iT邦幫忙

2025 iThome 鐵人賽

DAY 23
0
佛心分享-IT 人自學之術

每天一點點資安黑魔法系列 第 23

Day23 | 通報與應變機制:CSIRT 與 SOC 是什麼?出事該怎麼辦?

  • 分享至 

  • xImage
  •  

⚠️ 資安事件不怕發生,最怕的是沒有人知道怎麼處理。今天介紹兩個重要的資安應變角色:

  • CSIRT:資安事件應變小組
  • SOC:資安營運中心

它們就像「資安救火隊」,當公司中毒、被入侵、勒索加密時,知道該怎麼做、誰要做、怎麼做。


一、CSIRT 是什麼?

CSIRT(Computer Security Incident Response Team)
資安事件應變小組,是一個跨部門、具專責性質的資安應變團隊

CSIRT 功能:

  • 偵測與通報資安事件
  • 協助隔離與控制損害
  • 擬定事件應變計畫
  • 協助恢復營運與事後調查
  • 提供事件通報報告與改善建議

常見組織內 CSIRT 角色:

角色 任務描述
組長 負責整體決策與資源調度
技術分析員 判斷攻擊來源、感染路徑等
通報窗口 對外聯繫(如 N-ISAC、政府)
管理代表 負責與營運高層溝通

二、SOC 是什麼?

SOC(Security Operations Center)
資安營運中心,是企業或機構的資訊安全監控與回應據點

SOC 功能(全天候監控):

  • 7x24 的事件監控(SIEM)
  • 統一收集日誌(log)與警示(alert)
  • 威脅偵測與關聯分析
  • 發現異常即觸發應變機制(如通知 CSIRT)

SOC 是技術面的「雷達站」,而 CSIRT 是「行動小隊」。


三、事件應變的六大步驟

依據 NIST SP 800-61 定義,資安事件處理通常分為:

步驟 說明
1️⃣ 準備(Preparation) 制定事件應變計畫、流程、演練
2️⃣ 偵測與分析(Detection & Analysis) 發現異常、判斷是否為事件
3️⃣ 控制(Containment) 暫停服務、斷網、避免擴散
4️⃣ 根除(Eradication) 移除惡意程式與弱點修補
5️⃣ 復原(Recovery) 恢復正常運作,確認無後門
6️⃣ 教訓回饋(Lessons Learned) 撰寫報告、修正 SOP、防範未來攻擊

四、事件通報制度

事件發生時需通報哪些單位?

單位 任務
TWNCERT / TWCERT/CC 台灣資安通報窗口,接收通報與協助協調
N-ISAC(政府) 國家級資安情報共享平台
公司主管機關 例如金管會、數位部等
警察機關 / 調查局 涉及刑事犯罪時需通報

✅ 通報內容包含:發生時間、影響範圍、處置狀況、後續建議等。


五、小結

機構 任務 關鍵字
CSIRT 回應與處理資安事件 人員組織、SOP、應變
SOC 監控與警示資安事件 SIEM、日誌、監控工具

小提醒:CSIRT 負責「做事」,SOC 負責「發現」問題。


上一篇
Day22 | 災難復原與備份策略:當系統壞掉,你該怎麼救?
下一篇
Day24 | APT 與社交工程:看不見的敵人,比你想像的更危險
系列文
每天一點點資安黑魔法30
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言