大家好，我是飛飛 Phoebe（也可以叫我菲比），在這個系列中，我希望透過系統化的學習，深入瞭解藍隊的知識，並分享給大家。

在尚未學習其他知識之前，目前對於藍隊的理解如上圖：

1. 情資（威脅情報）

在資訊安全的領域，威脅情報是藍隊的基石。
透過收集和分析最新的威脅情報，藍隊能夠預測並預防潛在的攻擊。

• 知道同異業誰被攻擊

  藍隊會收集威脅情報，以了解近期有哪些公司或組織遭受攻擊，特別是與自己同產業或相關領域的。

  可以幫助藍隊去預測可能面臨的威脅。

  例子：
  1. 藍隊發現同行業的一家公司遭受了勒索軟體攻擊，於是他們分析該攻擊的手法，評估自己是否有類似的安全漏洞需要修補。
  2.  藍隊發現同行業的一家金融機構遭受了網路釣魚攻擊，攻擊者利用社交工程竊取了客戶資料。藍隊因此審查自家的電子郵件安全策略，加強了對員工的資安培訓，防止類似攻擊的發生。

• 知道攻擊的類型強度

  了解攻擊的種類和強度有助於藍隊優先處理最嚴重的威脅，並調整資訊安全的防禦策略。

  例子： 藍隊注意到最近有進階持續性威脅（APT）針對特定軟體的漏洞進行攻擊，他們立即檢查系統並安裝最新的安全補丁（更新），並加強對異常活動的監控。

在掌握威脅情報後，下一步就是建立有效的偵測機制，以便即時發現任何潛在的攻擊。

2. 偵測

有效的偵測系統能夠讓藍隊在攻擊發生時迅速反應，降低潛在的損失。

• 知道現在正在被攻擊

  藍隊利用各種監控和偵測工具，即時了解是否有攻擊正在發生。

  例子： 透過入侵偵測系統（IDS），藍隊收到異常網路流量的警報，發現正在遭受分散式阻斷服務（DDoS）攻擊。立即採取措施，啟動流量清洗機制，維持服務的正常運作。

偵測到攻擊後，關鍵在於如何有效地防禦，將攻擊的影響降至最低。

3. 防禦

防禦策略的目標是減少或消除攻擊帶來的影響，保障企業的正常運作和資料安全。

• 可以將攻擊防禦下來

  一旦確認攻擊，藍隊會採取行動防禦，減少或消除攻擊帶來的影響。

  例子： 在發現勒索軟體試圖加密企業資料時，藍隊迅速隔離受感染的設備，啟動資料備份和還原機制，確保資料的完整性，並更新防毒軟體的病毒碼資料庫以預防未來的攻擊。

防禦只是資安工作的其中一環，持續的管理和改進才能建立長期的安全防禦體系。

4. 管理

將過去的經驗轉化為標準化的政策和流程，持續提升資訊安全的成熟度。

• 上述經驗政策流程化

  藍隊將過去的經驗轉化為標準化的政策和流程，以提高未來的應對效率。

  例子： 發生資安事件之後，藍隊進行全面的事件調查，識別問題根源，更新資安事件應對計畫，並制定新的安全政策，如強制員工定期更換密碼，啟用雙重驗證等。

案例解析

• 案例一：大型零售商的資料外洩

  某大型零售商因第三方供應商的帳號被攻破，導致數百萬筆客戶信用卡資料外洩。藍隊在事後加強了對第三方的安全審查，並實施了更嚴格的存取控制措施。

• 案例二：製造業的工業控制系統被攻擊

  一家製造企業的工業控制系統遭受攻擊，導致生產線停擺。藍隊透過分離 OT 網路和辦公網路，並加強對工業控制系統的監控，防止了類似事件的再次發生。

假設未來要協助企業提升資安能力，我們應該從識別威脅、提升偵測、防禦策略，到優化管理流程，建立健全的資安防禦體系，保障企業的資訊安全。

為了達成這些目標，建議：

• 持續學習與更新威脅情報：保持對最新威脅的警覺，定期參與資安社群，分享與獲取情報。

• 加強偵測能力：投資先進的偵測工具和技術，培訓團隊具備分析異常行為的能力。

• 完善防禦策略：建立多層次的防禦體系，包括預防、偵測、應變和復原。

• 強化管理流程：定期審查和更新資安政策，確保符合最新的法規和行業標準，並進行內部審計與培訓。

資訊安全是一個持續演進的領域，攻擊者的手法日新月異。我們必須保持學習的心態，持續改進，才能有效保護企業的資產和聲譽。

下一步：

透過以下的提問卡，協助您的企業確認一下目前的資訊安全狀況，並找出改進的方向。

1. 情資（威脅情報）

• 目標: 如何從情報中辨識出對自身組織最關鍵且迫切的威脅，並轉化為可應對的行動方案？
• 提問內容:
  • 近期有哪些與我們產業相似的公司遭受攻擊？攻擊手法為何？
  • 這些攻擊手法是否針對我們現有的系統漏洞？我們缺乏哪些防禦措施？
  • 是否有新興的攻擊類型或技術需要關注？
  • 如何評估不同攻擊類型的強度和可能性，以便優先處理最嚴重的威脅？
  • 針對這些攻擊，業界有哪些較好的實務方法或應對策略可以參考？

2. 偵測

• 目標: 如何確保現有的偵測機制能有效發現並識別各種攻擊行為，並即時發出警報？
• 提問內容:
  • 我們目前的監控和偵測工具是否能涵蓋所有關鍵系統和應用程式？
  • 這些工具是否能有效偵測到最新的攻擊手法，例如 APT 攻擊？
  • 我們如何驗證這些工具的準確性和可靠性，避免誤報或漏報？
  • 當偵測到攻擊時，我們的警報機制是否能及時通知相關人員，並提供足夠的資訊以便採取行動？
  • 我們是否有針對不同攻擊類型的特定偵測規則和策略？

3. 防禦

• 目標: 如何建立一個多層次、主動積極的防禦體系，有效降低遭受攻擊的風險，並將攻擊造成的損害降到最低？
• 提問內容:
  • 我們的防禦策略是否涵蓋了預防、偵測、應變和復原等各個階段？
  • 我們是否定期進行安全漏洞掃描和滲透測試，並及時修補漏洞？
  • 我們是否針對關鍵資產和系統實施了足夠的安全控制措施，例如存取控制、加密和備份？
  • 我們是否制定了完善的事件應變計畫，並定期演練以確保其有效性？
  • 是否對員工進行了必要的資安意識培訓，讓他們了解最新的威脅和防禦措施？

4. 管理

• 目標: 如何將過去的經驗和教訓轉化為可執行的政策和流程，持續改進資安防禦體系，並提升整體安全成熟度？
• 提問內容:
  • 我們如何從過去的資安事件中吸取教訓，並將其轉化為可改進的項目？
  • 我們是否定期審查和更新資安政策和流程，以確保其符合最新的威脅和法規要求？
  • 我們是否建立了有效的風險管理機制，識別、評估和處理潛在的資安風險？
  • 我們是否對資安事件進行了全面的調查和分析，並根據調查結果採取適當的補救措施？
  • 我們如何衡量和評估資安防禦體系的有效性，並持續改進？