EC-Council CND 網路防禦課程

IH&R 流程 (Incident Handling & Response)

事件處理與回應 (IH&R) 是指組織應對和管理網路攻擊後果的結構化方法。NIST 與 EC-Council 將其劃分為數個關鍵階段，防禦者必須嚴格遵守此順序以確保處置得當。

• Preparation (準備)： 建立 CSIRT 團隊、制定政策、配置工具 (如 SIEM, IDS) 以及培訓人員。這是事件發生前的基礎。
• Identification (識別/檢測)： 透過分析 Log、IDS 警報或使用者回報，確認「資安事件 (Incident)」是否真實發生。需區分誤報 (False Positive)。
• Containment (圍堵)： 首要任務是限制損害範圍。包括「短期圍堵」(如拔除網線) 與「長期圍堵」(如修改防火牆規則)。
• Eradication (根除)： 移除惡意軟體、關閉漏洞帳號、修補系統漏洞，徹底清除威脅根源。
• Recovery (復原)： 將系統恢復至正常運作狀態 (從乾淨備份還原)，並持續監控以防復發。
• Lessons Learned (經驗學習)： 事件結束後召開檢討會議，更新政策與防禦策略。

數位證據 (Digital Evidence)

在法律訴訟中，證據必須具備法律效力。作為網路防禦者，處理證據時必須遵循嚴格的標準。

證據的三大特性：

• Admissible (可採納性)： 證據必須以合法方式取得，並在法庭上被接受。
• Authentic (真實性)： 必須證明證據與現場發現時完全一致，未被竄改 (通常透過 Hash 值驗證)。
• Complete (完整性)： 證據必須包含所有相關面向，而非斷章取義。

Chain of Custody (監管鏈)：
這是一份詳細的文件記錄，記載證據從收集、保管、移交到分析的每一個環節。必須記錄「誰、在何時、做了什麼操作」。若監管鏈中斷，證據將在法庭上失效。

揮發性順序 (Order of Volatility)

在進行活體鑑識 (Live Forensics) 時，收集證據的順序至關重要。必須優先收集「最容易消失」的數據。若先進行磁碟映像備份 (Disk Imaging) 再收集記憶體，將導致記憶體數據被覆蓋或遺失。

標準收集順序 (由高揮發性至低揮發性)：

1. CPU 暫存器與快取 (Registers, Cache)：數奈秒內消失。
2. 路由表、ARP 快取、進程表、核心統計：系統關機即消失。
3. 主記憶體 (RAM)：包含執行中的惡意程式、解密金鑰等關鍵資訊。
4. 暫存檔案系統 (Temporary File Systems) / Swap Space。
5. 硬碟數據 (Disk)：持久性儲存。
6. 遠端日誌與監控數據 (Remote Logs)。
7. 實體配置與網路拓樸。
8. 封存媒體 (Archival Media)：如 CD/DVD/磁帶。

第一線應變人員 (First Responder)

第一線應變人員通常是網路管理員或現場技術人員，他們是最早發現或抵達事件現場的人。

核心職責：

• 識別與評估： 確認事件的嚴重性與範圍。
• 保護現場： 防止證據被污染或破壞。例如，不要隨意重啟受感染的機器，除非那是圍堵策略的一部分。
• 初步圍堵： 在不破壞證據的前提下，阻止災害擴大 (例如將受駭主機隔離至 VLAN)。
• 通報： 依據升級矩陣 (Escalation Matrix) 通知 CSIRT 或管理層。
• 記錄： 詳細記錄所見所聞與採取的行動。

IoC 與 IoA (指標分析)

在檢測階段，我們依賴兩種類型的指標來發現威脅：

Indicators of Compromise (IoC - 入侵指標)：
表示攻擊「已經發生」的證據。這是一種被動的事後分析。
例如：已知的惡意 IP 位址、惡意軟體的 MD5 Hash 值、特定的病毒檔名。

Indicators of Attack (IoA - 攻擊指標)：
表示攻擊「正在發生」的意圖或行為。這是一種主動的即時防禦。
例如：來自內部的異常大量出站流量、PowerShell 執行混淆指令、短時間內多次登入失敗後突然成功。

CND 強調從 IoC 進化到關注 IoA，以實現主動防禦。