침해사고대응팀(CERT)란?
CERT : Computer Emergency Response Team
- 주로 사이버 보안 사고를 예방하는 업무를 진행
- 보안 사고가 발생하였을 때 해당 사고에 대한 원인과 피해 규모를 신속하게 파악하여 대책을 수립
- 최종적으로는 피해를 최소화 시키는 업무를 수행하는 직무
CERT의 업무 및 특징
CERT의 업무
- 보안 사고 예방을 위한 활동을 한다.
- 사고 발생 시 해당 사고에 대한 원인과 피해 규모 분석을 실시한다.
- 해당 사고에 대한 대책을 수립한다.
- 피해를 최소화 시키기 위한 다양한 활동을 한다.
- 유사 공격 등 사고를 방지하기 위한 활동을 한다.
CERT의 특징
CERT의 특징
- 대부분의 대기업이나 정부 기관은 자체적으로 CERT 팀을 구성하여 내부 보안 사고에 대응한다.
- 전문 보안 업체가 여러 기관이나 기업을 대상으로 보안 서비스를 제공해 줄 수 있다.
- 보안 위협과 취약점에 대한 정보를 조직이나 대중과 공유한다.
CERT의 업무 절차 및 특징
출저 : KISA : 침해사고 분석절차 안내서
- 사고 전 준비(예방) 부터 복구,해결까지 7단계의 절차로 분석 절차가 진행된다.
- 1~7까지의 절차 완료 후 다시 1번의 예방부터 시작하는 반복 사이클이다.
- 해당 절차는 보안관제 업무 절차와 비슷하다.
1.사고 전 준비
- 침해사고 발생 전 침해사고 대응팀과 조직적인 대응을 준비하는 단계이다.
- 사고를 어떻게 대응할 것인지에 대한 체제와 대응 팀에 대해 준비한다.
- 효율적인 사고 대응을 위한 전략과 대처 방안을 개발하며
- 전문가 조직을 구성하고 시스템/네트워크 관리자와 긴밀한 협조 관계를 구성한다.
2. 사고 탐지
- 정보보호 시스템(IPS/IDS등) 및 네트워크 장비에 의한 이상징후를 탐지하는 단계이다.
- 사고를 탐지하는 부분은 IDS, 관리자, 보안관제, 인사부 등이 존재한다
- 관리자에 의해 침해사고를 식별하기도 한다
3. 초기 대응
- 초기 조사를 수행하는 단계
- 사고 정황에 대한 세부사항을 기록한다.
- 침해사고 대응팀을 소집 / 네트워크와 시스템 정보를 수집한다
- 침해사고 관련 부서(기관)에 침해사고 발생 여부를 통지한다.
4. 대응 전략 체계화
- 대응 전략 수립 단계
- 초기대응 단계에서 확인한 정보를 이용해 대응한다.
- 공격 환경, 대응 능력 등을 고려해 대응 전략을 수립한다.
- 대응 방법에 따라 조직의 업무의 영향이 미칠수 있으므로 해당부분을 고려해야 하며, 상위 관리자가 승인해야 한다.
다음 표와 같은 사고 예시와 그에 맞는 대응 전략이 존재
5. 사고 조사
- 호스트 기반/ 네트워크 기반 /기타 기반 증거로 나누어 조사를 실시한다.
- 데이터 수집의 단계로 공격 시작부터 종료까지 어떤 공격이 이루어 졌는지를 조사한다.
- 피해 확산 및 사고 재발의 방안을 결정한다.
데이터 수집 단계에서 수집한 정보는 호스트 기반 정보 / 네트워크 기반 정보 / 일반 정보 3가지로 분리되어 집니다.
데이터 분석 단계에서는 포렌식 이미징 작업부터 모든 수집된 정보를 기반으로 데이터 준비 과정을 거쳐 데이터 분석으로 전체적인 조사과정을 수행합니다.
6. 보고서 작성
- 2~5단계 까지의 데이터를 추합해 보고서를 작성하는 단계
- 수집한 데이터의 분석을 하여 육하원칙(왜, 언제, 어디서, 누가, 무엇을, 어떻게)에 따라 보고서를 작성한다.
7. 복구 및 해결 과정
- 공격 이후 유사 공격을 예방하기 위한 보안 정책의 수립, 절차 변경을 진행한다.
- 침해사고 재발 방지를 위한 조치를 하며 대책을 수립한다.
참고
https://blog.naver.com/PostView.nhn?blogId=hanajava&logNo=222114434472
https://maker5587.tistory.com/26
https://velog.io
KISA : 침해사고 분석절차 안내서
안녕하세요