複選題

27. 【題組 3】情境如附圖所示，關於 NIST SP 800-61 資安事故處理指引（Computer Security Incident Handling Guide）其事故處置生命週期（Incident Response Life Cycle）之敘述，下列何項正確？

(A) 準備（Preparation）階段：確保事故處置生命週期其所需資源皆已完備，但不包含事前降低資安事故發生機率或避免其產生
(B) 偵測與分析（Detection & Analysis）階段：準確偵測和評估所可能發生的資安事故為其此階段最具挑戰性之 工作，若發生還須確認其類型、範圍與嚴重程度
(C) 控制、清除與復原（Containment, Eradication & Recovery）階段：若有預先定義用於控制事件之策略 與程序，會更容易決策所需採取的行動
(D) 事故後活動（Post-Incident Activity）階段：包含整個事故處置生命週期中，最重要也最常被忽略的項目 – 案例分析（Case Study）和改進

正確答案是 (B)、(C)、(D)。以下是選項分析：

• (A) 準備（Preparation）階段：確保事故處置生命週期其所需資源皆已完備，但不包含事前降低資安事故發生機率或避免其產生： 錯誤。準備階段 包含 預防措施。準備階段不僅僅是準備好資源，更重要的是建立一個全面的框架，包括：

  • 風險評估： 識別潛在的威脅和弱點。
  • 政策和程序： 制定明確的資安政策、事件處理程序和應變計畫。
  • 培訓和意識： 對員工進行安全意識培訓，提高他們識別和報告可疑活動的能力。
  • 技術控制： 部署安全控制措施（例如防火牆、入侵偵測系統、防毒軟體）以降低風險。
  • 建立團隊: 建立事件應變小組(Incident Response Team).
  • 準備階段的目標是盡可能 預防 事件發生，並在事件發生時做好充分的準備。

• (B) 偵測與分析（Detection & Analysis）階段：準確偵測和評估所可能發生的資安事故為其此階段最具挑戰性之工作，若發生還須確認其類型、範圍與嚴重程度： 正確。此階段的關鍵挑戰包括：

  • 誤報和漏報： 區分真正的安全事件和誤報（false positives），並確保沒有漏掉真正的攻擊（false negatives）。
  • 大量數據： 從各種來源收集的大量日誌和事件數據中識別出有意義的威脅指標。
  • 進階持續性威脅 (APT)： 偵測複雜且隱蔽的攻擊，這些攻擊可能在系統中潛伏很長時間。
  • 評估影響： 準確評估事件的類型、範圍和潛在影響，以確定適當的應對措施。

• (C) 控制、清除與復原（Containment, Eradication & Recovery）階段：若有預先定義用於控制事件之策略與程序，會更容易決策所需採取的行動： 正確。預先定義的策略和程序可以：

  • 加速應對： 提供清晰的指導，減少決策時間，更快地遏制損害。
  • 減少錯誤： 避免在壓力下做出倉促或錯誤的決定。
  • 確保一致性： 確保所有事件都以一致的方式處理。
  • 範例： 預先定義的策略可能包括隔離受感染系統的具體步驟、備份資料的程序、啟動備援系統的流程等。

• (D) 事故後活動（Post-Incident Activity）階段：包含整個事故處置生命週期中，最重要也最常被忽略的項目 – 案例分析（Case Study）和改進： 正確。事故後活動至關重要，因為：

  • 學習經驗： 分析事件發生的原因、應對措施的有效性以及可以改進的地方。
  • 改進流程： 根據學到的經驗教訓更新政策、程序和技術控制。
  • 防止再次發生： 降低未來發生類似事件的風險。
  • 文件記錄: 建立完整的事件紀錄, 供日後參考.
  • 不幸的是，由於時間壓力、資源限制或其他優先事項，這一階段經常被忽視。

總結

NIST SP 800-61 的事件處理生命週期是一個迭代的過程，每個階段都很重要。正確理解每個階段的目標和活動對於有效的事件處理至關重要。