今天國慶連假第一天，這三天不出門好好用功拚各種報告文章XDD

在看完眾多破口之後，是不是直覺想到:阿慘，如果在還沒全面改善完就被攻破打爆了的當下，怎麼辦哪?

大家都不希望資安事故發生，天有不測風雲，人雖小的時候什麼東西都容易找上門，包括駭客資安事故。
我們做了許多準備都是預防事故發生，但風險是只能低減無法100%確保不會發生，也因此不論我們資安做的多完整、再強大，面對風險發生時我們仍須由所準備，方可在災難中振作起來。

備妥緊急應變計畫主要是讓企業在遭遇資安事故時，可以

• 【有效止損】:猶如火場控制火勢，把失控的災害範圍，將病毒蔓延、內網擴散、服務停擺等狀況收斂，使災情不再發散。
• 【快速復原】:運用備份備援、常態演練或資源調度，盡快把受到衝擊的資訊服務恢復，越快恢復損失越低，把企業營運損失降低。
• 【證據保全】:災害發生的當下一定是集中全力救火，但為了事後的追蹤、調查和彌補，保留事發時的證據也是緊急應變計畫中需要留意的。

另外，規劃緊急應變程序的時候，有幾項課題要預先準備的:

(圖片引用自中國人壽)

• 1.災害分級:預先評估不同規模、重要性的災害，參考因素包含影響時間、損失金額、損害範圍、受創階層等，讓事故發生的當下可以遵循並分級分類，引入處理回應框架中變成可控。

• 2.通報流程:可承自上面災害分級讓發生的當下決定我們要通報誰，越大的事故通報的層級越高越廣(例如:勒索病毒公司受災一定得到總經理甚是更高)，適當的通報讓事件處理時可獲得充分的授權。
  還有另外一種通報是當大範圍災害發生時，如何通知到每一個受影響的對象，是公司公告/email群發/IM群發還是室內廣播，有助於所有苦主一起面對災害而處變不驚。

• 3.應變措施與替代措施:
  應變措施:主要是針對資安事故的各種判斷與回應，使損害遭受控制。
  例如大規模受災時，判斷是否需中斷受駭區域的資訊設備的連線分區隔離，或是全面隔離。
  例如受DDoS攻擊時，臨時增設清洗服務或過濾設備。
  例如資料庫遭到入侵竊取，暫停其服務以阻止資料竊取。
  替代措施:由於資安事故造成的商業活動衝擊，可用些較傳統的方式來維持最小正常作業能量，好比郵件服務異常時請同仁改用傳真或IM傳遞資料給客戶。

這兩項較為是具體的執行方案，可以透過技術或手法有效止損為重點。

• 4.復原方法:
  記得先前有談到災害復原演練和訓練，這時候就可以拿出來用了，把所有證據、紀錄軌跡保存好後展開復原，像是例如系統遭到加密，則盡速從備份檔中在異機/VM上還原。對了，復原所需的時間也影響到災害分級的程度，越晚恢復會使災害等級提升；另外，復原前和復原後資料的資料差異損失，也將左右整體對營運衝擊的程度。
  PS.RTO和RPO是DataCenter災難復原的重要參考指標，可研究看看。

(圖片引用自捕夢網)

• 5.人員責任配置:
  一般來說資安事故在公司內一定由IT人員處理，若分工細一點的將會有DBA、Help Desk、網管、server admin、ap team等等，事故發生的當下，得快速判斷這個事故所需的人力資源，甚至組成緊急應變小組，包含必要管理者、資安工程師、主責指揮官等等形成Response Team，全力加速投入資安事故救援。

有了上述五點的課題後，即可展開不同事故的應變方案預擬，從機密性、完整性、可靠性的類別下取材，或是藉由常見的、想的到的情境來設計，例如:【全公司內網中毒擴散】、【網頁被入侵竄改】、【重要主機遭受加密損毀】、【機房電力/空調中斷】、【雲端服務中斷】...等等來擬訂適當的應變計畫。

唯有透過完善的安全防護計畫，搭配熟練的緊急應變程序，才可快速掌握突發的資安事件，並完善處理。

延伸閱讀與參考資料
如何做好資安事件通報應變?
因應資安事故要「超前部署」，趨勢科技呼籲企業要建立緊急應變程序
認識數據中心兩個關鍵指標RTO和RPO
關於RPO/RTO