當資安事件爆發時,混亂的即興應對往往比事件本身造成更大損害。Incident Response Lifecycle 提供標準化流程,讓團隊在壓力下仍能有序應對,將損害降到最低。
SANS 六階段 vs. CISSP 七步驟:架構對照
SANS 定義六個階段:準備(Preparation)→ 識別(Identification)→ 圍堵(Containment)→ 根除(Eradication)→ 復原(Recovery)→ 經驗教訓(Lessons Learned)。CISSP/ISC² 則拆分為七步驟:偵測(Detection)→ 回應(Response)→ 緩解(Mitigation)→ 報告(Reporting)→ 復原(Recovery)→ 補救(Remediation)→ 經驗教訓(Lessons Learned)。兩者最大差異在於 CISSP 將「緩解」與「報告」獨立拆出,更強調合規通報義務。核心精神一致:閉環改善(Closed-Loop Improvement),每次事件的教訓必須回饋至下一輪準備階段。
Preparation 為何是最關鍵階段
業界共識:Preparation 是整個生命週期中投資報酬最高的階段。事件發生前建立的 Playbook、RACI 責任矩陣、通訊樹與隔離工具,決定後續所有階段的執行速度。準備不足的組織,光是「識別」階段就可能耗費數天。有效準備包含三個核心要素:定期桌面演練(Tabletop Exercise)、事先取得法律顧問授權範本、以及預先部署 EDR/SIEM 可視性工具。沒有準備的生命週期,只是一份事後補寫的報告。
💡 重點整理
- 閉環是核心:Lessons Learned 必須直接更新 Preparation,否則生命週期形同斷鏈。
- CISSP 多出「報告」步驟:對應 GDPR/個資法等法規的 72 小時通報義務。
- Containment 分短期與長期:先隔離止血,再評估業務影響後決定根除時機。
- Preparation 投資決定成敗:演練、工具、授權三者缺一不可。
無論採用 SANS 或 CISSP 框架,兩者本質相同:以結構對抗混亂。選擇適合組織規模的框架並持續演練,才能在真實事件中化被動為主動。
📚 參考文獻
- NIST SP 800-61 Rev. 2 — Computer Security Incident Handling Guide(美國國家標準局官方事件回應指引)
- SANS Institute — Incident Handler's Handbook,Patrick Kral 著(SANS 六階段原始定義來源)
- ISC² CISSP Official Study Guide — Domain 7: Security Operations(CISSP 七步驟權威定義)
⚠️ 本文內容基於撰寫時的最新資訊,實際應用時請參考官方文件的最新版本。
留言
張貼留言