資安事件應變處理服務 (IR)

TeamT5 資安事件應變處理服務，即是協助企業能迅速且有效應對資安威脅或駭客攻擊，以最小化的損失來保護關鍵資訊資產；並提升企業面對資安事件的應處能力，減少資訊系統與網路服務中斷時間，維持各項服務連續性，確保業務正常運作。

展開資安規劃與部署

我們將為您說明情資驅動的資安防禦，如何協助您阻擋網路攻擊，營運更優化

本服務協助客戶檢視場域中可能的資安風險與威脅，並以事件中嚴重受駭的主機為出發點，進而全面性端點安全狀態盤點及取得關鍵網路系統紀錄分析，以找出駭客可能的入侵存取進入點，獲取駭侵根因（root cause），並掌握駭客移動路徑，了解惡意程式種類與行為、中繼站溝通方式與進行後門帳號、失竊帳號密碼、失竊資料等威脅損害盤點，並進一步協助提供客戶事發現場還原、網路系統架構改善與未來類似攻擊事件預防等建議。

資安事件調查

針對駭客入侵資安事件（APT、AD 遭駭、WebShell、後門程式、勒索軟體、個資外洩及設備遭駭等），提供緊急應變諮詢與現場調查服務。
協助確認場域中受害終端及影響範圍，辨識惡意程式與攻擊手法，找出入侵根因，並提供資安防護機制改善建議。

系統/網頁/設備日誌分析

針對客戶所提供或案發現場系統、網頁、資安設備日誌，進行分析。

惡意程式分析

針對客戶所提供或案發現場惡意程式，提供自動化沙箱或專業人工分析。

服務流程

第一階段

前期準備

(Preparation)

掌握事件現況
訪談客戶需求
緊急應變建議
規劃作業項目

確認受害範圍

(Detection)

端點安全狀況掃描(ThreatSonar)
關鍵紀錄取證判讀
確認場域受害範圍

第二階段

事件調查

(Investigation)

調查取樣
威脅狩獵
樣本分析
根因推論
日誌分析
抑制建議

回應

(Response)

事件調查報告，專人報告解讀
威脅情資回饋，及時防禦阻擋
駭侵根因研判，資安強化建議

團隊服務於資安產業逾 20 年，具備多年資安事件應變實務經驗，並曾參與配合重要資安調查事件。

擅長駭客攻擊手法分析、駭侵威脅獵捕、漏洞弱點研究與資安入侵根因分析。

取得多項專業證照，如 ECSA、CISSP、CEH、CHFI 等

參與國內外專業資安研討會與發表演說，例如：臺灣資安大會、日本 JSAC、日本 CodeBlue 等。

為台灣電腦網路危機處理暨協調中心（TWCERT/CC）成員，並為國際最大資安事件應變組織 FIRST 成員。

以長期威脅情資研究分析為後盾，TeamT5 事件調查團隊具國內外大型事件調查經驗，產業涵蓋科技業、金融業、電信業、政府機關等，快速掌握駭客入侵手法、提供處置建議，降低損害，並且藉深度事件根因分析，避免再次受到相同攻擊，強化資安體質。

CASE-01

進階持續性威脅(APT)攻擊事件

攻擊手法

運用零時差或　N-day　漏洞、網路滲透工具（Cobalt Strike）、客製化後門攻擊（NT 5.x NDIS 驅動程式後門、Webshell 等）及網路 VPN 代理程式（softether 等）。

事件概要

攻擊者針對標的蒐集資訊探測後，發現伺服器漏洞，進行攻擊。該後門程式威脅力強大，攻擊者可在潛伏於受感染的電腦上，執行各種通訊和資料收集，目的在於竊取政府運作、科技研發、商業營運等機密資料。

防護建議

(1)修補伺服器漏洞，並關注暗網是否有被洩露的帳密或釣魚郵件，阻擋攻擊者入侵存取。
(2)透過端點防護偵測，及時發現內網核心網域滲透移動。

了解更多

CASE-02

網站入侵

攻擊手法

運用 SQL 注入、SSRF、上傳頁面繞過、第三方套件漏洞、網路掃描工具（Serverscan、 Xray）、網頁後門（WebShell）及代理程式（Neo-reGeorg）。

事件概要

攻擊者利用網站網頁漏洞或所安裝的第三方套件漏洞，上傳網頁後門、取得網站主機控制權限後，安裝代理及上傳掃描工具，探測內網主機與暴力破解密碼。

防護建議

(1)掌握漏洞資訊，及時修補更新網站系統、網頁程式及第三方套件漏洞。
(2)定時檢視管理套件存取與網站服務紀錄。
(3)透過端點防護軟體與網管設備，監控場域系統與網路狀態，即時發現惡意程式。

CASE-03

勒索軟體

攻擊手法

運用暗網情資或透過網路掃描暴力破解密碼手法，取得場域中網路或系統存取權限（RDP、SSH、VPN 等）。

事件概要

攻擊者進入內網後即可橫向移動，並擴大控制範圍與層級，最後選定有價值目標進行加密勒索，通常勒索目標為 ESXi 主機、NAS 設備與 AD、資料庫主機。

防護建議

(1)需避免設備漏洞、網路存取驗證機制不足。
(2)透由終端防護監控機制，偵測可疑程式或移動狀態，及早發現威脅阻斷駭侵來源。
(3)強化資料備份機制。

了解更多

CASE-04

個資外洩

攻擊手法

攻擊者運用網路掃描（Port scan）與 Web 入侵手法（SQL 注入、XSS、SSRF 等），取得場域中網站、資料庫存取權限。

事件概要

攻擊者存取下載客戶訂單資料，設計詐騙橋段後，透過電話、電郵或簡訊發送給受害者，藉以詐騙客戶金錢。由洩詐騙事件內容研判，應為訂單資料外洩造成。因此立即針對資料流釐清問題點，鎖定事件調查標的、取證分析。

防護建議

(1)需確認網頁上傳驗證機制是否完善，避免遭攻擊者上傳 Webshell 控制。
(2)注意服務介面是否暴險，避免遭攻擊者暴力破解或藉漏洞進入。
(3)強化資料流加密管理稽核機制。

了解更多

FAQs

TeamT5 IR 服務是什麼？

TeamT5 資安事件應變處理（Incident Response, IR）服務，包含專業事件分析、調查與處置，協助企業與組織，快速、有效應對資安事件，保護關鍵資訊資產，並確保企業組織恢復正常運作。

在資安事件發生的緊急時刻，為何有 TeamT5 事件應變支援是如此重要？

事件應變的目標，除了減少攻擊造成的損失，更要能從事件中學習，防範未然。TeamT5 有豐富的事件處理經驗，能夠在第一時間提供受駭組織以下支援：
- 掌握事件狀況，提供緊急應變建議
- 全面端點掃描，確認受駭範圍
- 事件根因調查，提供預防未來類似事件的建議

TeamT5 IR 服務與其他 IR 服務相較，有何不同？

與其他 IR 不同之處，在於 TeamT5 有 20 年以上惡意程式與 APT（Advanced Persistent Threat）研究經歷，擅長駭客攻擊手法分析、威脅獵捕、入侵根因分析，具豐富資安事件應變實務經驗。

有 TeamT5 的專業團隊偕同事件應變，可為企業組織帶來什麼效益？

- 阻斷威脅，快速釐清環境威脅風險
- 全面排查環境可疑因子，根絕後患
- 精準事件分析，最大程度降低損害
- 提供事件根因分析與補強建議，強化主動防禦

事件處置後，如何持續防禦之後可能的威脅？

攻擊手法持續演進，建議採用 TeamT5 的威脅偵測應變代管服務（Managed Detection and Response, MDR），由經驗豐富的專家團隊提供 7*24 端點監控、定期威脅狩獵，發掘威脅事件並給予處置建議。一旦有可疑事件，與企業組織偕同應變，深度調查與分析事件根因，優化資安防禦措施