×

資安事件處理是什麼?

資安事件處理 (Incident Response, IR) 是透過專業的資安團隊,針對企業所發生的資安緊急事件進行處理,例如企業遭到駭客大規模阻斷攻擊、個人資料外洩、資料遭到惡意銷毀等。專業資安團隊在處理事件時會分析事件起源,界定受害範圍,以減少企業的損失及縮短回復時間,重建客戶對企業的信賴。

為何企業需要資安事件處理?

一個攻擊事件的發起成因相當複雜,如果有專業團隊可以從駭客的思維出發,剖析入侵手法、分析惡意程式、調查系統記錄,才能快速針對危機進行有效的應變處理。

資安事件處理是如何進行?

1. 事件概觀分析

針對整個事件的概觀進行分析,例如清點受害主機、發生時間、主機異常行為等。

2. 系統記錄鑑識

隔離受影響的主機,完整保存受害當下的記錄。從複製的記錄中進行鑑識,分析攻擊者的軌跡以及行為。

3. 擷取惡意程式並分析

在檔案系統及網路活動行為中判斷是否有可疑的惡意程式,並且帶回資安團隊總部進行實境模擬分析,藉此得知惡意程式的真實行為及運作方式。

4. 界定受害範圍

藉由攻擊者的入侵手法、惡意程式的行為,界定企業受害的範圍,以減少企業的損失,縮短災後回復時間。

5. 修補及復原輔導

針對事件中的入侵手法、企業被攻擊的弱點給予全盤的建議,並且輔導企業進行災後復原。

執行人員資格

  • 熟悉駭客入侵手法
  • 具備資安事件處理經驗
  • 熟悉各種作業系統及伺服器建置方式

執行時程

根據事件規模及受害範圍而定,通常事件調查需要 2~4 個小時,並在分析完畢後提供報告及災後的修復建議,以時間計費。