12. 事故回應(Incent Response,IR)的處理流程中,依據 NIST SP800-61 r2 在隔離、清除和恢復階段中,下列何項是最佳處 理方案?
(A) 立即更新安全政策
(B) 隔離受影響系統
(C) 開始法律行動
(D) 立即針對員工進行安全培訓

答案:登入後查看
統計: A(16), B(488), C(6), D(10), E(0) #3223882

詳解 (共 2 筆)

#6241048

NIST SP800-61 r2 將 IR 處理流程分為四個階段:

  1. 準備 (Preparation): 建立 IR 計畫、準備工具和資源等。
  2. 偵測與分析 (Detection & Analysis): 發現和分析安全事件。
  3. 隔離、清除和恢復 (Containment, Eradication & Recovery): 控制損害、清除威脅、恢復系統。
  4. 事件後續處理 (Post-Incident Activity): 事件調查、經驗教訓、改進措施等。

  • (A) 立即更新安全政策
    不適合此階段。更新安全政策通常是在「事後行動」階段(Post-Incident Activity)進行的。這個步驟屬於從事件中學習並改進未來的防護措施,但在隔離、清除和恢復階段的重點是迅速遏制並解決問題,以減少影響範圍,更新政策並非此階段的主要目標。

  • (B) 隔離受影響系統
    適合此階段,且是最佳處理方案。隔離受影響的系統是隔離、清除和恢復階段中的關鍵步驟之一。透過隔離,企業可以阻止惡意軟體或其他威脅進一步擴散至未受感染的系統,這樣能有效控制事件範圍,避免損害擴大。隔離是 NIST 指南在該階段中建議的優先處理方式之一。

  • (C) 開始法律行動
    不適合此階段。法律行動可能涉及調查、收集證據和啟動法律程序,這通常是在事件解決後才會考慮的事情。此階段的重點應放在遏制威脅、清除惡意軟體以及恢復系統運作,而不是立即啟動法律行動。

  • (D) 立即針對員工進行安全培訓
    不適合此階段。員工的安全培訓通常是在事後行動階段進行,作為從事件中學習的一部分。在隔離、清除和恢復階段中,應專注於控制和解決事件,培訓不是當前的首要任務。

2
0
#6085815
在事故回應(Incident Respo...
(共 266 字,隱藏中)
前往觀看
1
0