资安事件回应篇

今天突然的好累QQ　所以来个半偷懒篇(?!

之前在写数位监识，或是资安稽核，还有其他文章时，
都会想到或是看到一些内容，觉得跟资安事件回应相关的，
可是自己不是那麽熟悉，感觉很多内容也分散在其他领域，
所以觉得有点难凑成一篇，但总之就还是写一篇XD

如果有碰过一些资安相关服务的人，可能会有听过IR或是ERS，
资安事件回应（Incident Response，IR）
紧急应变处理服务（Emergency Responder Services，ERS）
这两个领域是我预期比较偏向的内容

1.甚麽是资安事件？

任何可能造成资产、系统、网路危害或是异常的行为。

2.发生了资安事件该如何做紧急响应

先确定影响范围，做好隔离（网路隔离，ACL等等），判断事情严重程度，联络技术与监识相关部门进行调查处理，进行事後分析。

这题我真的觉得难爆了! 
老实说我自己觉得这题题范围有点模糊，有点抽象，
不过可能是我自己没有在接触这一块，所以才会这麽觉得（？

不过这一题我是一定是要列一下的，
因为我实际上面试，遇到了至少两次吧。
之前跟朋友同事讨论，我自己认为回的很糟，
跟他聊过之後，我的回答可能太过都偏向技术面，
例如甚麽找Web Server的Log，查看流量纪录，有甚麽异常程序之类blalba，
其实也不是错，可是也许面试官想听到的是比较策略面一点的回答。

3.主机被入侵了该怎麽办（或是疑似被入侵）

先查看自己主机开放的服务，找出是否有可能的攻击点，比如开放HTTP，可能是遭受WEB攻击等。也同时确认是否有开启或是监听非正常的服务。查看可能被入侵点的服务的相关日志。搜寻系统档案当中是否有存在恶意程序，利用Process Explorer查看是否有异常的程序。

有没有跟上面题目很像XD
但是范围稍微明确一点点。

这个是之前有人在网路上发问过的问题，
不过这种问题应该也算常见吧。

4.如果你发现公司内部的网路流量当中有识别出了C2 Server，接下来你会怎麽做？

看是内部哪台主机对外发起连线的，查看该主机上是否有存在恶意程序；也顺便去查该C2 Server的相关资讯。

5.如果发现了可疑的网路行为时，你首先会做甚麽？需要甚麽资讯？

6.资安当中的TTP指的是甚麽？

TTP是Tactic（战术）、Technique（技术）、 Procedure （程序）三者的开头缩写。

7.你都如何去了解最近的资安威胁趋势？

看ithome新闻~ 还有The Hacker News, BleepingComputer, Freebuf 等等，族繁不及备载。

8.你使用过哪些资安事件处理的工具？他们分别有甚麽用途？

sysinternals的那一包东西，Process Explorer、TCP Viewer之类的

9.电脑中毒可能会有甚麽样的特徵或线索？

电脑处理速度或是网路速度变慢、
背景程序有没看过的异常处理程序、
电脑会异常重新开机、
没有执行操作时，硬碟或CPU仍然频繁读写或高负载运作
诸如此类等等...

10. Incident Handling跟Incident Response有甚麽区别？

抱歉，累了，让我懒一下XD
请参考下列连结
https://blog.elearnsecurity.com/security-incidents-incident-handling-vs-incident-response.html

最後谈谈自己对於IR或是ERS的一些想法，
就是，
这个工作感觉压力超大的阿XDD

而且都麻是突然出事情，突然就要去处理的样子
这样真的可以顾好自己的正常生活吗QQ

若有要补充也都欢迎留言