如何防範「資安事件」於未然

• 發布日期：109-06-12
• 發布單位：刑事警察大隊

系統遭受攻擊方面，最常見的便是遭遇DDoS（Distributed Denial-of-Service）攻擊，攻擊者通常會利用被植入木馬的殭屍電腦，於特定時間內集中對特定目標進行網路存取動作，導致被攻擊的電腦、網站系統無法承受密集的系統存取動作，且造成系統當機或是存取速度變得極慢，這對於被攻擊者的企業不但丟失商機，也對企業形象造成衝擊。

資安日誌與網路流量綜合檢視與判讀
電腦系統中，無論是作業系統還是應用軟體，通常都會在程式的運作過程中留下日誌檔（log file），以便當程式運作出現問題時提供開發者檢驗問題，找出問題的可能發生原因的紀錄資料。不過，這些日誌檔通常都是經由一堆一般使用者難以理解的文字與數字紀錄所組成，除非發生嚴重的系統問題，通常是不會有人去在意與檢視這些日誌檔案。

從系統面看，當系統遭受外部攻擊時，網路流量將會出現異常的狀況，系統也會記錄下網路流量的變化情形。同樣地，這些網路流量的異常變化通常也不會在第一時間通知系統管理者，當系統管理者被告知時，通常系統已經遭受嚴重的攻擊或是出現系統癱瘓現象，不但，管理者來不及制止這些異常的網路存取行為，傷害也已經造成。

事實上，所謂「凡走過必留下痕跡」，任何系統遭受到不正常的存取或是遭受攻擊時，都會在日誌檔與網路流量資料中留下紀錄，但從許多事件案例中，我們可以發現一個共同現象，那便是當發現系統出現異常時，通常已經過了好幾個星期或數個月，一方面只能進行事後的追查，無法防範事件於未然，另一方面有可能因為事件已經發生過一段時日，當時的日誌檔與網路流量資料檔案已經被覆寫，或是因為紀錄檔案過於龐大，導致追查曠日廢時、困難重重。

參考網址：https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=8755