iPAS◆資訊安全規劃實務◆中級題庫下載題庫

上一題
(題組題 1)
某上櫃企業已通過 ISO/IEC 27001 認證,於某上班日發現公司半數同 仁 AD 帳號遭到鎖定,無法使用 AD 帳號密碼登入電腦系統。MIS 進 行 AD 解鎖後,同仁隨即再次被鎖定無法登入,慌亂初期 MIS 採取區 域性斷網,依然無效。
隨即分析 AD 主機事件記錄,發現都是 Exchange Server 所造成,進一 步分析防火牆記錄,發現大量外部 access OWA 的 443 Port 登入失敗, 有多個來源遠端攻擊者裝置嘗試入侵 Web Mail 系統失敗,類似 「DDoS」與「密碼暴力攻擊」。
 MIS 採取緊急應變措施,阻斷相關攻擊者裝置 IP。可是每隔一段時間 會自動換成其他國家地區 IP 持續入侵攻擊,MIS 進一步將境外非台 IP 全面禁止,以短暫維持運作。但相關攻擊來源竟轉換台灣地區 IP。 MIS 進一步採取關閉用外部開放使用 Exchange OWA 服務,要求公司 外部活動人員須以 VPN 方式,建立裝置放行白名單方式,進行 Exchange 郵件登入作業。而 VPN 依群組方式申請建立不同放行權限, 非全面開放。
並對來自台灣的攻擊裝置主機,進行反查,確認其管理公司以及人員, 進行對主管機關進行資安通報,聯繫該攻擊方 IP 公司進行相關處理。 該公司隨即停用該主機,重新安裝,中斷 C&C 在台灣中繼站,國外攻 擊者 IP,則以 E-mail 通知,並於事件發生期間,全面中斷境外相關連 線,直到改善為止。
【題組】22. 上述情境中,關於問題事件分析、作業規範、以 及防護手段,下列敘述哪些正確?
(A)MIS 進行相關處置對策,亦可稱為「緊急應變措施」
(B) MIS 對應措施都必須保留相關需軌跡記錄,如:防火牆記錄、事件 記錄、郵件記錄、通報記錄備份以備查,利於後續稽核作業
(C) 這類攻擊模式屬於一種 APT 攻擊行為,是很難防禦的
(D)這次事件所受到攻擊,應該是針對特定目標人員的入侵攻擊行為



(題組題 1) 某上櫃企業已通過 ISO/IEC 27001 認證,於某上班日發..-阿摩線上測驗