요컨대, 사이버 보안을위한 액션 안내서이지만 부담없이 쓰는 간단한 안내서는 아닙니다. 이것은 주로 보안 분석가, IT 운영 및 유지 보수 인력과 같은 기업 또는 조직의 보안 및 IT 관련 직원을 돕는 데 사용됩니다. 다양한 네트워크 보안 사고를 겪을 때 자리에서 서두르고 어디서부터 시작 해야할지 모르기보다는 단계별로 처리하는 방법을 알 수 있습니다! 핵심 기능은 이러한 보안 사고의 응답 프로세스를보다 표준화하고 처리 효율성을 향상시키는 것입니다 . 동시에 보안 사고로 인해 발생할 수있는 손실을 가능한 한 더 작게 만들 수도 있습니다.
1. 준비 단계의 주요 요점 :이 단계는 일반적인 준비 작업과 같습니다. 우리가 잘 준비되지 않았다면 앞으로 문제가있을 수 있습니다. 우선, 우리는 "가족 재단"을 이해해야합니다. 즉, 조직의 자산, 특히 핵심 서버, 민감한 데이터를 저장하는 데이터베이스, 직원이 사용하는 터미널 장비 등과 같은 더 중요한 자산에 대한 포괄적 인 설문 조사를 수행해야합니다. 그런 다음 다른 네트워크 보안 사고가 분명히 긴급하고 영향을 미치기 때문에 이벤트 등급 표준을 공식화해야합니다. 이런 식으로, 우리는 나중에 그들을 다룰 때 강력하고 중요한 사건을 우선시 할 수 있습니다. 마지막으로, 우리는 몇 가지 도구와 리소스를 준비하고 사전에 응답 팀을 구축해야합니다.
2. 탐지 및 분석 구현 단계 :이 단계에서 팀은 침입 탐지 시스템 (ID) 및 방화벽 로그 사용과 같은 네트워크, 시스템 및 응용 프로그램을 지속적으로 모니터링하기 위해 일부 기술적 수단에 의존해야합니다. 무언가가 감지되면 보안 사고가 실제로 발생했는지 빨리 확인해야합니다. 이를 위해서는 경보 정보, 로그 데이터 등에 대한 심층적 인 분석이 필요합니다. 헛된 보안 사고로 악의 경보를 실제 보안 사고로 취급하지 마십시오! 그것이 실제로 보안 사건임을 확인하면 공격자가 어떻게 들어 왔는지, 어떤 길을 들어 왔는지, 그 모듈이나 데이터에 영향을 미쳤으며, 사건이 현재 발전 한 단계를 분석해야합니다.
3. 억제, 제거 및 복구를위한 주요 지시 사항 : 보안 사고가 확인되면 억제 작업이 먼저 순위를 매겨야합니다! 우리는 네트워크에서 공격 된 호스트를 분리하고 해당 계정의 권한을 일시적으로 동결하는 등이 사건이 확산되는 것을 방지하기위한 조치를 취해야합니다. 그런 다음 억제가 완료된 후 시스템을 정리할 수있는 방법을 찾아야하며, 사건의 근본 원인을 제거하기 위해 공격자가 정상 상태로 변조하고 파괴 한 시스템 설정을 복원해야합니다. 마지막으로, 우리는 비즈니스의 정상적인 운영을 안전하고 조심스럽고 안전하게 복원해야합니다. 복원시 매우 조심해야하며 먼저 시스템이 자체 테스트 환경에서 보안 문제가 실제로 없는지 확인해야합니다.
Q : 보안 사건이 완전히 처리 될 때까지 기다리십시오. 문제가 끝날까요?
A : 그렇지 않습니다! 실제로 이벤트가 처리 된 후에는 요약 및 검토 작업이있어 매우 중요합니다. 검토 과정 에서이 보안 사고의 전체 취급 프로세스를 자세히 검토 하고이 과정에서 어떤 장소가 잘 수행되었는지, 향후 지속 및 학습 할 가치가 있으며, 어떤 장소와 단점을 수정하고 최적화 해야하는지 신중하게 생각해야합니다. 경험이 있다면 경험을 요약해야하며 수업이 있으면 수업을 염두에 두어야합니다. 그런 다음 검토에서 얻은 결과를 기반으로 기존의 결과를 업데이트하여 점점 더 완벽하고 효과적입니다.
Q : 특성이 다른 기업이나 조직이 공식화 및 연습 할 때이를 복사하여 적용 할 수 있습니까?
A : 각 조직이 다른 산업에 있기 때문에 전체 세트를 직접 복사해서는 안되며 비즈니스 모델도 다릅니다. 이러한 중요한 정보 자산과 보안 요구 사항은 어떻게 완전히 동일하고 미분화 될 수 있습니까? 당신은 그것들을 완전히 복사 할 수 없습니다! 작은 가게와 마찬가지로 은행과 같은 초 고급 놀이 책을 사용할 필요가 없습니다. 다른 가족의 장식 경험을 배운 후에는 항상 자신의 방의 크기를 결합해야합니다. 이해했나요? 물론, 우리는 여전히 서로의 훌륭하고 좋은 일에서 배울 수 있습니다. 많은 주요 의사 결정 링크에는 몇 가지 대체 솔루션이 있습니다. 원래 방법이 갑자기 사용되지 않으면 두 번째 옵션이 있습니다. 책임은 담당자 및 처형과 같은 책임으로 명확하게 나뉘어져야합니다.
괜찮은 것은 조직이 사이버 보안 사건을 다루는 데 매우 유용하다고 생각합니다. 그러나 제형은 장식으로 제쳐두지 않으며 정적이지 않다는 것을 기억하십시오. 조직의 실제 상황과 외부 환경의 변화에 따라 자주 업데이트되고 최적화되어야합니다. 또한, 팀의 모든 사람은이를 익히고 정기적으로 관련 훈련을 수행해야하므로 네트워크 보안 위협에 직면 할 때 그 역할을 진정으로 플레이 할 수 있고 조직이 더욱 침착하고 자신감을 가질 수 있습니다!
답글 남기기