Trace Id is missing
跳到主要內容
Microsoft 安全性

什麼是事故回應?

探索有效的事故回應如何協助組織偵測、處理和阻止網路攻擊。

事故回應的定義

定義事故回應前,請務必清楚了解何謂事故。就 IT 領域而言,有三個有時會交替使用的詞彙,但各自代表不同的意義:

  1. 事件是經常發生的無害動作,例如建立檔案、刪除資料夾或開啟電子郵件。就其本身而言,事件通常並不代表漏洞,但若與其他事件結合,就可能會指出威脅。 
  2. 警示是事件所觸發的通知,不一定是威脅。
  3. 事故是一組相互關聯的警示,人類或自動化工具很可能已將這些警示視為真正的威脅。就其本身而言,每個警示似乎或許不是主要威脅,但在彼此相互結合的情況下,則代表可能的漏洞。

事故回應是組織在認為 IT 系統或資料可能已經遭到入侵時所採取的動作。例如,如果安全性專業人員發現未經授權使用者、惡意程式碼或安全性措施失敗的跡象,他們將會採取動作。

回應的目的是要盡快消除網路攻擊、復原、依地區法律的要求通知任何客戶或政府機構,以及了解未來如何降低類似漏洞的風險。

事故回應如何運作?

事故回應通常會在安全性團隊從安全性資訊與事件管理 (SIEM) 系統收到可信的警示時開始。

團隊成員必須確認事件確實符合成為事故的條件,然後隔離受感染的系統並移除威脅。如果事故相當嚴重或需要較長的解決時間,組織可能需要還原備份資料、處理勒索軟體或通知客戶其資料已遭到入侵。

基於此原因,網路安全性團隊通常會參與回應。隱私權專家、律師和業務決策者將協助決定組織該如何應對事故及其衍生後果。

安全性事故的類型

攻擊者會嘗試透過多種方式存取公司的資料,或入侵其系統和業務營運程序。以下是一些最常見的類型:

  • 網路釣魚

    網路釣魚是一種社交工程類型,攻擊者會使用電子郵件、簡訊或電話來模擬成信譽良好的品牌或人士。一般網路釣魚攻擊會嘗試說服收件者下載惡意程式碼或提供其密碼。這些攻擊會利用人們的信任並有效運用心理學技巧,例如讓人們因恐懼而採取動作。許多這類攻擊都沒有鎖定目標,對外散發給數千個人,希望有一個人會有所回應。不過,魚叉式網路釣魚是一種更精心策劃的版本,利用深入研究來巧妙地製作訊息,企圖說服個人。
  • 惡意程式碼

    惡意程式碼是指專門設計的任何軟體,旨在傷害電腦系統或使資料外流。它有許多不同的形式,包括病毒、勒索軟體、間諜軟體和特洛伊木馬程式。惡意執行者會利用硬體和軟體漏洞或說服員工運用社交工程技巧來進行,藉此安裝惡意程式碼。
  • 勒索軟體

    勒索軟體攻擊中,惡意執行者會使用惡意程式碼來加密重要資料和系統,然後威脅受害者,如果不支付贖金,就會公開或摧毀該資料。

  • 阻斷服務

    阻斷服務攻擊 (DDoS 攻擊) 中,威脅行為者會以流量讓網路或系統癱瘓,直到速度變慢或當機為止。一般而言,攻擊者會以備受關注的公司為目標,例如銀行或政府,目的是要耗費他們的時間和金錢,但各種規模的組織都可能是這種攻擊類型的受害者。

  • 中間人

    網路罪犯用於竊取個人資料的另一種方法是,將自己安插在那些認為正在進行私人通訊的人們的線上交談中。他們在訊息傳送給預定收件者之前攔截訊息並進行複製或變更,藉此嘗試操縱其中一個參與者,以提供寶貴的資料。

  • 內部威脅

    雖然大多數的攻擊都是組織之外的人員所進行,但安全性團隊也需要注意內部威脅。員工和其他能夠合法存取受限資源的人員可能無意間洩漏敏感性資料,或是在某些情況下蓄意洩漏敏感性資料。

什麼是事故回應計劃?

若要回應事故,團隊成員必須以高效率且有效的方式彼此合作,才能消除威脅並符合法規要求。在面臨巨大壓力的情況下,人往往很容易慌亂及犯錯,這就是為什麼許多公司會制定事故回應計劃。計劃會定義角色和責任並包含所需的步驟,以便妥善解決、記錄事故並進行相關溝通。

事故回應計劃的重要性

重大攻擊不僅會損害組織營運,還會影響企業在客戶和社群之間的信譽,而且可能還會有法律方面的衍生後果。所有層面 (包括安全性團隊能夠以多快的速度回應攻擊,以及高階主管如何就事故進行溝通) 都會影響其整體成本。

如果公司對客戶或政府隱瞞損害或對威脅不夠嚴陣以待,可能會在法規方面產生牴觸。在參與者沒有計劃的情況下,這些類型的錯誤較為常見。人們很可能會因一時激動和恐懼而做出輕率的決定,最終傷害到組織。

經過一番深思熟慮的計劃,能讓人員了解自己在攻擊的每個階段所應採取的動作,而不必臨時抱佛腳。此外,在復原後,如果大眾提出問題,組織就能確切展現其回應方式並讓客戶放心,客戶會知道組織是以認真的態度看待事故並且實行了必要的步驟,防止結果變得更糟。

事故回應步驟

處理事故回應的方法不只一種,而許多組織仰賴安全性標準組織來指導他們的處理方法。SysAdmin Audit Network Security (SANS) 是一個提供六大步驟回應架構的私人組織,概述如下。許多組織也會採用國家標準暨技術研究院 (NIST) 事故復原架構

  • 準備 - 事故發生前,請務必減少弱點並定義安全性原則和程序。在準備階段,組織需進行風險評定,以判斷其弱點所在位置並排定資產的優先順序。此階段包含撰寫和改善安全性程序、定義角色和責任,以及更新系統以降低風險。大多數組織會在經驗傳承或技術變更的過程中,定期重新審視此階段並改善原則、程序和系統。
  • 威脅識別 - 安全性團隊可能隨時收到指出可疑活動的數千則警示。某些警示是誤判,可能不會提升到事故層級。識別事故後,團隊會深入探討漏洞的性質並記錄結果,包括漏洞來源、攻擊類型,以及攻擊者的目的。在此階段,團隊也需要告知利害關係人並針對後續步驟進行溝通。
  • 威脅圍堵 - 下一個優先要務是盡快圍堵威脅。惡意執行者能夠存取的時間越長,他們可能造成的損害就越大。安全性團隊要努力快速隔離遭受攻擊的應用程式或系統,以與其餘網路區隔開來。這有助於防止攻擊者存取企業的其他部分。
  • 威脅消除 - 完成圍堵後,團隊會將攻擊者和任何惡意程式碼從受影響的系統和資源中移除。這可能包含讓系統離線。團隊也會持續向利害關係人告知進度。
  • 復原和還原 - 從事故中復原可能需要數小時的時間。威脅消失後,團隊會還原系統、從備份中復原資料,並監控受影響的區域,以確保攻擊者不會再回來。
  • 意見反應和改善措施 - 事故解決後,團隊會檢閱已發生的情況並找出程序中有待改善的方面。從此階段學到的經驗有助於團隊提升組織的防禦力。

什麼是事故回應團隊?

事故回應團隊也稱為電腦安全性事故回應團隊 (CSIRT)、網路事故回應團隊 (CIRT) 或電腦緊急情況回應團隊 (CERT),包含組織中一組負責執行事故回應計劃的跨職能人員。其中不僅包括會移除威脅的人員,還包括會做出與事故相關的業務或法律決策的人員。此團隊通常包含下列成員:

  • 事故回應經理 (通常是 IT 總監) 會監督回應的所有階段,並讓內部利害關係人持續掌握相關資訊。 

  • 安全性分析師會研究事故,嘗試理解正在發生的情況。他們也會記錄結果並收集鑑定證據。

  • 威脅研究人員會審視組織外部,以收集可提供其他背景脈絡資訊的情報。 

  • 管理階層的某個人 (例如資訊安全長或資訊長) 會提供指導方針,並做為其他高階主管的連絡窗口。

  • 人力資源專員會協助管理內部威脅。

  • 總法律顧問會協助團隊找出責任問題的應對方法,並確保妥善收集鑑定證據。

  • 公關專員會協調在面對媒體、客戶和其他利害關係人時的正確對外溝通之道。

事故回應團隊可能是安全性作業中心 (SOC) 的子集,負責處理事故回應之外的安全性作業。

事故回應自動化

在大多數組織中,網路和安全性解決方案所產生的安全性警示,遠高於事故回應團隊實際能夠管理的數量。為了協助組織專注於合理的威脅,許多企業實作了事故回應自動化。自動化會運用 AI 和機器學習來根據程式設計指令碼執行回應劇本,藉此進行警示分級、識別事故,以及發現並杜絕威脅。

安全性協調流程、自動化和回應 (SOAR) 是一種安全性工具類別,可讓企業用來自動化事故回應。這些解決方案可提供下列功能:

  • 讓多個端點和安全性解決方案中的資料相互關聯,以便識別事故,讓人類可以進行後續追蹤。

  • 執行已預先編寫指令碼的劇本,以隔離並處理已知事故類型。

  • 產生調查時間表,其中包含可用於分析的動作、決策和鑑定證據。

  • 結合真人分析的相關外部情報。

如何實作事故回應計劃

制定事故回應計劃可能會讓人卻步,但可以大幅降低企業在重大事故期間措手不及的風險。方法如下:

  • 識別並排定資產的優先順序

    事故回應計劃的第一步就是了解您要保護的項目。記錄組織的重要資料,包括該資料位於何處及其對企業的重要性等級。

  • 判斷潛在風險

    所有組織都有不同的風險。設法熟悉組織的最大弱點,並評估攻擊者可能會以哪些方式利用這些弱點。 

  • 制定回應程序

    在面臨令人備感壓力的事故期間,清楚的程序對確定如何快速有效地處理事故很有幫助。首先,定義符合成為事故的條件,然後決定團隊應採取哪些步驟,以偵測、隔離並從事故中復原,包括記錄決策和收集證據的程序。

  • 建立事故回應團隊

    建立跨職能團隊,負責了解回應程序並在發生事故時進行動員。請務必清楚定義角色,並說明可協助做出溝通和責任相關決策的非技術角色。納入高階主管團隊中的某個人員,他將做為團隊大使並向公司的最高層級傳達其需求。 

  • 定義您的溝通計劃

    有了溝通計劃,就無需猜測要在何時以何種方式告知他人組織內部和外部正在發生的情況。徹底思考各種情境,協助您決定在哪些情況下需要告知高階主管、整個組織、客戶,以及媒體或其他外部利害關係人。

  • 訓練員工

    惡意執行者會以組織所有階層的員工為目標,因此,請務必讓所有人了解您的回應計劃,並知道在懷疑自己已淪為攻擊的受害者時該怎麼做。定期測試您的員工,確認他們可以辨識網路釣魚電子郵件,並讓他們在不慎點選有害連結或開啟受感染的附件時,能夠以簡單的方式通知事故回應團隊。 

事故回應解決方案

為重大事故做好準備是一個很重要的環節,能夠保護組織安全並防範威脅。設立內部事故回應團隊能讓您堅信自己已經準備就緒,足以應對因惡意執行者而受害的情況。

善加利用 Microsoft Sentinel 等運用自動化的 SIEM 和 SOAR 解決方案,協助您識別並自動回應事故。擁有較少資源的組織可以透過能處理多重事故回應階段的服務提供者來擴充其團隊。但無論您在內部或外部設立了事故回應人員,務必都要制定計劃。

深入了解 Microsoft 安全性

Microsoft 威脅防護

使用最新的威脅防護,識別和回應整個組織中的事件。

Microsoft Sentinel

破解精心策劃的威脅,並使用由雲端和 AI 提供的強大 SIEM 解決方案果斷地進行回應。

Microsoft Defender 全面偵測回應

阻止端點、電子郵件、身分識別、應用程式和資料中的攻擊。

常見問題集

  • 事故回應是組織在偵測到安全性缺口時採取的所有活動。目標是要盡快隔離及發現並杜絕攻擊者、符合資料隱私權法規,以及安全地復原,同時盡可能減少對組織的損害。

  • 事故回應由跨職能團隊負責進行。IT 通常會負責識別、隔離和從威脅中復原,但事故回應不僅僅是找出和擺脫惡意執行者而已。視攻擊類型而定,有人可能必須做出業務決策,例如如何處理贖金。法律顧問和公關專業人員會協助確保組織遵守資料隱私權法律,包括適時通知客戶和政府。如果威脅是由員工所進行,人力資源部會建議適當的行動。

  • CSIRT 是事故回應團隊的另一個名稱,其中包含負責管理事故回應之所有層面的跨職能團隊成員,包括偵測、隔離和消除威脅、復原、內部和外部溝通、文件和鑑定分析。

  • 大多數組織會使用 SIEMSOAR 解決方案來協助他們識別和回應威脅。這些解決方案通常會彙總來自多個系統的資料,並運用機器學習來協助識別真正的威脅。他們還能根據預先編寫指令碼的劇本,自動化對某些威脅類型的回應。

  • 事故回應生命週期包含六個階段:

    1. 準備是在識別事故前進行,並包含定義組織會將什麼視為事故,以及防範、偵測、消除還有攻擊中復原的所有必要原則和程序。
    2. 威脅識別是運用真人分析師和自動化的程序,識別哪些事件是真正需要處理的威脅。
    3. 威脅圍堵是團隊採取的動作,旨在隔離威脅並防止它感染企業的其他部分。 
    4. 威脅消除包含從組織中移除惡意程式碼和攻擊者的相關步驟。
    5. 復原和還原包含重新啟動系統和機器,並還原已遺失的任何資料。 
    6. 意見反應和改善措施是團隊採取的程序,旨在發掘從事故中學到的經驗並將這些經驗應用到原則和程序中。 

關注 Microsoft 安全性