「事件回應」一詞是指企業用來偵測及解決資安事件的策略性標準化政策、程序及工具。
目錄
事件回應 (IR) 有時也稱為「網路資安事件回應」,指的是發掘、遏制及解決任何資安事件 (如網路攻擊或資料外洩) 並預先做好準備的一切相關事務。IR 的政策、計畫及技術,在設計上都是為了快速偵測威脅和攻擊、防範或控制損害、提供有效的及時矯正、盡可能降低停機時間和成本,以及減少未來事件發生的風險。
IR 是主動式防護的重要一環,目的是要維持業務永續,不論是短期營運或長期目標。其概念是要發掘事件並迅速恢復營運以減少其造成的危害,盡可能降低營業損失,以及停機與矯正的成本。
此外,IR 也有助於企業遵守產業規範或法律的要求,例如:健康保險可攜性與責任法案 (HIPAA)、支付卡產業資料安全標準 (PCI DSS),或是歐盟的通用資料保護法 (GDPR)。如此可避免企業遭到罰鍰或承擔其他法律責任。
事件回應簡介
要了解事件回應,很重要的一點就是明確定義什麼是「事件」。所謂的事件,是指任何危害企業安全、或是損害資料或系統完整性或機密性的實體事件或數位事件。
事件發生的原因,可能是意外或不可預見的情況,例如:營運中斷或天災;或是蓄意的網路攻擊,例如:網路釣魚詐騙、惡意程式、阻斷服務 (DoS) 攻擊、中間人 (MitM) 攻擊、勒索病毒、供應鏈攻擊、內部威脅、權限提升攻擊、密碼攻擊,以及網站應用程式攻擊。
「事件回應」與「事件管理」有何不同
「事件回應」是整個「事件管理」工作的其中一環,事件管理涵蓋了企業處理嚴重資安事件的所有作為,並涉及到內部與外部的利害關係人,包括:高階主管團隊、人力資源、法務、溝通、公關以及 IT 部門。反觀事件回應則只聚焦在企業網路資安事件的技術性處理。
事件回應計畫的重要性
由於駭客集團越來越狡詐,再加上人為錯誤在所難免,因此網路攻擊已經是無可避免的問題。資安事件的潛在負面影響相當深遠,因此事件回應已成為企業網路資安平台不可或缺的要素之一。資安事件不能被視為單純的技術問題,而是對整個企業都有影響:從內部營運、到營運關鍵運算系統、再到機密的客戶資料或公開資訊。
有效的事件回應能帶來什麼效益
企業若能有效回應資安事件,就能:
- 減少資安事件對企業營運與生產力的干擾,並且盡可能降低損害控制與矯正的成本。
- 減少資料損失或資料暴露在外的時間,更有效保護敏感的資料。
- 更快恢復營運。
- 證明企業已達成法規要求,並且有嚴格的流程、責任歸屬,並善盡應盡義務。
- 改善資安韌性,提升回應未來事件的能力。
- 維護企業商譽,以及與客戶、合作夥伴及其他利害關係人的關係。
缺乏 IR 計畫會遇到的常見挑戰
缺乏預先定義好的詳細 IR 步驟,其影響幾乎遍及企業的每一個層面。在危機來臨時,資安與 IT 團隊將驚慌失措,而且可能缺乏必要的技術和高階主管支援來有效應對網路攻擊。此外,雜亂無章、缺乏協調的回應行動,也讓駭客更有機會攻擊企業的漏洞,擴大了攻擊的負面衝擊。
對內,企業將遭遇停機和服務中斷的問題,對外,則將損害品牌商譽以及與外部利害關係人的關係。這些衝擊將為企業帶來更高的成本,更別提可能受到的法律制裁或法規罰鍰。
什麼是事件回應計畫?
IR 的關鍵要素之一就是事件回應計畫 (IRP),其內容詳細說明了偵測、遏制及解決網路資安事件的程序、技術、角色與責任。
IR 計畫必須支援企業的優先次序、營運需求,以及限制條件,並且要根據可接受的風險程度來量身打造。很重要的一點是,IR 政策必須不斷更新。如同網路資安情勢會持續演變一樣,企業的需求和營運也會不斷變化,所以 IR 計畫不能只是一份「寫好就放著不管」的文件,必須定期重新檢討、審查及測試。
一套完整的 IR 計畫應包含:
- 事件識別與分類程序。
- 明確的資安解決方案:軟體、硬體以及其他技術。
- 業務永續計畫:當事件發生時,企業將如何時重建關鍵系統。
- 事件回應生命週期各階段的詳細步驟 (參閱下圖)。
- 遏制、根除及復原的策略。
- 流程每一階段的角色與責任,包括工作流程。
- 用來通知內部和外部利害關係人有關事件發生、資料外洩或資料遺失的溝通計畫,也包括通報執法單位。
- 有關蒐集和記錄事件後續報告相關指標的指示說明。
許多企業機構都覺得建立事件回應的應變腳本 (playbook) 很有幫助。IR 計畫所制定的是一種整體政策,而應變腳本則是用來詳細說明事件回應生命週期各階段的標準處理步驟,以及相關的程序、角色與責任。它能確保事件回應有效、高效率且一致,因為每個人都遵循相同的工作流程。
此外,IR 應變腳本也可用於模擬和訓練,讓團隊針對一個假設性情況來執行準備工作,包括:
- 操作手冊 (Runbook)
- 檢核表
- 範本
- 練習訓練
- 資安攻擊情境
- 模擬演練
事件回應生命週期
美國國家標準與技術局 (National Institute of Standards and Technology,簡稱 NIST) 與 SANS Institute 已開發出業界廣為接受的模型,並定義了 IR 的各種階段。以下是 SANS Institute 提出的六個階段。
1. 事先準備
這是指建立、檢討或微調 IR 政策和程序的過程,應該被視為一項持續性工作。企業應定期執行風險評估,以便根據系統、資料以及事件類型的嚴重性來判斷事件回應的優先次序。其目標是要找出最有效的程序、技術與方法來偵測和減少事件的發生並從中復原。這當中應該包含一套可靠的流程來建立定期備份,以供復原時使用。此外,此時也是模擬各種情境的階段,同時也要製作一些工具 (如應變腳本與範本),以便在真正遭遇攻擊時能做出最有效的回應。
2. 發掘
這個階段又稱為「偵測」,主要是利用技術和方法來判斷自己是否已遭遇網路攻擊之類的資安事件。目前已有許多資安解決方案可即時監控系統與資料、發送自動化警報,並且自動回應。企業通常會建置一套資安事件管理 (SIEM) 平台,然後將來自裝置記錄檔、入侵偵測系統以及防火牆等工具的資料,全都用來尋找可疑的活動。並且將警報傳送至事件回應團隊來進行分析和分類、尋找入侵指標 (IoC),同時消除誤判情況。當資安事件發生時,IR 計畫就會啟動,適當的人員會接獲通知,並且執行溝通計畫。
3. 遏制
所謂的「遏制」就是防止已發現的事件或攻擊繼續危害系統、資料或企業。但最重要的是隔離受影響的系統,讓攻擊無法繼續擴大。此外,企業還需要啟動一些長期的遏制措施,對於尚未受到影響的系統實施更嚴格的資安控管,例如:套用資安修補或更新。同樣重要的還有蒐集並保留攻擊的鑑識分析證據,以供事件後續分析階段使用。
4. 根除
這個階段要做的是將威脅徹底清除,這意味著將駭客驅逐或清除惡意程式。很重要的一點是要確定已無任何攻擊或入侵的跡象,以便將資料和/或系統全面復原。
5. 復原
這個階段的工作在於恢復系統、資料和營運,讓企業能夠再次順利運作。團隊必須將資料復原到上一個乾淨的版本,並且將更新後的替代系統上線。系統復原之後,還必須經過測試、監控及驗證。
6. 學到的教訓
最後一個階段是事件後續檢討:團隊應檢視事件發生期間蒐集到的證據,以及整起事件的處理情況。在調查期間,企業可能需要請求執法機關的協助。整體而言,檢討階段的目的是要了解企業在事件回應當中的表現如何,並找出需要改善之處。如果是遭到攻擊的情況,最重要的是要了解問題的根源,以及為何駭客能夠入侵網路。分析過程當中,團隊可以參考一些數據,例如:平均偵測時間、平均發現時間、平均回應時間、平均遏制時間,以及總成本。
事件後續分析是 IR 的重要一環,因為這可幫助企業強化其資安策略以便降低未來再次發生類似事件的可能性。同時也為團隊提供所需的資料來調整事件回應計畫,並針對其工具、系統或流程進行升級或變更。
事件回應角色與責任
企業不僅需要事件回應計畫,還需要專責的團隊來加以實踐。這個團隊通常被稱為電腦資安事件回應團隊 (CSIRT)、資安事件回應團隊 (CIRT),或是電腦緊急應變團隊 (CERT)。團隊的成員和規模可能隨企業而異,但通常會是一個涵蓋各種背景和人才的跨部門團隊。
大多數的 IR 團隊都會包含一名高階主管 (CSO 或 CISO)、資安與 IT 人員及分析師、來自人力資源、法務、溝通或公共關係部門的主管,以及顧問、MSP、廠商或合作夥伴等外部利害關係人。
該團隊扮演的角色是提供領導、調查、溝通、記錄以及法律代表。並且負責擬定政策和程序、建立 IR 計畫、制定資安最佳實務原則、支援所有事件回應行動,以及為一般使用者舉辦網路資安最佳實務訓練。
事件回應團隊的主要成員包括:
- 一名負責監督整個 IR 流程、管理團隊、確保程序確實遵守的回應經理或事件指揮官。
- 一名負責主導關鍵決策的高階主管。
- 一個全方位的技術團隊,包括:事件回應協調人員、資安分析師、事件回應人員、威脅研究人員以及鑑識分析師。這些角色和責任應在 IRP 當中詳細說明,並且要對應事件回應的六個階段。
- DevOps 專家,負責檢視和分析事件、找出問題根源,並提出矯正措施建議。
- 具備網路基礎架構、系統管理以及應用程式開發專業的營運或 IT 人員,負責提出技術解決方案建議,並確保營運順暢。
- 隨時掌握法律後果並提出意見的法務顧問,確保 IR 計畫合乎法規或法律要求。
事件回應人員的訓練與技能養成
有鑑於 IR 的策略重要性、網路攻擊的頻繁程度,以及網路資安不斷變化的特性,因此定期為事件回應團隊成員舉辦教育訓練至關重要,包括跟據先前曾經發生的事件或模擬情境來執行演練。重要的是,這類情境必須涵蓋各式各樣的攻擊管道,例如:勒索病毒、內部不肖人士,以及暴力破解攻擊。許多企業會在桌上執行沙盤推演,包括實際操作及演練 IR 計畫的各個階段,以找出任何弱點或改進空間。
支援事件回應的技術
許多技術都有助於發掘威脅、簡化資料流程,並且將回應自動化。
其中最常見的包括:
- ASM (攻擊面管理):自動持續偵測、監控、評估及矯正企業攻擊面上所有資產的漏洞。
- EDR (端點偵測及回應):自動保護使用者、端點裝置以及 IT 資產,防範那些可破壞防毒軟體和其他端點防護工具的資安威脅。
- SIEM (資安事件管理):彙整並交叉關聯來自內部資安工具與網路上裝置的資安事件資料。
- SOAR (資安自動化協同及回應):讓團隊指定應變腳本與工作流程來協調資安營運與工具,以回應資安事件。
- UEBA (使用者與個體行為數據分析):偵測異常或可疑的使用者與裝置行為。
- XDR (延伸式偵測及回應):將混合式環境中的資安工具、控制點、資料與監測數據來源,以及數據分析整合在一起。
自動化在事件回應中扮演的角色
由於這些監控技術所產生的警報數量龐大,因此絕大多數的團隊 (不論多麼專業) 都沒有時間可以分析和處理所有的警報。所以可能會因而漏掉一些嚴重的事件或太晚才察覺,此時自動化就能派上用場。
自動化可以:
- 偵測事件並執行威脅追蹤。
- 產生問題單和警報。
- 分析警報並判斷其優先次序。
- 簡化資料流程。
- 執行事件回應工作與流程。
- 執行個案管理。
- 產生報表。
這些功能可降低警報疲勞,讓團隊成員將心力花在最有策略價值的工作上。此外,自動化還能讓團隊更快回應及解決資安事件,提升企業的資安態勢,減少損害與停機時間,並且節省成本。
事件回應技術的未來趨勢
隨著雲端技術的普及,事件回應流程也出現了新的挑戰。隨著企業將越來越多資料和應用程式儲存在雲端上,企業有時很難準確而迅速地偵測資安事件並加以徹底調查。這意味著企業必須將雲端也納入 IR 計畫當中,導入雲端原生應用程式防護平台 (CNAPP) 這樣的技術、學習新的技能,或者與雲端服務供應商 (CSP) 合作。
此外,AI 快速處理大量資料的能力,也使得企業能更快、更準確地發掘可疑的行為或模式。生成式 AI 甚至可以即時檢查資料、查詢事件的情境,並根據其分析結果來產生回應。這些洞見將縮短人工作業的時間,並協助開發更主動的回應。此外,AI 所產生的資料也有助於判斷事件的根源、預測未來的威脅,以及開發訓練情境。
哪裡可以取得有關事件回應的協助?
趨勢科技提供 7 天 24 小時託管式偵測及回應、資安風險諮詢、事件回應、紅隊及紫隊演練 (包括滲透測試),以及即時服務的全球支援團隊,來為您帶來主動式資安成果。
相關文章
趨勢科技 2025 年資安風險報告
從事件到洞見:揭露一起 B2B 變臉詐騙 (BEC)
了解 Webshell 與 VPN 威脅的初期階段:MXDR 分析
Forrester Wave™:企業偵測及回應平台 (Enterprise Detection and Response Platforms),2024 年第 2 季
是時候升級您的 EDR 解決方案了
沈默的威脅:紅隊演練工具 EDRSilencer 將端點防護解決方案消音
FedRAMP 讓聯邦網路資安策略現代化
2025 年 Gartner® 端點防護平台 (EPP) 神奇象限 (Magic Quadrant™ for Endpoint Protection Platforms [EPP])
Forrester Wave™:端點防護 (Endpoint Security),2023 年第 4 季