前言

今天要跟大家介紹 NIST SP 800-61 (Computer Security Incident Handling Guide)，它到底是什麼樣的框架
為什麼這麼多組織與資安人員喜歡使用，NIST SP 800-61 框架的目的是透過使用標準、指南和實務來保護關鍵設施

介紹

NIST SP 800-61 總共分為四個流程，定義了組織機構準備、偵測和回應惡意事件的能力

圖片出處：NIST SP 800-61 流程圖

NIST SP 800-61 四個主要階段：

四個階段雖然被分開描述，實際上往往是交互進行的

1. Preparation（準備）：
   團隊、工具、演練、角色與責任
2. Detection & Analysis（偵測與分析） ：
   監控異常活動、日誌、事件分類，協助區分「誤報」與「事件」
3. Containment, Eradication & Recovery（遏制、根除和恢復） ：
   隔離端點、移除惡意程式、系統復原
4. Post-Incident Activity（事後活動） ：
   檢討改善、記錄、經驗學習

看到 NIST SP 800-61 流程有沒有發現一件事情在這過程中都不是線性的，而是循環流程，需要理解的重點是，隨著時間有新證據的發現，後續步驟也可能會改變
不管是NIST SP 800-61、網路攻擊鏈、ISO 27001等，每個流程都需要確認不會跳過流程中的步驟，並確保在完成上一個步驟後再進行下一步

實際案例：補救順序錯誤

假設一家公司發現有多個系統遭到後門安裝
如果團隊只先清除一兩台主機，而沒有同步處理其他受害機器，那麼攻擊者可能會：

• 立刻透過尚未被清除的主機重新部署後門
• 或刪除、修改證據，讓後續調查更困難

千萬不可半途而廢或分頭行動，否則會引起駭客警覺並遭到反制

結語

事件處理不是等事情發生才開始，而是要在事前就建立好流程
後續文章將討論：

1. 準備：需要準備什麼？
2. 偵測與分析：怎麼分辨事件是「誤報」還是真正的攻擊？
3. 遏制、根除和恢復：為什麼「一次性控制」這麼重要？
4. 事後活動：怎麼把經驗轉化成下一次的改進？

參考資料

• NIST SP 800-61 Rev. 2
• 美國國家標準暨技術研究院（NIST）