產品與服務
RSS

如何與資安事件調查團隊合作? 能夠獲得什麼協助?

1.12.2022GSS & IR Team
Share:
突發的資安事件常使企業組織措手不及,若尋求外部專業團隊協助,建議可準備下列資料,提高溝通效率。讓外部專業團隊更可發揮所長,快速協助企業恢復營運。

與資安事件調查團隊合作的5個關鍵

1.確認受害範圍
  • 受害電腦總數、受害網域、受影響服務
2.重點機器取證(Reg, Log, $MFT……)

資安事件團隊可協助企業釐受影響的狀況

初步來說,資安事件團隊可協助企業釐清受影響的狀況,包含下列:

1.被竊取的資料
  • 尋找近期新增之 zip, tar, rar 等檔案,過濾是否是攻擊者所打包
  • 尋查端點是否有建立 tunnel 或是 port forward 的工具
  • 尋查Megatools, dropbox 等雲端應用程式資料夾
  • 有些駭客會不慎留存一些 config 檔案,可以上去看看他們偷了哪些資料


2.被compromised的帳號
  • 透過 event log,確認駭客使用過哪些帳號進行橫向移動,或是安裝檔案


3.用了什麼工具
  • 駭客工具: mimikatz, Rubeus, Impacket, LOLBAS……
  • 後門程式: CobaltStrike, Metasploit, TrickBot……


進一步,資安事件團隊更可協助企業恢復正常營運,並採取適宜的資安防護措施,避免未來發生類似受攻擊事件。


TeamT5 杜浦數位安全團隊長期研究與解析駭客族群入侵行為,具備第一線國內外資安事件處理的豐富經驗。當資安事件發生,我們可快速完成受駭現場與歷史軌跡的綜整分析,發掘攻擊者的入侵過程與手法,提供事件處理的深入分析及建議,協助您復原與改善資安環境。
若您有資安事件處理、應變的需求,歡迎填寫諮詢表單: https://teamt5.org/tw/request-information/


*首圖來源: xFrame
1.12.2022GSS & IR Team
Share:

Related Post

產品與服務
6.2.2022

企業挑選資安廠商的3項重點

cyber security, ThreatVision, ThreatSonar, anti ransomware, 企業防駭, 防勒索軟體, 勒索病毒預防