今天突然的好累QQ　所以來個半偷懶篇(?!

之前在寫數位鑑識，或是資安稽核，還有其他文章時，
都會想到或是看到一些內容，覺得跟資安事件回應相關的，
可是自己不是那麼熟悉，感覺很多內容也分散在其他領域，
所以覺得有點難湊成一篇，但總之就還是寫一篇XD

如果有碰過一些資安相關服務的人，可能會有聽過IR或是ERS，
資安事件回應（Incident Response，IR）
緊急應變處理服務（Emergency Responder Services，ERS）
這兩個領域是我預期比較偏向的內容

1.甚麼是資安事件？

任何可能造成資產、系統、網路危害或是異常的行為。

2.發生了資安事件該如何做緊急響應

先確定影響範圍，做好隔離（網路隔離，ACL等等），判斷事情嚴重程度，聯絡技術與鑑識相關部門進行調查處理，進行事後分析。

這題我真的覺得難爆了! 
老實說我自己覺得這題題範圍有點模糊，有點抽象，
不過可能是我自己沒有在接觸這一塊，所以才會這麼覺得（？

不過這一題我是一定是要列一下的，
因為我實際上面試，遇到了至少兩次吧。
之前跟朋友同事討論，我自己認為回的很糟，
跟他聊過之後，我的回答可能太過都偏向技術面，
例如甚麼找Web Server的Log，查看流量紀錄，有甚麼異常程序之類blalba，
其實也不是錯，可是也許面試官想聽到的是比較策略面一點的回答。

3.主機被入侵了該怎麼辦（或是疑似被入侵）

先查看自己主機開放的服務，找出是否有可能的攻擊點，比如開放HTTP，可能是遭受WEB攻擊等。也同時確認是否有開啟或是監聽非正常的服務。查看可能被入侵點的服務的相關日誌。搜尋系統檔案當中是否有存在惡意程式，利用Process Explorer查看是否有異常的程式。

有沒有跟上面題目很像XD
但是範圍稍微明確一點點。

這個是之前有人在網路上發問過的問題，
不過這種問題應該也算常見吧。

4.如果你發現公司內部的網路流量當中有識別出了C2 Server，接下來你會怎麼做？

看是內部哪台主機對外發起連線的，查看該主機上是否有存在惡意程式；也順便去查該C2 Server的相關資訊。

5.如果發現了可疑的網路行為時，你首先會做甚麼？需要甚麼資訊？

6.資安當中的TTP指的是甚麼？

TTP是Tactic（戰術）、Technique（技術）、 Procedure （程序）三者的開頭縮寫。

7.你都如何去了解最近的資安威脅趨勢？

看ithome新聞~ 還有The Hacker News, BleepingComputer, Freebuf 等等，族繁不及備載。

8.你使用過哪些資安事件處理的工具？他們分別有甚麼用途？

sysinternals的那一包東西，Process Explorer、TCP Viewer之類的

9.電腦中毒可能會有甚麼樣的特徵或線索？

電腦處理速度或是網路速度變慢、
背景程序有沒看過的異常處理程序、
電腦會異常重新開機、
沒有執行操作時，硬碟或CPU仍然頻繁讀寫或高負載運作
諸如此類等等...

10. Incident Handling跟Incident Response有甚麼區別？

抱歉，累了，讓我懶一下XD
請參考下列連結
https://blog.elearnsecurity.com/security-incidents-incident-handling-vs-incident-response.html

最後談談自己對於IR或是ERS的一些想法，
就是，
這個工作感覺壓力超大的阿XDD

而且都麻是突然出事情，突然就要去處理的樣子
這樣真的可以顧好自己的正常生活嗎QQ

若有要補充也都歡迎留言