前天說到了回覆時間

今天來談哪些要做反應

主要分為
資安訊息情資 (ANA)：此類情資需要依其重要性決定是在網頁上公告、通知各資安窗口，或是透過公文將其轉送給各一、二級單位。
資安預警情資 (EWA)：此情資意味著有可能某機關主機已遭到攻擊，但還需進一步確認。
網頁攻擊情資 (DEF)：這是針對網頁的資安事件。一旦發現，應立即在相關系統中回報。
入侵攻擊情資 (INT)：這是與系統相關的資安事件。當發生時，也應在系統中進行回報。

還有一種是回饋情資(FBI)，但就我經驗沒有處理過

參考資料：https://www.fisc.com.tw/Upload/2e644695-04a9-44cf-8841-80936503cc5a/TC/9402.pdf

情資的來源多元，大致上可以分為三大類：

1. SOC偵測：骨幹網路上的SOC會進行持續偵測。若有與惡意網站的連線或被攻擊的特徵出現，則會分享相關情資。INT和DEF都是具體且確定的資安事件，應予以嚴肅處理並回報。EWA則是較為初步的資訊，雖可以參考，但建議在有機會時進行深入調查。
2. 白帽駭客：如HITCON ZeroDay，他們在成功攻擊後會提交詳細報告。過一段時間後，此資料將會公開，所以必須在此之前妥善處理，防止資安漏洞被濫用。
3. 外部情資分享：可能源於國際組織的互相交流或是跨國的攻擊事件。這些情報可能相對複雜，應根據具體情境判斷如何應對。

也有一些商業公司提供的情資分享，如：
卡巴威脅情資：https://www.securelist.com
paloalto情資：https://unit42.paloaltonetworks.com
...等
像 Google One也有暗網分析，看自己的資料有沒有被賣走

雖然情資分析是一門專業領域，但在實務上由於工作量龐大，業務人員常常只能處理已經確認的資安事件（如INT、DEF和HITCON ZeroDay的通報），並協助傳遞關鍵情資（例如重大漏洞安全更新）。