#059. SANSのIncident Handler’s Handbook
われらがRedditで頻出するSANS。セキュリティインシデント対応で、6つのフェーズを提示しています。
| 1. 準備 |
| このフェーズで、組織は、インシデント発生時に行う対応策の計画を開始する必要があります。代表的なステップとしては、リソースの準備、手順のテストなどが含まれます。 |
| 2. 特定 |
| インシデント対応の最初のステップは、インシデントの検知です。インシデントが確認されると、プロセスは次のフェーズに進みます。 |
| 3. 封じ込め |
| 問題が確認されたら、状況が悪化しないようにすることが最優先事項です。代表的なステップとして、ネットワークの隔離、アクセス経路や特定のシステムのシャットダウンなどを行います。 |
| 4. 根絶 |
| 病気と同様に、安全を確保するには、特定のマルウェア・タイプや攻撃者を完全に除去する必要があります。このフェーズでは、デバイスの内容を消去したり、安全な状態に復元したりします。根絶が不完全であるために、マルウェアが再び出現した例は数えられないほど沢山あります。したがって、徹底的に行うことが非常に重要です。 |
| 5. 復旧 |
| 問題が解決したら、標準の運用に戻す必要があります。このフェーズでは、一時的なフィックスの削除や、特定のサービスの復元などを行います。 |
| 6. 教訓の獲得 |
| 問題の後には、問題の原因だけでなく、対応がどれだけ効果的であったかを振り返る機会を持つことが重要です。このフェーズは、一般的に「教訓」フェーズと呼ばれることもあります。ただし、何の改善もなされない場合は、ただの「確認」フェーズになってしまいます。 |
詳細はホワイトペーパーをご覧ください。