-
침해사고 프로세스Digital Forensic/DFIR 2021. 7. 31. 00:10
인생띵언
최선의 조치라고 생각한 자의적 행위가 나와 내 조직에 대한 보호 가능 여부는 다르다.
사고에 대한 메뉴얼이 있는지, 없으면 담당자의 동의를 구해라.. 동의여부에 따른 책임소재가 달라진다.
이메일 침해 프로세스
- 타겟 선정 > 감염 > 내부 정찰 > 이메일 쓰레드 탈취 > 대금 가로채기
침해사고 대응 프로세스
- 사고 전 준비
- CERT와 조직적인 대응 준비
- 사고 탐지
- 정보보호 및 네트워크 장비에 의한 이상 징후 탐지
- 관리자에 의한 침해 사고의 식별
- 초기 대응
- 초기 조사 수행
- 사고 정황에 대한 세부사항 기록
- CERT 신고 및 소집
- 침해사고 관련 부서에 통지
- 대응 전략 체계화
- 최적의 전략을 결정하고, 관리자 승인 획득
- 초기 조사 결과를 참고하여 소송 필요여부 결정
- 사고 조사 과정에 수사기관 공조 여부 판단
- 사고 조사
- 데이터 수집 및 분석
- 피해 확산 및 사고 재발을 어떻게 방지할 것인지 결정
- 보고서 작성
- 누구나 쉽게 이해할 수 있는 형태
- 사고에 대한 정확한 보고서 작성
- 사건의 세부 사항을 명확하게 작성
- 개요, 의뢰자, 분석 대상, 경과, 겨과 요약, 분석 절차, 분석 내용, 기타, 첨부자료
- 해결
- 차기 유사 공격을 예방하기 위한 보안 정책 준비
- 보안 정책 수립, 절차 변경, 기록, 기술 수정 계획 등 결정