知識內容

• 異常與事件
  (DE.AE)

  • 分析異常、入侵指標和其他潛在的不利事件，以描述特徵並偵測資安事件

• 子項目

  • DE.AE-02
    分析潛在的不利事件
    以深入瞭解相關活動

    • 目的

      • 分析事件日誌、網路流量識別攻擊者手法

      • 從手法途徑中，尋找更有效防禦措施方案

    • 核心

      • 分析潛在的不利事件，不僅僅是發現問題

      • 核心是要找出問題的根源和攻擊者的意圖

    • 措施

      • 利用工具持續監控日誌事件找出威脅

        • 工具

          • SIEM 資安事件管理系統

        • 目的

          • 找出已知惡意或可疑行為

      • 於工具使用最新威脅情報提高準確度
        並描述威脅者的攻擊方法和攻擊指標

        • 方法

          • 在分析工具使用威脅情報

        • 目的

          • 提高偵測準確度協助描述

      • 定期對無法用自動化充分監控的技術進行日誌事件的人工審查

      • 使用日誌分析工具產發現報告細節

    • 例子

      • 資安分析師透過分析 SIEM 系統的日誌，發現攻擊者利用了某個系統漏洞進行攻擊

  • DE.AE-03
    從多個來源關聯資訊

    • 目的

      • 整合來自不同安全工具和系統的資訊

      • 以便更全面地瞭解資安事件的經過與流程

    • 核心

      • 單一來源的資訊可能不夠完整
        需要結合多個來源的資訊
        才能更準確地判斷事件的性質和影響範圍

    • 措施

      • 將所有來源的日誌資料進行集中管理

        • 方法

          • 送到數量較少日誌伺服器

          • 可使用開源日誌管理平台

          • 雲端服務的日誌管理方案

      • 用事件關聯技術整理多個來源的日誌

      • 利用威脅情報幫助關聯日誌之間關係

    • 例子

      • 資安人員發現防火牆日誌有異常流量
        同時入侵偵測系統也發出警報
        透過關聯分析發現兩者都是同一攻擊事件

  • DE.AE-04
    確定不利事件的
    估計影響和範圍

    • 目的

      • 評估發生的資安事件嚴重程度和潛在損失

      • 以便組織與資安人員採取適當的應變措施

    • 核心

      • 及早評估資安事件的影響範圍和潛在損失

      • 有助於組織決定應變優先順序和資源分配

    • 措施

      • 使用 SIEM 或其他工具來估計影響和範圍，並審查和完善估計

      • 由人員自行估計影響和範圍

    • 例子

      • 公司遭受勒索軟體攻擊
        資安團隊評估受影響系統數量和重要性
        確定事件的影響範圍和潛在損失

小試身手

• 以下關於 DE.AE-02「分析潛在的不利事件，以更好地理解相關活動」的敘述，何者為錯誤？

  • A) DE.AE-02 的目標是深入分析已辨識的潛在不利事件，找出與事件相關的活動和行為模式

  • B) DE.AE-02 強調結合自動化工具和人工分析，以全面理解事件的來龍去脈

  • C) DE.AE-02 的重點在於事件的快速反應，因此不需要考慮事件的根本原因

  • D) DE.AE-02 的分析結果有助於組織採取更精準的應變措施，降低事件的負面影響

  • 答案

    • C

      • DE.AE-02 雖然強調及時分析，但並不代表不需要考慮根本原因。事實上，找出事件的根本原因有助於組織採取更有效的預防措施，避免類似事件再次發生。 NIST 文件中 DE.AE-02 的說明也包含了分析事件根本原因的意涵

• 以下哪一項措施不符合 DE.AE-02「分析潛在的不利事件，以更好地理解相關活動」的原則？

  • A) 使用 SIEM 或其他工具持續監控日誌事件，找出已知的惡意活動和可疑行為

  • B) 完全依賴自動化工具進行事件分析，以節省人力成本並提高分析效率

  • C) 定期檢視無法透過自動化方式有效監控的技術設備所產生的日誌事件

  • D) 使用日誌分析工具產生報告，以便於後續的事件調查和分析

  • 答案

    • B

      • DE.AE-02 雖然鼓勵使用 SIEM 等自動化工具，但並非完全依賴自動化分析。 NIST 文件明確指出，應結合人工分析以更全面地理解事件。 自動化工具可以協助處理大量的日誌資料，但人工分析在處理複雜攻擊手法和判斷事件的真實性方面仍然扮演著不可或缺的角色

• 以下哪個情境最能體現 DE.AE-03「從多個來源關聯資訊」的重要性？

  • A) 公司員工收到網路釣魚郵件，但沒有點擊郵件中的連結，因此沒有造成任何損失

  • B) 公司網站遭到 DDoS 攻擊，導致網站服務中斷數小時，但攻擊者並未入侵公司內部系統

  • C) 公司內部員工因為操作失誤，意外刪除重要資料，導致公司損失數百萬美元

  • D) 公司防火牆偵測到異常的網路流量，同時公司內部的入侵偵測系統也發出警報，經分析後發現兩者都是由同一個攻擊者發起的攻擊事件

  • 答案

    • D

      • DE.AE-03 強調結合來自不同來源的資訊來分析事件。 選項 D 中，公司同時從防火牆和入侵偵測系統收集資訊，並透過關聯分析發現這是同一攻擊事件，這正是 DE.AE-03 的應用場景。其他選項則未涉及多個資訊來源的關聯分析

• 根據 DE.AE-04「確定不利事件的估計影響和範圍」，以下哪一項敘述是正確的？

  • A) DE.AE-04 強調事件的精準評估，因此必須等到事件完全結束後才能進行評估

  • B) DE.AE-04 的評估結果僅供資安團隊參考，不影響組織的整體應變策略

  • C) DE.AE-04 的評估重點在於事件的技術細節，例如攻擊者使用的漏洞和攻擊手法

  • D) DE.AE-04 鼓勵組織使用各種方法和工具進行評估，例如 SIEM 或人員的專業判斷。

  • 答案

    • D

      • DE.AE-04 鼓勵組織採用多種方法評估事件的影響和範，可以使用 SIEM 或人員自行評估。 DE.AE-04 並不要求等到事件結束後才進行評估，而是在事件初期就應盡快進行初步評估，並根據新的資訊不斷更新評估結果。評估結果也會直接影響組織的應變策略和資源分配

• 以下哪一項不是 DE.AE-04「確定不利事件的估計影響和範圍」的主要目標？

  • A) 協助組織了解事件的嚴重程度和潛在損失

  • B) 協助組織決定應變措施的優先順序

  • C) 協助組織找出事件發生的根本原因和攻擊者的身份

  • D) 協助組織判斷是否需要啟動事件應變計畫

  • 答案

    • C

      • DE.AE-04 的主要目標是評估事件的影響和範圍，協助組織決定應變措施和資源分配。 雖然 DE.AE-04 的分析結果有助於找出事件的根本原因和攻擊者身份，但並不是 DE.AE-04 的主要目標。找出事件根本原因和攻擊者身份，更多是屬於事件分析（RS.AN）的範疇。