資料事件回應程序

下載 PDF 版本

簡介

為客戶資料提供一個安全無虞的環境向來是 Google Cloud 的優先要務。Google 採用領先業界的資訊安全性作業流程,其中結合了嚴謹的處理程序、全球頂尖團隊,以及多層式資訊安全防護與隱私權基礎架構,全都是為了保障客戶的資料安全。這份白皮書著重說明 Google 用來管理及回應 Google Cloud 資料事件的基本原則措施。

事件回應程序是 Google 整體安全性及隱私權計畫的關鍵一環。對於管理資料事件,我們制定了一套嚴格的處理程序。這個程序定義發生任何可能影響客戶資料機密性、完整性或可用性的事件時,相關人員應該採取的動作、提報程序、緩解措施、解決方法及通知。

對 Google 而言,資料事件的定義是指因突破 Google 的安全防護,導致由 Google 代管或控制的系統上的客戶資料遭到意外或非法損害、損失、修改或未經授權之揭露或存取。 Google 會採取相關步驟來因應可預見的資料及系統威脅,但是所謂的資料事件,並不包括對客戶資料安全性不會造成影響的失敗存取嘗試或活動,例如失敗的登入嘗試、連線偵測 (ping)、通訊埠掃描、阻斷服務攻擊及其他對防火牆或網路系統的網路攻擊。

Google 如何協助保護客戶資料安全

客戶資料的安全性至關重要,Google 和客戶必須聯手捍衛,才能獲得理想的安全防護成效。Google 會保護雲端的根本基礎架構及服務,但客戶在 Google Cloud 基礎架構上建構的應用程式、裝置及系統,其安全性就必須交由客戶來負責。Google 提供了相關指引和多項安全性功能,客戶只要採用就能達成 Google 等級的安全防護做法:

  • 身分與存取權管理

  • 靜態資料傳輸中的資料預設都會經過加密,客戶不需要另外設定。

  • 多重驗證,包括防範網路詐騙的硬體第二驗證金鑰

  • 各種網路安全性選項,包括虛擬私人雲端 (VPC) 和共用 VPC、適用於軟體式服務 (SaaS) 的內建分散式阻斷服務保護措施、平台式服務 (PaaS) 解決方案,以及將這些項目用於基礎架構式服務 (IaaS) 解決方案的選項

  • 詳細的稽核記錄

如要進一步瞭解 Google 如何保護雲端安全,請參閱 Google 基礎架構安全性設計總覽白皮書及相關的 2018 年 Next 大會安全性簡報,或是前往 Google Cloud 安全性網站瀏覽相關資訊。

Google 能讓客戶掌控及查看在 Google Cloud 上使用的所有服務,客戶也可使用 Google Workspace 安全中心來預防、偵測及修復 Gmail、雲端硬碟、裝置、OAuth 和使用者帳戶的問題。同樣地,GCP 客戶可以在 Cloud Security Command Center 上查看自身機構的資產、安全漏洞、風險及政策等資訊。

在客戶端,客戶必須根據自身需求來設定適當的安全性功能、安裝軟體更新、設定網路安全性區域和防火牆,並應確保其使用者能保護自己的帳戶憑證,且未將機密資料洩漏給未經授權者。

圖 1 根據客戶使用的代管服務範圍來劃分客戶及 Google 之間責任的變化。客戶從內部部署解決方案移至 IaaS、PaaS 及 SaaS 雲端運算產品後,由 Google 管理的整體雲端服務項目更多,因此客戶需要承擔的安全性責任就會減少。

如需有關雲端安全性設定的詳細資訊,客戶應參考適用的產品說明文件。

職責圖

資料事件回應

Google 的事件回應計畫是由各領域專職事件回應的專家團隊負責,確保能針對每次事件提出相應的因應措施。視事件的性質而定,這個專家回應團隊可能涵蓋以下領域:

  • 雲端事件管理
  • 產品工程
  • 網站穩定性工程
  • 雲端安全性和隱私權
  • 數位鑑識
  • 全域調查
  • 信號偵測
  • 安全性、隱私權和產品諮詢
  • 信任與安全性
  • 反濫用技術
  • 客戶支援

這些團隊的各領域專家會透過各種方式參與事件回應程序。舉例來說,事件指揮官負責協調事件回應程序,在需要的時候,數位鑑識團隊要幫忙偵測持續進行中的攻擊,並進行鑑識調查;產品工程師負責將對客戶造成的影響降到最低,另外也要提供解決方案來修正受影響的產品;法律團隊則要和適當的安全性及隱私權團隊成員合作執行 Google 策略,收集相關證據、與執法單位及政府監管人員交涉,並提供法律問題及法規的相關建議;而支援人員則負責回應客戶提出的問題和要求,藉此提供額外資訊和協助。

團隊架構

一旦確認事件發生,就會立即指派事件指揮官來負責協調事件回應程序和解決措施;而事件指揮官要從不同領域的團隊挑選專家,組成一個事件回應團隊。典型的回應團隊架構如下方圖 2 所示。接著,事件指揮官會指派專家去處理事件的不同面向,從事件發生到完結的整個因應過程都由指揮官負責調度。圖 2 示範事件回應期間的應變團隊架構,有不同角色和職責的專家。

資料事件回應團隊架構

資料事件回應程序

每個資料事件都不一樣,而資料事件回應程序的目的在於保護客戶資料、盡快恢復正常服務運作,以及滿足監管法規和合約的遵循需求。Google 的事件回應計畫處理流程如下:

事件回應工作流程

識別

如果希望事件管理程序能強大而有效率,及早準確識別事件是最重要的關鍵。這個階段的重點在於監控安全性事件,目的是要偵測並回報潛在的資料事件。

Google 的事件偵測團隊會運用先進的偵測工具、信號及警示機制,盡量在早期階段就找出可能會發生的事件。

Google 的事件偵測來源包括:

  • 自動分析網路及系統記錄檔 - 自動分析網路流量和系統存取歷程,有助找出可疑、濫用或未經授權的活動,並將問題呈報給 Google 的安全人員

  • 測試 - Google 的安全團隊會利用滲透測試、品質確保 (QA) 措施、入侵偵測及軟體安全性審查,積極檢查是否有安全性威脅。

  • 內部程式碼審查 - 軟體程式碼審查作業可以找出隱藏的安全漏洞、設計瑕疵,並確認是否已採行重要的安全性控管措施

  • 產品專用工具和處理程序 - 視情況採用團隊專用的自動化工具,提升 Google 在產品層級偵測事件的能力

  • 使用情形異常偵測 - Google 採用多層機器學習技術,辨別瀏覽器、裝置、應用程式登入及其他使用事件的安全及異常使用者活動

  • 資料中心和/或工作環境服務安全性快訊 - 資料中心的安全性快訊會掃描可能影響公司基礎架構的事件

  • Google 員工 — Google 員工會偵測異常並回報問題

  • Google 的安全漏洞獎勵計劃 — 有時外部的安全研究人員會回報 Google 的瀏覽器擴充功能、行動裝置及網路應用程式可能有安全漏洞

協調

一旦接獲事件回報,值班待命的回應人員會審視並評估事件回報的性質,判斷這是否為潛在資料事件及是否要啟動 Google 的事件回應程序。

經判斷確認後,就會交由事件指揮官來評估事件性質及協調回應策略。在這個階段,回應程序包括完成事件分類評估、視情況調整嚴重性等級,並通知所需的事件回應團隊,由合適的作業/技術總監來審視相關事實資料及辨別需要調查的關鍵領域。此外,我們會指派產品總監及法律總監,他們負責做出事件因應方法的重要決策。事件指揮官會分派調查工作,並收集相關事實資料。

Google 回應程序的許多面向都取決於嚴重性評估結果,也就是根據事件回應團隊收集和分析的關鍵事實資料來判斷,這些面向可能包括:

  • 對客戶、第三方及 Google 的潛在傷害

  • 事件的性質 (例如資料是否可能損毀、遭到存取或無法使用)

  • 可能受影響的資料類型

  • 事件對於客戶使用服務造成的影響

  • 事件的狀態 (例如事件是否已隔離、正在發生或受到控制)

在整個回應過程中,一旦收到新資訊,事件指揮官及其他總監都會定期再重新評估這些因素,這是為了確保 Google 的回應程序能分配到適當的資源,且指定的緊急程度適恰。我們會將影響最重大的事件指定為最高嚴重性等級。這時指揮官會指派溝通總監,負責和其他總監一起制定溝通計畫。

解決

這個階段的重點是調查根本原因、控制事件的影響範圍、視情況解決立即性的安全風險、在修復措施中採行必要的修正作業,以及復原受影響的系統、資料及服務。

受影響的資料會盡可能還原成原本的狀態。視該事件的合理程度及必要情況而定,Google 可能會採取各種不同的步驟來解決事件。舉例來說,有時可能需要運用技術或鑑識調查,才能重新構建問題的根本原因,或找出對客戶資料的影響。如果資料已遭到不當修改或損毀,Google 可能就會嘗試使用備份複本復原資料。

修復作業的其中一個重要步驟是在事件影響客戶資料時通知這些客戶。我們會評估整個事件的關鍵要素,判斷該事件是否會影響客戶資料。假如有必要通知客戶,事件指揮官就會啟動通知程序。這時候溝通總監就要參考產品及法律總監的意見來制定溝通計畫,然後通知受影響的客戶。客戶收到通知後,溝通總監也會在 Google 支援團隊的協助之下,支援客戶提出的要求。

Google 會盡可能及時通知,明確提供正確資訊,並附上已知的資料事件詳細資訊、Google 已採取哪些步驟來減輕潛在風險,以及 Google 建議客戶採取哪些事件因應措施。我們會盡量提供具體的事件資訊,讓客戶評估自身是否需要履行通知義務。

結案

成功修復及解決資料事件之後,事件回應團隊會檢討從事件學到的教訓。假如事件引發重大問題,事件指揮官可能會進行事後檢討分析。在這個程序中,事件回應團隊會審視事件原因及 Google 採取的回應策略,並找出可以進一步改善的關鍵領域。在某些情況下,這可能需要和各個產品、工程及營運團隊討論,甚至需要進行產品強化作業。如果需要後續追蹤,事件回應團隊會制定行動計畫來完成後續工作,並指派專案經理負責長期追蹤。等修復工作都完成之後,這個事件就宣告完結。

持續改善

Google 會從每次的事件中學習並採取預防措施,避免日後再發生同樣的事件。

根據從事件分析獲得的實用洞察,我們除了可以改良工具、訓練及處理程序,還可以改善 Google 的整體安全性及隱私權資料保護計畫、安全性政策和/或回應措施。此外,從事件中得到的資料也有助我們安排程式設計工作的優先順序,進而建置更完善的產品。

Google 的安全性及隱私權專業人員會審視公司對於所有網路、系統及服務的安全性計畫,找出需要改善之處,並且向產品及工程團隊提供產品諮詢服務。負責人員也會運用機器學習、資料分析及其他新技術來監控 Google 網路是否有可疑活動、解決資訊安全威脅、執行例行安全評估和稽核,並與外部專家合作定期進行安全性評估。此外,Google 還特別成立了一個全職投入的團隊「Project Zero」,負責向軟體廠商回報錯誤,並記錄在外部資料庫中,藉此抵禦針對性攻擊。

Google 定期舉辦訓練活動並推廣安全防護意識,藉此促進安全性及資料隱私權方面的創新。為了妥善處理事件,專責事件回應人員都需要接受鑑識及證據處置的訓練,包括第三方和專屬工具的使用。我們還針對關鍵領域 (例如存有敏感客戶資訊的系統) 進行事件回應流程和程序的測試。這些演練會將各種情況納入考量,包括內部人員威脅和軟體安全漏洞,協助我們做好完善的安全性及隱私權事件因應準備。

根據我們的 ISO-27017、ISO-27018、ISO-27001、PCI-DSS、SOC 和 FedRAMP 計劃,Google 的程序會定期接受測試,並向客戶和監管機關證明我們通過了安全性、隱私權和法規遵循管理的獨立驗證審查。如需完整的 Google Cloud 第三方認證清單,請參閱這裡

總結

如上文所述,Google 執行的世界級事件回應計畫可提供以下關鍵功能:

  • 所用的處理程序是以領先業界的事件解決技術建置,能在 Google 等級的規模有效率運作

  • 透過先進的監控系統、資料分析及機器學習服務,主動偵測事件並遏制事件擴大

  • 指派專責各領域的專家來因應各種類型或規模的資料事件

  • 具備完善流暢的通知程序,按照 Google 在服務條款及客戶協議中的承諾,及時通知受影響的客戶

保護資料安全是 Google 業務的核心要務。我們會持續在整體安全性計畫、資源及專業知識上進行投資;就算發生資料事件,Google 也可以有效地做出因應、保護客戶資料,同時維持一貫的高可靠性,不辜負客戶的信賴與託付。