決心

正在服務的機器出事情的時候敢不敢拔網路線，要通報到哪個層級才能決定，判斷處理的時間多長

為什麼會不敢處理？ 因為沒辦法下決定、無法扛責任

為什麼沒辦法下決策？ 因為沒有事先溝通好，必須要讓相關人員有相對的意識，並參與規劃

營運持續計畫BCP (Business Continuity Plan)

這是在制定事件發生時的應變方法

資安/資訊事件通常不會列在BCP的演練項目，偏偏這需要上級加入，多個部門參與

而即便是有了勒索病毒為演練主題，在判斷是否擴散，需要全面隔離的判斷點不夠明確

接著事件發生的情況每次都略有不同，預期之外的難以處理，不能只演練一種情境

ATT&CK

之間談到att&ck 定義分類各種攻擊手法，該網站還有將APT組織的手法整理出來

可以參考與自己組織相關的事件，哪些APT專門針對相同組織，使用哪些手法

去檢視這些手法是否也會對我們有效，做不好的強化改進

當然駭客不會只採用這些手法(畢竟那些資料只是事後鑑識推導出來，會有漏)，而且會換手法，不能強化一個面向

在做檢視驗證時不能用背考古題得心態，這個攻擊方式沒擋下來(答錯)，就只強化防火牆規則(背答案)，換個手法(改題目)還是被打爆(不及格)。

在防禦技術(Techniques)時，多想一下這類型戰術(Tactics)需要制定什麼政策(policies)，有了標準（standards)後，各部門制定程序(procedures)執行，資安不是只有資訊部門參與就能做好的

CDM

用來視覺化，評估盤點現有防禦成立的矩陣圖

確保買的東西有效 -> 要求證明設備達到某個能力

確保該防護的地方 -> 補上缺口

確保不做疊床架屋 -> 有同樣能力的為什麼要有第二個(重疊)，第二個能強化防護嗎，是否浪費錢買同樣東西

告知高層既有風險 -> 就算有填補上，是否還是可能有漏洞(0 Day、雜訊)

自動化

自動化在推動執行的過程中，一定會經歷制定threshold(量化)、不同設備觸發連動、通知人員、執行動作

一條條自動化規則就是Policies的延伸，展示成熟度不只有書面文件，甚至標準化，可執行

且每完成一項自動化就可以釋放人力資源，讓這些資源再投入下一個自動化規則，有效且能展現成果

REF

你的資安策略夠明確嗎？透過框架優先緩解真實威脅
https://devco.re/blog/2020/10/13/mitigate-real-threats-by-framework-and-standards/

真實風險與 ATT&CK 的鴻溝
https://s.itho.me/ccms_slides/2022/9/29/864c1392-818f-47be-996d-4d9165a440b1.pdf

如何正確使用紅隊演練
https://s.itho.me/ccms_slides/2022/9/29/b6daade8-ff70-4203-9506-105da36ea7c6.pdf