침해사고 대응 과정 (사고 대응 책 목차)

초기대응

조사

복원

조사정보추적

리포팅

 

---

사고 대응 전에 준비할 것 

조직이 준비할 것 

1) 위험 식별

2) 성공적인 IR을 위한 정책

3) 아웃소싱

4) 세계적 사고 이슈에 대한 생각

5) 호스트 기반 보안의 사용자 교육

 

IR팀 준비할 것

1) 임무 정의

2) 과정 설명 

3) DELIVERABLES?

4) IR 팀을 위한 자원 

 

사고 대응을 위한 인프라 준비

1) 컴터 디바이스 설정

2) 네트워크 설정

---

사고 대응

바르게 조사하기

1) 초기 요인 모으기 : 체크리스트

2) 케이스 노드의 유지 : 공격 타임라인 설립

3) 조사 우선순위 이해 : 증거 요소는? 관리와 함께 기대를 설정?

4) 그래서 얻어낸 것은?

 

LEADS의 초기 개발

1) LEADS 값 정의

2) LEADS 수행 

 

 

사고의 범위 발견

1) 뭐 해야하지

- 초기 데이터 검사

- 주요 증거 모으고 리뷰

- 동작의 단계 결정

2) 고객 데이터 손실 시나리오 

3) 자동화된 클리닝 하우스 침해 시나리오 (FRAUD : 침해)

---

데이터 모으기

라이브 데이터 모으기

- 언제 라이브 대응을 해야함?

- 도구는?

- 뭘 모아야 하는가

- 최고의 연습

 

포렌식 복제?

포렌식 이미지 포맷 : 디스크 이미지, 파티션 이미지, 논리 이미지, 이미지 무결성

전통적인 복제 : HDD 복제, 이미지 생성 도구 (DD)

 

라이브 시스템 복제

기업 자산의 복제 - 가산 머신의 복제

 

네트워크 증거

- 네트워크 모니터링 : 이벤트 ALERT, 패킷 헤더 로깅, 통계모델링

- 네트워크 모니터링 시스템 설정

- 네트워크 데이터 분석 : 데이터 위협 시나리오, 웹셀 정찰 시나리오 

- 다른 네트워크 분석 도구

- 네트워크 이벤트로부터 모은 로그

 

기업 서비스

- 기업 네트워크 관리 서비스 : dhcp, dns (??snmp?)

- 기업 관리 애플리케이션

- 안티바이러스 sw

- 웹서버

- db 서버

---

데이터 분석

분석 방법론 

- 목표 지정

- 네 데이터를 알아라. : 어디 데이터가 저장됨? 뭘 이용가능?

- 데이터 접근

- 데이터 분석 : 접근 개요. 방법론 선택

- 결과 분석 

 

os별 조사 수행 (os 별 아티팩트가 다름, 리눅스/윈도우/mac/android<< 이것도 리눅스긴 한데

 

- 애플리케이션 조사

ㄴ 각 os가 애플리케이션 데이터를 저장하는 위치 

ㄴ 일반적 조사 방법

ㄴ 웹 브라우저 : 히스토리, 쿠키, 캐시, 임시파일, favicon

ㄴ 이메일 클라이언트 

ㄴ 인스턴스 메시지 클라이언트

 

멀웨어 조사

- 트리아지 환경 (바이러스 환경 설정)

- 정적 분석 

- 동적 분석 

 

리포팅

- 보고서쓰기 

 

---

복구하기

-  lesson learn -> 이후 방어 대책에 반영