersecurity Framework
• ISO 27001
PROCEDURE
Controls Frameworks (SANS)
• NIST 800-53
• CIS Critical Security Controls
TECHNOLOGY VIEW
Defense Appliance / Service

53. EXECUTIVE
Risk Frameworks
• NIST 800-39、NIST 800-30
• ISO 27005
• CIS RAM
PROCESS
Program Frameworks
• NIST CSF
• ISO 27001
PROCEDURE
Controls Frameworks
• NIST 800-53
• CIS Controls
TECHNOLOGY VIEW
Defense Appliance / Service
CIS Controls 可以強化控制項⽬
ISO 27001、NIST CSF 可以互補、相輔相成

54. EXECUTIVE
Risk Frameworks
• NIST 800-39、NIST 800-30
• ISO 27005
• CIS RAM
PROCESS
Program Frameworks
• NIST CSF
• ISO 27001
PROCEDURE
Controls Frameworks
• NIST 800-53
• CIS Controls
TECHNOLOGY VIEW
Defense Appliance / Service
CIS Controls 可以強化控制項⽬
資安設備及服務
ISO 27001、NIST CSF 可以互補、相輔相成

55. 資安頂級終極無敵解決⽅案
買了廠商說的 100% 資安防禦無敵解決⽅案
可以解決什麼問題？

56. Identify Protect Detect Respond Recover
資安頂級終極無敵解決⽅案
Devices
Applications
Networks
Data
Users

57. Identify Protect Detect Respond Recover
資安頂級終極無敵解決⽅案
防禦缺⼝
防
禦
缺
⼝ 防禦缺⼝
防
禦
缺
⼝
Devices
Applications
Networks
Data
Users

58. Identify Protect Detect Respond Recover
Devices
Applications
Networks
Data
Users
Degree of Dependency
Technology
Process
People
https://cyberdefensematrix.com/
OWASP Cyber Defense Matrix

59. Identify Protect Detect Respond Recover
網站安全弱點檢測
Devices
Applications
Networks
Data
Users
系統滲透測試
網路安全架構檢視
網路惡意
活動檢視
防毒
軟體
⽬錄伺服器
設定檢視
防火牆連線
設定檢視
資通安全
威脅偵測
管理機制
入侵偵
測及防
禦機制
應⽤
程式
防火
牆
專職⼈員教育訓練
使⽤者端電腦
惡意活動檢視

60. 透過資安事件、稽核、紅隊演練
判斷情勢，反應真實威脅
回饋⾄風險評鑑
藉由 CSC 盤點的弱點
資產名稱 資產價值 威脅 弱點 衝擊等級 可能性 風險等級
控制措施降
低可能性
企業承受
的風險
SW - 核⼼系統 3 網站攻擊 程式撰寫不良 3 1 9 3 27
SW - 核⼼系統 3 勒贖軟體 預設密碼 3 2 18 3 27
SW - 核⼼系統 3 網站攻擊 網路分隔不良 3 2 18 3 27
DA - 重要電⼦紀錄 2 勒贖軟體 RDP 攻擊 2 2 8 3 12
DA - 重要電⼦紀錄 2 勒贖軟體 社交⼯程 2 2 8 2 8
SW - 內部老舊系統 1 網站攻擊 無法上 patch 2 2 4 2 4

61. 遇到資安事件該怎麼辦？

62. CREST
Cyber Security Incident Response Guide

63. CREST Cyber Security Incident Response Guide
• CREST Cyber Security Incident
Response Guide
• https://www.crest-approved.org/
• Prepare
• Response
• Follow Up

64. Cyber Attacks Phrases Countermeasures
• Monitoring and Logging
• Situational awareness
• Collaboration
• Solid architectural system design
• Standard controls
• Penetration Testing
• Cyber security incident response
• Business continuity and
disaster recovery plans
• Cyber security insurance
① Reconnaissance
• Identify target
• Look for vulnerabilities
② Attack Target
• Exploit vulnerabilities
• Defeat remaining controls
③ Achieve Objective
• Disruption of systems
• Extraction
• Manipulation
CREST Cyber Security Incident
Response Guide
https://www.crest-approved.org/

65. CREST -
Cyber Security
Incident Response
Prepare
Step 1. 實施組織內關鍵資產分析
Step 2. 實施資安真實風險威脅分析
Step 3. 評估⼈員、流程、技術和資訊的影響
Step 4. 選定合適的控制框架及措施
Step 5. 檢討組織在資安事件應變中的準備狀態
Response
Step 1. 識別資安事件
Step 2. 定義事件處理的⽬標及情境
Step 3. 採取合適⾏動
Step 4. 復原系統、資料、連線能⼒
Follow Up
Step 1. 深入調查資安事件
Step 2. 對內外部利害關係⼈正式報告
Step 3. 針對資安事件進⾏事後回顧
Step 4. 內部溝通並傳承經驗
Step 5. 更新事件應變⽅法、控制措施、流程及相關⽂件
Step 6. 評估資安事件的模式和趨勢

66. Step 1. 實施組織內關鍵資產分析 Conduct a criticality assessment for your organisation
1. 定義關鍵資訊資產
2. 確定哪些安全威脅最可能影響這些關鍵資訊資產
3. 實施管理或技術控制措施，降低影響關鍵資訊資產資安事件發⽣的可能性和
影響
4. 提升對資安事件應變能⼒的需求
5. 確認資安事件發⽣時業務衝擊等級
Prepare

67. Step 2. 實施資安風險威脅分析 Carry out a cyber security threat analysis
• ⽤真實的情境或者演練進⾏資安威脅分析，⽤以瞭解組織的威脅等級
• 先盤點資產、後盤點內外部威脅
• 瞭解公司業務性質，業務策略，業務流程和風險承受能⼒
• 盤點關鍵的⼈員、科技、供應商、合作伙伴
• 盤點可能被鎖定攻擊的資產，如基礎建設、⾦錢、智慧財產或⼈員
• 盤點可能與組織有關的弱點攻擊程式、惡意程式、或駭客組織
Prepare

68. Cyber Security Incident Scenarios
• Determining what the threat is to your organisation
• Assessing your risk profile (to key assets)
• Considering threat intelligence providers
• Evaluating situational awareness and applicability to your organisation
• Simulating a real attack as closely as possible
• Ensuring the right person is doing the right thing at the right time.
Prepare

69. Step 3. Consider the implications of people, process, technology and information
• 安排⼈員、流程、技術、資訊 (people, process, technology, information)
• ⼈員編組、執掌，事件相關的流程、⼯具、系統，資訊流的整理等等
Prepare

70. Step 4. Create an appropriate control framework
• 選定合適的控制框架及措施
• 傳統防禦措施雖然無法防禦攻擊，但可以減緩攻擊成功率及速度
• 良好的控制框架中會明確表⽰該進⾏哪些措施，可以成功防堵攻擊⾏為
Prepare

71. Step 5. Review your state of readiness in cyber security incident response
• 檢討組織在資安事件應變中的準備狀態
• 組織必須擁有資安事件應變能⼒，由完善的流程、技術⼈員、相關技術組成。
擁有事件應變能⼒可以幫助組織徹底的調查事件，並成功消除潛藏在環境中的
敵⼈
• 評估準備完成度：
• People, process, technology, information
• Preparedness, response and follow up activities.
Prepare

72. Step 1. Identify cyber security incident
• 最為挑戰的部分，因為資安事件通常難以精準偵測及處理
• 確定可疑的資安事件
• 分析與潛在資安事件相關的所有可⽤資訊
• 確定實際發⽣的事件情況（如 DDoS 攻擊）
• 確認確實受到攻擊或發⽣網絡資料外洩
Response

73. Step 2. Define objectives and investigate situation
• 定義事件處理的⽬標，攻擊事件的始末。可參考外部威脅情資。
• 瞭解資安事件：
• 攻擊者是誰
• 攻擊的範圍和程度
• 攻擊事件發⽣的時間
• 攻擊者取走了什麼資料
• 為什麼他們要進⾏攻擊
• 進⾏初步事件回應及分析
Response

74. Step 3. Take appropriate action
• 初步調查後要採取的⾸要重點措施是
控制資安事件造成的損害。
• 控制資安事件現況：
• 阻擋並記錄未經授權的存取
• 阻擋惡意程式來源，如信件跟網站
• 關閉特定的連接埠及郵件主機
• 若主機可能遭駭，更換系統管理員
密碼
• 防火牆過濾流量
• 轉移網站⾸⾴
• 隔離系統
• 消除事件的發⽣原因
• 辨識所有受影響的主機
• 進⾏惡意程式分析
• 應對若攻擊者是否有進⼀步動作
• 收集並保存證據
Response

75. Step 4. Recover systems, data and connectivity
• 最後⼀步是還原系統並恢復正常營運，並且確認漏洞都已經修補，以防相同攻
擊再次發⽣。
• 需要擬定還原計畫，確保乾淨的重建⽬標伺服器。例如還原已經被感染的檔
案、移除不必要的檔案、重設密碼、系統更新、確認系統完整性。
Response

76. Step 1. Investigate incident more thoroughly
• 事件事後的調查需要比事件當下更為詳細，便於找出事件發⽣真正原因、改善
控制措施、分享相關資料予合作伙伴，並且預防事件再次發⽣。
• 調查也可能需要引入外部資源，例如數位鑑識團隊、專家等等。
Follow Up

77. Step 2. Report incident to relevant stakeholders
• 當事件已經處理完畢，需要給予內部以及外部利害關係⼈正式報告。
• 完整描述事件的性質，事件相關記錄以及進⾏了哪些補救措施
• 真實評估事件對財務損失以及對業務的衝擊，如商譽受損
• 建議新增或強化相關控制措施，強化資安事件的預防、偵測、補救、復原
Follow Up

78. Step 3. Carry out a post incident review
• 針對資安事件進⾏事後回顧，探討事件中的重要資訊。如：
• 同仁如何處理資安事件？有遵循何者程序？
• 流程中有無阻礙事件處理的項⽬
• 下次再次發⽣類似事件，同仁會採取什麼不同的措施？
• 資訊分享該如何改進
• 如何將事件結果回饋⾄風險評估⽅法？
Follow Up

79. Step 4. Communicate and build on lessons learned
• 在後續追蹤資安事件中，重點是⽂件化記錄、溝通和傳承經驗
• 與所有利益關係⼈的溝通應清晰、簡潔，並專注於解決問題和控制改進。須明
確指出仍然存在的理想差距，並提出減少差距的措施。
• 需要建立計劃，說明組織如何利⽤事件中的教訓來⾯對未來的攻擊，讓組織變
得更有韌性。計劃應包括技術和非技術性的項⽬，這將有助於減少攻擊者的成
功率，並更快且有效地處理攻擊者的⾏為。分析資安事件時，應評估是技術能
⼒差距或是⼈員流程導致攻擊成功。
• 每個計畫項⽬都應分配給指定同仁，並安排優先權及完成⽇期，監督所有⼯作
項⽬的狀態。
Follow Up

80. Step 5. Update key information, controls and processes
• 資安事件後，重要的是更新事件應變⽅法、控制措施及相關⽂件
• 通常較為困難的是：資安事件管理⽅法論、流程、管理措施、技術控制措施、
業務連續性計劃、災難控制計畫、內部 IT 稽核流程
Follow Up

81. Step 6. Perform trend analysis
• 組織必須保留所有安全/資安事件的記錄及其他相關訊息，並定期查看相關的資
安事件數據
• 評估資安事件的模式和趨勢
• 確定影響資安事件的常⾒因素
• 確認控制措施的有效性
• 了解發⽣資安事件相關的成本和衝擊
Follow Up

82. 遇駭之後的處理措施

83. FTC - Data Breach Response: A Guide for Business
美國聯邦貿易委員會（Federal Trade Commission，FTC）
• 保護你的組織營運 (Secure Your Operations)
• 修補漏洞 (Fix Vulnerabilities)
• 通知相關單位及個⼈ (Notify Appropriate Parties)
https://www.ftc.gov/tips-advice/business-center/guidance/data-breach-response-guide-business

84. 保護你的組織營運 Secure Your Operations
• 召集專家組成團隊（鑑識、資安、法
務、⼈資、公關等）
• 定義數位鑑識⼩組 （瞭解事件影響範
圍及證據）並與法律顧問諮詢
• 保護實體區域安全
• 若事件與實體相關，如⾨禁系統，必
須更換⾨禁等密碼
• 避免更多資料損失
• 將影響主機下線並禁⽌關機，等鑑識
團隊處理。更換帳號密碼憑證等。
• 移除網路上不適合出現的資訊
• ⾃⼰網站：移除資料，並移除搜尋引
擎快取
• 外部網站：搜尋外洩資料在哪些網站
出現，通知站⽅移除資料
• 與發現外洩資訊的⼈⾯談
• 避免影響或摧毀證據

85. 修復資安漏洞 Fix Vulnerabilities
• 外部服務廠商或供應鍊
• 確認廠商存取多少個資、更換存取權限、確認廠商已處理事件並修補漏洞
• 確認網路隔離
• 將受影響主機隔離，避免危害擴張
• 與數位鑑識專家合作
• 確認受害範圍（主機、資料）、備份還原、確認並調查系統記錄、處理問題
• 制訂溝通計畫
• 對員⼯、客⼾、投資⼈、合作伙伴制訂溝通計畫，避免資訊落差或公開資料

86. 通知相關單位及個⼈ Notify Appropriate Parties
• 確認國家法律及規範需求
• 通知執法機關
• 評估委請執法機關介入處理調查
• 外洩資料是否與電⼦醫療資料有關
• 聯邦貿易委員會的「醫療資訊外洩通報規則」
• 通知受影響的企業
• 通知合作廠商資訊外洩（外洩或被外洩），情況嚴重時通知主管機關
• 通知使⽤者

87. 通知使⽤者 Notify Individuals
• 通知受影響之使⽤者法律相關、外洩資
料類型、內容、濫⽤可能性、潛在損失
• 諮詢執法機關聯絡窗⼝
• 指派組織內公關公告資訊或聯繫使⽤者
• 評估提供受影響使⽤者免費監控或⽀援
• 清楚描述⽬前資安事件的情況
• 根據外洩資訊類型，告知受影響使⽤者
可以採取什麼⾏動，並提供相關的聯絡
資訊
• 如何從外洩事件或⾝份盜⽤中復原
• 在執法機關同意之下，考慮提供執法機
關調查進度資訊
• ⿎勵資訊被濫⽤的使⽤者向 FTC 投訴
(IdentityTheft.gov)
• 通知未來針對事件會如何跟他們聯繫

88. 通知使⽤者: 清楚描述⽬前資安事件的情況
• 資安事件怎麼發⽣的
• 被取得了什麼資料
• 攻擊者已經如何使⽤這些外洩資料
• 組織已經做了哪些處理措施
• 組織將提供給受影響使⽤者哪些額外防禦措施
• 如何聯繫組織內的聯絡窗⼝

89. 範例通知信
[Name of Institution/Logo] ____ ____ Date: [insert date]
NOTICE OF DATA BREACH
Dear [Insert Name]:
We are contacting you about a data breach that has
occurred at [insert Company Name].
What Happened? …..
What Information Was
Involved?
…..
What We Are Doing …..
What You Can Do …..
Other Important Information …..
For More Information …..

90. Reference
• Computer Security Incident Handling Guide (NIST SP 800-61)
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf
• Guide for Cybersecurity Event Recovery (NIST SP 800-184)
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-184.pdf
• Data Breach Response: A Guide for Business
https://www.ftc.gov/tips-advice/business-center/guidance/data-breach-
response-guide-business

91. Bonus 懶⼈包: 若發⽣資安事件，建議流程：
• 制定、檢視、修正事件應變計畫
• 組織內部及外部規範對應處置（ISMS等）
• 立刻通知客⼾、相關單位、主管機關
• 說明⽬前情況、損失、影響、企業處置、客⼾後續該做什麼處理
• 了解相關法規，通知律師並協調法律策略
• 媒體公關處理
• 尋找外部事件應變團隊
• 風險管控（如資安險）
• 警調報案

92. 該如何因應勒索軟體

93. 美國⽩宮 - 勒索軟體企業防範指引
• https://s3.documentcloud.org/documents/20796933/memo-what-we-urge-
you-to-do-to-protect-against-the-threat-of-ransomware17.pdf
• https://www.ithome.com.tw/news/144869

94. 美國⽩宮 - 勒索軟體企業防範指引
• 實施 5 項最佳實務
• 多因素驗證、端點惡意⾏為偵測、事件應變
• 資料加密、成立充分授權的資安團隊
• 備份公司資料、系統映像檔與組態，備份檔應離線保存並定期測試
• 立即更新系統軟體版本與修補漏洞
• 測試事件應變⽅案
• 確認資安團隊的運作（演練並檢測）
• 區隔公司內部網路

95. ⾯對勒索軟體的建議
設備漏洞 系統更新
異常偵測
測試事件
回應計畫
組態備份
應⽤程式
漏洞
系統更新 系統備份
核⼼網段
盤點
網路區隔 組態備份
機敏資料
盤點
資料備份
⼈⼒備援
IDENTIFY PROTECT DETECT RESPOND RECOVER
DEVICES
APPLICATIONS
NETWORKS
DATA
USERS
Ref : 美國⽩宮 - 企業勒索軟體指引

96. ⾯對勒索軟體的建議
組態備份
系統備份
組態備份
資料備份
DEVICES
APPLICATIONS
NETWORKS
DATA
USERS
#1 Backup data, system
images, and configurations,
regularly test them, and keep
the backups offline
Ref : 美國⽩宮 - 企業勒索軟體指引
IDENTIFY PROTECT DETECT RESPOND RECOVER

97. ⾯對勒索軟體的建議
系統更新
系統更新
DEVICES
APPLICATIONS
NETWORKS
DATA
USERS
#2 Update and patch systems
promptly
IDENTIFY PROTECT DETECT RESPOND RECOVER
Ref : 美國⽩宮 - 企業勒索軟體指引

98. ⾯對勒索軟體的建議
設備漏洞
異常偵測
應⽤程式
漏洞
核⼼網段
盤點
機敏資料
盤點
DEVICES
APPLICATIONS
NETWORKS
DATA
USERS
#3 Check
Security
Team’s Work
IDENTIFY PROTECT DETECT RESPOND RECOVER
Ref : 美國⽩宮 - 企業勒索軟體指引

99. ⾯對勒索軟體的建議
核⼼網段
盤點
網路區隔
DEVICES
APPLICATIONS
NETWORKS
DATA
USERS
#4 Segment networks
IDENTIFY PROTECT DETECT RESPOND RECOVER
Ref : 美國⽩宮 - 企業勒索軟體指引

100. ⾯對勒索軟體的建議
設備漏洞 系統更新
異常偵測
測試事件
回應計畫
組態備份
應⽤程式
漏洞
系統更新 系統備份
核⼼網段
盤點
網路區隔 組態備份
機敏資料
盤點
資料備份
⼈⼒備援
DEVICES
APPLICATIONS
NETWORKS
DATA
USERS
IDENTIFY PROTECT DETECT RESPOND RECOVER
Ref : 美國⽩宮 - 企業勒索軟體指引

101. Q&A
戴夫寇爾股份有限公司
contact@devco.re
感謝聆聽，請多指教！