⚠️ 資安事件不怕發生,最怕的是沒有人知道怎麼處理。今天介紹兩個重要的資安應變角色:
它們就像「資安救火隊」,當公司中毒、被入侵、勒索加密時,知道該怎麼做、誰要做、怎麼做。
CSIRT(Computer Security Incident Response Team)
資安事件應變小組,是一個跨部門、具專責性質的資安應變團隊。
| 角色 | 任務描述 |
|---|---|
| 組長 | 負責整體決策與資源調度 |
| 技術分析員 | 判斷攻擊來源、感染路徑等 |
| 通報窗口 | 對外聯繫(如 N-ISAC、政府) |
| 管理代表 | 負責與營運高層溝通 |
SOC(Security Operations Center)
資安營運中心,是企業或機構的資訊安全監控與回應據點。
SOC 是技術面的「雷達站」,而 CSIRT 是「行動小隊」。
依據 NIST SP 800-61 定義,資安事件處理通常分為:
| 步驟 | 說明 |
|---|---|
| 1️⃣ 準備(Preparation) | 制定事件應變計畫、流程、演練 |
| 2️⃣ 偵測與分析(Detection & Analysis) | 發現異常、判斷是否為事件 |
| 3️⃣ 控制(Containment) | 暫停服務、斷網、避免擴散 |
| 4️⃣ 根除(Eradication) | 移除惡意程式與弱點修補 |
| 5️⃣ 復原(Recovery) | 恢復正常運作,確認無後門 |
| 6️⃣ 教訓回饋(Lessons Learned) | 撰寫報告、修正 SOP、防範未來攻擊 |
事件發生時需通報哪些單位?
| 單位 | 任務 |
|---|---|
| TWNCERT / TWCERT/CC | 台灣資安通報窗口,接收通報與協助協調 |
| N-ISAC(政府) | 國家級資安情報共享平台 |
| 公司主管機關 | 例如金管會、數位部等 |
| 警察機關 / 調查局 | 涉及刑事犯罪時需通報 |
✅ 通報內容包含:發生時間、影響範圍、處置狀況、後續建議等。
| 機構 | 任務 | 關鍵字 |
|---|---|---|
| CSIRT | 回應與處理資安事件 | 人員組織、SOP、應變 |
| SOC | 監控與警示資安事件 | SIEM、日誌、監控工具 |
小提醒:CSIRT 負責「做事」,SOC 負責「發現」問題。
iThome鐵人賽
看影片追技術