阿摩線上測驗
9. 進行資安事件處置時,下列做法何者錯誤?
(A) 將漏洞修補以防止再發生
(B) 原始稽核紀錄可以刪除
(C) 確認事件根因是必要的
(D) 可以委託外部專業廠商進行
答案:登入後查看
統計: A(1), B(519), C(2), D(3), E(0) #3223879
統計: A(1), B(519), C(2), D(3), E(0) #3223879
詳解 (共 3 筆)
hiiii
#6241033
資安事件回應(Incident Response, IR)成四個主要階段,分別為 準備、偵測與分析、遏制、根除與復原、以及事後行動。這個四階段的資安事件應變流程圖是根據 NIST(美國國家標準技術研究院) 所提出的 SP 800-61 Rev. 2「電腦安全事件處理指南」(Computer Security Incident Handling Guide)所建立的。
-
準備(Preparation)
建立應變計畫、進行員工培訓、設定防護和監控系統,確保資安事件發生時可以快速有效地回應。 -
偵測與分析(Detection and Analysis)
透過監控工具偵測異常活動,分析日誌和稽核紀錄,快速識別並確認資安事件的存在和範圍。 -
遏制、根除與復原(Containment, Eradication, and Recovery)
採取措施限制事件的影響範圍,根除威脅,並修復受影響的系統,使系統安全地恢復運作。 -
事後行動(Post-Incident Activity)
撰寫事件報告,進行根因分析,優化應變流程和防護措施,從中學習並加強未來的防護能力。
-
(A) 將漏洞修補以防止再發生
正確。在資安事件發生後,修補漏洞是非常重要的步驟,這樣可以防止相同類型的事件再次發生。這是一種標準的事件回應流程,屬於「事後防護」的範疇。 -
(B) 原始稽核紀錄可以刪除
錯誤。原始稽核紀錄是調查資安事件的重要證據,可以用來分析事件發生的原因、過程以及影響範圍。刪除這些紀錄可能會妨礙後續的調查,並且在法律和合規的情況下也可能會違規。因此,保留原始稽核紀錄是資安事件處理的基本原則,這樣可以為事件分析和法律調查提供支持。 -
(C) 確認事件根因是必要的
正確。找出並確認事件的根本原因有助於了解事件是如何發生的,並能採取有效措施來防止未來類似事件的發生。這是事件調查中的重要步驟,能夠確保事件處理的徹底性。 -
(D) 可以委託外部專業廠商進行
正確。在資安事件處理過程中,若企業內部資源不足或缺乏專業技能,委託外部專業廠商協助是合理的選擇。許多企業會依賴外部的資安顧問或應急響應團隊來協助應對和調查複雜的資安事件。
1
0