複選題
23. 在勒索軟體事件中，下列哪些日誌的來源可能找到入侵的紀錄或警訊？
(A) 網路面資安防護設備
(B) 重要主機之作業系統事件
(C) 防毒軟體告警
(D) 門禁進出紀錄

(A) 網路面資安防護設備

• 解釋：勒索軟體通常需要與攻擊者的控制伺服器（C2）進行通訊，以獲取指令或加密金鑰。網路防護設備（如防火牆、入侵偵測系統 IDS、入侵防禦系統 IPS）會記錄以下可能的異常：
  • 惡意 IP 的連線嘗試
  • 可疑的資料流量
  • 異常的連線行為（例如大量檔案傳輸或端口掃描）
• 結論：網路面資安設備是追查勒索軟體入侵痕跡的重要來源之一。
• 正確性：✅

(B) 重要主機之作業系統事件

• 解釋：勒索軟體在主機上的活動會觸發操作系統的事件日誌，特別是以下行為：
  • 未經授權的登入：可能記錄於安全日誌中。
  • 檔案系統操作異常：勒索軟體通常大量讀寫或加密檔案，這可能會觸發系統事件。
  • 程序執行異常：勒索軟體的執行過程可能記錄於系統應用日誌。
• 結論：作業系統日誌能直接顯示勒索軟體在系統上的行為。
• 正確性：✅

(C) 防毒軟體告警

• 解釋：防毒軟體是直接對抗惡意程式的重要工具，會記錄以下事件：
  • 惡意程式的檢測與隔離：例如檔案加密程序或惡意軟體程式。
  • 行為異常的攔截：防毒軟體可能檢測到不正常的檔案加密或網路流量。
  • 勒索軟體指令碼活動：如使用 Powershell 或其他工具的異常行為。
• 結論：防毒軟體告警是識別勒索軟體的重要依據。
• 正確性：✅

(D) 門禁進出紀錄

• 解釋：
  • 門禁紀錄主要用於追蹤人員進出實體場所的活動，而勒索軟體屬於資訊層面的問題，通常無法直接從門禁系統找到具體的入侵行為。
  • 雖然在特定情況下（如使用 USB 裝置散播勒索軟體）門禁紀錄可能提供間接線索，但門禁系統不記錄網路或軟體層面的行為。
• 結論：門禁紀錄與勒索軟體事件僅間接相關，通常不會作為主要的入侵分析來源。
• 正確性：❌