當資安事件爆發的每一分鐘,損失都在持續擴大。Incident Response(IR) 是組織應對資安事件的標準化流程,目標是最小化損害、快速恢復正常運作,並強化未來的防禦能力。
NIST 四步驟 vs. SANS 六階段
NIST SP 800-61 將 IR 生命週期分為四大步驟:準備(Preparation)、偵測與分析(Detection & Analysis)、抑制/根除/復原(Containment / Eradication / Recovery)、事後活動(Post-Incident Activity)。架構簡潔,適合作為組織政策的骨幹。
SANS PICERL 則細分為六階段:準備(Preparation)、識別(Identification)、抑制(Containment)、根除(Eradication)、復原(Recovery)、經驗學習(Lessons Learned)。將 NIST 的「偵測與分析」拆解為獨立的識別步驟,使各階段職責更清晰,適合紅藍隊演練與 SOC 落地執行。兩套框架本質相同,差異在於顆粒度與應用情境。
各階段核心任務
準備階段是整個 IR 的地基:建立 Playbook、組建 CSIRT 團隊、部署 SIEM 與 EDR 工具。識別/偵測階段依賴告警分類(Triage)與 IoC 比對,快速判斷事件是否為真正威脅。抑制優先隔離受感染主機,防止橫向移動;根除則清除惡意程式、修補漏洞。復原階段需驗證系統完整性後才可上線。最終的經驗學習(Lessons Learned)產出報告,驅動下一輪防禦改善,形成持續強化的閉環。
💡 重點整理
- NIST 4 步驟適合政策制定,SANS 6 階段適合 SOC 實務執行。
- 準備階段投資最重要:Playbook 完整度直接決定應變速度。
- 抑制優先於根除:先止血,再清創,避免擴散損失。
- Lessons Learned 不可省略:每次事件都是強化防禦的機會。
IR 框架的核心價值不在選哪套標準,而在於持續演練與迭代改善。將 Playbook 定期更新、結合威脅情資,才能讓組織在真實攻擊發生時從容應對。
📚 參考文獻
- NIST SP 800-61 Rev. 2 — Computer Security Incident Handling Guide:nvlpubs.nist.gov
- SANS Institute — Incident Handler's Handbook:sans.org/white-papers/33901
⚠️ 本文內容基於撰寫時的最新資訊,實際應用時請參考官方文件的最新版本。
留言
張貼留言