一起資安事件的發生到完全解決所涵蓋的過程。

包括：

• 事件發生時進行偵測、處理與應對
• 減輕事件的影響
• 並根據流程做出系統性的反應

Alert

當偵測到某個可疑事件或一系列事件，會發出警示（Alert）。

• False Positive：看起來像是危險，其實是正常行為
• True Positive：真正的危險

事件分級

手上同時有多起資安事件時，如何決定先處理哪一個?

得依靠 事件的嚴重程度（Severity Level）來判斷。

四個等級:

Critical > High > Medium > Low

越高階代表有以下可能性

• 可能資料外洩
• 有系統服務中斷的風險
• 或是與已知攻擊活動有明確關聯

事件類型

Malware Infections

• 透過檔案（文件、可執行檔等）進入系統。

Security Breaches

• 只能透過授權人員存取的機密資料被未經授權的個人取得

Data Leaks

• 個人或組織的機密資訊被未授權的實體存取或曝光。
• 有時可能是人為失誤或設定錯誤造成的。

Insider Attacks

• 由組織內部人員發起的，危害性極高。

DoS

• 對某系統、網路或應用程式發送大量虛假請求，導致資源被耗盡，進而使其他使用者無法存取服務。

事件回應框架

提供了在遇到任何事件時可以遵循的通用應對流程。

目前最廣泛使用的框架：

• SANS
• NIST - 由美國國家標準技術研究院制定各種技術與資安標準。

SANS

• 六部分組成
  • preparetion :建立處理事件所需的資源，如小組，計畫，工具，訓練
  • identification :會透過監控工具來觀察是否有異常行為
  • containment :將事件的範圍控制住，如隔離感染主機，停用帳號等
  • eradication :將事件裡的威脅從系統中移除
  • recovery :將受影響的系統還原或重新安裝
  • lessons learded :回顧並紀錄這次事件的過程

NIST

• 四部分組成
  • Preparation
  • Detection and Analysis
  • Containment, Eradication, and Recovery
  • Post-Incident Activity

與 SANS 框架類似，只是部分階段被合併。

事件回應計劃

實作框架時，應制定一份正式的事件回應計劃書，說明事件發生前、發生時、以及事後的應對流程。

內容：

• 責任分配（誰負責什麼階段）
• 事件回應方法(SANS 或 NIST ）
• 與利害關係人溝通（與執法機構的聯繫機制）
• 事件升級與通報流程（事件加劇時應如何通報與處理）

常見IR工具：

• SIEM:將日誌資料收集，進行關聯分析來識別潛在的事件。
• Anti-Virus:偵測已知惡意程式的工具。
• Endpoint Detection & Response:能偵測高階威脅，也能自動遏止與清除威脅。

Playbook

• 一套處理特定資安事件的指南。
• 以逐步指示的形式說明在發生特定類型事件時該如何應對。
• 可節省時間，提高事件處理效率。