[Tryhackme] Preparation - Incident Response 침해사고 대응 단계

2025. 5. 11. 16:09·Defensive

침해사고 대응의 핵심은

공격에 대응해서 영향, 회복 시간, 구동 비용을 최소화하는 것이다. 

필요한 절차에서는 맬웨어 감염을 분리하고 취약점을 분석 및 조치하는 것 역시 필요하다.

 

 

이벤트Event와 침해사고Incident의 구분

이벤트는 시스템이나 네트워크에서 발생하는 일반적인 사건들이다. 예를 들면 파일 서버에 접근하고 안티 바이러스 프로그램이 감염을 차단하는 것이 그 예시임.

반면에 침해사고는 보안 규정을 위반함으로서 내부 시스템에 악영향을 끼치는 사건들을 말한다. 랜섬웨어를 통해 데이터를 암호화하던가, 서비스 거부 공격(dos) 등이 그 예시

 

침해사고 대응 Incident Response 프로세스

1. Preparation: 사고가 발생하지 않게, 혹은 적절히 대응할 수 있도록 사전 준비가 필요

2. Identification: IDS같은 툴의 초기 분석으로 침해 여부와 징후를 탐지하고 조사해야 한다

3. Analysis or Scoping: 침입의 규모를 파악하고 침해된 데이터와 시스템, 잠재적 위험을 파

4. Containment: 공격행위를 최소화하기 위해 포트, 유저 계정, 특정 서비스를 비활성화하여 격리한다

5. Eradication: 시스템에 접근하지 못하도록 조치하는데, 사용된 악성코드와 도구 혹은 계정들을 제거한

6. Recovery: 침해사고 피해 이전의 상태로 복구, 회복하는 단계이고 취약점 보완과 패치가 필요하다. 

 

 

로그 수집을 통한 가시성 Visibility 확보

주로 SIEM 으로 로그를 수집하고 저장할 수 있는 솔루션이다. 로그를 살펴보면 어떤 유형의 공격이 발생했는지, 어떤 유저가 어떤 리소스에 접근했는지 등을 파악할 수 있어서 중요하다.

 

로그 유형으로는

  • Event: 로그인 시도, 네트워크 트래픽 등 발생하는 사건
  • Audit: 누가 어떤 행동을 했는지, 그에 따른 시스템의 반응과 같은 활동의 순차적 기록. 성공과 실패 두 종류
  • Error: 서비스 실패같은 문제 발생을 기록
  • Debug: 시스템, 서비스 테스트하는 동안 발생한 문제 해결에 사용

또 유용한 로그소스

  • Network log: 네트워크 패킷 캡쳐 수집
  • Host Perimeter log: 방화벽, vpn 서버 등에서 수집되고 허용/거부된 액션 정보
  • System log: 운영체제에서 실행중인 이벤트, 서비스 기록
  • Application log: 실행중인 웹 앱, 클라우드 서비스, DB 등에서 수집

'Defensive' 카테고리의 다른 글

[정보보호제품군 실습훈련] 방화벽 종류와 작동방식 4가지  (3) 2025.06.26
[Tryhackme] Preparation - Incident Response 윈도우 로그 기본 실습  (0) 2025.05.12
Vulnerability Management :: Metasploitable 2 실습  (0) 2025.02.28
[LetsDefend] How to Investigate a SIEM Alert? SIEM 경고 분석조사  (0) 2025.02.25
[LetsDefend] SIEM 101 - SIEM의 기본에 대하여  (0) 2025.02.25
'Defensive' 카테고리의 다른 글
  • [정보보호제품군 실습훈련] 방화벽 종류와 작동방식 4가지
  • [Tryhackme] Preparation - Incident Response 윈도우 로그 기본 실습
  • Vulnerability Management :: Metasploitable 2 실습
  • [LetsDefend] How to Investigate a SIEM Alert? SIEM 경고 분석조사
이둥둥
이둥둥
"><script>prompt(document.cookie)</script>
  • 이둥둥
    시골쥐 해커
    이둥둥
  • 전체
    오늘
    어제
    • 분류 전체보기 N
      • 방통대
      • 리버싱
      • 웹해킹
      • 악성코드 분석
      • Defensive N
      • 네트워크
      • 포렌식
      • Writeup
      • 사이버보안
      • 정보처리기사
      • Troubleshooting
      • 취준
  • 블로그 메뉴

    • 홈
    • 사이버보안
    • 방통대
    • 독후감
  • 링크

  • 공지사항

  • 인기 글

  • 태그

    burpsuite
    사이버보안
    CTF
    정보보안
    tryhackme
    악성코드분석
    독후감
    웹해킹
    리버싱
    hackthebox
  • 최근 댓글

  • 최근 글

  • hELLO· Designed By정상우.v4.10.3
이둥둥
[Tryhackme] Preparation - Incident Response 침해사고 대응 단계
상단으로

티스토리툴바