今天突然的好累QQ 所以來個半偷懶篇(?!
之前在寫數位鑑識,或是資安稽核,還有其他文章時,
都會想到或是看到一些內容,覺得跟資安事件回應相關的,
可是自己不是那麼熟悉,感覺很多內容也分散在其他領域,
所以覺得有點難湊成一篇,但總之就還是寫一篇XD
如果有碰過一些資安相關服務的人,可能會有聽過IR或是ERS,
資安事件回應(Incident Response,IR)
緊急應變處理服務(Emergency Responder Services,ERS)
這兩個領域是我預期比較偏向的內容
任何可能造成資產、系統、網路危害或是異常的行為。
先確定影響範圍,做好隔離(網路隔離,ACL等等),判斷事情嚴重程度,聯絡技術與鑑識相關部門進行調查處理,進行事後分析。
這題我真的覺得難爆了!
老實說我自己覺得這題題範圍有點模糊,有點抽象,
不過可能是我自己沒有在接觸這一塊,所以才會這麼覺得(?
不過這一題我是一定是要列一下的,
因為我實際上面試,遇到了至少兩次吧。
之前跟朋友同事討論,我自己認為回的很糟,
跟他聊過之後,我的回答可能太過都偏向技術面,
例如甚麼找Web Server的Log,查看流量紀錄,有甚麼異常程序之類blalba,
其實也不是錯,可是也許面試官想聽到的是比較策略面一點的回答。
先查看自己主機開放的服務,找出是否有可能的攻擊點,比如開放HTTP,可能是遭受WEB攻擊等。也同時確認是否有開啟或是監聽非正常的服務。查看可能被入侵點的服務的相關日誌。搜尋系統檔案當中是否有存在惡意程式,利用Process Explorer查看是否有異常的程式。
有沒有跟上面題目很像XD
但是範圍稍微明確一點點。
這個是之前有人在網路上發問過的問題,
不過這種問題應該也算常見吧。
看是內部哪台主機對外發起連線的,查看該主機上是否有存在惡意程式;也順便去查該C2 Server的相關資訊。
TTP是Tactic(戰術)、Technique(技術)、 Procedure (程序)三者的開頭縮寫。
看ithome新聞~ 還有The Hacker News, BleepingComputer, Freebuf 等等,族繁不及備載。
sysinternals的那一包東西,Process Explorer、TCP Viewer之類的
電腦處理速度或是網路速度變慢、
背景程序有沒看過的異常處理程序、
電腦會異常重新開機、
沒有執行操作時,硬碟或CPU仍然頻繁讀寫或高負載運作
諸如此類等等...
抱歉,累了,讓我懶一下XD
請參考下列連結
https://blog.elearnsecurity.com/security-incidents-incident-handling-vs-incident-response.html
最後談談自己對於IR或是ERS的一些想法,
就是,
這個工作感覺壓力超大的阿XDD
而且都麻是突然出事情,突然就要去處理的樣子
這樣真的可以顧好自己的正常生活嗎QQ
若有要補充也都歡迎留言
發生了資安事件該如何做緊急響應
沒錯,這題需要回答策略和流程而非技術上如何運作,例如
The SANS Incident Response Process consists of six steps:
Preparation
Identification
Containment
Eradication
Recovery
Lessons Learned
可以先答策略,再從各步驟簡述技術上的範例
沒問題! 而且搬出SANS,讓人無法抗拒XD
我感覺臺灣好像是EC-Council比較熱門;SANS感覺乏人問津,不知道為什麼?
SANS的課程與GIAC認證的費用都比較高一些些
應該與這個多少有點關係