본 장은 SANS가 각 단계에 대해 명확한 용어를 제공하기 때문에 전통적인 PICERL( ) 단계인 준비, 식별, 격리, 제거, 복구, 교훈 도출 순으로 구성됩니다. 현대적 사고 대응은 단일 선형 사건 순서가 아닌 역동적이고 끊임없이 변화합니다. 수많은 피드백 루프가 존재합니다. 전통적인 제거 및 복구 작업이 수행되기 훨씬 전에 차단 또는 대응 조치를 시작하는 것을 막을 수 있는 것은 없습니다. 실제 환경에서의 사고 대응은 신속한 의사 결정, 소통, 그리고 경계 태세를 요구합니다(그림 2-1).
그림 2-1. 실제 상황 대응
1단계, 준비: 네트워크와 네트워크 사용자의 신원을 파악하라
준비 단계는 온프레미스 및 Cloud 인프라, 로컬 및 원격 사용자, 중앙 집중식 인증 시스템 및 분리된 인증 아일랜드, Cloud 시스템, 제3자 서비스, 조직이 활용하는 데이터 교환 등 환경을 이해하는 데 중점을 둡니다. 유명한 정보 보안 통제 프레임워크를 몇 분만 살펴봐도 애플리케이션과 서비스 계정, 외부 IP 주소, 도메인, 데이터 흐름, 데이터 저장소, 서버, 사용자 신원 및 Cloud 내 사용 위치, 연락처 목록을 확보하는 것이 성공에 핵심적이라는 점이 분명해집니다. 실제로 인터넷 보안 센터(CIS)는 CIS Top 20 및 현재 CIS Top 18 목록에서"기업 자산의 목록화 및 통제"와 " 소프트웨어 자산의 목록화 및 통제"를 지속적으로 상위 두 가지 통제 항목으로 선정해 왔습니다.
사용자 신원 관리( )는 일종의 IAM 프레임워크를 통해 유지되는 "새로운 경계(new perimeter)"로 간주됩니다. 이 개념은 사이버 보안 전문가들의 사고 방식 변화, 즉 보안 노력의 중심에 IAM이 자리 잡은 전환을 설명합니다. 현대식 NGFW는 적절히 배포될 경우 수천 개의 애플리케이션을 통제할 수 있습니다. 그러나 SaaS 솔루션의 증가와 클라우드 서비스 제공업체(CSP)의 채택으로 인해 전통적인 경계는 사라졌습니다. 사고 대응(IR) 관점에서 볼 때, SaaS 및 CSP는 새로운 데이터 소스, 이벤트 데이터 수신 지연, 솔루션별 API 통합 요구사항(존재할 경우), 변동적인 사용자 활동 모니터링을 도입하며, 각 제공업체는 자체 계약 또는 서비스 계약 하에 운영됩니다. 이는 사고 관리 프로그램 지원에서의 역할을 명확히 할 수도 있고 그렇지 않을 수도 있습니다.
디지털 포렌식 및 사고 대응(DFIR) 담당자는 마이클 포터 가 정의한 가치 사슬이라는 경영 개념을 숙지해야 합니다. 이는 보호 대상 시스템의 우선순위를 ...
Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month, and much more.
O’Reilly covers everything we've got, with content to help us build a world-class technology community, upgrade the capabilities and competencies of our teams, and improve overall team performance as well as their engagement.
Julian F.
Head of Cybersecurity
I wanted to learn C and C++, but it didn't click for me until I picked up an O'Reilly book. When I went on the O’Reilly platform, I was astonished to find all the books there, plus live events and sandboxes so you could play around with the technology.
Addison B.
Field Engineer
I’ve been on the O’Reilly platform for more than eight years. I use a couple of learning platforms, but I'm on O'Reilly more than anybody else. When you're there, you start learning. I'm never disappointed.
Amir M.
Data Platform Tech Lead
I'm always learning. So when I got on to O'Reilly, I was like a kid in a candy store. There are playlists. There are answers. There's on-demand training. It's worth its weight in gold, in terms of what it allows me to do.
O’Reilly covers everything we've got, with content to help us build a world-class technology community, upgrade the capabilities and competencies of our teams, and improve overall team performance as well as their engagement.
