Incident Response : Detection and Analysis
What you will learn
- Explain the importance of incident detection and analysis
- Descibe some of the benefits and risks when documenting incident detection
- Identify some incident detection techniques
- Explain the role of incident handlers during the analysis phase
- Describe the levels of impact assessments
- Explain the role and scope of the communication plan
1. The importance of incident detection
- Manage and coordinate their efforts
- Maintain a clear view of ongoing activities
- Improve overall incident response effectiveness
- Strengthen the organization's ability to withstand future threats
2. Real-time incident detection tracking
- Helps identify trends and patterns
- Provides valuable insights
3. Post-event detection tracking
- Can result incomplete or inaccurate incident information 팀이 이벤트 종료 시에만 사건을 모니터링하면 중요한 세부 정보 놓칠 수 있음
- Can hinder post-incident analysis and learning문서화하지 못하면 향후 사고를 예방하는 데 도움이 될 수 있는 사고 후 분석 및 학습에 방해될 수 있음
4. Detection tool techniques
- Monitoring systems
- Analyzing logs
- Using threat intelligence
5. Capture incident details
- Incident status
- Incident indicators
- The audit trail
- 사고 중 저장해야 하는 필수 정보에는 incident 상태, incident를 알리는 지표, 모든 incident handler가 취한 조치를 문서화하는 감사 추적이 포함
- 사고를 감지한 후 분석 단계가 시작됨
6. Incident handler roles during analysis 분석 단계에서
Gather and document information such as the :
- Event timeline
- Potential vulnerabilities 악용될 수 있는 잠재적 취약성
- Affected assets 영향을 받는 자산과 같은 정보를 포함하여 사고의 성격과 범위를 평가
→ Impact assessments 영향 평가
Determine how the incident affects the organization's :
- Assets, Staff, Data integrity, Recovery capabilities 자산, 직원, 데이터 무결성, 복구 기능 및 비즈니스 연속성에 미치는 영향을 조사하는 상세한 프로세스
Calculate both potential and actual damages, including :
- Financial losses 재정적 손실
- Harm to the organization's reputation 조직의 평판에 대한 손상
- Regulatory compliance issues 규제 문제 등 잠재적 및 실제 피해를 계산
7. Analyze the incident impact 영향 반응 분석
Enables to organization to:
- Evalutate the likelihood and severity of prospective, actual, and incurred damage 사이버 보안 사고 초기에 영향 대응 분석을 수행하면 조직은 해당 부서에 대한 예상 피해, 실제 피해 및 발생한 피해의 가능성과 심각도를 평가할 수 있음
- Strategize effective responses 이 정보는 조직이 효과적인 대응 전략을 수립할 수 있게 도움
→ Analyze the incident impact
- Low-impact scenarios 낮은 영향을 미치는 시나리오는
- Only expose non-sensetive organization data 영향이 적은 시나리오에는 중요하지 않은 직원 정보가 노출되는 경미한 데이터 침해가 포함되어
- Create minimal financial loss 재정적 손실을 최소화하고 조직의 평판에
- Result in no long-term reputational damage 장기적인 손상을 입히지 않을 수 있음
- Medium-impact scenarios 중간 정도의 영향을 미치는 시나리오에는
- Involve proprietary and non-personally identifiable data 제품 예측, 고객 목록, 표준 운영 절차와 같은 데이터를 포함하여 조직에 속한 독점 정보가 포함될 수 있음
- Create financial loss 이러한 유형 위반은 비즈니스 제한, 수익 손실
- Result in long-term reputational damage 이해관계자 및 비즈니스에 주요 이해관계가 있는 다른 사람들의 잠재적 조사로 이어질 수 있음
- High-impact scenarios 영향력이 큰 시나리오는
- Involve proprietary, confidential, or client data 중요 시스템에 영향을 미치는 랜섬웨어와
- Can include ransomware
- Might involve disruption of services and downtime 심각한 데이터 노출로 인한 서비스 중단이 포함되며, 이로 인해 심각한 다운타임
- Result in financial loss 수익 손실 및 잠재적 규제 조사가 발생할 수 있음
- Trigger regualtory scruntiny
- Result in long-term reputational damage 조직은 평가된 영향 수준에 따라 대응의 우선 순위를 정하고 리소스를 추가적으로 할당하여 추가 피해를 최소화할 수 있음
8. The role of the communication plan
- Is crucial to an incident response strategy 체계적인 사고 대응 커뮤니케이션 계획은 조직의 사고 대응 전략에 매우 중요함
- Specifies how the team will communicate information to : 사고 대응 팀은
- Stakeholders 사고 감지 및 분석 정보를 이해 관계자
- Executives 경영진
- Affected department members 피해 부서 구성원
- Regulatory agencies 규제 기관
- The public (when required) 필요한 경우, 일반 대중에게 전달하는 방법을 지정할 수 있도록 계획을 수립해야 함
9. Communication plan strategies
Communication strategies vary depending on the:
- Company size, structure, culture, Nature of the incident 회사의 규모, 구조, 문화, 사고의 성격과 같은 요인에 따라 조직마다 크게 달라짐
The communication plan specifications
- How the team will share information 커뮤니케이션 계획에는 팀이 정보를 공유하는 방법
- Who will share the information 정보를 공유할 사람
- Who will receive the information 정보를 받을 사람
- What actions department members will take 부서 구성원이 취하는 조치 등을 명시해야 함
Whatever I want | Interested in DFIR, Security, Infra, Cloud