免責聲明

本文內容為 學習與模擬作業情境，目的在於將 Google Cybersecurity Certificate 課程第一單元的「資安分析師日常任務」與真實新聞案例相結合，用於教育與筆記參考。
所有資訊均來自公開新聞與威脅情報來源，不代表實際事件全貌。若涉及特定企業或組織，僅作為案例學習用途，並非內部調查或正式報告。

事件背景（新聞脈絡）

• 新聞報導：民視報導，新興勒索軟體集團 Warlock 在暗網宣稱入侵致茂網路系統，限期 17 天談判，否則公開資料。致茂為台積電／輝達 GPU 測試設備的重要供應商，晚間重訊證實資訊系統一度受影響並已啟動應變。這凸顯半導體供應鏈的高價值目標屬性與連鎖風險。新聞

• 威脅情資：研究顯示，Warlock 採 勒索軟體即服務（RaaS） 模式運作，常以 Microsoft SharePoint 漏洞作為初始入侵，並採「竊取 → 加密 → 外洩」的三重勒索策略。

課程呼應：分析師日常職責

根據 Google Cybersecurity Certificate 第一單元，entry-level cybersecurity analyst 的核心任務包括：

1. 偵測威脅：使用 SIEM、IDS 等工具識別異常行為。
2. 分析事件：應用 CIA 三元組（Confidentiality, Integrity, Availability）評估影響。
3. 應變協作：遵循 PICERL 流程（Preparation, Identification, Containment, Eradication, Recovery, Lessons Learned）進行。
4. 溝通報告：將技術細節轉化為商業語言，協助管理層與客戶理解風險。

這些任務在致茂案例中，都有具體的對應情境。

任務 × 輸出 × 工具（矩陣總覽）

資安分析師的作業流程

在實務中，資安分析師的作業流程通常以 持續循環（continuous cycle） 的方式進行：

1. 監控 (Monitoring)

   • 透過 SIEM 與各式偵測工具，持續監看系統與網路狀況，建立「基準行為」以便辨識異常。

2. 發現與通報 (Alerting & Notification)

   • 當偵測到異常行為（例如非正常時間的大量資料外傳），分析師需要立即通報 SOC / CSIRT，並建立事件單。

3. 初步分類 (Triage)

   • 對告警進行分類與優先級排序，過濾誤報，判斷哪些事件需要立即升級處理。

4. 深入分析 (Investigation)

   • 收集日誌、流量、端點證據，重建事件時間線，並比對威脅情資。

5. 事件應變 (Incident Response)

   • 根據 PICERL 流程採取遏止、根除、復原動作，並在過程中與其他部門（IT、法務、管理層）協作。

6. 報告與回饋 (Reporting & Feedback)

   • 撰寫報告、提出改進建議，並將經驗回饋到監控規則與教育訓練中，形成閉環。

這套流程與課程中的 Core Skills for Cybersecurity Professionals 完全對應：既要能操作工具（技術面），也要能與同事、主管、客戶清晰溝通（軟實力）。

實戰演練：致茂／Warlock 案例套用

1) 偵測（Detection）

• 線索：暗網公告、SIEM 偵測 SharePoint 異常流量、EDR 告警顯示深夜檔案壓縮與外傳。
• 輸出：事件初步紀錄卡。
• 工具：SIEM、EDR、Proxy 日誌。
• 課程呼應：符合第一單元強調的「entry-level analyst 要能辨識可疑行為」。

2) 分析（Analysis）

• 作法：回溯 SharePoint / IIS 日誌、比對 AD 登入紀錄、建立檔案外洩清單。
• 輸出：事件時間線、外洩資料清單。
• 工具：SQL 查詢、封包分析、取證工具。
• 課程呼應：應用 CIA 三元組評估影響。

3) 遏止（Containment）

• 措施：隔離受害端點、停用疑涉帳號、封鎖外聯 IP、啟用 WAF 規則。
• 輸出：隔離紀錄、阻斷清單。
• 工具：EDR、防火牆 ACL。
• 課程呼應：實施控制措施並保全證據。

4) 根除（Eradication）

• 措施：清除 Web shell、套用 SharePoint 漏洞修補、重設憑證與金鑰。
• 輸出：清除報告、漏洞修補清單。
• 工具：漏洞掃描、漏洞修補管理。
• 課程呼應：維護與加固控制措施。

5) 復原（Recovery）

• 措施：從不可變備份恢復系統、驗證檔案完整性、恢復服務並加強監控。
• 輸出：服務恢復報告、驗證清單。
• 工具：備份系統、完整性驗證工具。
• 課程呼應：對應 CIA 的「可用性」。

6) 報告與改善（Report & Improve）

• 報告：IR 報告與管理摘要，描述營運衝擊與供應鏈風險。
• 改善：更新漏洞修補流程、導入 Deception 技術、加強供應鏈治理。
• 輸出：Lessons Learned 文件。
• 課程呼應：技術 + 軟實力並重。

小結

• 第一單元教材指出：分析師日常是「監控、分析、應變、報告」，這在致茂案例中完整展現。
• CIA 三元組協助快速釐清事件衝擊；PICERL 流程讓行動有序。
• 作業流程（從監控到回饋） 串起日常與事件，形成閉環防禦。
• 新聞案例讓「資安分析師的任務矩陣」從理論落到真實世界，幫助學習者理解如何將課程技能用在實務場景。