Threat Impact
- PII, PHI, & PSI
PII(Personally identifiable information)
PHI(protected health information)
PSI(Personal security information)
보안의 3요소는 정보 보안의 기본적인 원칙으로, 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)을 말합니다.
이를 줄여서 CIA 삼원칙이라고도 합니다.
기밀성 (Confidentiality): 인가된 사람이나 시스템만이 정보에 접근할 수 있도록 하는 것입니다. 예를 들어, 암호화와 접근 제어가 기밀성을 유지하기 위한 방법입니다.
무결성 (Integrity): 정보가 인가되지 않은 방식으로 변경되거나 손상되지 않도록 하는 것입니다. 데이터의 정확성과 일관성을 유지하는 것이 목표이며, 이를 위해 데이터의 변조를 방지하는 메커니즘이 필요합니다.
가용성 (Availability): 필요한 사람이 언제든지 정보나 시스템에 접근할 수 있도록 보장하는 것입니다. 시스템의 장애나 서비스 거부 공격(DoS)으로부터 보호하여 가용성을 유지합니다.
SOC
- SOC(Security Operations Center)
People in the SOC
Tier 1 Alert Analyst - These professionals monitor incoming alerts, verify that a true incident has occurred, and forward tickets to Tier 2, if necessary.
Tier 2 Incident Responder - These professionals are responsible for deep investigation of incidents and advise remediation or action to be taken.
Tier 3 Threat Hunter - These professionals have expert-level skill in network, endpoint, threat intelligence, and malware reverse engineering. They are experts at tracing the processes of the malware to determine its impact and how it can be removed. They are also deeply involved in hunting for potential threats and implementing threat detection tools. Threat hunters search for cyber threats that are present in the network but have not yet been detected.
SOC Manager - This professional manages all the resources of the SOC and serves as the point of contact for the larger organization or customer. -> CSO직급
Process in the SOC
SIEM
- SIEM(Security Information and Evnet Management) : 위협을 감지하고 수집하여, 분석하고 그 분석결과로 문제를 해결하기 위해 판단하는 것
- SOAR(Security Orchestratiom Automation and Response) : 상황 및 문제에 대해 PlayBook을 통해 자동화 하는 것
SOC Metrics
- SOC 평가항목
Dwell Time - the length of time that threat actors have access to a network before they are detected, and their access is stopped.
Mean Time to Detect (MTTD) - the average time that it takes for the SOC personnel to identify valid security incidents have occurred in the network.
Mean Time to Respond (MTTR) - the average time that it takes to stop and remediate a security incident.
Mean Time to Contain (MTTC) - the time required to stop the incident from causing further damage to systems or data.
Time to Control - the time required to stop the spread of malware in the network.
HAL
- HAL(Hardware Abstraction Layer)
- HFS+(Hierarchical File System Plus) : MAX OS 에서 사용
- NTFS(New Technology File System)
Netstat
- Windows CMD, PowerShell에서 Network 정보 확인 명령어
Active Directory
