42. 依據 SP 800-61 Rev. 2 - Computer Security Incident Handling Guide 文件對於事故回應生命週期(Incident Response Life Cycle)之敘述，下列何者錯誤？
(A) 準備(Preparation)
(B) 偵測與分析(Detection and Analysis)
(C) 封鎖、根除與復原(Containment, Eradication and Recovery)
(D) 備份(Backup)

答案：登入後查看
統計： A(220), B(57), C(94), D(672), E(0) #3351094

Dan

B1 · 2025/02/12

#6305632

(A) 準備(Preparation)、(B) 偵測與分析(Detection and Analysis)、(C) 封鎖、根除與復原(Containment, Eradication and Recovery) 都是事故回應生命週期的正式階段。
(D) 備份(Backup) 不是事故回應生命週期的一部分。備份是資訊安全的一項重要措施，但它不屬於事故回應生命週期的階段。備份是事前的預防措施，用來確保在事故發生後可以恢復資料，然而事故回應階段並不直接涉及備份的操作。

ki ki

B2 · 2025/06/04

#6457917

NIST SP 800-61 Rev. 2 - Computer Security Incident Handling Guide 中定義的事故回應生命週期主要包含四個階段：

(A) 準備 (Preparation)：這個階段涉及在任何事故發生之前，建立和準備處理事故所需的人員、工具和程序。包括制定政策、建立事件回應團隊、選擇工具、開發通訊計畫、訓練人員等。
(B) 偵測與分析 (Detection and Analysis)：這個階段關注於識別潛在的資安事件，並對其進行分析以確定它們是否確實是事件，以及它們的性質和範圍。這包括監控系統、分析日誌、識別異常行為、確認事件的影響等。
(C) 封鎖、根除與復原 (Containment, Eradication and Recovery)：這是實際處理事件的核心階段。
- 封鎖 (Containment)：目標是阻止事件的擴散和損害。
- 根除 (Eradication)：目標是徹底清除威脅的根源，例如移除惡意軟體、修補漏洞等。
- 復原 (Recovery)：目標是將受影響的系統和服務恢復到正常運作狀態。
事後活動 / 事故後活動 (Post-Incident Activity / Post-mortem)：在 SP 800-61 Rev. 2 中，這個階段通常被稱為「事後活動」。它包括從事件中學習經驗教訓，更新政策和程序，以及強化防禦措施。

選項分析：

(A) 準備 (Preparation)：正確，是事故回應生命週期的階段之一。
(B) 偵測與分析 (Detection and Analysis)：正確，是事故回應生命週期的階段之一。
(C) 封鎖、根除與復原 (Containment, Eradication and Recovery)：正確，是事故回應生命週期的階段之一。
(D) 備份 (Backup)：錯誤。備份是資訊安全的一個重要組成部分，它是為「復原」階段提供數據基礎，但它本身不是事故回應生命週期的一個獨立階段。備份是在「準備」階段進行的重要活動之一，確保資料的可用性，以便在需要時可以進行復原。它不是一個與準備、偵測分析、封鎖根除復原並列的獨立階段。

因此，不屬於 SP 800-61 Rev. 2 事故回應生命週期階段的是 (D) 備份。

答案是 (D)。