해당 시리즈는 Coursera에서 Course Certificate for Incident Response and Digital Forensics 강의를 수강하면서 기록하고자 작성한 내용입니다.
What is the Incident Response?
1. Diffenrence between security events and security incidents
Incident response process
- Security event: Failed login attempts
- Investigation
- Security incident: Unauthorized access
- Incident response: Managing threats
security event vs. security incident
| Security event | Security incident |
|---|---|
| Observable activity in a network/system | Confirmed breach of security policies |
| Examples: Login attempts and configuration changes | Examples: Login attempts and configuration changes |
| Routine actions: Often low risk | High risk: Requires immediate response |
2. Importance of incident response
Incident response plan
Incident response helps manage and recover from cybersecurity incidents
- cybersecurity threats을 준비, 탐지, 관리, 복구하기 위한 구조화된 방법
목적 - 잠재적인 위협 예방
- 운영 및 비용에 미치는 영향을 제한
IRP helps to:
- Outline procedures 역할, 책임, 단계를 명확하게 정의하는 포괄적인 사고 대응 계획(IRP)을 구현해야 함
- Ensure quick actions 사고를 신속하게 복구 가능하게끔 하고
- Reduces potential damage 피해를 최소화해야 함
Benefits of an incident response plan
- Reduce the financial impact
- Minimize revenue losses
- Avoid regulatory fines
- Save funds
→ 수익 손실, 규제 벌금, 기타 관련 비용 포함 절감 가능
3. Incident response process
To ensure effectiveness, IRP helps organize steps to align the process with industry standards
- Preparation
- Develop and refine procedures and tools
- Prepare effectively
- Ensure readiness
→ 프로세스는 효과적인 사고 식별, 억제 및 복구에 필요한 절차와 도구를 개발하고 개선하는 데 중점을 둔 준비 단계부터 시작됨
→ 목표는 사고가 발생하기 전 잘 대비하는 것
- Detection and analysis
- Monitor for suspicious activities
- Distinguish real threats
- Utilize tools
→ 조직은 비정상적인 활동을 지속적으로 모니터링하고, 관련 데이터를 평가하여 실제 위협과 허위 경보를 구분
→ 이 단계에서 사용되는 일반적인 도구에는 security information and event management, SIEM system, endpoint detection and response, EDR tools가 포함됨
- Containment
- Initiate containment strategies
- Implement short-term actions
→ 사건이 확인되면 사이버 보안 사고 대응 팀인 CSIRT가 격리 단계를 시작
→ 이들은 상황을 즉시 통제, 단기 및 장기 조치를 통해 영향을 받지 않는 시스템을 보호하는 전략을 구현함
- Eradication
- Remove the threat
- Ensure no remnants
→ 팀은 네트워크에서 위협을 제거하여 남은 공격이 없도록 함
- Recovery
- Restore affected systems
- Update and restore backups
- Verify functioning
→ 이 기간 동안 영향을 받은 시스템은 정상 작동 상태로 복원
→모든 것이 제대로 작동하는지 확인하기 위한 백업 업데이트 및 복원이 포함됨
- Post-incident review
- Collect evidence and documents
- Identify response efforts
- Improve response efforts
- Coordinate with law enforcement
→ CSIRT가 증거를 수집하고 사건 중에 취해진 조치를 문서화하는 작업
→ 근본 원인을 파악하고 향후 사고에 대한 대응 프로세스를 개선하는 것을 목표로 함
→ 필요한 경우, 위반의 성격에 따라 법 집행 기관과의 협력이 이루어질 수 있음
영어로 듣고, 자막이랑 구글 번역기도 돌리면서 들었더니 강의 시간에 비해서 생각보다 시간이 많이 소요되었지만 확실히 공부는 되는 것 같다.
Whatever I want | Interested in DFIR, Security, Infra, Cloud