工作輔助 4:意外事件回應快速參考卡
您可以將下面這份檢查清單當作指導方針,有效完成回應意外事件的必要步驟。但是步驟的確實順序,則要根據貴公司和意外事件的性質而定。有關意外事件回應的詳細資訊,請參閱第 7 章〈回應意外事件〉。
| 意外事件回應的通則 | |
|---|---|
| 記錄每一件事。可以考慮用錄音機錄下備註。詳細記錄誰在何時做了什麼,以及為什麼這麼做。 | |
| 保持冷靜。不要過度反應或過度驚慌。要按步就班的遵守安全性原則。 | |
| 使用無線通訊以外的方式通訊,例如電話、傳真和面對面溝通。攻擊者也許能夠監聽。 | |
| 持續與小組和其他受到波及的個人保持通訊。 | |
| 避免重新開機,登入和登出,否則會不慎啟動惡意程式碼。 | |
| 方針 1 – 進行最初評定 | |
| 1.1 | 聯絡技術小組,確定意外事件並非假象。 |
| 1.2 | 檢查審核記錄,看看有沒有不尋常的活動,或者記錄有沒有間斷或缺少。 |
| 1.3 | 尋找駭客工具 (密碼破解工具,特洛伊病毒等等)。 |
| 1.4 | 檢查有沒有未經授權、且被設定要自動啟動的應用程式。 |
| 1.5 | 檢查帳戶,看看是否有提高的權限,或是未經授權的群組成員。 |
| 1.6 | 檢查是否有未經授權的處理程序。 |
| 1.7 | 判斷有沒有保留證據。 |
| 1.8 | 將受害系統的效能,與基準互相比對。 |
| 1.9 | 指派最初的優先順序層級以及意外事件領導人。 |
| 方針 2 – 傳達意外事件 | |
| 2.1 | 將意外事件傳達給適當的股東和 CSIRT 聯絡人。 |
| 方針 3 – 抑制損毀和降低風險 | |
| 3.1 | 根據嚴重程度和安全性原則,將受到波及的系統以離線方式加以隔離。 |
| 3.2 | 更改受害系統的密碼。 |
| 3.3 | 備份系統以備復原時使用,可以的話,也一併收集證據。 |
| 方針 4 – 指出受害的類型和嚴重性 | |
| 4.1 | 判斷攻擊的類型。 |
| 4.2 | 判斷攻擊的意圖 (針對貴公司、自動攻擊、收集資訊) |
| 4.3 | 找出攻擊牽涉到的所有系統。如果找出其他系統,則重新執行抑制步驟。 |
| 4.4 | 重新評估,必要的話,再重新指派優先順序層級給事件。 |
| 方針 5 – 保護證據 | |
| 5.1 | 儘早在回應和復原週期當中,以從未用過的媒體來備份系統。 |
| 5.2 | 可能的話,不妨備份整個系統,包括記錄和系統狀態在內。 |
| 5.3 | 針對收集的證據,維護有跡可循的監管鏈。 |
| 5.4 | 保護證據,並且記錄由誰收集,如何收集,何時收集,以及誰有存取權。 |
| 方針 6 – 通知外部機構 | |
| 6.1 | 在法律顧問引導下,通知當地和 (或) 聯邦執法機構。 |
| 6.2 | 將結果通知CSIRT 公共關係聯絡人,並且在必要時予以協助。 |
| 6.3 | 通知其他適當的機構,如 Carnegie Mellon 大學的 [CERT 協調中心](https://www.cert.org) 。CERT 和其他這類機構都可以提供有用的復原資訊。 |
| 方針 7 – 將系統復原 | |
| 7.1 | 尋找和驗證最近的非受害備份。 |
| 7.2 | 還原系統。 |
| 7.3 | 驗證功能並且將系統效能與歷程基準互相比對。 |
| 7.4 | 監視是否有重複的攻擊行動,以及因抑制步驟所導致的設定錯誤。 |
| 方針 8 – 編譯和組織意外事件記錄 | |
| 8.1 | 將所有的附註和記錄,編譯到豐富的安全性意外事件活動記錄當中。 |
| 8.2 | 分送給意外事件參與人,請他們檢閱及核准 (包括檢查證據是否合法)。 |
| 8.3 | 檢查破壞的導因,並且加強防衛,防止未來再發生同樣或相關的攻擊事件。 |
| 8.4 | 協助財務部門估計破壞的成本。 |
| 8.5 | 準備向管理階層和其他股東提出報告,解釋事件如何發生,破壞的成本多高,以及未來如何防範。 |