iT邦幫忙

2022 iThome 鐵人賽

DAY 4
0
Security

none系列 第 4

1-4 - 即刻救援 - 控制、防堵

  • 分享至 

  • xImage
  •  

情境

我這邊發現新的IOC麻煩加到防火牆阻擋

廠商該查到相關的情資,請加防毒

把IOC拿去SIEM查看看是否有橫向擴散的情況啊!

主管在問處理情況,快整理一下回報

好餓、好累、好想睡覺...

說明

一個好的分工有負責調查investiagte以及補救remediate,於Incident 處理過程中,一個循環 調查->修補->調查,流程就如NIST SP 800-61中Figure 3-1. Incident Response Life Cycle
https://ithelp.ithome.com.tw/upload/images/20220919/20077752OdJcWDg5TV.jpg

初期目標為止血,避免擴大傷害,到處看哪邊有傷口就先補上,如果大範圍則需要做檢傷,依照風險判斷優先處理順序,如同醫護重大事件

Investiagte Teams 由資安專家組成,負責調查攻擊軌跡,攻擊工具,攻擊受害範圍,將調查結果交由Remediate team處理

Remediate Teams 由內部IT人員組成,需熟悉既有架構,擬定計畫制定防堵作業,以防造成更大的問題

Ancillary Teams 有法務、HelpDesktop、對外發言人,確認沒有觸犯法規問題,對內讓員工可繼續作業,對外統一窗口發布訊息

REF

NIST SP 800-61 Rev. 2
https://csrc.nist.gov/publications/detail/sp/800-61/rev-2/final


上一篇
1-3. 災情確認 - 使用Splunk實作 2
下一篇
1-5 - 事件通報
系列文
none36
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言