Skip to main content
返回文章列表
Andy.Shih

事件應變的第一小時

第一小時不需要知道所有答案,但需要穩定指揮、保留證據,並用清楚的方式溝通不確定性。

Incident Response Tabletop Leadership

事件應變的第一小時,常常決定整個處理流程是受控還是混亂。目標不是立刻知道全部真相,而是讓決策節奏穩定下來。

建立指揮節奏

先指定一位事件負責人、一位技術調查負責人,以及一位溝通窗口。避免所有人都同時調查、同時回報管理層,卻沒有人負責時間線。

第一小時要記錄幾件事:

  • 是什麼觸發了事件?
  • 可能影響哪些系統、使用者或資料?
  • 已經收集到哪些證據?
  • 目前有哪些 containment 選項?
  • 接下來 30 分鐘內誰需要更新?

先保留證據

不要在保存證據前急著清理。日誌、警示、可疑檔案、帳號活動與時間戳都可能是判斷影響範圍的關鍵。

清楚溝通不確定性

管理層需要的是目前判斷,而不是假的精準。好的更新會分開已確認事實、工作假設、未知項目與下一步行動。

有練過 tabletop 的團隊,在真實事件中通常能更快進入狀況。