本章的責任是把偵測盲區轉成可討論的問題節點,讓觀測與告警設計能抵抗常見迴避路徑。

本章寫作邊界

本章聚焦訊號缺口、關聯斷點與迴避策略語意,不討論偵測規則產品設定。

偵測缺口模型

偵測缺口模型的核心責任是定義攻擊者最常利用的觀測弱點。

  1. 覆蓋缺口:高風險流程沒有可用訊號。
  2. 關聯缺口:身份、入口、資料事件無法串成同一時序。
  3. 品質缺口:告警噪音過高導致可行動訊號被淹沒。
  4. 保留缺口:資料保留不足導致事後無法重建路徑。
  5. 回寫缺口:復盤結論未進入下一輪偵測策略。

判讀流程

判讀流程的責任是把「有告警」轉成「可收斂事件」。

  1. 先確認關鍵節點是否有觀測資料。
  2. 再確認不同資料源是否能用同一識別子關聯。
  3. 接著確認告警是否能支持分級與責任分派。
  4. 最後確認復盤後是否更新偵測覆蓋與閾值。

問題節點(案例觸發式)

問題節點判讀訊號風險後果對應章節
關鍵環節缺少觀測資料身分、入口、匯出事件無法串聯事故定位時間上升7.13 + 7.7
偵測規則過度依賴單一訊號高噪音環境中有效事件被淹沒告警品質下降7.13
事件後資料保留不足無法重建攻擊時序復盤品質下降7.11 + 7.7
迴避策略未進入設計檢查攻擊者可反覆利用既有盲區同類事件重演7.R8 + 7.9

常見迴避路徑

迴避路徑的責任是讓團隊預先設計可見性,而非事後補洞。

  • 低頻分散行為:把高風險操作切碎,避開單點閾值告警。
  • 跨系統跳躍行為:在多系統間移動,利用關聯斷點隱匿軌跡。
  • 正常流程偽裝行為:使用合法功能完成惡意目的,降低異常可見度。
  • 時序拖延行為:拉長行動時間,避開短時窗偵測規則。

案例觸發參考

案例觸發的責任是檢查偵測策略能否辨識低噪音高影響事件。

下一步路由

  • 偵測治理主章:7.13 detection-coverage-and-signal-governance
  • 稽核證據主章:7.7 audit-trail-and-accountability-boundary
  • 事故分級與復盤:08-incident-response