iT邦幫忙

2023 iThome 鐵人賽

DAY 9
0

名詞解釋

  • 洩密(Breach):機密資料遭到未經授權的存取或揭露,或是有權限的使用者以超出必要的目的存取機密資料。
  • 事件(Event):也被稱為活動事件,為網路或系統發生的任何可被觀察到的事件,可能是普通的資訊提醒、警告或嚴重的事件。
  • 漏洞利用(Exploit):利用特定系統漏洞的攻擊行為。
  • 事故(Incident):對系統或系統處理、儲存、傳輸的資料機密性、完整性或可用性(CIA)造成實際或潛在危害的事件。
  • 入侵(Intrusion):入侵者嘗試透過一種安全事件或不同事件的組合,對系統達成未經授權的存取。
  • 威脅(Threat):任何透過未經授權存取、破壞、揭露、修改資訊,或使服務中斷,達成對組織運作、資產、個人、其他組織或國家的系統造成不良影響的情況或是件。
  • 漏洞:系統、安全設定、內部控制或實作時可能威脅來源利用的薄弱環節。
  • 零日(Zero Day):尚未被揭露、大眾普遍未知的系統漏洞,難以被發現或預防,但極有可能被利用。

目標

事故應變(Incident Response)的首要目標為保護生命安全,在做出任何決定時都應將安全擺在最優先的事項。而對於事件管理本身來說,目標為做好準備,包含制訂政策和應變計畫,以便使事件發生時能快速應變處理,也被稱為「危機管理」。事件(Event)指的是任何可被客觀行量的事件,大多數事件為無害的,但如果某個事件可能影響到組織的正常運作,那事件就會被稱為事故(Incident)。
事故應變程序的主要目的為減少事故對組織的影響,使組織能盡快恢復被中斷的業務,因此事故應變計畫只是營運持續管理(BCM)的其中一項內容而已。

事故應變計畫項目

  • 準備
    • 制訂經組織管理經則核准的政策
    • 識別關鍵資料和系統
    • 對員工進行事故應變教育訓練
    • 成立事故應變小組
    • 練習識別事故(第一響應,First Response)
    • 確定角色與責任
    • 規劃與利害關係者的溝通與協調
    • 考慮備用聯絡方式
  • 偵測與分析
    • 監控所有可能被攻擊的載體
    • 利用已知資訊與威脅情報分析事件
    • 確定事故應變的優先次序
    • 將事故文件標準化
  • 遏止、消除與恢復:
    • 蒐集證據
    • 選擇適當的遏止策略
    • 識別攻擊者
    • 阻絕攻擊
  • 事故後活動
    • 確定需要保留的證據
    • 記取經驗教訓

事故應變小組

在組織建立 SOC(Security Operations Center)的同時,也需要建立事故應變小組,由跨職能的成員組成,包含下列人員:

  • 高階管理層
  • 資安人員
  • 法律人員
  • 公關人員
  • IT 人員

小組成員應接受事故應變的教育訓練,通常事故發生時由小組成員協助調查、評估損失、蒐集證據、報告事件並啟動恢復程序,並於後續參與補救與教育的工作,並分析事故根本原因。

資安事故專責團隊

許多組織涉有專門的資安事故應變小組,負責調查資安事故,可能被稱為電腦事故應變小組(Computer Incident Response Team,CIRT)、電腦安全事故應變小組(Computer Incident Response Teams,CSIRT),在事故發生時他們的職責有:

  • 確定事故造成損失的金額與範圍
  • 確定事故是否造成任何機密資訊洩漏
  • 實施任何必要的恢復程序
  • 監督實施新增任何必要的安全控制措施

上一篇
[Day 8] 災害復原
下一篇
[Day 10] 存取控制簡介 - 1
系列文
30 天取得 ISC2 Certified in Cybersecurity30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言