【資安事件處理實務】遭受網路攻擊怎麼辦?

企業、組織遭受資安攻擊事件後，不宜慌張，建議聯絡專業的資安事件應變(incident response, IR)團隊，進行下列應變步驟，不僅協助企業恢復營運，更可找出資安事件發生原因、解決問題，避免往後遭受再次攻擊。

TeamT5 杜浦數位安全專業團隊建議資安事件發生後的應變步驟：

多數攻擊者會刪除 log，掩飾其入侵行為與步驟。因此資安事件應變人員須盡可能在殘缺的 log 中，尋找未被刪除的紀錄，以便分析出攻擊者的入侵脈絡。

資安事件應變人員透過 log 紀錄，逐步還原、建立入侵事件的樣貌，包含入侵的時間點、入侵的手法、入侵的過程等。 具體來說，透過逐步的調查與分析，資安事件應變人員協助企業釐清系統是從哪台機器被侵入，是透過哪個漏洞被侵入，乃至系統被入侵多久時間、哪些資料被攻擊者偷走等細節。

資安事件應變人員宜具有完整的技術能力，協助企業封鎖攻擊者的入侵路徑，透過刪除攻擊者埋的後門，避免攻擊者使用同個後門、再次進入系統。更可進一步協助企業將系統重新上線，恢復正常營運。

技術日新月異，攻擊手法千變萬化，唯有持續進行良好的企業資安規劃，才能增強企業資安韌性。 完成資安事件應變與處理，更宜有經驗豐富的頂尖專家針對企業資安治理層次，提供全方面的建議，減少下次發生入侵事件的機率。資安治理建議包含做好網路區隔、系統使用的套件未即時更新(攻擊者可透過零日漏洞，直接侵入)、增強內網防禦(如: 許多企業的內網服務使用同組密碼，且未採用二階段驗證機制/2FA，若攻擊者掌握其中一組密碼、進一步即可掌握各系統的密碼與權限，攻擊者藉此可快速獲取企業全部資料)。

現今商業活動、企業營運十分仰賴資訊系統，若遭受網路攻擊、發生重大資安事件，將大幅影響日常營運。建議企業組織可尋求專業的資安事件應變團隊協助，參與資安事件分析調查與系統恢復作業，能有效避免進一步的損失，快速回到營運正軌。

若您有資安事件處理、應變的需求，歡迎填寫諮詢表單: https://teamt5.org/tw/contact-us/

*首圖來源: Pexels