來詳細說說昨天的簡單六步驟吧

簡單六步驟

準備 Preparation

進行安全事件模擬測試，需要了解企業的資產設備清單、架構圖、網路架構、通訊協定分析、事件應變時間表等。再配合事件調查工具組，得以因應資安事件的發生。

識別確認 Identification

 確認的項目須包含：
*     異常網路流量
*     被建立的管理員帳號
*     特許使用者帳戶的異常活動
*     地理位置不正常行為
*     資料庫 Server 存取量大幅增加
*     大量請求同一個檔案
*     可疑登錄黨或系統檔被更改
*     非預期的程式修正
*     DDOS活動跡象

控制 Containment

如果確信安全事件可以辨識，那接下來要做的就是規劃研究如何有效控制、排除這次的事件。
應要依據各種方面評估潛在影響，並訂出解決方式（如新增資安設備、重構網路架構等）。資安團隊必須檢查各個方面的安全措施是否有效。例如越權存取、封鎖危險ＩＰ、部門網域隔離等。以確保相關權責單位擁有完整的監控各項可疑活動的能力。

根除 Eradication

就是排除資安事件啦，要解決問題並不讓同樣的問題再次發生。
要考量以下步驟：
- 移除來自網路的攻擊
- 刪除惡意軟體
- 停用被入侵的使用者帳號
- 辨別出被利用的弱點
- 降低被利用的弱點所產生的引響
- 在處理資安事件時，是否有正式的證據處理流程？
- 是否有證據保存的步驟可供依循？

復原 Restoration

組織需要有一份詳細的復原計畫，確保能儘速恢復系統功能。Ex:用備份檔案重置系統、通知相關利害關係人、找出網路中類似的弱點、確保公司內部人員是否有遵守使用規範等。也需要考慮滲透測試，評估復原作業是否完備。

經驗學習 Lessons Learned

最重要的階段在這，從經驗中學習可以防範未來的資安事件。

1. 事後檢視，確認復原過程中的流程都有走過
   

2. 正式紀錄存檔事件過程，確認已經學到哪些經驗。
   

3. 更新修正目前的應變計劃，以便因應未來的資安事件上。
   

參考來源：https://www.bsigroup.com/LocalFiles/zh-tw/e-news/No164/Cyber-Incident-Response-Step-by-Step.pdf