iT邦幫忙

2021 iThome 鐵人賽

DAY 20
0
Security

過關斬將,資安面試300題系列 第 20

資安事件回應篇

  • 分享至 

  • xImage
  •  

今天突然的好累QQ 所以來個半偷懶篇(?!

之前在寫數位鑑識,或是資安稽核,還有其他文章時,
都會想到或是看到一些內容,覺得跟資安事件回應相關的,
可是自己不是那麼熟悉,感覺很多內容也分散在其他領域,
所以覺得有點難湊成一篇,但總之就還是寫一篇XD

如果有碰過一些資安相關服務的人,可能會有聽過IR或是ERS,
資安事件回應(Incident Response,IR)
緊急應變處理服務(Emergency Responder Services,ERS)
這兩個領域是我預期比較偏向的內容

1.甚麼是資安事件?

任何可能造成資產、系統、網路危害或是異常的行為。

2.發生了資安事件該如何做緊急響應

先確定影響範圍,做好隔離(網路隔離,ACL等等),判斷事情嚴重程度,聯絡技術與鑑識相關部門進行調查處理,進行事後分析。

這題我真的覺得難爆了! 
老實說我自己覺得這題題範圍有點模糊,有點抽象,
不過可能是我自己沒有在接觸這一塊,所以才會這麼覺得(?

不過這一題我是一定是要列一下的,
因為我實際上面試,遇到了至少兩次吧。
之前跟朋友同事討論,我自己認為回的很糟,
跟他聊過之後,我的回答可能太過都偏向技術面,
例如甚麼找Web Server的Log,查看流量紀錄,有甚麼異常程序之類blalba,
其實也不是錯,可是也許面試官想聽到的是比較策略面一點的回答。

3.主機被入侵了該怎麼辦(或是疑似被入侵)

先查看自己主機開放的服務,找出是否有可能的攻擊點,比如開放HTTP,可能是遭受WEB攻擊等。也同時確認是否有開啟或是監聽非正常的服務。查看可能被入侵點的服務的相關日誌。搜尋系統檔案當中是否有存在惡意程式,利用Process Explorer查看是否有異常的程式。

有沒有跟上面題目很像XD
但是範圍稍微明確一點點。

這個是之前有人在網路上發問過的問題,
不過這種問題應該也算常見吧。

4.如果你發現公司內部的網路流量當中有識別出了C2 Server,接下來你會怎麼做?

看是內部哪台主機對外發起連線的,查看該主機上是否有存在惡意程式;也順便去查該C2 Server的相關資訊。

5.如果發現了可疑的網路行為時,你首先會做甚麼?需要甚麼資訊?

6.資安當中的TTP指的是甚麼?

TTP是Tactic(戰術)、Technique(技術)、 Procedure (程序)三者的開頭縮寫。

7.你都如何去了解最近的資安威脅趨勢?

看ithome新聞~ 還有The Hacker News, BleepingComputer, Freebuf 等等,族繁不及備載。

8.你使用過哪些資安事件處理的工具?他們分別有甚麼用途?

sysinternals的那一包東西,Process Explorer、TCP Viewer之類的

9.電腦中毒可能會有甚麼樣的特徵或線索?

電腦處理速度或是網路速度變慢、
背景程序有沒看過的異常處理程序、
電腦會異常重新開機、
沒有執行操作時,硬碟或CPU仍然頻繁讀寫或高負載運作
諸如此類等等...

10. Incident Handling跟Incident Response有甚麼區別?

抱歉,累了,讓我懶一下XD
請參考下列連結
https://blog.elearnsecurity.com/security-incidents-incident-handling-vs-incident-response.html


最後談談自己對於IR或是ERS的一些想法,
就是,
這個工作感覺壓力超大的阿XDD

而且都麻是突然出事情,突然就要去處理的樣子
這樣真的可以顧好自己的正常生活嗎QQ

若有要補充也都歡迎留言


上一篇
資安稽核篇
下一篇
行動應用APP資安篇
系列文
過關斬將,資安面試300題30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 則留言

0
CyberSerge
iT邦好手 1 級 ‧ 2021-10-05 02:48:56

發生了資安事件該如何做緊急響應

沒錯,這題需要回答策略和流程而非技術上如何運作,例如
The SANS Incident Response Process consists of six steps:

Preparation
Identification
Containment
Eradication
Recovery
Lessons Learned

可以先答策略,再從各步驟簡述技術上的範例

HackerCat iT邦新手 2 級 ‧ 2021-10-05 21:35:21 檢舉

沒問題! 而且搬出SANS,讓人無法抗拒XD

我感覺臺灣好像是EC-Council比較熱門;SANS感覺乏人問津,不知道為什麼?

HackerCat iT邦新手 2 級 ‧ 2021-10-06 21:49:21 檢舉

SANS的課程與GIAC認證的費用都比較高一些些
應該與這個多少有點關係

我要留言

立即登入留言