事件抑制(RS.MI)

知識內容

• 事件抑制(RS.MI)

  • 採取行動以防止事件蔓延並且減少事件影響，包含隔離系統、修補漏洞等

• 子項目

  • RS.MI-01
    事件得到控制

    • 目的

      • 防止資安事件進一步擴大，將損失降到最低

        • 阻止攻擊者獲得更多系統控制權

        • 防止更多企業的敏感資料被竊取

    • 核心

      • 快速準確進行事件控制最急迫，以便恢復業務

    • 措施

      • 自動化進行資安技術與功能的防禦措施

        • 技術

          • 特定資安軟體或工具

            • 防毒軟體

          • 特定類型威脅或攻擊

            • 惡意病毒

            • 惡意軟體

            • 網路釣魚

        • 功能

          • 系統或網路組成部分

            • 基礎建設

            • 作業系統

            • 網路設備

          • 提供更廣泛安全防護

            • 存取控制

            • 身份驗證

            • 網路分割

      • 允許事件回應者手動選擇和執行控制動作

        • 動作

          • 斷開網路服務連接

          • 關閉機器特定服務

          • 修改存取控制列表

      • 允許第三方廠商代表組織執行控制動作

        • 廠商

          • 網路廠商

          • 託管廠商

      • 自動將受感染端點移到進行修復VLAN網段

    • 例子

      • 某公司發現勒索攻擊，攻擊者已控制部分伺服器並加密重要資料公司資安團隊立即啟動事件回應計畫，隔離受感染伺服器，阻止勒索軟體進一步擴散，同時關閉受影響服務，防止攻擊擴大影響範圍

  • RS.MI-02
    事件被根除

    • 目的

      • 徹底清除事件影響，恢復系統與資料正常運作

    • 核心

      • 需要確保攻擊者無權限且清除惡意程式和後門

    • 措施

      • 資安技術與功能自動化執行根除動作

        • 清除惡意軟體

        • 進行系統還原

        • 安裝更新修補

      • 允許事件回應者手動選擇和執行根除動作

        • 刪除惡意程式

        • 修改系統設定

        • 重建受害系統

      • 允許第三方代表組織執行根除動作

        • 事件回應服務

        • 系統還原服務

    • 例子

      • 在成功控制勒索攻擊後，資安團隊開始著手根除事件他們使用防毒軟體清除受感染系統上的惡意程式碼，並重新安裝受感染的作業系統和應用程式，以確保系統的乾淨和安全同時，他們還重置了所有受影響帳號的密碼，並加強了系統的安全策略，以防止類似事件再次發生

小試身手

• 以下關於事件抑制 (RS.MI) 敘述，何者為錯誤？

  • A) 事件抑制的目標是防止事件擴散並減輕其影響

  • B) 事件抑制包含隔離受影響的系統、修補漏洞和清除惡意軟體等措施

  • C) 事件抑制僅在事件根除後才開始執行

  • D) 事件抑制需要與其他 NIST CSF 功能協同作用，才能有效地應對和管理資安事件

  • 答案

    • C

      • 事件抑制是在事件被偵測到並確認後立即開始執行的，其目的是防止事件進一步擴散，而非等到事件根除後才開始

• 當公司發現勒索軟體攻擊時，下列哪一項行動不屬於 RS.MI-01「事件得到控制」的範疇？

  • A) 隔離受感染的伺服器，阻止勒索軟體橫向移動到其他系統

  • B) 使用防毒軟體清除受感染系統上的惡意程式碼

  • C) 關閉受影響的服務，防止攻擊擴大影響範圍

  • D) 備份未受影響的系統和資料，以便在需要時進行恢復

  • 答案

    • B

      • 使用防毒軟體清除惡意程式碼屬於 RS.MI-02「事件被根除」 的範疇，其目的是徹底清除事件的影響，而 RS.MI-01 的重點是控制事件的擴散

• 在成功控制網路釣魚攻擊後，下列哪一項行動屬於 RS.MI-02「事件被根除」的範疇？

  • A) 重置受影響帳號的密碼

  • B) 封鎖發送釣魚郵件的電子郵件地址

  • C) 向所有員工發送電子郵件，提醒他們注意網路釣魚攻擊

  • D) 分析攻擊者的攻擊手法，以便改進安全防禦措施

  • 答案

    • A

      • 重置受影響帳號的密碼可以確保攻擊者無法繼續利用這些帳號，這屬於清除事件影響的範疇 選項 B 和 C 屬於事件預防的範疇，而選項 D 屬於事件後分析的範疇

• 以下哪一項措施最能體現 RS.MI 的核心概念？

  • A) 建立完整的資安事件應變計畫

  • B) 定期進行資安意識培訓，教育員工如何識別和防範網路攻擊

  • C) 部署多層次的網路安全防禦措施，例如防火牆、入侵偵測系統和防毒軟體

  • D) 在事件發生時，迅速隔離受影響的系統，並採取措施清除惡意軟體和後門

  • 答案

    • D

      • RS.MI 的核心概念是防止事件擴散並減輕其影響，而選項 D 中描述的行動直接體現了這一核心概念 選項 A、B 和 C 雖然有助於提高組織的整體安全性，但並非 RS.MI 的核心重點

• 在事件抑制過程中，允許第三方廠商代表組織執行 RS.MI-02「事件被根除」動作時，下列哪一項敘述最為重要？

  • A) 第三方廠商的服務費用必須是市場行情最低價

  • B) 第三方廠商必須具備處理類似事件的豐富經驗，並能提供有效的解決方案

  • C) 第三方廠商不需要組織簽訂詳細的合約，不用明確界定雙方的權利和義務

  • D) 第三方廠商即使擁有不好的信譽，只要便宜也可以接受

  • 答案

    • B

      • RS.MI-02 的目標是徹底清除事件的影響，因此選擇的第三方廠商必須具備足夠的專業能力和經驗才能勝任選項 A、C 和 D 除了成本比較之外，合約也非常重要