iPAS 資訊安全工程師 考試重點

IS141 事件與事故管理
主題分類
1
事件與事故基本概念
2
事故回應生命週期 - 準備
3
事故回應生命週期 - 偵測與分析
4
事故回應生命週期 - 遏制、根除與復原
5
事故回應生命週期 - 事後活動
6
事件/事故通報與分級
7
日誌管理與 SIEM
8
數位鑑識與證據保全
#1
★★★★★
資訊安全事件 (Information Security Event) vs 資訊安全事故 (Information Security Incident)
定義區別
  • 資訊安全事件:指系統、服務或網路狀態發生的任何可觀察到的情況,可能表示違反了資訊安全政策、可接受的使用政策或標準安全實務,或可能與安全相關的情況。它是一個潛在的警訊。
  • 資訊安全事故:指一個或一系列不期望或非預期的資訊安全事件,具有相當高的機率危害業務運作並威脅資訊安全。事故是已確認的、具有負面影響的事件。
簡單來說,事件是可能出問題的跡象,事故是確定已經出問題的情況。例如,一次失敗的登入嘗試是事件,多次失敗後成功登入異常帳號則可能構成事故。
資安事故已經造成服務或營運中斷,而資安事件則是指極可能造成服務或營運中斷。 (資料來源:109初級-管理概論 Q43, 108初級-管理概論 Q39, 113管理 Q44)
#2
★★★★
事故回應生命週期 - 準備 (Preparation)
主要活動
準備階段是事故回應的基礎,旨在建立處理事故的能力。主要活動包括:
  • 制定事故回應計畫與政策
  • 建立事故回應團隊 (Incident Response Team, IRT / CSIRT) 並明確職責。
  • 採購與準備必要的工具(如:鑑識軟體、備份設備)。
  • 進行人員訓練與演練
  • 建立通報機制與聯絡清單。
此階段不包含實際的事故偵測或分析。 (資料來源:NIST SP 800-61)
#3
★★★★
事故回應生命週期 - 偵測與分析 (Detection and Analysis)
主要活動
此階段旨在及早發現潛在的資安事故並分析其性質與範圍。主要活動包括:
  • 監控各種來源的事件指標 (Indicators of Compromise, IoC),如:日誌、警報、異常行為。
  • 分析事件數據,判斷是否構成事故
  • 確定事故的範圍、影響和嚴重性
  • 收集初步證據
  • 記錄所有發現與分析過程。
(資料來源:NIST SP 800-61)
#4
★★★★★
事故回應生命週期 - 遏制、根除與復原 (Containment, Eradication, and Recovery)
主要活動
此階段是實際處理事故的核心環節:
  • 遏制 (Containment)限制事故的擴散,防止進一步損害。例如:隔離受感染的系統、阻擋惡意 IP。遏制是處理事故時最重要的目標
  • 根除 (Eradication)徹底清除事故的根源。例如:刪除惡意軟體、修補漏洞。
  • 復原 (Recovery):將受影響的系統和服務恢復到正常運作狀態。例如:從備份還原資料、重新安裝系統。
(資料來源:NIST SP 800-61, 110初級-管理概論 Q42)
#5
★★★★
事故回應生命週期 - 事後活動 (Post-Incident Activity)
主要活動
事故處理完成後,需要進行檢討與改善:
  • 撰寫事故報告:詳細記錄事故處理過程、發現、影響與結果。
  • 經驗學習 (Lessons Learned):檢討事故處理過程中的優缺點,找出改進之處。
  • 更新應變計畫:根據學習到的經驗修改事故回應計畫、政策與程序。
  • 調整防護措施:強化相關的安全控制措施。
  • 證據保留:妥善保存相關證據以供未來稽核或法律用途。
事故的事後檢討與改善非常重要,目的是從經驗中學習,提升未來的應變能力。 (資料來源:NIST SP 800-61, 111初級-管理概論 Q47)
#6
★★★★★
資通安全事件通報分級 (依資通安全管理法)
通報時限與對象
依據資通安全管理法及其子法「資通安全事件通報及應變辦法」:
  • 公務機關或特定非公務機關應於知悉資通安全事件後一小時內,向主管機關進行事件通報
  • 主管機關應於接獲通報後,依事件等級進行審核
    • 第一級或第二級事件:八小時內完成。
    • 第三級或第四級事件:二小時內完成。
  • 事件通報不一定需要以正式書面表單進行,視情況可先以電話等方式通報。
  • 通報內容不一定需要包含嫌疑人身份。
(資料來源:109初級-管理概論 Q45, 111初級-管理概論 Q12, 113管理 Q9, 113管理 Q45)
事件分級與應變時限
資通安全事件依影響等級分為四級:
  • 第一級:非核心業務輕微影響。
  • 第二級:非核心業務嚴重影響,或核心業務輕微影響。
  • 第三級:核心業務嚴重影響,或關鍵基礎設施(CI)/公務機密輕微影響。
  • 第四級:關鍵基礎設施(CI)/公務機密嚴重影響,或國家機密外洩。
損害控制或復原時限:
  • 第一級、第二級:72小時內完成。
  • 第三級、第四級:36小時內完成。
1級事件不包括:非核心業務系統且無系統或設備運作受影響。 (資料來源:109初級-管理概論 Q42, 110初級-管理概論 Q9, 110初級-管理概論 Q45, 111初級-管理概論 Q36, 113管理 Q10)
#7
★★★★
日誌管理 (Log Management) 與 SIEM
日誌管理的重要性
日誌 (Log) / 紀錄 (Record) 是系統活動的軌跡,對於事件調查、事故回應、效能監控、合規性稽核至關重要。
  • 日誌應受保護:防止未經授權的存取、竄改或刪除。
  • 日誌應定期檢視:及時發現異常活動或潛在威脅。
  • 日誌應適當保存:符合法規要求和組織政策,並確保其不可否認性
  • 時間同步:所有系統的日誌時間應與標準時間同步,以便關聯分析。
  • 日誌集中管理:將來自不同系統的日誌集中存放與管理,便於分析。
系統日誌不應開放給所有人查詢,需進行存取控制。定期檢視安全記錄檔偵測性 (Detective) 控制措施,而非預防性 (Preventive)。 (資料來源:109技術-概論 Q41, 109技術-概論 Q43, 109技術-概論 Q39, 110技術-概論 Q17, 110初級-管理概論 Q26, 111初級-管理概論 Q41, 113技術-概論 Q43)
SIEM 系統
安全資訊與事件管理系統 (SIEM, Security Information and Event Management) 是一種集中收集、分析和管理來自多種來源(如防火牆、IDS、伺服器、應用程式)的日誌和事件數據的解決方案。 SIEM 的主要功能:
  • 日誌收集與儲存
  • 事件關聯分析:識別不同事件之間的關聯,發現潛在攻擊模式。
  • 即時監控與警報:偵測到可疑活動時發出警報。
  • 儀表板與報表:提供視覺化的安全狀態概覽與合規性報表。
  • 威脅偵測與事故回應支援
(資料來源:109初級-管理概論 Q44, 113管理 Q43)
#8
★★★
數位鑑識 (Digital Forensics) 與證據保全
核心原則
數位鑑識是在調查資安事故時,收集、保存、分析和呈現數位證據的過程。
關鍵原則:
  • 證據完整性:確保證據從收集到提交法庭的過程中未被竄改。
  • 證據保管鏈 (Chain of Custody):詳細記錄證據的接觸史,包括誰在何時何地處理過證據。
  • 最小化影響:取證過程應盡量減少對原始系統的干擾。
  • 記錄:詳細記錄所有鑑識步驟和發現。
在事件應變時,應優先保全易失性證據(如記憶體內容),再處理持久性證據(如硬碟資料)。主機與網路證據是常見的搜集標的。不應為求時效而直接在受感染主機上進行證據採樣,應先製作映像檔。 (資料來源:111初級-管理概論 Q46)
沒有找到符合條件的重點。