Post-incident activities 시나리오
- 소매업체에서 고객 신용 카드 정보가 노출되는 데이터 침해 사고 발생
- 모니터링 소프트웨어가 비정상적인 거래 패턴을 감지한 곳에서 보안 침해 사례 발견
→ 조직은 무엇을 해야 할까? - Post-incident activities help 조직은 사후 활동
- Conduct a thorough incident review
- Ensure complete understanding of the incident
- Address all aspects of the incident response
- 사고의 모든 측면을 완전히 이해하고 해결하기 위한 보안 대응팀이 실시하는 철저한 검토 포함
- 사후 활동은 사고 문서화로 시작하는 일련의 프로세스 조합
Incident documentation
Key steps of accurate documentation include:
- 사고의 상세하고 명확한 타임라인을 만들기 위해 정확한 문서화가 필수적
- Initial detection 초기 탐지
- Alert 자동 알림을 통한 감지
- User report 사용자의 보고
- Routine monitoring 정기 모니터링 중 발견되었는가?
Example:
- Unusual login attempts 보안 분석가가 여러 IP 주소에서 비정상적인 로그인 시도를 발견하여 조사를 시작했다고 가정해본다면.
Timeline of events:
- Chronological sequence
- Detection
- Resolution
Actions taken: 사후 조치를 통해
- Steps performed 누가 언제 어떤 조치를 취했는지 포함해 사고 대응 중에 취해진 조치에 대한 세부 정보가 제공됨.
- ex) Suspicious IP blocked 오전 10시 45분에 IT 팀이 의심스러운 IP 주소를 차단.
- 팀은 사건을 철저하게 문서화한 후, 기술 검토 수행에 집중함
Technical review
A technical review examines the incident thoroughly
-
Identify the threat actors 관련 행위자가 식별 가능한 경우 위협 행위자를 파악하는데 도움.
- ex. Known hacking group using global IP address 공격이 알려진 해킹 그룹으로 추적된 경우, 다양한 국가의 IP 주소를 사용.
-
Response process 대응 프로세스
- 탐지, 격리, 근절 및 복구를 포함하여 대응 단계 전반에 걸쳐 취해진 조치를 자세히 설명
- ex. Isolate systems, perform forensics, restore from backups 영향을 받는 시스템을 격리하고, 포렌식을 하고, 백업에서 데이터를 복원
-
Technical details
- 로그를 컴파일하고 시스템 분석 결과를 가져올 때 관련 기술 정보 수집
- ex. Repeated failed login attempts 서버 로그에 여러 번 실패한 로그인 시도 후 손상된 자격 증명을 사용하여 로그인에 성공한 경우
-
기술 검토가 끝나면, 향후 사고 대응 노력을 강화하기 위한 구체적인 조치 항목을 식별하고 해결하는 것이 중요
Action items
- Identifies actions 책임 당사자가 완료해야 할 조치를 식별하는 데 도움
- Update firewall rules 한 팀에는 방화벽 규칙을 업데이트
- Conduct training 다른 팀에는 전사적으로 피싱 인식 교육을 실시하도록 배정
Documentation
- 사고 후 활동에서 얻은 중요한 기술적 통찰력을 모두 보고서에 정리
- 사고의 모든 세부 정보 요약
Technical details:
- Log and system analysis 로그 및 시스템 분석 결과와 같은 기술적 세부 정보
- ex. Server logs 무단 액세스 시도와 발생 시간을 보여주는 서버 로그 포함
Graphs or charts
- Visual representations 발생한 사건을 시각적으로 보여줌
- ex. Timeline charts 초기 위반부터 최종 해결까지 이벤트 순서를 보여주는 타임라인 차트
Lessons learned
- Team's response
- ex. Mitigation strategies 공격을 완화하기 위한 성공적인 전략과 대응이 개선될 수 있는 영역
Process improvement
Key focus areas include: 사고 발생 후 보안 사고 대응 팀 및 이해 관계자가
- Evalutate improvements 권장 개선 사항이나 필요한 변경 사항을 평가.
- Update procedures 해당하는 경우, 권장 사항을 조직의 표준 운영 절차에 통합하여 향후 사고를 예방하고 전반적인 보안을 강화
- Identify resource needs 보다 효과적인 사고 대응을 위해 추가 리소스나 기술이 필요한 영역을 강조
Emplotee training
Post-incident learning includes:
- Share findings
- Enhance response skills
- Implement new procedures
Whatever I want | Interested in DFIR, Security, Infra, Cloud