跳到主要內容

Incident Response 完整指南:從 NIST 四步驟到 SANS 六階段的資安事件應變生命週期

當資安事件爆發的每一分鐘,損失都在持續擴大。Incident Response(IR) 是組織應對資安事件的標準化流程,目標是最小化損害、快速恢復正常運作,並強化未來的防禦能力。

NIST 四步驟 vs. SANS 六階段

NIST SP 800-61 將 IR 生命週期分為四大步驟:準備(Preparation)、偵測與分析(Detection & Analysis)、抑制/根除/復原(Containment / Eradication / Recovery)、事後活動(Post-Incident Activity)。架構簡潔,適合作為組織政策的骨幹。

SANS PICERL 則細分為六階段:準備(Preparation)、識別(Identification)、抑制(Containment)、根除(Eradication)、復原(Recovery)、經驗學習(Lessons Learned)。將 NIST 的「偵測與分析」拆解為獨立的識別步驟,使各階段職責更清晰,適合紅藍隊演練與 SOC 落地執行。兩套框架本質相同,差異在於顆粒度與應用情境。

各階段核心任務

準備階段是整個 IR 的地基:建立 Playbook、組建 CSIRT 團隊、部署 SIEM 與 EDR 工具。識別/偵測階段依賴告警分類(Triage)與 IoC 比對,快速判斷事件是否為真正威脅。抑制優先隔離受感染主機,防止橫向移動;根除則清除惡意程式、修補漏洞。復原階段需驗證系統完整性後才可上線。最終的經驗學習(Lessons Learned)產出報告,驅動下一輪防禦改善,形成持續強化的閉環。

💡 重點整理

  • NIST 4 步驟適合政策制定,SANS 6 階段適合 SOC 實務執行。
  • 準備階段投資最重要:Playbook 完整度直接決定應變速度。
  • 抑制優先於根除:先止血,再清創,避免擴散損失。
  • Lessons Learned 不可省略:每次事件都是強化防禦的機會。

IR 框架的核心價值不在選哪套標準,而在於持續演練與迭代改善。將 Playbook 定期更新、結合威脅情資,才能讓組織在真實攻擊發生時從容應對。

📚 參考文獻

  1. NIST SP 800-61 Rev. 2 — Computer Security Incident Handling Guidenvlpubs.nist.gov
  2. SANS Institute — Incident Handler's Handbooksans.org/white-papers/33901

⚠️ 本文內容基於撰寫時的最新資訊,實際應用時請參考官方文件的最新版本。

留言