25. 【題組 3】情境如附圖所示,關於 NIST SP 800-61 資安事故處理指引(Computer Security Incident Handling Guide)其事故處置生命週期(Incident Response Life Cycle),而控制、清除與復原(Containment, Eradication & Recovery)中最常被用於識別來源攻擊主機之方法,下列哪一項最「不」正確?


(A) 驗證來源攻擊主機是否偽造 IP 位置(IP Address)
(B) 使用搜尋引擎(Search Engine)調查來源攻擊主機
(C) 以服務阻斷攻擊(Deny of Service)觀察來源攻擊主機反應
(D) 觀察攻擊者所可能使用的通信管道(Communication Channels)

答案:登入後查看
統計: A(28), B(133), C(352), D(19), E(0) #3142745

詳解 (共 1 筆)

#6304984

正確答案為 (C) 以服務阻斷攻擊(Deny of Service)觀察來源攻擊主機反應

解析說明:

在 NIST SP 800-61 的事故處置過程中,針對「控制、清除與復原」階段,識別來源攻擊主機通常會採取以下較合理的方法:

  • (A) 驗證來源攻擊主機是否偽造 IP 位置(IP Address):
    攻擊者常透過 IP 偽造來隱藏真實來源,因此驗證 IP 地址是否被偽造是辨識攻擊源頭的重要步驟。

  • (B) 使用搜尋引擎(Search Engine)調查來源攻擊主機:
    利用公開資料與開放資源(OSINT),藉由搜尋引擎來查找關於可疑 IP 或相關資訊,有助於彙整攻擊者的背景資料。

  • (D) 觀察攻擊者所可能使用的通信管道(Communication Channels):
    分析攻擊過程中所採用的通訊管道(如協定、端口、C&C 伺服器等)可以協助追蹤攻擊來源及其行蹤。

(C) 以服務阻斷攻擊觀察來源攻擊主機反應,則是一個不正確的方法,原因包括:

  • 主動以服務阻斷攻擊作為反制手段不僅容易造成進一步的網路破壞,也可能違反法律或相關規範。
  • 此方法風險極高,且在追蹤與辨識攻擊來源方面並不具備可靠性或正當性。

因此,在上述選項中,(C) 為最不正確的描述。

0
0

私人筆記 (共 1 筆)

私人筆記#6778009
未解鎖
NIST SP 800...
(共 995 字,隱藏中)
前往觀看
1
0