PM 跟 ChatGPT 學企業資安事件應變
這次的學習內容,進入到第三階段企業資安事件應變,先下給 ChatGPT 指令:
這是上次你幫我規劃的內容,今天我要學這塊,記得我是沒有程式背景的 PM 喔
企業資安事件應變 (Incident Response)
企業遇到資安攻擊時怎麼辦?
企業如何偵測 DDoS 攻擊、資料外洩?
資安事件應變流程 (Incident Response Plan),從偵測、通報、處理到復原的步驟。
災難復原 (Disaster Recovery, DR)
為什麼雲端系統需要多區域備援?
如何確保企業資料在發生意外(如機房斷電、攻擊事件)時可以迅速恢復?
接下來就一起來看看內容吧!
企業資安事件應變 (Incident Response)
當企業遭受資安攻擊時,應該有 明確的應變流程 來 偵測、通報、處理、復原。這通常稱為 Incident Response Plan (IRP)。
1️⃣ 準備 (Preparation)
→ 事先建立資安應變計畫,確保有人負責偵測、通報、處理。
2️⃣ 偵測 (Detection)
→ 企業如何知道被攻擊了?
- 異常流量:DDoS 攻擊讓流量暴增
- 可疑帳號活動:同一帳號短時間內多地登入
- 資安警報:系統偵測到異常行為
3️⃣ 通報與應變 (Response & Containment)
→ 立即 通知內部資安團隊,並先暫時封鎖受影響系統或帳號。
4️⃣ 根除威脅 (Eradication)
→ 找出攻擊來源,清理惡意軟體,修復系統漏洞。
5️⃣ 復原 (Recovery)
→ 受影響的系統重新上線,並確保攻擊者無法再入侵。
6️⃣ 事後檢討 (Lessons Learned)
→ 分析這次事件,找出改善空間,避免未來再發生。
災難復原 (Disaster Recovery, DR)
除了資安攻擊,企業還可能面對系統故障、機房斷電、天災等突發狀況,這時就需要 災難復原計畫 (DR Plan)。
1️⃣ 為什麼要多區域備援?
→ 如果一個機房掛掉,業務還能繼續運作! → 雲端供應商提供「可用區 (AZ)」、「區域 (Region)」的備援機制,例如 AWS 東京掛掉,可以切換到新加坡。
2️⃣ 關鍵指標:RTO & RPO
RTO(Recovery Time Objective):系統需要多久恢復?(如 1 小時內)
RPO(Recovery Point Objective):最多能接受多久的資料遺失?(如最多 5 分鐘的資料)
3️⃣ 不同的 DR 策略
🔵 1. 冷備援 (Cold Standby)
📌 怎麼做?
- 平時不啟動備援系統,只有當主要系統掛掉時,才手動啟動備援環境。
- 備援機器可能是關機狀態,或資料庫只有定期備份。
📌 優點 & 缺點
✅ 成本低(不需要一直開著備援系統)
❌ RTO 長(要手動啟動備援環境,可能要數小時或更久)
❌ RPO 長(如果只做每日備份,可能會遺失一天的資料)
📌 適用對象
🔹 不需要即時恢復的系統,例如內部報表系統、開發測試環境。
🟠 2. 溫備援 (Warm Standby)
📌 怎麼做?
- 備援系統持續運行,但不對外提供服務,只有在主系統故障時才切換。
- 資料定期同步(但可能不是即時)。
📌 優點 & 缺點
✅ 比冷備援快(RTO 幾分鐘到幾小時)
✅ 資料較新(RPO 幾分鐘到幾小時)
❌ 成本比冷備援高(需要持續運行備援系統)
📌 適用對象
🔹 需要快速恢復,但能接受短暫停機的系統,例如 電商網站、SaaS 服務。
🔴 3. 熱備援 (Hot Standby / Active-Active)
📌 怎麼做?
主系統與備援系統同步運行,可隨時切換,甚至同時提供服務。
- 資料即時同步,幾乎不會有遺失。
📌 優點 & 缺點
✅ RTO 最短(幾秒到幾分鐘內自動切換)
✅ RPO 最短(幾乎不會有資料遺失)
❌ 成本高(需要維持兩套完整的系統)
📌 適用對象
🔹 不能停機的關鍵業務,例如 銀行交易系統、線上遊戲伺服器。
