知識內容

• DE 偵測

  • DE 指尋找並分析可能發生的資安攻擊和危害事件

    • ID 識別資產與優先處理風險

    • PR 保護這些資產的能力

    • DE 識別和分析可能正在發生資安攻擊事件異常、入侵指標和其他潛在不利事件的能力

  • 持續監控 (DE.CM)

    • 持續監控資產以發現異常、入侵指標和其他潛在的不利事件

  • 異常與事件 (DE.AE)

    • 分析異常、入侵指標和其他潛在的不利事件，以描述事件特徵並偵測網路安全事件

• 持續監控 (DE.CM)

  • DE.CM-01
    監控網路和網路服務
    以發現潛在的不利事件

    • 目的

      • 能及時發現攻擊導致的異常和安全事件保障資訊安全

    • 核心

      • 主動監控網路，識別潛在威脅，而非依賴被動防禦

    • 措施

      • 監控 DNS、BGP、其他協定是否有不利事件

        • 網路攻擊

        • 系統漏洞

        • 設備故障

      • 監控有線和無線網路是否有未經授權端點連線

      • 監控設施中是否有未經授權或惡意的無線網路

      • 將實際網路流量與基準進行比較，以偵測偏差

      • 監控網路通訊以識別安全狀態變化實現零信任

    • 例子

      • IT 人員發現異常流量猜測 DDoS 攻擊及時採取措施

  • DE.CM-02
    監控實體環境
    以發現潛在的不利事件

    • 目的

      • 及時發現並應對實體環境的安全威脅保護實體安全

    • 核心

      • 除了網路和資訊系統，實體環境的安全也是資安一環

    • 措施

      • 監控實體控制系統日誌找異常或失敗進出紀錄

        • 讀卡機紀錄

      • 審查和監控實體存取記錄

        • 訪客登記表

      • 監控實體存取控制是否有被竄改的蹤跡

        • 鎖

        • 保全系統

        • 監視器

      • 使用保全系統、攝影機和警衛監控實體安全

    • 例子

      • 監視攝影機拍到有人試圖非法進入資料中心觸發警報

  • DE.CM-03
    監控人員活動和技術使用情況
    以發現潛在的不利事件

    • 目的

      • 識別內部威脅和異常行為預防資料洩漏與內部攻擊

    • 核心

      • 關注人員行為和技術使用，主動防範內部威脅
        而非僅僅防禦外部攻擊

    • 措施

      • 使用行為分析軟體來偵測異常的使用者活動，以減輕內部威脅

        • 監控員工的網路瀏覽記錄
          以發現是否瀏覽可疑網站或下載惡意軟體的行為

        • 監控員工的郵件收發情況
          以發現是否有發送或接收釣魚郵件的行為

        • 監控員工使用可移動儲存設備的情況
          以防止資料洩漏

        • 對員工進行安全意識培訓
          提高其安全意識和防範能力

      • 監控邏輯存取控制系統的日誌
        以找出異常的存取模式和失敗的存取嘗試

      • 持續監控社交工程技術，包括使用者帳戶密碼
        以發現任何使用情況

    • 例子

      • 員工試圖存取未經授權的資料
        行為分析系統發出警報，資安團隊介入調查

  • DE.CM-06
    監控外部服務供應商的服務
    以發現潛在的不利事件

    • 目的

      • 確保外部服務供應商的安全措施符合要求
        降低第三方風險，避免供應鏈攻擊

    • 核心

      • 外部服務供應商也可能成為網路安全的薄弱環節
        需要監控其活動確保安全

    • 措施

      • 監控外部供應商對組織系統
        執行的遠端和現場管理和維護行為

      • 監控基於雲端服務、網際網路服務供應商
        其他服務供應商行為，去發現與預期不符行為

    • 例子

      • 雲端服務供應商出現漏洞，影響到使用服務的組織
        透過監控及時發現並採取行動

  • DE.CM-09
    監控運算硬體和軟體、
    執行時環境及其資料
    以發現潛在的不利事件

    • 目的

      • 全面監控系統各個層面，及時發現異常和攻擊跡象
        確保資訊系統和資料的安全

    • 核心

      • 系統安全是一個持續的過程
        需要全面監控硬體、軟體、資料等各個方面

    • 措施

      • 監控電子郵件、網路、檔案共用、協作服務
        以偵測惡意軟體、網路釣魚、資料洩漏和外洩

      • 監控身份驗證嘗試
        以識別針對憑證攻擊和未經授權憑證重複使用

      • 監控軟體設定與安全基準的誤差

      • 監控硬體和軟體是否有被竄改的蹤跡

      • 使用端點上存在技術來偵測網路健康問題
        並在授權存取之前將端點重新導向到修復環境

        • 缺少修補程式

        • 惡意軟體感染

        • 未經授權軟體

    • 例子

      • 系統日誌顯示軟體出現異常行為，可能是惡意軟體感染，安全軟體自動隔離受影響系統。

小試身手

• 以下關於 DE.CM-09「監控運算硬體和軟體、執行時環境及其資料，以發現潛在的不利事件」的敘述，何者為錯誤？

  • A) 目的是為了全面監控系統各個層面，及時發現異常和攻擊跡象，確保資訊系統和資料的安全。

  • B) 其核心概念是系統安全是一個持續的過程，需要全面監控硬體、軟體、資料等各個方面。

  • C) 其措施包括監控電子郵件、網路、檔案共用、協作服務等，以偵測惡意軟體、網路釣魚、資料洩漏和外洩等。

  • D) 根據 DE.CM-09，針對授權硬體貼上識別標籤的主要目的是為了防止資料外洩。

  • 答案

    • D

      • 針對授權硬體貼上識別標籤的主要目的是庫存管理和維護管理，並非防止資料外洩。DE.CM-09 的重點是監控運算硬體和軟體，以發現潛在的不利事件，例如惡意軟體感染、未經授權的軟體安裝等。

• DE.CM-01 強調監控網路和網路服務以發現潛在的不利事件。以下哪一項措施最能體現 DE.CM-01 的核心概念？

  • A) 使用入侵偵測系統 (IDS) 來偵測和阻止網路攻擊。

  • B) 定期對網路設備進行漏洞掃描和修補。

  • C) 持續監控網路流量，並利用 SIEM 系統進行關聯分析，以及時發現異常行為。

  • D) 對網路設備進行安全加強，例如禁用不必要的服務和端口。

  • 答案

    • C

      • DE.CM-01 強調持續監控網路和網路服務，以識別潛在的不利事件。選項 C 中持續監控網路流量，並利用 SIEM 系統進行關聯分析，可以更全面和及時地發現異常行為，最能體現 DE.CM-01 的核心概念。選項 A 和 B 屬於被動防禦，而選項 D 屬於防禦加強，並非 DE.CM-01 強調的持續監控。

• 以下哪一組監控目標最符合 DE.CM-03「監控人員活動和技術使用情況，以發現潛在的不利事件」的原則？

  • A) 網路流量、防火牆日誌

  • B) 員工電子郵件、網際網路瀏覽記錄

  • C) 伺服器 CPU 使用率、資料庫連線數

  • D) 實體門禁系統日誌、監視攝影機畫面

  • 答案

    • B

      • DE.CM-03 的重點是監控人員活動和技術使用情況，選項 B 中的員工電子郵件和網際網路瀏覽記錄屬於人員活動和技術使用情況，因此符合 DE.CM-03 的監控目標。選項 A 和 C 屬於網路和系統監控，選項 D 屬於實體環境監控。

• 以下哪個情境最能說明 DE.CM-06「監控外部服務供應商活動和服務，以發現潛在的不利事件」的重要性？

  • A) 公司內部員工因為操作失誤，導致重要資料被刪除。

  • B) 公司網站遭受 DDoS 攻擊，導致服務中斷。

  • C) 公司使用的雲端服務供應商出現安全漏洞，導致客戶資料外洩。

  • D) 公司內部員工因為不滿公司政策，將機密資料洩露給競爭對手。

  • 答案

    • C

      • DE.CM-06 的目的是確保外部服務供應商的安全措施符合要求，降低第三方風險，避免供應鏈攻擊。選項 C 中雲端服務供應商的安全漏洞導致客戶資料外洩，屬於第三方風險，符合 DE.CM-06 的範疇。 選項 A 和 D 屬於內部威脅，選項 B 屬於外部攻擊，但並非來自外部服務供應商。

• 根據 DE.CM 的定義，以下哪一項設定不屬於設定持續監控的範疇？

  • A) 監控網路流量以發現異常行為。

  • B) 監控系統日誌以發現入侵跡象。

  • C) 制定安全事件應急預案。

  • D) 監控員工行為以發現潛在威脅。

  • 答案

    • C

      • DE.CM (持續監控) 強調持續監控資產，以發現異常、入侵指標和其他潛在的不利事件。選項 A、B 和 D 都屬於持續監控的範疇，而選項 C 制定安全事件應急預案屬於 RS.MA-01（事件管理）的範疇。