컴퓨터 보안 사고 관리

Computer security incident management

컴퓨터 보안정보 기술 분야에서 컴퓨터 보안 사고 관리컴퓨터나 컴퓨터 네트워크의 보안 사건에 대한 감시와 탐지, 그리고 그러한 사건에 대한 적절한 대응의 실행을 포함한다.컴퓨터 보안 사고 관리는 전문화된 형태의 사고 관리로, 그 주된 목적은 손상 사건 및 컴퓨터 침입에 대한 잘 이해되고 예측 가능한 대응의 개발이다.[1]null

사고 관리는 이 과정을 따르는 프로세스와 대응팀이 필요하다.이러한 컴퓨터 보안사고 관리의 정의는 국가사고관리시스템(NIMS)에 기술된 기준과 정의를 따른다.사고 조정자는 긴급 보안 사고에 대한 대응을 관리한다.자연 재해 또는 응급 서비스의 대응이 필요한 기타 이벤트에서 사고 조정자는 응급 서비스 사고 관리자의 연락 담당자로 활동할 수 있다.[2]null

개요

컴퓨터 보안 사고 관리는 컴퓨터 자산, 네트워크, 정보 시스템을 관리하고 보호하는 행정 기능이다.이러한 제도들은 우리 사회의 개인적, 경제적 복지에 점점 더 중요해지고 있다.조직(공공 및 민간 부문 그룹, 협회 및 기업)은 공익과 회원 및 이해관계자의 복지에 대한 책임을 이해해야 한다.이 책임은 "어떻게 해야 할지, 일이 잘못될 때"를 위한 관리 프로그램을 갖는 것으로 확장된다.사고 관리는 조직이 자신의 복지와 공공의 안전을 도모하기 위해 채택할 수 있는 과정을 정의하고 실행하는 프로그램이다.null

인시던트의 구성 요소

이벤트

이벤트는 시스템, 환경, 프로세스, 워크플로우 또는 개인(구성요소)의 정상적인 동작에 대한 관찰 가능한 변화다.이벤트의 세 가지 기본 유형이 있다.

  1. 정상—정상 사건은 해결책 구현 전에 중요한 구성요소에 영향을 주거나 변경 통제를 요구하지 않는다.정상 이벤트는 고위 직원의 참여나 행사 운영 통보가 필요하지 않다.
  2. 에스컬레이션 – 에스컬레이션된 이벤트는 중요한 생산 시스템에 영향을 미치거나 변경 관리 프로세스를 따라야 하는 해결책의 구현을 요구한다.에스컬레이션된 이벤트는 고위인사와 이해관계자 통지가 필요하다.
  3. 비상 – 비상사태는 다음과 같은 상황을 초래할 수 있다.
    1. 인간의 건강이나 안전에 영향을 미치다.
    2. 중요 시스템의 주요 통제권을 침해하다
    3. 구성요소 성능에 중요한 영향을 미치거나 구성요소 시스템에 대한 영향 때문에 개인의 건강 또는 안전에 영향을 미칠 수 있는 활동을 방지한다.
    4. 정책의 문제 또는 사용 가능한 사고 조정자에 의해 선언에 의해 비상사태로 간주된다.

컴퓨터 보안 및 정보 기술 요원은 잘 정의된 컴퓨터 보안 사고 대응 계획에 따라 비상 사태를 처리해야 한다.null

사건

사건은 인간의 근본 원인에 기인하는 사건이다.이러한 구별은 사건이 해를 끼치려는 악의적인 의도의 산물일 때 특히 중요하다.중요한 점은 모든 사건은 사건이지만 많은 사건은 사건이 아니라는 것이다.연령이나 결함으로 인한 시스템이나 애플리케이션 고장은 비상사태일 수 있지만 무작위 결함이나 고장은 사고가 아니다.null

사고대응팀

보안사고 코디네이터가 대응 프로세스를 관리하며 팀 구성 업무를 담당한다.조정자는 팀이 사고를 적절하게 평가하고 적절한 조치 방향에 대한 결정을 내리는 데 필요한 모든 개인을 포함하도록 보장할 것이다.사고 팀은 정기적으로 회의를 열어 현황 보고서를 검토하고 구체적인 해결책을 승인한다.팀은 미리 할당된 물리적 회의 장소와 가상 회의 장소를 활용해야 한다.[3]null

사건조사

그 조사는 사건의 경위를 밝히기 위해 노력한다.모든 사건들은 조사를 필요로 하거나 보증할 것이다.그러나 법의학 도구, 더러운 네트워크, 검역 네트워크, 법 집행 기관과의 협의와 같은 조사 자원은 긴급 사건의 효과적이고 신속한 해결에 유용할 수 있다.null

과정

초기 사고 관리 프로세스

저자: 마이클 버먼 (탄즈타플)
  1. 직원, 공급업체, 고객, 파트너, 장치 또는 센서 보고 이벤트 헬프 데스크.
  2. 티켓을 만들기 전에 헬프 데스크는 잘못된 긍정으로 이벤트를 필터링할 수 있다.그렇지 않으면 헬프 데스크 시스템은 이벤트, 이벤트 소스, 초기 이벤트 심각도 및 이벤트 우선 순위를 캡처하는 티켓을 만든다.null
    1. 티켓 시스템은 이벤트에 대한 고유한 ID를 만든다.IT 직원은 전자 메일, IM 및 기타 비공식 커뮤니케이션을 캡처하기 위해 티켓을 사용해야 한다.
    2. 변경 통제, 사고 관리 보고서 및 준수 보고서와 같은 후속 활동은 티켓 번호를 참조해야 한다.
    3. 이벤트 정보가 "제한된 액세스"인 경우, 티켓은 보안 문서 관리 시스템의 관련 문서를 참조해야 한다.
  3. 번째 수준 응답기는 추가 이벤트 데이터를 캡처하고 예비 분석을 수행한다.많은 조직에서 이벤트의 양은 직원과 비교하여 유의하다.결과적으로, 자동화는 일반적으로 인텔리전스 API와 통합된 [4]SLAUNG(보안 조정, 자동화 및 대응) 툴의 형태로 적용될 수 있다.SOURK 도구는 워크플로우 자동화 워크북을 통해 조사를 자동화한다.[4]사이버 인텔리전스 API를 통해 플레이북이 티켓(잠재적인 피싱 URL, 의심스러운 해시 등)과 관련된 연구를 자동화할 수 있다.첫 번째 응답자는 이벤트의 중요도를 결정한다.이 수준에서 정상 또는 에스컬레이션 이벤트임.null
    1. 정상적인 이벤트는 중요한 생산 시스템에 영향을 미치지 않으며, 결의안의 구현 전에 변경 통제를 요구하지 않는다.
    2. 중요한 생산 시스템에 영향을 미치거나 변경 통제가 필요한 이벤트는 확대되어야 한다.
    3. 조직 관리는 1단계 검토 없이 즉시 에스컬레이션을 요청할 수 있으며, 2단계는 티켓을 만든다.
  4. 그 사건은 해결될 준비가 되어 있다.자원은 결의안과 문제 카테고리를 티켓에 입력하고 티켓을 제출하여 마감한다.
  5. 티켓 소유자(직원, 벤더, 고객 또는 파트너)가 결의안을 받는다.그들은 문제가 만족스럽게 해결되었다고 판단하거나 티켓을 확대한다.
  6. 에스컬레이션 보고서는 이 이벤트를 표시하도록 업데이트되고 티켓에는 이벤트를 조사하고 응답할 수 있는 2단계 리소스가 할당된다.
  7. 두 번째 계층 리소스는 추가 분석을 수행하고 티켓의 중요도를 재평가한다.필요한 경우 2단계 리소스는 변경 제어를 구현하고 IT 관리자에게 이벤트를 통지할 책임이 있다.
  8. 비상 대응:
    1. 이벤트는 비상 대응이 필요하다고 판단될 때까지 에스컬레이션 체인을 따를 수 있다.
    2. 최고 수준의 조직 관리는 비상 대응이 필요하다고 판단하고 이 과정을 직접 호출할 수 있다.

비상대응상세

저자: 마이클 버먼 (탄즈타플)
  1. 긴급 대응은 보안 이벤트의 에스컬레이션 또는 CIO 또는 기타 집행 조직 직원의 직접 선언에 의해 개시된다.CIO는 사고 조정자를 지정할 수 있지만, 기본적으로 조정자는 사고 당시 이용 가능한 가장 높은 보안 담당 직원이 될 것이다.
  2. 사고 조정자는 사고 대응 팀을 구성한다.그 팀은 미리 정의된 회의 장소를 이용하여 만난다.각 사건 팀 회의에는 (CIO, CSO 또는 IT 책임자) 중 한 명이 참석해야 한다.
  3. 회의록에는 사건의 현황, 조치 및 해결책이 수록되어 있다.사고 조정자는 사고의 비용, 노출 및 지속적인 비즈니스 위험에 대해 보고한다.사고 대응팀이 다음 행동 방침을 결정한다.
  4. 잠금 및 수리 – 조직의 추가 손상을 방지하고 영향을 받는 시스템을 수리하며 재발을 방지하기 위해 필요한 조치를 취하십시오.
  5. 거짓 긍정 – 사고 팀은 이 문제가 긴급 대응을 보장하지 않는다고 판단한다.팀은 고위 경영진에게 서면 보고서를 제공하며, 이 사안은 정상적인 사건 또는 종결 처리된다.
  6. 모니터링 및 캡처 – 지속적인 모니터링으로 철저한 조사를 수행하여 가해자를 탐지하고 붙잡으십시오.이 프로세스에는 다음과 같은 고위 및 전문 직원에 대한 통지가 포함되어야 한다.
    1. CEO 및 CFO
    2. 기업 법무 및 홍보
  7. 로그 데이터를 검토하고 분석하여 인시던트의 특성 및 범위를 결정하십시오.이 단계에는 바이러스, 스파이웨어, 루트킷 및 기타 탐지 도구를 활용하여 필요한 완화 및 복구를 결정하는 작업이 포함되어야 한다.
  8. 시스템을 수리하고, 공격 벡터를 제거하며, 공격 가능한 취약성을 완화하십시오.
  9. 테스트 보고서는 수리 프로세스의 유효성 검사를 문서화한다.null
    1. 정책을 준수하고 리스크를 완화하기 위해 시스템을 테스트하십시오.
    2. 추가 복구를 수행하여 모든 현재 취약성을 해결하십시오.
  10. 사건을 조사하여 공격원 파악 및 가해자 검거이를 위해서는 법의학 도구, 로그 분석, 청정 실험실 및 더러운 실험실 환경 및 법 집행 기관 또는 기타 외부 기관과의 통신이 필요하다.
  11. 에서의 "조사 현황 보고서"는 사건에 관한 모든 현재 정보를 캡처한다.사고 대응 팀은 이 정보를 사용하여 다음 행동 방침을 결정한다.(참조 2 및 참조 3 참조)

정의들

첫 번째 응답기/첫 번째 수준 검토
현장에 있거나 사건에 대한 통지를 받는 첫 번째 사람, 조직은 첫 번째 대응자에게 비상 상황을 인식하고 적절하게 대응할 수 있는 교육을 제공해야 한다.
헬프 데스크 티켓(제어)
데이터베이스 및 발행 추적/해결 시스템에 캡처된 전자 문서
티켓 소유자
행사를 보고하는 사람, 행사와 관련된 자산의 주된 소유자, 관습법 또는 관할권 소유자.
에스컬레이션 보고서(제어)
티켓 에스컬레이션을 위한 첫 번째 응답자 문서, 응답자는 이 정보를 이벤트에 대한 티켓 또는 WIKI 로그에 기록한다.티켓은 이벤트에 대한 WIKI 로그를 참조한다.
세컨드 티어
에스컬레이션된 이벤트를 해결하기 위해 할당된 선임 기술 리소스.
인시던트 코디네이터
조직 고위 관리자에 의해 할당된 개인으로, 사고 대응 팀을 구성하고, 사고에 대한 대응을 관리 및 문서화한다.
조사 현황 보고서(제어)
코디네이터는 현재 조사 결과를 문서화하여 티켓, WIKI 또는 엔지니어 저널에 이 자료를 문서화할 수 있다.
회의록(제어)
사고 팀 회의 문서, 참석자를 문서화하는 회의록, 사고의 현재 특성 및 권장 조치.코디네이터는 티켓, 위키 또는 엔지니어 저널에 이 자료를 문서화할 수 있다.
잠금 설정 변경 제어
사건의 해결책으로 명한 과정이 프로세스는 비상 변경 제어와 동일한 승인 및 대응 요건을 따른다.
테스트 보고서(제어)
이 보고서는 IT 담당자가 시스템을 다시 온라인으로 전환하기 전에 시스템에 필요한 모든 수리를 수행했음을 검증한다.
워룸
기밀 자료 검토 및 보안 사건 조사를 위한 안전한 환경
고위 경영진에게 보고(제어)
사고 조정자는 고위 경영진 보고서의 초안을 작성할 책임이 있다.코디네이터는 티켓, 위키 또는 엔지니어 저널에 이 자료를 문서화할 수 있다.

인시던트 응답 단계

  • 탐지 – 센서, 네트워크 분석가 또는 사용자가 PC에서 특이한 것을 보고하는 경우 사고를 탐지할 수 있다.
  • 격납 – 악의적인 네트워크 트래픽이나 컴퓨터 바이러스가 발생한 경우, 사고 대응 관리자는 컴퓨터를 네트워크에서 분리하여 트래픽을 중지해야 한다.
  • 치료 – 바이러스 검사를 실행하여 바이러스를 제거하거나 컴퓨터를 깨끗이 닦은 후 기계를 다시 촬영하십시오.
  • 역 엔지니어링컴퓨터 포렌식 도구를 사용하여 악의적인 트래픽이 처음에 발생한 이유를 파악하십시오.일단 그 사건이 완전히 이해되면, 당신의 미래의 위험을 줄이기 위한 계획을 세워라.

참고 항목

참조

  1. ^ "ISO 17799 ISO/IEC 17799:2005(E)". Information technology - Security techniques - Code of practice for information security management. ISO copyright office. 2005-06-15. pp. 90–94.
  2. ^ "NIMS - The Incident Command System". National Incident Management System. Department of Homeland Security. 2004-03-01. Archived from the original on 2007-03-18. Retrieved 2007-04-08.
  3. ^ "Creating a Computer Security Incident Response Team" (PDF). Computer Emergency Response Team. US-CERT. 2003-04-01. Retrieved 2007-04-08.
  4. ^ a b "What is SOAR (Security Orchestration, Automation and Response) ?". SearchSecurity. 2019-12-06. Retrieved 2019-12-06.

추가 읽기