iT邦幫忙

第 12 屆 iT 邦幫忙鐵人賽

DAY 3
0
Security

IR自我修練之路系列 第 3

IR從零開始的自我修煉之路-Day 03

來詳細說說昨天的簡單六步驟吧

簡單六步驟

準備 Preparation

進行安全事件模擬測試,需要了解企業的資產設備清單、架構圖、網路架構、通訊協定分析、事件應變時間表等。再配合事件調查工具組,得以因應資安事件的發生。

識別確認 Identification

 確認的項目須包含:
*     異常網路流量
*     被建立的管理員帳號
*     特許使用者帳戶的異常活動
*     地理位置不正常行為
*     資料庫 Server 存取量大幅增加
*     大量請求同一個檔案
*     可疑登錄黨或系統檔被更改
*     非預期的程式修正
*     DDOS活動跡象

控制 Containment

如果確信安全事件可以辨識,那接下來要做的就是規劃研究如何有效控制、排除這次的事件。
應要依據各種方面評估潛在影響,並訂出解決方式(如新增資安設備、重構網路架構等)。資安團隊必須檢查各個方面的安全措施是否有效。例如越權存取、封鎖危險IP、部門網域隔離等。以確保相關權責單位擁有完整的監控各項可疑活動的能力。

根除 Eradication

就是排除資安事件啦,要解決問題並不讓同樣的問題再次發生。
要考量以下步驟:
- 移除來自網路的攻擊
- 刪除惡意軟體
- 停用被入侵的使用者帳號
- 辨別出被利用的弱點
- 降低被利用的弱點所產生的引響
- 在處理資安事件時,是否有正式的證據處理流程?
- 是否有證據保存的步驟可供依循?

復原 Restoration

組織需要有一份詳細的復原計畫,確保能儘速恢復系統功能。Ex:用備份檔案重置系統、通知相關利害關係人、找出網路中類似的弱點、確保公司內部人員是否有遵守使用規範等。也需要考慮滲透測試,評估復原作業是否完備。

經驗學習 Lessons Learned

最重要的階段在這,從經驗中學習可以防範未來的資安事件。
  1. 事後檢視,確認復原過程中的流程都有走過
    
  2. 正式紀錄存檔事件過程,確認已經學到哪些經驗。
    
  3. 更新修正目前的應變計劃,以便因應未來的資安事件上。
    

參考來源:https://www.bsigroup.com/LocalFiles/zh-tw/e-news/No164/Cyber-Incident-Response-Step-by-Step.pdf


上一篇
IR從零開始的自我修煉之路-Day 02
下一篇
IR從零開始的自我修煉之路-Day 04
系列文
IR自我修練之路9

尚未有邦友留言

立即登入留言