事件分析 (RS.AN)

知識內容

• 事件分析 (RS.AN)

  • 針對事件進行調查，確定事件的根本原因、影響範圍、適當補救措施

• 事件分析 (RS.AN)
  子項目

  • RS.AN-03
    分析事件
    以確定事件中發生的事情
    以及事件的根本原因

    • 目的

      • 深入了解事件的來龍去脈，找出事情發生根本原因

      • 以便採取有效防禦措施，防止類似的事件再次發生

    • 核心

      • 事件分析不僅是解決目前問題，且吸取教訓提高防禦

    • 措施

      • 確定事件發生順序、事件中涉及資產和資源

      • 確定事件直接或間接參與的漏洞、威脅、參與者

      • 分析事件以找出潛在的系統性根本原因

      • 尋找任何欺騙技術，取得有關攻擊者行為資訊

    • 例子

      • 公司伺服器遭受入侵，經事件分析發現，攻擊者利用了未修補的系統漏洞入侵伺服器，並植入後門程式，進一步竊取敏感資料。
        結果顯示，公司未及時更新系統修補程式是導致事件發生的根本原因，因此公司需要改進漏洞管理流程。

  • RS.AN-06
    記錄調查過程中執行操作
    並保留記錄完整性和來源

    • 目的

      • 確保資安事件調查是可追溯、可驗證的過程

      • 為事件處理提供證據，也為日後事件分析提供參考

    • 核心

      • 準確、完整的記錄是事件調查和事件回應的關鍵要素

    • 措施

      • 要求每個事件回應者和其他執行人員記錄其操作

        • 系統管理員

        • 資安工程師

      • 要求事件負責人詳細記錄並負責維護文件與報告

      • 操作、回應紀錄、維護文件都要確保來源完整性

    • 例子

      • 調查資料洩漏事件，事件回應團隊記錄每個步驟的操作，包括存取的系統、收集的證據、採取的措施等，並使用數位簽章和時間戳技術確保記錄的完整性和不可竄改性。這些記錄可以作為事件處理的證據，也可以為後續的事件分析和安全策略制定提供參考依據。

  • RS.AN-07
    收集事件資料和中繼資料
    並保留其完整性和來源

    • 目的

      • 在資安事件分析與調查中完整、準確地保存事件證據

      • 為事件調查、取證分析和後續法律訴訟提供有力支持

    • 核心

      • 事件資料和中繼資料是事件調查的關鍵，其完整性和來源必須得到保障。

    • 措施

      • 根據證據保存和保管鏈流程，收集保存所有資料

      • 需維護事件、中繼資料、來源、收集時間完整性

    • 例子

      • 在勒索軟體攻擊事件中，事件回應團隊收集了受感染系統的磁碟映像、記憶體、網路流量記錄等事件資料，並使用加密技術和數位簽章確保資料的完整性和來源可靠性，以便於後續的取證分析和事件歸因。

  • RS.AN-08
    估計和驗證事件嚴重程度

    • 目的

      • 準確評估資安事件影響範圍和潛在損失

      • 為制定相應的資安回應和恢復策略提供依據

    • 核心

      • 事件的嚴重程度決定事件回應的緊急程度和資源投入

    • 措施

      • 審查事件其他潛在目標，以搜尋攻擊指標和持續存在的證據。

      • 在目標上自動執行工具，以查找攻擊指標和持續存在的證據。

    • 例子

      • 在資料洩漏事件中，資安團隊需要評估洩漏資料的類型、數量、敏感度等因素，以確定事件的嚴重程度。如果洩漏的資料包含大量信用卡資訊，則事件的嚴重程度將非常高，需要立即採取措施，通知受影響的客戶、銀行和監管機構，並啟動資料恢復和信用監控。

小試身手

• 以下關於 RS.AN-03「分析以確定事件中發生的事情以及事件的根本原因」的敘述，何者為錯誤？

  • A) 目的是找出事件發生的原因、過程和影響範圍，以便採取有效的應變措施。

  • B) 其分析重點包含事件發生的時間、地點、人物、事發經過和原因等。

  • C) 在確定事件根本原因時，應深入分析事件發生的直接原因和間接原因，例如系統漏洞、人員疏忽、流程缺陷等。

  • D) 分析結果應作為機密資訊保存，避免被攻擊者利用或造成恐慌。

  • 答案

    • D

      • RS.AN-03 並未強制要求分析結果必須作為機密資訊保存。 選項 A、B 和 C 的描述都符合 RS.AN-03 的精神， 旨在找出事件的根本原因和影響， 並採取適當的應變措施。

• 在事件分析過程中，哪一項措施 不符合 RS.AN-06「記錄調查期間執行的動作，並保留記錄的完整性和來源」的原則？

  • A) 使用事件追蹤系統記錄所有與事件相關的活動，例如時間、人員、操作內容等。

  • B) 將所有事件相關的證據和日誌文件集中存放在一個共用資料夾中，方便團隊成員隨時取用。

  • C) 在收集和保存事件證據時，應使用數位簽章或雜湊值驗證其完整性，確保證據未被竄改。

  • D) 保留所有原始日誌文件，並記錄日誌來源、收集時間、收集人員等資訊，確保證據的來源可追溯。

  • 答案

    • B

      • 將所有事件相關的證據和日誌文件集中存放在一個共用資料夾中，可能會導致證據被意外修改或刪除，無法確保證據的完整性和來源。 RS.AN-06 強調記錄調查過程和確保證據的完整性與來源， 選項 A、C 和 D 的措施都符合此原則， 選項 B 則有潛在風險。

• 以下哪個情境最符合 RS.AN-07「收集事件資料和中繼資料，並保留其完整性和來源」的要求？

  • A) 事件處理團隊在調查過程中，將所有收集到的事件相關資料和日誌文件儲存在一個加密的外部硬碟中。

  • B) 事件處理團隊使用自動化腳本從受影響的系統中收集事件日誌，並將日誌文件儲存在一個安全的日誌伺服器上，同時記錄日誌來源、收集時間和收集人員等資訊。

  • C) 事件處理團隊將所有事件相關的證據和分析報告提交給公司法務部門，由法務部門負責保存和管理這些資料。

  • D) 事件處理團隊在事件調查結束後，將所有事件相關的資料和文件銷毀，避免資料外洩。

  • 答案

    • B

      • RS.AN-07 強調收集和保存事件資料和中繼資料，並確保其完整性和來源。選項 B 中使用自動化腳本收集日誌、將日誌儲存在安全的日誌伺服器上，以及記錄日誌來源等資訊，最符合 RS.AN-07 的要求。選項 A 僅強調加密儲存，選項 C 將資料交給其他部門處理，選項 D 則直接銷毀資料，都無法完全滿足 RS.AN-07 的要求。

• 根據 RS.AN-08「估計和驗證事件的規模」的敘述，以下哪個說法是正確的？

  • A) 事件的規模只能透過受影響的系統數量來判斷，與資料外洩的數量無關。

  • B) 事件規模的估計不需要精準，只需要大致判斷事件的影響範圍即可。

  • C) 在估計事件規模時，應考慮事件的潛在影響，例如資料外洩、服務中斷、商譽損失等。

  • D) 事件規模的驗證通常由外部安全廠商負責，以確保評估的客觀性和準確性。

  • 答案

    • C

      • RS.AN-08 旨在準確評估事件的影響範圍， 選項 C 正確描述了在評估時， 應該將資料外洩、 服務中斷、 商譽損失等潛在影響納入考量。 選項 A 過於絕對， 選項 B 低估了評估的重要性， 選項 D 並非必要， 企業內部也可以進行驗證。

• 在 RS.AN-08「估計和驗證事件的規模」的結果以下哪一個選項是錯誤的？

  • A) 事件剛發生時，用於初步判斷事件的嚴重程度。

  • B) 事件調查過程中，用於調整調查方向和資源分配。

  • C) 事件調查結束後，用於編寫事件報告和改進措施。

  • D) 事件規模評估無法確認攻擊者的身份和動機。

  • 答案

    • D

      • 事件規模評估可以提供關於攻擊者身份和動機的線索。雖然它可能無法完全確認攻擊者的身份和動機（這取決於事件的具體情況以及可獲得的證據），但它可以提供對攻擊範圍、所用技術和潛在目標的洞察力，所有這些都可以幫助調查人員識別攻擊者或其背後的動機