CSIRT 컨설턴트로서 저는 중대한 사건에서 처음 1시간은 효과적으로 관리하는 것의 중요성을 아무리 강조해도 지나치지 않습니다
해야 할 일을 찾는 것은 중요한 사건에서는 종종 어려운 작업입니다. 불안한 느낌은 종종 사고 대응 분석가의 효과적인 결정에 방해가 됩니다. 그러나 침착성을 유지하고 행동을 계획하는 것은 보안사고 처리를 성공시키는 데 있어 중요합니다. 이 블로그는 독자가 보다 나은 사고 대응을 용이하게 하기 위해 도움이 되는 몇 가지 포인트를 상세히 설명하고 있습니다.
준비는 필수적인 보안 애널리스트는 사고를 내기 전에 대량의 정보를 알아야 합니다. 시작하려면 사고 대응의 애널리스트가 자신의 역할과 책임을 숙지하지 않으면 안됩니다. IT인프라는 지난 몇 년 사이에 빨리 발전했습니다. 예를 들어 클라우드 컴퓨팅 및 데이터 스토리지로의 이동이 증가하는 것을 관찰했습니다. 급속히 변화하는 IT환경에서는, 애널리스트가 클라우드 보안에 대한 학습이라고 하는 기술을 업데이트할 필요가 있습니다. 결과적으로 분석가는 실습을 해야 하고, 모든 시스템의 토폴로지에 대해 완전한 그림을 유지해야 합니다. 현실 세계에서 외부 CSIRT 애널리스트는 자기책임 하에 있는 모든 자산을 신속하게 식별해야 합니다. 동시에 사내 CSIRT 애널리스트도 취약성 관리 및 검색 검색 프로세스에 적극적인 참여가 필요합니다.
수집된 정보의 품질이 사고 대응의 결과를 결정합니다. 또, CSIRT 애널리스트는, 직면한 위협도 이해해야 합니다. 방어적인 사이버 보안 기술이 날로 업그레이드됨에 따라 위협 행위자는 진화할 태세를 갖추고 있습니다. 예를 들어, 2020년의 한 논문에 따르면 상위 10명의 활성 랜섬웨어 공격자 중 4명이 현재 ‘서비스로서의 랜섬웨어’ 비즈니스 모델을 사용하고 있습니다[1]. 이 패턴은 이러한 공격을 활용하기 위한 기술적 요구사항이 없기 때문에 악의적 행위자가 랜섬웨어를 보다 쉽게 배포할 수 있음을 나타냅니다. 결국 CSIRT 팀은 직면할 가능성이 있는 주요 위협을 식별해야 합니다.
예를 들어 CSIRT 전문가는 일반적인 악성코드를 보고 추가 위협은 없다고 결론지을 수 있습니다. 하지만 이러한 상황이 에너지 부문에 대한 공격처럼 보다 민감한 시나리오로 발생하면 비판적으로 생각하고 비전통적인 공격 방법을 모색할 필요가 있습니다. 사고 대응을 효과적으로 준비하려면 애널리스트가 작업하는 인프라와 직면한 사이버보안 위협환경에 대해 잘 알아야 합니다.
강력한 절차를 준비해 주십시오.아는 것은 전투의 절반에 불과합니다. 경보음이 울리면 빨리 침착하게 첫 번째 질문인 ‘첫 한 시간 동안 무엇을 해야 할까요?’에 대답할 계획을 세워야 합니다. 중요한사건의단계라는논문은중대한사건의첫시간을위기단계라고하고혼란,패닉,급하게현장에출동,교착상태로특징지어줍니다.(2)잘연습된CSIRT애널리스트입니다. 조사할 때에는 분별력을 행사하는 것이 좋겠죠.
반면 많은 시나리오에서 정보가 모호하고 제한된 시간 내에 솔루션을 실행하지 못해 운영 관할권이 부족할 수 있습니다. 이런 경우 사고대응팀은 직접 문제를 해결하고 전문지식을 명확하게 표현하며 작업을 해야 합니다.조사 및 근본원인 분석을 수행하는 시사고 대응팀은 종종 퍼즐의 누락된 조각을 찾는데 힘듭니다. 이러한 어려움은 의심과 우유부단함으로 이어집니다.
그러한 사건들로 미루어 분석가들은 종종 확실하지 않은 위반의 하나 이상의 가능성에 의해 사건이 발생한 것으로 추측하고 있습니다. 이러한 상황 하에서는 가장 가능성이 높은 원인을 상정한 후 조치를 취하는 것을 권장합니다. 처음 1시간은 시간이 필수입니다. 시간이 제한된 시험을 치르게 처음에 막힌 문제는 건너뛰세요.
최근에는 버튼 하나만 누르면 네트워크 억제기능을 제공하는 널리 채택되고 있는 EDR(Endpoint Detection and Response) 기술에 의해 사고대응 억제 프로세스가 간소화되는 경우가 많습니다. 그럼에도 불구하고 기존의 네트워크 억제 툴을 사용하더라도 네트워크를 억제하는 것은 항상 쉬운 일이 아닙니다. 사람들은 보다 안전한 옵션을 사용할 수 있을 때 항상 선택하지 않습니다. 하지만 속담처럼 항상 미안한 것보다 안전한 것이 좋아요!
실제로 무슨 일이 일어났는지 알아보고 격차를 좁히세요 아마 한 시간이 지난 후에도 아직 퍼즐 조각이 빠진 상태로 남아있을 겁니다. 이제 시간을 갖고 모든 가능성에 대해 심사숙고하고 목록을 작성하는 것이 좋습니다.
예를 들어, 공격자가 서버에서 리버스 셸을 시작한 보안 사고를 처리했습니다. 저는 즉시 서버를 봉쇄하기로 결정하고 모든 증거를 모았습니다. 하지만 팀원들과 저는 여전히 서버가 어떻게 손상되었는지 파악하지 못했기 때문에 접근 가능한 모든 서비스 목록을 만들어 각 서비스에 대한 관련 로그를 조사했습니다.
초기의 추측에서는 IT운용 툴을 타협의 지표로 삼았습니다. 그러나 결국 우리는 모든 가능성을 배제하고 이 추측을 뒤집었으며, 웹 서비스에 고유한 보안 결함이 있는 것은 틀림없다는 결론을 내렸습니다.
때때로 침해 후의 분석 중에 CSIRT 분석가는 점을 매기는 것이 곤란해질 수 있습니다. 그러나 진실은 충분한 인내와 올바른 마음가짐으로 항상 승리합니다.
고려해야 할 사항 결론적으로 중요한 사고 발생 후, 중요한 1시간 간격을 효과적으로 관리하려면 , 현장에서의 학습 이상이 필요하게 됩니다.
전문 기술 외에도 숙련된 CSIRT 애널리스트들은 자산과 적에 대한 광범위한 준비, 작업 우선순위 지정, 필요시 신속한 결정, 제거 프로세스를 통해 실질적인 사실을 식별할 수 있는 이점을 누릴 수 있습니다. .
이것은 Security Navigator에 있는 이야기의 또 다른 발췌부에 불과합니다. 실제 CSIRT나 침투 테스트와 같은 기타 흥미로운 내용은 물론 일반적인 보안 환경에 대한 수많은 사실·수치도 여기에서 발견됩니다. 전체 보고서는 Orange Cyberdefense 웹사이트에서 다운로드 할 수 있으므로 참고하시기 바랍니다. 그건 가치!