資料竊取是近期駭客駭客攻擊事件中最常見的行為,尤其是勒索病毒更將竊取機密資料,作為勒索贖金的手段之一,從2019年的MAZE(迷宮)開始,勒索病毒除了加密檔案外,還會利用竊取來的商業機密來威脅受害者,不支付贖金,商業機密就會被公開,造成營業秘密損害。
在舊版ISO27001:2013中,針對防堵資料外流的要求分散在多個控制項,包括A.12.6.1技術脆弱性管理、A.13.1.1網路控制措施、A.13.1.3網路之區隔、A.13.2.3電子傳訊、A.8.3.1可移除式媒體的管理等。
這次改版中,ISO27001:2022的新控制項8.12資料外洩防範(Data leakage prevention),從防止惡意人士竊取資料的角度重新包裝前述舊版的控制項,要求組織對於資料外洩要做防範,資料外洩防範應應用於系統、網路,以及其他處理、存儲或傳送敏感資訊的設備。此外,「鑑別與監控具外洩風險的敏感資訊」也意味著未來組織/企業在A.12.4.1事件存錄、A.12.4.3管理者與操作者日誌這兩項要求,將會被從資料外洩這個面向加強稽查。
日誌檔(log)對事故後原因分析與調查至關重要,這些資訊經蒐集、分析後用於加強組織資安防護,或透過網安情資分享平台(如適用),即扣聯到ISO27001:2022的另一個新控制要求「威脅情報」(Threat Intelligence)。
組織應監控所有可能造成資料外洩的管道,例如便攜式儲存媒體、印表機及網路通訊,並針對上述設備訂定使用規範。組織可使用資料外洩預防工具協助管理,資料外洩預防工具可以用來識別數據、監控數據使用和移動,並採取措施防止數據洩露(例如,提醒用戶注意他們的危險行為並阻止將數據傳輸到便攜式存儲設備)。組織還必須訂定應對作為,在偵測到疑似發生資料外洩事件時,可迅速作出反應,避免損害擴大,例如:立即切斷受害電腦的網路連線,並對電腦進行鑑識,找出攻擊來源。
-艾斯飛利國際資安顧問 Dan Lin
Comments