1. Process
Incident response process 用來辨識、管理佮減輕資安事件的方法。
事件對應(Incident response) 的七个階段:
1. Preparation
建立佮維護 incident response plan、組織 Cybersecurity Incident response Team(CSIRI) 佮建立系統設定等文件。
2. Detection
使用 SIEM、SOAR、XDR、IDS/IPS 佮 UEBA 來辨識可能的事件。
3. Analysis
分析事件的型態,考量事件的影響佮重要ㄒ重要性。使用 MITRE ATT&CK framework、Cyber Kill Chain 抑是 diamond model of intrusion analysis。
4. Containment
限制事件的影響,孤立已經感染的系統。
5. Eradication
毀滅引起事件的源頭。
6. Recovery
恢復系統運作到正常的狀態。
7. Lessons Learned
進行 post-incident 分析。
2. Training
Incident response training 對組織的網路防衛是 chin 重要 eh。
-
Security awareness training
-
Security policies and procedures
-
Incident handling
-
Incident simulation and drills
-
Communication skill
-
Legal and regulatory compliance
-
Team collaboration
3. Testing
-
Tabletop exercises
-
Simulations
4. Root Cause Analysis
5. Threat Hunting
-
Intelligence fusion
-
Threat feeds
-
Advisories and bulletins
6. Digital Forensics
四个階段:
1. Collection
2. Examination
3. Analysis
4. Reporting
Legal Hold