知識內容

• RS 回應

  • RS 針對已確認事件採取行動以控制事件減輕影響

    • ID 識別組織的資產與資訊安全風險

    • PR 採取保護措施降低風險、可能性、影響

    • DE 持續監控和分析，及時發現淺在事件

    • RS 確定發生後根據事件回應計畫採取行動

  • 事件管理 (RS.MA)

    • 針對管理已檢測的資安事件回應，包含事件分類、優先順序、協調與恢復

  • 事件分析 (RS.AN)

    • 針對事件進行調查，確定事件的根本原因、影響範圍、適當補救措施

  • 事件回應報告
    與溝通 (RS.CO)

    • 針對資安事件發生期間與結束後與內、外部利益關係人的有效溝通重要性

  • 事件抑制(RS.MI)

    • 採取行動以防止事件蔓延並且減少事件影響，包含隔離系統、修補漏洞等

• 事件管理 (RS.MA)

  • RS.MA-01
    一旦宣布事件後即與
    相關第三方協調
    執行事件回應計畫

    • 目的

      • 事件發生時協調內外部資源，有效率地控制事件並降低損害

    • 核心

      • 事件回應需快速、協調一致的行動，且可能要與第三方合作

    • 措施

      • 一旦確認發生事件，立即啟動事件回應計畫

      • 與內部團隊（如資安、法務、公關團隊）協調回應行動

      • 聯絡外部事件回應團隊或執法機關尋求協助

      • 與受影響的第三方（如客戶、合作夥伴）溝通事件資訊

    • 例子

      • 公司遭受勒索軟體攻擊，資安團隊馬上啟動事件回應計畫，
        並聯絡外部資安公司協助事件調查和資料恢復，
        同時通知受影響的客戶。

  • RS.MA-02
    事件報告分類和驗證

    • 目的

      • 快速確認資安事件的真實性和嚴重程度，避免浪費資源

    • 核心

      • 並非所有報告的事件，都需要全面啟動事件回應流程

    • 措施

      • 建立事件分類和嚴重程度分級標準

      • 使用自動化工具初步篩選和分類事件報告

      • 指派專人審查事件報告，驗證其真實性和準確性

      • 從事件嚴重程度和組織影響決定是否啟動事件回應計畫

    • 例子

      • 資安監控系統發出警報，顯示可能發生網路釣魚攻擊，
        資安分析師審查警報後確認為誤報，
        因此無需啟動事件回應計畫。

  • RS.MA-03
    事件分類和優先排序

    • 目的

      • 有效分配資源，優先處理對組織影響最大的事件

    • 核心

      • 在資源有限的情況下，需要根據事件的影響和緊急程度進行優先排序

    • 措施

      • 根據事件類型、影響範圍、受影響系統、資料敏感度等因素對事件進行分類

      • 根據事件的潛在損失、恢復時間、法規要求等因素評估事件的優先順序

      • 建立事件處理隊列，並根據優先順序動態調整

    • 例子

      • 組織同時發生多起資安事件，包括資料洩漏、DDoS 攻擊和網站竄改，資安團隊評估後，優先處理影響範圍最廣、可能造成最大損失的資料洩漏事件。

  • RS.MA-04
    需要時升級或提升事件

    • 目的

      • 確保事件得到適當層級的關注和資源

    • 核心

      • 某些事件可能需要更高層級的管理層或外部資源介入處理

    • 措施

      • 定義資安事件的升級標準

        • 事件嚴重程度

        • 事件影響範圍

        • 事件處理進度

      • 建立明確的事件升級流程，以及與相關人員的溝通管道

      • 確保高階主管了解事件升級流程並能及時提供必要支持

    • 例子

      • 企業發生資安事件最初評估為一般事件，隨著調查的深入，發現影響範圍遠超預期，且攻擊手法複雜，事件處理團隊決定將事件升級，請求高階主管人員提供資源和決策支持。

  • RS.MA-05
    應用啟動
    事件恢復的標準

    • 目的

      • 確定事件是否得到控制，是否可以開始進行恢復工作

    • 核心

      • 在開始事件恢復之前，需要確保事件已得到有效遏止

      • 也要確認事件不會對恢復工作造成負面影響

    • 措施

      • 定義事件恢復啟動標準

        • 攻擊是否停止

        • 系統是否隔離

        • 途徑是否關閉

      • 在滿足預設標準後，才能啟動事件恢復流程

      • 持續監控事件狀態，若再次發生應立即停止且重新評估

    • 例子

      • 在成功遏止勒索軟體攻擊後，資安團隊確認受感染系統已完全隔離，並且備份資料完整可用，滿足事件恢復啟動標準後，開始進行系統重建和資料恢復工作。

小試身手

• 以下關於 RS.MA-01「一旦宣布事件，即與相關第三方協調執行事件回應計畫」的敘述，何者為錯誤？

  • A) 在確認發生事件並宣布後，應立即啟動事件回應計畫，並協調內外部資源，以有效控制事件並降低損害。

  • B) 與第三方協調執行事件回應計畫，包含外部事件回應團隊、執法機關、受影響的客戶和合作夥伴等。

  • C) 所有報告的事件都需要全面啟動事件回應流程。

  • D) 在事件發生時，組織應快速、協調一致地採取行動，並可能需要與第三方合作，才能有效地控制事件。

  • 答案

    • C

      • C 選項為 RS.MA-02 的範疇，但強調並非所有報告的事件都需要全面啟動事件回應流程。

• 以下哪項措施最符合 RS.MA-02「事件報告分類和驗證」的核心概念？

  • A) 組織應定義事件升級標準，例如基於事件的嚴重程度、影響範圍、處理進度等。

  • B) 組織應使用自動化工具初步篩選和分類事件報告，並指派專人審查事件報告，驗證其真實性和準確性。

  • C) 組織應根據事件類型、影響範圍、受影響系統、資料敏感度等因素對事件進行分類。

  • D) 組織應在成功遏止資安事件後，確認受感染系統已完全隔離，並且備份資料完整可用，滿足事件恢復啟動標準後，開始進行系統重建和資料恢復工作。

  • 答案

    • B

      • RS.MA-02 的核心概念是，並非所有報告的事件都需要全面啟動事件回應流程，因此需要先確認事件報告的真實性和嚴重程度，再決定是否需要啟動事件回應計畫。選項 B 中使用自動化工具和專人審查能有效提高事件分類和驗證的效率。

• 以下哪一組監控目標最符合 RS.MA-03「事件分類和優先排序」的原則？

  • A) 資料洩漏、DDoS 攻擊和網站竄改

  • B) 員工電子郵件、網際網路瀏覽記錄

  • C) 網路流量、防火牆日誌

  • D) 實體門禁系統日誌、監視攝影機畫面

  • 答案

    • A

      • RS.MA-03 的核心概念是，在資源有限的情況下，需要根據事件的影響和緊急程度進行優先排序。選項 A 中的資料洩漏、DDoS 攻擊和網站竄改屬於資安事件的範疇，組織應評估這些事件的影響和緊急程度後進行優先排序。

• 以下哪個情境最能說明 RS.MA-04「需要時升級或提升事件」的重要性？

  • A) 公司內部員工因為操作失誤，導致重要資料被刪除。

  • B) 公司網站遭受 DDoS 攻擊，導致服務中斷，但攻擊規模小，影響範圍有限。

  • C) 某事件最初評估為一般事件，但隨著調查的深入，發現影響範圍遠超預期，且攻擊手法複雜，事件處理團隊決定將事件升級，請求高層管理人員提供資源和決策支持。

  • D) 公司內部員工因為不滿公司政策，將機密資料洩漏給競爭對手。

  • 答案

    • C

      • RS.MA-04 的核心概念是確保事件得到適當層級的關注和資源。選項 C 中的事件最初評估為一般事件，但隨著調查的深入，發現影響範圍擴大，且攻擊手法複雜，需要更高層級的管理層介入處理，因此需要將事件升級。

• 根據 RS.MA-05 的定義，以下哪一項設定不屬於應用啟動事件恢復的標準？

  • A) 攻擊活動是否停止。

  • B) 受影響系統是否已隔離。

  • C) 攻擊途徑是否已封閉。

  • D) 不需要跟相關第三方協調執行事件回應計畫。

  • 答案

    • D

      • RS.MA-05 的核心概念是，在開始事件恢復之前，需要確保事件已得到有效遏止，並且不會對恢復工作造成負面影響。選項 D 屬於 RS.MA-01 的範疇，但是要改成一旦宣布事件，即與相關第三方協調執行事件回應計畫的範疇。