보안 사고 대응의 4단계

보안 사고 대응의 흐름
보안 사고 대응은 ‘감지’, ‘초동 대응’, ‘복구’, ‘사후 대응’, 이 4개의 단계로 실시합니다.

감지 : 인시던트의 발생을 확인한다.
초동 대응 : 발생한 인시던트에 대한 대응을 시작하고 피해를 최소화한다.
복구 : 피해를 입은 시스템을 원래대로 되돌리고, 동일한 원인으로 피해를 입지 않도록 한다.
사후 대응 : 복구 이후에 필요에 따라 실시한다.

보안 사고 대응의 각 단계에서 수행하는 작업
보안 사고 대응의 각 단계에서는 아래와 같은 작업을 실시합니다.

감지 :  다음과 같은 것을 트리거로 시작된다.
● 조직에서 설치한 IDS(p.154)나 SIEM(p.84)의 통지를 받아 조사
● SOC(p.64)로부터 통지를 받아 조사
● 외부 조직으로부터 통지를 받아 조사

초동 대응 : 발생한 현상에 따라 필요한 대처를 결정한다.
● 대처에 필요한 체제의 확립
● 현재 상태의 파악과 피해의 최소화
  - 잘생한 인시던트의 현재 상태를 파악한다.
  - 인시던트가 발생한 기기를 특정한다.
  - 인시던트로 인해 일어난 현상을 특정한다.
  - 인시던트가 발생한 기기를 격리한다.
  - 다른 기기에 대한 피해 확대가 없는지 확인한다.
● 원인이나 공격 경로의 특정 및 대처
  - 피해를 받은 기기를 조사하여 피해에 이른 시나리오를 특정한다.
  - 피해가 발생하는 시나리오를 성립시키지 않도록 대처를 한다. 

복구 : ● 피해를 입은 기기의 재구축 및 복원
● 원인이 된 사항을 검토하고 같은 현상이 다시 일어나지 않도록 대처를 한다.

사후 대응 : ● 최종 보고서의 작성
● 그 외 피해를 입을 가능성이 있는 시스템의 유무를 확인하고 비슷한 인시던트를 방지하기 위한 대책을 세운다.
● 필요하면 시스템을 재구성한다.

인시던트 대응 시의 유의 사항
● 인시던트는 발생하지 않는 것이 가장 좋지만 완전히 발생하지 않도록 하는 것은 어렵기 때문에 감지를 확실히 할 수 있도록 할 필요가 있습니다.
● 인시던트의 발생부터 감지까지의 시간이 짧을수록 피해를 적게 만들 수 있는 경향이 있습니다.
● 인시던트에 대한 대응은 팀으로 대응하는 경우가 많습니다. 인시던트 발생 시의 팀 구성이나 역할 등을 사전에 정해두고, 유사시에 대비할 수 있도록 하는 것이 좋습니다. [CSIRT (p. 70)의 구축과 운용도 효과적.]

출처 : 그림 설명으로 한 번에 이해할 수 있는 보안의 기본(저자 Miyamoto Kunio, Okubo Takao / 출판 위즈플래닛)