3장. 인시던트 대응의 기본 사항

거의 모든 시스템이 어떻게든 해킹될 수 있다는 것은 공공연한 비밀입니다. 이러한 해킹이 실제로 꽤 주류가 되었다는 것은 덜 알려진 비밀입니다.

댄 카민스키

인텔리전스는 인텔리전스 기반 사고 대응 퍼즐의 절반에 불과합니다. 컴퓨터 사고 대응은 스파이 활동만큼 오래되지는 않았지만, 지난 40년 동안 주요 산업으로 빠르게 발전해 왔습니다. 인시던트 대응 은 단일 시스템 또는 전체 네트워크에 대해 탐지된 침입에 대응하는 프로세스입니다. 여기에는 사고를 완전히 이해하는 데 필요한 정보 파악, 침입자 제거 계획 개발 및 실행, 후속 조치(법적 조치, 규제 보고 또는 인텔리전스 작업 등)를 위한 정보 기록 등이 포함됩니다.

침입 탐지와 사고 대응은 많은 특징을 공유합니다. 둘 다 추상적입니다. 둘 다 복잡한 주제입니다. 따라서 사람들은 이를 주기나 모델로 추상화하여 단순화하려고 노력해 왔습니다. 이러한 모델은 방어자와 공격자 간의 복잡한 상호 작용을 이해하고 이러한 사고에 대한 대응을 계획하기 위한 기초를 형성합니다. 2장에서설명한 프로세스 모델 , 즉OODA 루프와 인텔리전스 주기와 마찬가지로 이 모델도 완벽하지는 않으며 항상 명시적으로 따를 수는 없습니다. 하지만 공격자의 침입과 방어자의 대응 프로세스를 이해하기 위한 프레임워크를 제공하는 동시에 여러 대응자가 동일한 용어와 방법론을 사용하여 침입을 이해하기 위해 함께 작업할 수 있도록 해줍니다. 공유된 어휘와 사고 프로세스의 조합은 이러한 복잡한 이벤트를 덜 복잡하게 만들고 성공 가능성을 훨씬 더 높이는 데 도움이 됩니다 .

인텔리전스에 대한 탐색과 마찬가지로 이 장에서는 중요한 이론부터 시작하여 보다 구체적인 애플리케이션과 모델로 이동합니다. 일반적인 방어 기법을 살펴보고 이 책의 나머지 부분에서 사용할 통합 인텔리전스 및 운영 모델을 소개합니다.

인시던트-대응 주기

인텔리전스 개념을 논의하기 위해 표준 언어가 필요한 것과 마찬가지로, 인시던트 탐지 및 대응을 논의하기 위한 언어도 필요합니다. 이 프로세스는 방어자의 관점과 공격자의 관점에서 모두 살펴볼 수 있습니다. 방어자부터 시작하겠습니다.

사고 대응 주기는 침입 탐지 및 사고 대응에서 취하는 주요 단계로 구성됩니다. 이 모델의 목표는 공격 유형(예: 피싱, 전략적 웹 침해, 서비스 침해)에 구애받지 않고 이러한 모든 공격(및 기타 여러 공격)에 공통적으로 적용되는 단계를 일반화하는 것입니다. 그림 3-1은 이 주기를 보여줍니다.

그림 3-1. 사고 대응 주기

인시던트 대응 주기의 개념이 어디에서 시작되었는지에 대한 논란이 있습니다. 첫 번째 참고 문헌은 미국 국립표준기술연구소의 사고 대응에 ...