1. Incident response phase 1: Containment 격리
- 목표 : 위협으로 인한 추가 피해 방지
- 보안 침해 억제를 위한 조치
Containment strategies 격리 전략에는
- Short-term containment
- Isolate-affected systems 영향을 받는 시스템을 신속하게 격리하여 위협의 확산을 막음
- Remove compromised devices 손상된 시스템을 네트워크에서 분리 - Long-term containment
- Enhance security measures 향상된 보안 조치
- Segment critical databases 광범위한 네트워크에서 중요한 데이터베이스를 분리하는 등 영향을 받지 않는 시스템 보호가 필요 - Backup creation 백업을 생성하면 영향을 받은
- Create system backups 시스템과 영향을 받지 않은 시스템의 백업이 생성되어
- Preserve forensic eveidence 데이터 손실을 줄이고 포렌식 증거를 보존할 수 있음
2. Incident response phase 2: Eradication 근절
- 목표 : 시스템의 위협 제거
- Verifying system integrity 위협 제거
- Ensuring no breach traces 모든 시스템을 철저히 검사하여 침해의 흔적이 남아 있지 않은지 확인하는 것이 포함
3. Incident response phase 3: Recovery
- Recovery focuses on restoring systems by 영향을 받은 시스템을 정상 작동 상태로 복원하는 작업이 필요
Recovery process
- Applying software patches 소프트웨어 패치 적용
- Restoring systems from backups 백업 시스템 재구성, 치료된 장치 재활성화
- 격리, 근절, 복구 단계를 명확하게 하기 위해 전략 개발하는 것이 중요
Strategies for containment, eradication, and recovery
- Incident response plans follow NIST and SANS frameworks to manage and resolve security incidents 대부분의 사고 대응 계획은 NIST 및 Sans Insitute의 모델을 통해 수립된 일반 프레임워크를 준수함
- Strategies involve : 이러한 단계를 위해 전략을 개발할 때, 특정한 중요 기준을 분석하는 것이 중요함
1. Prioritize critical systems 비즈니스 운영에 중요한 시스템에는 즉각적인 관심과 리소스가 필요한 경우가 많음
2. Tailor response tactics 멀웨어나 데이터 침해와 같은 다양한 사고에는 구체적인 대응 전략이 필요
3. Document incidents thoroughly 사건을 철저하게 문서화하면 사건의 전체 범위를 이해하는 데 도움이 되며 법적 절차에 도움이 됨
4. Assess the impact on operations 중요 시스템의 장애가 전체 운영에 미치는 영향을 이해하면 시스템 복구의 지침이 될 수 있음
5. Evaluate resources 효과적인 대응을 위해 인력, 기술, 시간 등 가용 자원을 평가하는 것이 중요
6. Maintain detailed records 취해진 모든 조치, 내린 결정, 수집된 증거에 대한 상세한 기록을 보관하면 사건을 분석하는 데 도움이 되며, 규정 준수 또는 법적 조사를 지원할 수 있음
Scenario : Incident response process
- 사이버 보안 침해에 직면한 중견 금융 서비스 회사
- 직원이 자신의 워크스테이션에서 비정상적 행동을 발견 후 즉시 헬프데스크에 보고
- 사고 대응 팀은 알림을 받고 조치를 취함
Containment phase:
- Short-term 회사는 단기 격리로 시작되는 격리 단계부터 프로세스를 시작
- Isolate-affected workstation 팀은 위협이 확산되는 것을 막기 위해 영향을 받는 워크스테이션을 내부 네트워크로부터 격리 후, 디바이스의 연결 해제
- Analyze network traffic 네트워크 트래픽을 분석하여 잠재적으로 손상될 수 있는 다른 시스템을 탐지 - Long-term 장기 격리 단계로 넘어감
- Apply firewall rules 임시 방화벽 규칙을 적용하여 금융 데이터베이스 서버를 광범위한 네트워크로부터 분리
- Create backups 영향을 받은 시스템과 중요 시스템 모두의 백업을 생성하여 추후 분석을 위해 포렌식 증거를 보존
Eradication phase 근절 단계로 넘어감
- scan for malware 팀은 격리된 워크스테이션에서 멀웨어 검사를 실시하여 트로이 목마 익스플로잇을 찾아냄
- 악성 소프트웨어 제거, 시스템 로그를 검사해 침해의 출처를 추적
- Identify phishing source 피싱 이메일을 통해 유입된 것으로 확인
- 광범위한 네트워크 검사를 수행하여 위협이 더이상 확산되지 않았는지 확인
Recovery phase
- Restore from backup 복구 단계가 끝나면 팀은 영향을 받은 워크스테이션을 클린하게 백업에서 복원하고, 네트워크에 다시 연결하기 전 해당 워크스테이션의 기능을 테스트함
- Implement email filtering 팀은 이메일 필터링을 구현
- 직원들에게 보안 인식 교육을 제공하여 향후 피싱 공격을 예방
Post-incident review
-
Document process 사고 후 검토를 실시하여 대응 전략을 개선하기 위해 학습한 프로세스와 교훈을 문서화
-
Malicious email links can spread viruses, risk data, and disrupt operations, making a structured incident response plan essential
-
이 비디오에서는 악성 이메일 링크가 바이러스를 확산시키고 데이터를 위험해지게끔하고 운영을 방해할 수 있다는 사실을 알 수 있었으므로 체계적인 사고 대응 계획이 필수적
-
The containment phase involves quickly isolating affeced systems, protecting unaffected ones, and creating backups to preserve evidence
-
격리 단계에는 영향을 받는 시스템을 신속하게 격리하고, 영향을 받지 않게끔 함
Whatever I want | Interested in DFIR, Security, Infra, Cloud