前言

當凌晨三點告警突然響起把你吵醒，你有多少時間來判斷這是誤報還是真正的攻擊？
資安事件應變處理（Incident Handling, IH）就是在這關鍵時刻，決定組織損失大小的關鍵
無論是資安人員或 IT 系統管理員，都需要持續採取防護措施，以預防資安事件的發生，或至少降低事件所帶來的衝擊
如果組織無法承受資訊的機密性、完整性或可用性受到破壞，那麼具備事件處理的能力就變得非常關鍵

有些公司會自建 IR 團隊；也有組織選擇委外，或在發生事件時即時進場協助（通常依合約內容而定）
在進一步討論事件處理的流程之前，我們先釐清幾個常見的專有名詞

名詞介紹

1. Event（事件）

Event 是指在系統或網路中，某個操作或活動的發生。例如：

• 你開啟 Outlook 寄了一封信
• 你在桌面上新增了一個資料夾
• 使用者登入失敗的記錄
  這些動作都是日常操作中的正常行為，不一定帶有惡意或負面影響。

2. Incident（資安事件）

Incident 則是指可能導致負面後果的事件，例如：

• 系統突然掛掉或無法提供服務
• 有人偷看或下載了不該碰的資料
• 自然災害導致的服務中斷
• 惡意軟體入侵

值得一提的是，資訊安全事件在業界中並沒有一個統一的定義
不同組織可能會根據自身風險容忍度或產業特性，定義出不同的「資安事件」範圍
一般來說，資訊安全事件可定義為：

在電腦系統中，可能具備惡意意圖，且對機密性、完整性或可用性造成威脅的行為或狀況

常見資安事件範例包括：

• 資料被盜取或外洩
• 駭客入侵導致資金損失
• 未經授權存取敏感資訊
• 惡意程式植入（例如：勒索軟體）

事件處理的範圍不只駭客

需要注意的是，事件處理不僅限於針對駭客入侵的應對。許多非技術性因素也可能引發事件，例如：

• 人為操作錯誤（例如：不小心刪掉資料庫）
• 系統設定錯誤（例如：權限給錯，結果人人都能登入獲取資料）
• 財產損失或中斷風險 （例如：機房斷電）

這些狀況也應包含在事件處理的範圍中
因此，面對各種潛在事件，組織應該具備一套完整的應對流程，用來識別、控制、根除&遏止事件影響，並恢復正常的業務運作

小提醒：初期判斷的重要性：寧可過度謹慎，也不要錯失真正威脅

在進行初步調查之前，很難立即確定某個事件是否構成真正的資安事故
很多時候一個 Event 出現時，我們根本無法立即判斷它是不是事件
例如：系統管理員在非上班時間建立新的本機帳號，這可能是維護需求，也可能是攻擊者建立後門

在釐清所有事情之前，先把它當成事件處理，因為寧可多做一點調查，也不要漏掉真正的攻擊

延伸閱讀：NIST SP 800-61

你是否曾在事件發生時不知道該從何著手？或是擔心遺漏重要的處理步驟？
NIST Special Publication 800-61 不只是技術文件，更是一套讓團隊在壓力下保持冷靜的實務框架