本情境的責任是演練低頻資料外送的範圍判讀與通報。它以 MOVEit 2023 MFT exfiltration case 為來源,轉成通用 MFT 與資料出口 tabletop。

Scenario Trigger

外部 advisory 指出受管檔案傳輸系統存在已被利用漏洞。內部稽核發現 MFT 上有異常 web shell indicator 與多筆低頻大量下載。

Initial Hypothesis

假設驗證資料
MFT 被植入 web shellfile integrity、web access log、IOC
特定資料集已被外送download log、object access、database audit
通報義務已被觸發data classification、customer mapping、legal review

Control Surface

控制面包含 data classification、MFT ownership、audit trail、incident communication、forensic preserve 與 retention

Response Route

  1. Contain:隔離 MFT、保留 forensic image、暫停高風險傳輸。
  2. Scope:建立資料集、客戶、時間窗與存取主體映射。
  3. Notify:讓 legal、customer success 與 incident commander 對齊通報節奏。
  4. Recover:修補 MFT、輪替 credential、驗證 log coverage。
  5. Write-back:更新資料出口控制、retention 與 low-frequency exfiltration detection。

Evidence Target

證據用途
MFT access log判斷資料外送時間窗
data classification map判斷通報與影響等級
customer mapping判斷受影響對象
forensic preserve record支撐調查與法務回查

Write-back Target