인시던트 대응이란 무엇인가요?

보안 사고 또는 이벤트는 조직의 시스템 또는 민감한 데이터의 기밀성, 무결성 또는 가용성을 손상시키는 디지털 또는 물리적 침해가 발생했을 때 발생합니다. 보안 사고는 해커나 권한이 없는 사용자에 의해 발생하거나 회사 사용자 또는 공급망의 비즈니스 파트너가 의도하지 않은 보안 정책 위반을 통해 발생할 수 있습니다.

일반적인 보안 사고는 다음과 같습니다:

랜섬웨어

랜섬웨어는 악성 소프트웨어를 사용하여 귀중한 파일, 데이터 또는 정보를 인질로 삼아 몸값을 요구하는 범죄 비즈니스 모델입니다. 랜섬웨어 공격의 피해자는 운영이 심각하게 저하되거나 완전히 중단될 수 있습니다. 랜섬웨어는 몸값을 요구하는 것이 새로운 개념은 아니지만, 개인과 기업 모두를 대상으로 하는 수백만 달러 규모의 범죄 사업이 되었습니다. 진입 장벽이 낮고 수익 창출에 효과적이기 때문에 다른 사이버 범죄 비즈니스 모델을 빠르게 대체하며 오늘날 조직이 직면한 가장 큰 위협이 되었습니다.

비즈니스 이메일 침해(BEC)

 

Unit 42 ^® 사고 대응 사례 조사에 따르면 비즈니스 이메일 침해(BEC) 공격의 피해를 입은 조직 중 89%가 MFA를 사용하거나 이메일 보안 모범 사례를 따르지 않은 것으로 나타났습니다. 또한 이러한 사고 대응 사례의 50%에서 조직은 기업 웹 메일, 가상 사설망(VPN) 솔루션 및 기타 원격 액세스 솔루션과 같은 주요 인터넷 연결 시스템에 MFA가 부족했습니다.

시스템 또는 데이터에 대한 무단 액세스

많은 기업이 워크로드를 퍼블릭 클라우드로 마이그레이션하면서 공격자들은 부적절하게 구성된 클라우드 환경을 노리고 있으며, 이를 통해 취약점을 찾아서 악용하거나 정교한 기술을 사용할 필요 없이 초기 액세스 권한을 얻을 수 있습니다. 공격자가 일반적으로 부적절하게 구성된 클라우드 환경을 찾는 것은 놀라운 일이 아닙니다.

Unit 42 클라우드 위협 보고서의한 권에 따르면, ID 및 액세스 관리(IAM)의 잘못된 구성이 관찰된 클라우드 보안 사고의 65%에 기여한 것으로 나타났습니다.

공급망 공격

조직에서 개발 주기를 단축하는 데 도움이 되는 애자일 소프트웨어 개발은 종종 빠른 결과를 얻기 위해 타사 코드에 의존합니다. 공격자가 타사 개발자나 코드 리포지토리를 침해하면 잠재적으로 수천 개의 조직에 침투할 수 있는 권한을 얻게 됩니다.

웹 애플리케이션 공격

보안 팀은 시간이 지남에 따라 끊임없이 변화하고 이동하며 점점 더 많아지는 자산을 추적하기 어렵습니다. 이는 관리되지 않는 공격 표면이 지속적으로 증가함에 따라 해당 표면에서 관리되지 않는 자산의 수도 함께 증가한다는 것을 의미합니다. 그 결과 공격자들은 취약한 시스템을 찾기 위해 인터넷을 검색하고 패치가 적용되기 전에 보안의 허점을 악용하는 데 점점 더 능숙해지고 있습니다. 공격자들이 쉽게 공격할 수 있는 취약점에는 기본적인 보안 위생(예: 강력한 암호, MFA 구축)과 제로데이, 패치되지 않은 취약점(SolarWinds 및 Log4J에서 볼 수 있듯이)이 있습니다.

클라우드 환경에서의 인시던트 대응에 대한 자세한 내용은 클라우드 인시던트 대응문서를 참조하세요.

인시던트 대응 수명 주기란 무엇인가요?

사고 대응 수명 주기는 SOC가 공격에 대비하고 대응할 수 있는 방법에 대한 제안된 기반입니다. 이 수명 주기에는 Unit 42에 명시된 대로 5단계가 있습니다:

1. 참여 범위를 정의하여 공격이 환경에 어떤 영향을 미쳤는지 평가합니다.
2. Cortex XDR과같은 보안 도구로 증거를 수집하고 분석하여 사고를 완전히 이해하세요.
3. 사용자 환경에서 공격자를 차단 및 근절하고 새로운 악성 활동에 대해 연중무휴 24시간 모니터링을 적용하세요.
4. 향상된 보안 제어를 구현하여 조사 결과를 실행하고 사고로부터 복구하세요.
5. 침해 사고에서 얻은 교훈을 바탕으로 사고 대응 계획을 개선하여 보안 태세를 강화하세요.

공격이 발생했을 때 SOC를 이끌 특정 팀이 있더라도 SOC의 모든 구성원이 사고 대응 수명주기를 숙지하는 것이 가장 좋은 방법이라고 생각합니다.

인시던트 대응 계획이란 무엇인가요?

인시던트 대응 계획(IRP) 은 인시던트가 무엇인지 정의하고 명확하고 지침에 따른 대응의 윤곽을 제시하는 SOC의 중요한 부분입니다. IRP는 사고 대응 팀이 관리 및 개발하며, 필요에 따라 지속적으로 계획을 검토, 테스트, 실행 및 업데이트해야 합니다. 이러한 계획은 사고 또는 침해가 통제된 후에도 지속적으로 작동하여 사고와 관련된 적절한 문서화 및 후속 활동에 대한 지속적인 지침을 제공합니다.

인시던트는 단순한 보안 문제가 아니라 비즈니스 문제입니다. 데이터 손실, 직원 및 고객 피해, 평판 훼손은 인시던트가 비즈니스에 악영향을 미칠 수 있는 몇 가지 방법 중 일부에 불과합니다. IRP를 마련하면 위기 상황에서 조직을 이끌고 모든 사람이 자신의 역할과 책임을 이해할 수 있습니다.

사고 대응 계획과 재해 복구 계획 비교

사고 대응 계획은 재해 복구 계획(DRP)과 매우 유사하지만, DRP가 백업 또는 이중화를 통해 인프라, 데이터 및 기능을 복구하는 데 중점을 두는 반면 사고 대응 계획은 광범위한 사이버 보안 위협에 중점을 둡니다. 둘 다 조직의 피해를 최소화하는 것을 목표로 하지만 IRP가 활성 위협 및 침해에 대처하는 반면, DRP는 인프라 또는 비즈니스 프로세스가 심각하게 영향을 받은 상황에 대처합니다.

이러한 문서가 유사하더라도 각 문서가 서로 참조하는 경우가 드물지 않으므로 별도로 관리하는 것이 중요합니다. 많은 조직에서 대규모 비즈니스 연속성 계획(BCP)의 일부로 이 두 가지를 함께 사용합니다. 권장되는 사이버 보안 프레임워크로 강력한 IRP를 유지하면 DRP와는 다른 방식으로 조직을 보호할 수 있습니다.

인시던트 대응 계획을 만드는 방법

IRP를 만들 때 보안 리더는 비즈니스의 장단기 요구 사항을 이해해야 합니다. 하지만 요구 사항, 위험 및 취약성을 파악하는 것은 시작에 불과합니다.

철저한 IRP를 구축할 때는 유지 관리 주체, 활성화 시점을 인지하는 방법, 커뮤니케이션 계획을 조직하고 성과 지표 및 규정 준수 요구 사항을 파악하는 계획을 수립하는 것이 중요합니다.

만능 IRP는 없습니다. 이를 만들려면 보안 팀이 끊임없이 테스트하고 편집해야 합니다. 다음은 요금제를 만들고 테스트하기 위한 몇 가지 추가 팁입니다:

• 위험 잠재력을 평가하고 나열하세요.
• 명확한 언어와 모호하지 않은 용어를 사용하세요.
• 운영 및 고위 경영진과 같은 내부 이해관계자에게 알리는 방법을 파악합니다.
• 미리 만들어진 템플릿을 사용하기로 선택한 경우 특정 요구 사항에 맞게 조정하세요.
• 퍼플 팀 구성이나 탁상 연습과 같은 기법으로 계획을 자주 테스트하여 필요에 따라 변경하세요.
• 대응 워크플로를 최적화 및 자동화하고 악의적인 활동을 근절하기 위해 Cortex XSOAR와 같은 사고 대응 기술을 활용하세요.

IRP 템플릿이나 추가 지침이 필요한 경우 Unit 42에서 IRP 개발 및 검토 서비스를 제공합니다. Unit 42와 파트너 관계를 맺으면 전문가의 도움을 받아 사고 대응 계획을 만들고 검증할 수 있습니다.

사고 대응에 있어 준비는 의심할 여지 없이 중요한 부분이지만, 위기 상황에서 SOC가 정확하게 업무를 수행할 수 있는 것도 그에 못지않게 중요합니다. 어떤 일이 일어나고 있는지 확실하지 않은 순간에 많은 기업이 실시간 탐지, 봉쇄 및 근절을 지원하는 인시던트 대응 서비스를 요청합니다.

인시던트 대응 계획에 대해 자세히 알아보고 성공적인 인시던트 분류에 왜 인시던트 대응 계획이 중요한지 알아보세요: 인시던트 대응 계획이란무엇인가요? 시작하기.

디지털 포렌식 및 사고 대응이란 무엇인가요?

종종 디지털 포렌식을 사고 대응 노력과 결합하여 더 광범위한 디지털 포렌식 및 사고 대응(DFIR) 프로세스를 만드는 경우가 있습니다. 디지털 포렌식은 특히 사고를 재구성하고 전체 공격 수명 주기에 대한 완전한 그림을 제공하기 위한 목적으로 데이터를 수집하고 조사하며, 여기에는 종종 삭제된 증거의 복구가 포함됩니다.

통합된 DFIR은 문제의 근본 원인을 파악하고, 사용 가능한 모든 증거를 식별 및 찾아내며, 향후 조직의 보안 태세를 강화할 수 있도록 지속적인 지원을 제공합니다.

Cortex의 DFIR 커뮤니티에 가입하려면 여기를 클릭하세요 .

인시던트 대응은 복잡하지만 사이버 보안에서 매우 중요한 부분입니다. 사고 대응 프로그램을 구축하는 보안 팀에게 가장 좋은 조언은 초조해하지 말라는 것입니다. 준비하고 계획하되 당황하지 마세요! 일반적인 사이버 보안과 마찬가지로 사고 대응은 모든 사이버 공격에 100% 대비하는 것이 아니라 지속적으로 학습하고 프로세스를 개선하여 보안 프로그램에 복원력을 구축하는 것입니다. 어떤 조치를 취해야 하는지, 최선의 도움을 찾는 방법과 피해야 할 함정을 알고 있다면 어떤 보안 사고에도 SOC를 이끌 수 있습니다. 공격에 대비하기 위해서는 인시던트 대응 수명 주기를 이해하는 것이 중요합니다.

이러한 공격이 발생하면 SOC는 DFIR을 구현하여 해당 환경과 공격의 성공 방식을 더 잘 이해할 수 있습니다.

점점 더 복잡해지는 최신 사이버 보안 사고를 관리하기 위해 디지털 조사 서비스와 사고 대응 전문 지식이 결합된 서비스가 중요한 이유를 알아보세요: 디지털 포렌식 및 사고 대응

인시던트 대응 프레임워크 및 단계

인시던트 대응 프레임워크는 조직에 IRP를 만들기 위한 표준을 제공합니다. 이러한 프레임워크를 반드시 구현해야 하는 것은 아니지만, SOC가 계획을 수립하고 조정할 때 훌륭한 가이드라인이 될 수 있습니다. 특히 조직에서 참고할 수 있는 프레임워크가 있는 잘 알려진 두 개의 사이버 기관이 있습니다:

1. 미국표준기술연구소(NIST) 프레임워크는 IRP를 만들고, CSIRT를 구축하고, 직원을 교육하는 방법에 대한 자세한 단계를 제공합니다. NIST에는 모든 기술에 대한 프레임워크가 포함되어 있지만, NIST SP 800-61은 IR에 대한 제안을 자세히 설명합니다.
2. SANS Institute는 20페이지 분량의 IR 핸드북과 함께 교육 과정 및 인증서를 제공합니다. Unit 42는 고객이 IRP를 만들 수 있도록 지원할 때 이러한 프레임워크와 MITRE ATT&CK 및 인터넷 보안 센터의 가이드라인을 사용합니다.

인시던트 대응 팀

많은 조직에는 인시던트 대응을 전담하는 특정 팀이 있습니다. 이 팀은 컴퓨터 보안 사고 대응팀(CSIRT), 사이버 사고 대응팀(CIRT), 컴퓨터 긴급 대응팀(CERT) 등 다양한 이름으로 불립니다. CSIRT는 사고 대응 관리자, 사고 대응 분석가, 디지털 포렌식 분석가, 멀웨어 리버스 엔지니어, 위협 연구원으로 구성될 수 있습니다. 이러한 팀의 대부분은 최고 정보 보안 책임자(CISO) 또는 IT 책임자가 이끌고 있습니다.

경우에 따라 조직은 내부 팀의 노력과 역량을 Unit 42와 같은 외부 사고 대응 파트너와 결합하는 방법을 선택하기도 합니다. 팀에 추가 전문가를 보충하는 것은 다양한 수준의 주제별 전문 지식에 대한 필요성을 해결하기 위한 훌륭한 전략입니다. 사이버 공격은 다양한 형태와 규모로 발생할 수 있으므로 필요할 때 기술 격차를 메워줄 수 있는 숙련된 외부 파트너의 도움을 받는 것이 유리합니다.

사이버에 초점을 맞춘 팀원을 두는 것 외에도 사고 대응 팀에 비보안 이해관계자를 두는 것도 도움이 됩니다. 여기에는 법무, 위험 관리자, 인사 및 기타 비즈니스 기능이 포함될 수 있습니다.

예를 들어 내부자 위협이나 데이터 유출 등 직원과 관련된 보안 사고에 대비하여 팀에 인사 담당자를 두는 것이 좋습니다. 팀에 법률 고문을 두는 것은 법적 영향을 평가하거나 고객이나 공급업체와 같은 제3자와 관련된 사건의 경우 중요할 수 있습니다. 마지막으로, CSIRT에는 관련 당사자에게 정확한 정보를 제공할 수 있는 홍보 전문가가 있어야 합니다.

사고 대응 프로세스에서 가장 중요한 부분은 다재다능하고 유능한 사고 대응 팀을 구성하는 것입니다. 위기 상황에서 전문가로서 활동하는 CSIRT는 위협을 연구하고 모범 사례를 장려하며 사고 대응 계획을 개발하는 데도 시간을 할애해야 합니다.

인시던트 대응 도구 및 기술

보안 팀은 인시던트 대응 계획 외에도 검색부터 탐지 및 대응에 이르기까지 보안 경보에 대규모로 신속하게 대응할 수 있는 도구가 필요합니다. SOC에서 사용되는 기존 도구에는 EDR, SIEM 및 SOC 팀에서 판매되는 수백 가지의 기타 도구가 있습니다. 그러나 IR 프로세스의 주요 부분을 자동화하려는 경우, 긴밀하게 통합되고 데이터 공유를 통해 조직 전체에서 일어나는 일에 대한 포괄적인 가시성과 컨텍스트를 제공하는 도구를 살펴보는 것이 현명할 것입니다. 이 접근 방식은 또한 수많은 도구를 관리해야 하는 팀의 운영 효율성과 가파른 학습 곡선을 최소화합니다.

인시던트 탐지 및 예방

표적 위협 탐지, 행동 모니터링, 인텔리전스, 자산 검색 및 위험 평가를 위한 보안 태세를 파악할 수 있는 전체적인 에코시스템을 찾아보세요.

Cortex XDR과 같은 확장 탐지 및 대응 솔루션(XDR)은 EDR, 네트워크 트래픽 분석(NTA), 사용자 및 엔터티 행동 분석(UEBA), 손상 지표(IoC) 등 여러(경우에 따라 상호 보완적인) 소스에서 서로 다른 원격 측정을 함께 가져옵니다. 그런 다음 ML 기반 행동 분석을 수행하여 관련 경고를 그룹화하고, 해당 경고를 타임라인에 배치하고, 근본 원인을 밝혀내어 모든 기술 수준의 분석가들이 신속하게 분류 및 조사할 수 있도록 합니다.

인터넷 연결 자산 검색 및 완화

클라우드와 원격 근무의 증가는 공격 표면이 끊임없이 이동하고 변화하며 더욱 복잡해지고 있음을 의미합니다. 또한 스캐닝 기술의 발전으로 공격자는 전체 인터넷을 빠르고 쉽게 스캔하여 공격 경로를 찾아내고, 버려지거나 불량 또는 잘못된 구성으로 인해 침해의 백도어가 될 수 있는 자산을 발견할 수 있습니다. Cortex Xpanse와 같은 공격 표면 관리 솔루션을 구축하면 조직의 네트워크에 연결된 IP 주소, 도메인, 인증서, 클라우드 인프라, 물리적 시스템을 포함한 모든 자산에 대한 지속적으로 업데이트되고 완전한 인벤토리를 통해 조직의 외부 공격 표면을 지속적으로 평가하고 조직 내에서 각 자산에 대한 책임이 있는 사람을 매핑할 수 있습니다.

사고 대응 및 보안 오케스트레이션, 자동화 및 대응(SOAR)

보안 오케스트레이션, 자동화 및 대응(SOAR) 기술인 Cortex XSOAR는 단일 플랫폼 내에서 다양한 사람과 도구 간의 작업을 조정, 실행 및 자동화하는 데 도움을 줍니다. 이를 통해 조직은 사이버 보안 공격에 신속하게 대응할 수 있을 뿐만 아니라 향후 사고를 관찰, 이해, 예방하여 전반적인 보안 태세를 개선할 수 있습니다.

Gartner에서 정의한 포괄적인 SOAR 제품은 위협 및 취약성 관리, 보안 사고 대응, 보안 운영 자동화의 세 가지 주요 소프트웨어 기능으로 작동하도록 설계되었습니다.

위협 및 취약성 관리는 위협 인텔리전스 및 사고 대응 팀에 사고의 IoC 또는 야생의 새로운 위협에 대한 추가 컨텍스트를 제공하는 위협 피드의 관리이며, 보안 운영 자동화는 사고의 조사 및 해결 속도를 높이는 자동화된 사고 대응 워크플로우에서 SOC에 사용되는 보안 도구의 오케스트레이션과 관련이 있습니다.

인시던트 대응 서비스

많은 SOC에는 사고에 효과적으로 대응할 수 있는 리소스가 제한적이거나 아예 존재하지 않는 경우가 많습니다. 그렇기 때문에 많은 기업이 사고 대응에 필요한 지원을 위해 외부 파트너를 고용하는 것입니다. 내부 보안 팀을 보완하거나 대체하는 이러한 파트너는 보안 인시던트를 모니터링, 탐지 및 대응하는 서비스를 제공합니다.

Unit 42의 IR 서비스의 경우, 전문가가 연중무휴 24시간 대기하며 사고 대응에 필요한 리소스를 구축합니다. 저희는 몇 분 안에 위협을 차단하고 증거를 수집할 수 있도록 Cortex XDR과 같은 동급 최강의 도구를 구축할 수 있습니다. 이 정보는 사후 분석으로 압축되어 IRP를 개선하는 데 기여합니다. 아래 동영상을 통해 Unit 42 전문가가 팀의 일원으로 어떻게 활동하는지 알아보세요.

Unit 42 리테이너로 몇 분 안에 응답 시작하기

Unit 42 리테이너를 사용하면 조직은 인시던트 대응을 위한 선불 크레딧을 받게 됩니다. SOC는 전문가를 팀의 일원으로 삼아 도움이 필요할 때마다 단축번호로 지정할 수 있습니다. 문제가 발생했을 때 리소스를 찾기 위해 정신없이 검색하지 않아도 됩니다. 대신 고객의 환경을 이미 잘 알고 있는 전문가가 전화하면 도움을 드릴 것입니다.

IR에서 보유 크레딧을 모두 사용하지 않은 경우 다른 Unit 42 사이버 위험 관리 서비스로 용도를 변경하여 IRP 개발, 위험 평가 등 보다 능동적으로 대처할 수 있도록 지원할 수 있습니다.

인시던트 대응에 대해 자세히 알아보기

사고 대응은 끊임없이 변화하는 위협 환경에 따라 진화해야 하며, 이는 최신 트렌드를 이해하는 것에서 시작됩니다. 인시던트 대응의 현재와 미래를 정확하게 파악하려면 2022년 Unit 42 인시던트 대응 보고서를확인하세요.

무료 Unit 42 전자책인 '빠른 시간 내에 위협에 대응하기'는 팀이 보안 인시던트를 신속하게 탐지, 대응, 봉쇄하는 데 도움이 되는 가이드를 제공합니다.

인시던트 대응 FAQ