企業資安防禦的關鍵點:暗網情資>>>立即了解>>>
IR-logo

資安事件應變處理服務 (IR)

TeamT5 資安事件應變處理服務,即是協助企業能迅速且有效應對資安威脅或駭客攻擊,以最小化的損失來保護關鍵資訊資產;並提升企業面對資安事件的應處能力,減少資訊系統與網路服務中斷時間,維持各項服務連續性,確保業務正常運作。

本服務協助客戶檢視場域中可能的資安風險與威脅,並以事件中嚴重受駭的主機為出發點,進而全面性端點安全狀態盤點及取得關鍵網路系統紀錄分析,以找出駭客可能的入侵存取進入點,獲取駭侵根因(root cause) ,並掌握駭客移動路徑,了解惡意程式種類與行為、中繼站溝通方式與進行後門帳號、失竊帳號密碼、失竊資料等威脅損害盤點,並進一步協助提供客戶事發現場還原、網路系統架構改善與未來類似攻擊事件預防等建議。

資安事件調查
資安事件調查
  • 針對駭客入侵資安事件(APT、AD 遭駭、WebShell、後門程式、勒索軟體、個資外洩及設備遭駭等),提供緊急應變諮詢與現場調查服務。
  • 協助確認場域中受害終端及影響範圍,辨識惡意程式與攻擊手法,找出入侵根因,並提供資安防護機制改善建議。
系統/網頁/設備日誌分析
系統/網頁/設備日誌分析
  • 針對客戶所提供或案發現場系統、網頁、資安設備日誌,進行分析。
惡意程式分析
惡意程式分析
  • 針對客戶所提供或案發現場惡意程式,提供自動化沙箱或專業人工分析。

服務流程

第一階段

1
前期準備
(Preparation)
  • 掌握事件現況
  • 訪談客戶需求
  • 緊急應變建議
  • 規劃作業項目
2
確認受害範圍
(Detection)
  • 端點安全狀況掃描(ThreatSonar)
  • 關鍵紀錄取證判讀
  • 確認場域受害範圍

第二階段

3
事件調查
(Investigation)
  • 調查取樣
  • 威脅狩獵
  • 樣本分析
  • 根因推論
  • 日誌分析
  • 抑制建議
4
回應
(Response)
  • 事件調查報告,專人報告解讀
  • 威脅情資回饋,及時防禦阻擋
  • 駭侵根因研判,資安強化建議

團隊服務於資安產業逾 20 年,具備多年資安事件應變實務經驗,並曾參與配合重要資安調查事件。

擅長駭客攻擊手法分析、駭侵威脅獵捕、漏洞弱點研究與資安入侵根因分析。

取得多項專業證照,如 ECSA、CISSP、CEH、CHFI 等

參與國內外專業資安研討會與發表演說,例如:臺灣資安大會、日本 JSAC、日本 CodeBlue 等。

為台灣電腦網路危機處理暨協調中心(TWCERT/CC)成員,並為國際最大資安事件應變組織 FIRST 成員。

以長期威脅情資研究分析為後盾,TeamT5 事件調查團隊具國內外大型事件調查經驗,產業涵蓋科技業、金融業、電信業、政府機關等,快速掌握駭客入侵手法、提供處置建議,降低損害,並且藉深度事件根因分析,避免再次受到相同攻擊,強化資安體質。

CASE-01
進階持續性威脅(APT)攻擊事件
攻擊手法

運用零時差或 N-day 漏洞、網路滲透工具(Cobalt Strike)、客製化後門攻擊(NT 5.x NDIS 驅動程式後門、Webshell 等)及網路 VPN 代理程式(softether 等)。

事件概要

攻擊者針對標的蒐集資訊探測後,發現伺服器漏洞,進行攻擊。該後門程式威脅力強大,攻擊者可在潛伏於受感染的電腦上,執行各種通訊和資料收集,目的在於竊取政府運作、科技研發、商業營運等機密資料。

防護建議
  • (1)修補伺服器漏洞,並關注暗網是否有被洩露的帳密或釣魚郵件,阻擋攻擊者入侵存取。
  • (2)透過端點防護偵測,及時發現內網核心網域滲透移動。
了解更多
CASE-02
網站入侵
攻擊手法

運用 SQL 注入、SSRF、上傳頁面繞過、第三方套件漏洞、網路掃描工具(Serverscan、 Xray)、網頁後門(WebShell)及代理程式(Neo-reGeorg)。

事件概要

攻擊者利用網站網頁漏洞或所安裝的第三方套件漏洞,上傳網頁後門、取得網站主機控制權限後,安裝代理及上傳掃描工具,探測內網主機與暴力破解密碼。

防護建議
  • (1)掌握漏洞資訊,及時修補更新網站系統、網頁程式及第三方套件漏洞。
  • (2)定時檢視管理套件存取與網站服務紀錄。
  • (3)透過端點防護軟體與網管設備,監控場域系統與網路狀態,即時發現惡意程式。
CASE-03
勒索軟體
攻擊手法

運用暗網情資或透過網路掃描暴力破解密碼手法,取得場域中網路或系統存取權限(RDP、SSH、VPN 等)。

事件概要

攻擊者進入內網後即可橫向移動,並擴大控制範圍與層級,最後選定有價值目標進行加密勒索,通常勒索目標為 ESXi 主機、NAS 設備與 AD、資料庫主機。

防護建議
  • (1)需避免設備漏洞、網路存取驗證機制不足。
  • (2)透由終端防護監控機制,偵測可疑程式或移動狀態,及早發現威脅阻斷駭侵來源。
  • (3)強化資料備份機制。
了解更多
CASE-04
個資外洩
攻擊手法

攻擊者運用網路掃描(Port scan)與 Web 入侵手法(SQL 注入、XSS、SSRF 等),取得場域中網站、資料庫存取權限。

事件概要

攻擊者存取下載客戶訂單資料,設計詐騙橋段後,透過電話、電郵或簡訊發送給受害者,藉以詐騙客戶金錢。由洩詐騙事件內容研判,應為訂單資料外洩造成。因此立即針對資料流釐清問題點,鎖定事件調查標的、取證分析。

防護建議
  • (1)需確認網頁上傳驗證機制是否完善,避免遭攻擊者上傳 Webshell 控制。
  • (2)注意服務介面是否暴險,避免遭攻擊者暴力破解或藉漏洞進入。
  • (3)強化資料流加密管理稽核機制。
了解更多

FAQs

TeamT5 IR 服務是什麼?

TeamT5 資安事件應變處理(Incident Response, IR)服務,包含專業事件分析、調查與處置,協助企業與組織,快速、有效應對資安事件,保護關鍵資訊資產,並確保企業組織恢復正常運作。

在資安事件發生的緊急時刻,為何有 TeamT5 事件應變支援是如此重要?

事件應變的目標,除了減少攻擊造成的損失,更要能從事件中學習,防範未然。TeamT5 有豐富的事件處理經驗,能夠在第一時間提供受駭組織以下支援:
- 掌握事件狀況,提供緊急應變建議
- 全面端點掃描,確認受駭範圍
- 事件根因調查,提供預防未來類似事件的建議

TeamT5 IR 服務與其他 IR 服務相較,有何不同?

與其他 IR 不同之處,在於 TeamT5 有 20 年以上惡意程式與 APT(Advanced Persistent Threat)研究經歷,擅長駭客攻擊手法分析、威脅獵捕、入侵根因分析,具豐富資安事件應變實務經驗。

有 TeamT5 的專業團隊偕同事件應變,可為企業組織帶來什麼效益?

- 阻斷威脅,快速釐清環境威脅風險
- 全面排查環境可疑因子,根絕後患
- 精準事件分析,最大程度降低損害
- 提供事件根因分析與補強建議,強化主動防禦

事件處置後,如何持續防禦之後可能的威脅?

攻擊手法持續演進,建議採用 TeamT5 的威脅偵測應變代管服務(Managed Detection and Response, MDR),由經驗豐富的專家團隊提供 7*24 端點監控、定期威脅狩獵,發掘威脅事件並給予處置建議。一旦有可疑事件,與企業組織偕同應變,深度調查與分析事件根因,優化資安防禦措施

為提供您最佳的服務體驗,本網站使用 Cookies。當您使用本網站,即表示您同意 Cookies 技術支援。更多資訊請參閱隱私權與Cookies使用政策。