iT邦幫忙

2023 iThome 鐵人賽

DAY 13
0
Security

資通安全管理法入門系列 第 13

[Day 13] 資安通報實務篇(二)

  • 分享至 

  • xImage
  •  

前天說到了回覆時間

今天來談哪些要做反應

主要分為
資安訊息情資 (ANA):此類情資需要依其重要性決定是在網頁上公告、通知各資安窗口,或是透過公文將其轉送給各一、二級單位。
資安預警情資 (EWA):此情資意味著有可能某機關主機已遭到攻擊,但還需進一步確認。
網頁攻擊情資 (DEF):這是針對網頁的資安事件。一旦發現,應立即在相關系統中回報。
入侵攻擊情資 (INT):這是與系統相關的資安事件。當發生時,也應在系統中進行回報。

還有一種是回饋情資(FBI),但就我經驗沒有處理過
https://ithelp.ithome.com.tw/upload/images/20230917/20148719jEyQTJXTvt.png
參考資料:https://www.fisc.com.tw/Upload/2e644695-04a9-44cf-8841-80936503cc5a/TC/9402.pdf

情資的來源多元,大致上可以分為三大類:

  1. SOC偵測:骨幹網路上的SOC會進行持續偵測。若有與惡意網站的連線或被攻擊的特徵出現,則會分享相關情資。INT和DEF都是具體且確定的資安事件,應予以嚴肅處理並回報。EWA則是較為初步的資訊,雖可以參考,但建議在有機會時進行深入調查。
  2. 白帽駭客:如HITCON ZeroDay,他們在成功攻擊後會提交詳細報告。過一段時間後,此資料將會公開,所以必須在此之前妥善處理,防止資安漏洞被濫用。
  3. 外部情資分享:可能源於國際組織的互相交流或是跨國的攻擊事件。這些情報可能相對複雜,應根據具體情境判斷如何應對。

也有一些商業公司提供的情資分享,如:
卡巴威脅情資:https://www.securelist.com
paloalto情資:https://unit42.paloaltonetworks.com
...等
像 Google One也有暗網分析,看自己的資料有沒有被賣走

雖然情資分析是一門專業領域,但在實務上由於工作量龐大,業務人員常常只能處理已經確認的資安事件(如INT、DEF和HITCON ZeroDay的通報),並協助傳遞關鍵情資(例如重大漏洞安全更新)。


上一篇
[Day 12] 資安通報實務篇(一)
下一篇
[Day 14] 資安通報實務篇(三)
系列文
資通安全管理法入門31
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言