鬼故事 - 灭证高手

Credit: Scooby-Doo
灵感来源：UCCU Hacker

故事开始

小雨是一个资安监识人员，常常到客户公司做调查收资料，
我们又称这个为收屍的 a.k.a 法医，因为通常都是被打到惨不忍睹的时候才会请第三方的专家出来监识。

而今天要讲的是当资安法医对上灭证高手的故事，
小雨这次进去客户场域协助调查监识，而这次的案情是因为有部分电脑中了病毒，
总之当然还是请客户提供例如网路架构/资产清单等等的资讯，
对方 IT 立刻就说：没有这些资料
小雨当下想说：没有倒是挺正常的，不是每个公司都有做好资料盘点。
之後在部分受害端点做了一些调查後，请对方提供调查到的 IP/Hostname 对应的主机，
IT 当下说去检查一下，接着过了一个小时， IT 就带小雨逐台检查电脑，
小雨一到电脑发现有部分资料近期被删除或是电脑已经重灌，
甚至是部分服务器服务转移了，服务器被低阶格式化。

小雨本着不怀疑客户的情况下询问了 IT 这些状况，
IT 表示：因为我们发生资安事件，所以当下做了一些处置。
小雨心理想：那现在资料都删光光，是要我过来通灵吗 ？
小雨：好，那我想一下怎麽处理

资安探讨

其实在本故事中监识人员与 IT 的状况常常发生，
特别是当 IT 人员与监识人员的氛围处在一个对立面的时候，

监识人员应起到镇心的作用

当资安事件发生时，请记住：「没有人想要被骇」
监识人员除了做调查，也同时需要安抚客户以免客户紧张起来以为要背锅偷偷修补的漏洞／删除资料，
调查过程中应避免引起恐慌，也没必要透漏过多猜测。

IT 人员不用感到慌张

当事件已经发生，遮盖只是让事件调查不完整，
就像你身体不舒服给医生检查，你不应该隐瞒病情，因为你知道会影响医生的诊断。
同理，一个专业的监识人员并不会埋坑给你，保持良好的医病关系，
这样才能保护你下次不会被骇客攻击，
请记住：「 IT 与资安是同一阵线的夥伴」