[Tryhackme] Preparation - Incident Response 침해사고 대응 단계

침해사고 대응의 핵심은

공격에 대응해서 영향, 회복 시간, 구동 비용을 최소화하는 것이다. 

필요한 절차에서는 맬웨어 감염을 분리하고 취약점을 분석 및 조치하는 것 역시 필요하다.

 

 

이벤트Event와 침해사고Incident의 구분

이벤트는 시스템이나 네트워크에서 발생하는 일반적인 사건들이다. 예를 들면 파일 서버에 접근하고 안티 바이러스 프로그램이 감염을 차단하는 것이 그 예시임.

반면에 침해사고는 보안 규정을 위반함으로서 내부 시스템에 악영향을 끼치는 사건들을 말한다. 랜섬웨어를 통해 데이터를 암호화하던가, 서비스 거부 공격(dos) 등이 그 예시

 

침해사고 대응 Incident Response 프로세스

1. Preparation: 사고가 발생하지 않게, 혹은 적절히 대응할 수 있도록 사전 준비가 필요

2. Identification: IDS같은 툴의 초기 분석으로 침해 여부와 징후를 탐지하고 조사해야 한다

3. Analysis or Scoping: 침입의 규모를 파악하고 침해된 데이터와 시스템, 잠재적 위험을 파

4. Containment: 공격행위를 최소화하기 위해 포트, 유저 계정, 특정 서비스를 비활성화하여 격리한다

5. Eradication: 시스템에 접근하지 못하도록 조치하는데, 사용된 악성코드와 도구 혹은 계정들을 제거한

6. Recovery: 침해사고 피해 이전의 상태로 복구, 회복하는 단계이고 취약점 보완과 패치가 필요하다. 

 

 

로그 수집을 통한 가시성 Visibility 확보

주로 SIEM 으로 로그를 수집하고 저장할 수 있는 솔루션이다. 로그를 살펴보면 어떤 유형의 공격이 발생했는지, 어떤 유저가 어떤 리소스에 접근했는지 등을 파악할 수 있어서 중요하다.

 

로그 유형으로는

• Event: 로그인 시도, 네트워크 트래픽 등 발생하는 사건
• Audit: 누가 어떤 행동을 했는지, 그에 따른 시스템의 반응과 같은 활동의 순차적 기록. 성공과 실패 두 종류
• Error: 서비스 실패같은 문제 발생을 기록
• Debug: 시스템, 서비스 테스트하는 동안 발생한 문제 해결에 사용

또 유용한 로그소스

• Network log: 네트워크 패킷 캡쳐 수집
• Host Perimeter log: 방화벽, vpn 서버 등에서 수집되고 허용/거부된 액션 정보
• System log: 운영체제에서 실행중인 이벤트, 서비스 기록
• Application log: 실행중인 웹 앱, 클라우드 서비스, DB 등에서 수집