鬼故事 - 滅證高手

Credit: Scooby-Doo
靈感來源：UCCU Hacker

故事開始

小雨是一個資安鑑識人員，常常到客戶公司做調查收資料，
我們又稱這個為收屍的 a.k.a 法醫，因為通常都是被打到慘不忍睹的時候才會請第三方的專家出來鑑識。

而今天要講的是當資安法醫對上滅證高手的故事，
小雨這次進去客戶場域協助調查鑑識，而這次的案情是因為有部分電腦中了病毒，
總之當然還是請客戶提供例如網路架構/資產清單等等的資訊，
對方 IT 立刻就說：沒有這些資料
小雨當下想說：沒有倒是挺正常的，不是每個公司都有做好資料盤點。
之後在部分受害端點做了一些調查後，請對方提供調查到的 IP/Hostname 對應的主機，
IT 當下說去檢查一下，接著過了一個小時， IT 就帶小雨逐台檢查電腦，
小雨一到電腦發現有部分資料近期被刪除或是電腦已經重灌，
甚至是部分伺服器服務轉移了，伺服器被低階格式化。

小雨本著不懷疑客戶的情況下詢問了 IT 這些狀況，
IT 表示：因為我們發生資安事件，所以當下做了一些處置。
小雨心理想：那現在資料都刪光光，是要我過來通靈嗎 ？
小雨：好，那我想一下怎麼處理

資安探討

其實在本故事中鑑識人員與 IT 的狀況常常發生，
特別是當 IT 人員與鑑識人員的氛圍處在一個對立面的時候，

鑑識人員應起到鎮心的作用

當資安事件發生時，請記住：「沒有人想要被駭」
鑑識人員除了做調查，也同時需要安撫客戶以免客戶緊張起來以為要背鍋偷偷修補的漏洞／刪除資料，
調查過程中應避免引起恐慌，也沒必要透漏過多猜測。

IT 人員不用感到慌張

當事件已經發生，遮蓋只是讓事件調查不完整，
就像你身體不舒服給醫生檢查，你不應該隱瞞病情，因為你知道會影響醫生的診斷。
同理，一個專業的鑑識人員並不會埋坑給你，保持良好的醫病關係，
這樣才能保護你下次不會被駭客攻擊，
請記住：「 IT 與資安是同一陣線的夥伴」