[Blue Teams Academy] 모듈 1 - 사고 대응 및 보안 운영 기본 원리

본 모듈에서는 "인시던트 대응"에 대한 공정한 이해를 얻기 위해 필요한 용어와 기본 원리를 알아보고, 사고 대응을 수행하기 위한 다양한 단계 및 팀을 살펴보기로 한다.

다음 사항을 살펴보기로 한다.

• 공격 벡터 분석
• 인시던트 응답 기본 원리
• 사고 대응 표준 및 지침
• 인시던트 대응 프로세스
• 사고 대응 팀
• 보안 운영 센터

인시던트 응답이 무엇인지 살펴보기 전에 몇 가지 중요한 용어에 대해 살펴봅시다.

공격 벡터 분석 공격 벡터는 공격자가 취약성에 액세스하기 위해 사용하는 경로다. 즉, 자산을 공격할 때 사용하는 방법을 위협 벡터 또는 공격 벡터라고 한다. 공격 벡터는 분석할 수 있다. 분석은 애플리케이션, API, 파일, 데이터베이스, 사용자 인터페이스 등의 진입점과 같은 공격 표면을 연구함으로써 이루어진다. 방대한 수의 항목에 직면할 경우 모델링을 다른 범주(API, 비즈니스 워크플로우 등)로 나눌 수 있다.

인시던트 응답 기본 원리

TechTarget은 다음과 같이 사고 대응을 정의한다. "사건 대응은 IT 사고, 컴퓨터 사고 또는 보안 사고라고도 알려진 보안 침해나 사이버 공격의 여파를 해결하고 관리하기 위한 조직적인 접근법이다. 피해를 제한하고 복구 시간과 비용을 줄이는 방식으로 상황을 처리하는 게 목표라고 말했다.

그러나 정보보안 사건이란 무엇인가?

사건이란 시스템이나 네트워크에서 관찰할 수 있는 모든 사건을 말한다. 이벤트에는 파일 공유에 연결하는 사용자, 웹 페이지 요청을 받는 서버, 이메일을 보내는 사용자, 연결 시도를 차단하는 방화벽 등이 포함된다. 사고는 시스템 충돌, 패킷 홍수, 시스템 권한의 무단 사용, 중요한 데이터에 대한 무단 액세스, 데이터를 파괴하는 멀웨어의 실행과 같은 부정적인 결과를 초래하는 사건이다. 사고 대응 작업 중에는 수집해야 할 많은 아티팩트 리소스가 있다. 다음과 같은 다양한 아티팩트를 사용할 수 있다.

• IP 주소
• 도메인 이름
• URL
• 시스템 호출
• 과정
• 서비스 및 포트
• 파일 해시

인시던트 대응 프로세스

다른 방법론적 작동과 같은 사고 대응은 정확히 정의된 수의 단계를 거친다.

1. 준비: 이 단계에서 팀은 인지 교육 개발을 포함하여 사고를 성공적으로 처리하기 위해 필요한 도구와 자원을 배치한다.
2. 탐지와 분석: 이것이 가장 어려운 단계다. 모든 사건 대응팀에게 도전적인 조치다. 이 단계에는 네트워크 및 시스템 프로파일링, 로그 보존 정책, 인시던트 인식 신호 및 보안 인시던트 우선 순위가 포함된다.
3. 격납고 퇴치 및 복구: 이 단계에서 증거물을 수집하고 격납고 및 복구 전략을 유지한다.
4. 사건 후 활동: 이 단계에서 팀 성과를 평가하고, 실제로 무슨 일이 일어났는지 판단하며, 정책을 준수하는 등의 논의를 진행한다.

인시던트 대응

다양한 사고 대응 팀: * 컴퓨터 보안 사고 대응팀 * 제품 보안 인시던트 대응팀 * 국가 CSIRT 및 컴퓨터 비상 대응팀

사고 대응 표준 및 지침:

다음 중 몇 가지를 통해 보다 탄력적이고 성숙한 사고 대응 프로그램을 구축하는 데 도움이 되는 많은 훌륭한 표준과 지침이 있다. * 컴퓨터 보안 사고 처리 가이드: (NIST 800-63 2차 개정판), 여기에서 찾을 수 있다: 컴퓨터 보안 사고 처리 가이드 - NIST 페이지
* ISO 27035: ISO/IEC 27035 보안 인시던트 관리 * SANS 사고 처리기 핸드북: 사고 처리기 핸드북 - SANS.org *CREAS 사이버 보안 사고 대응 가이드: 사이버 보안 사고 대응 가이드 - crest

Security Operation Center 기본 원리

위키피디아는 보안 운영 센터를 다음과 같이 정의한다. 보안 운영 센터는 조직 및 기술 수준에서 보안 문제를 다루는 중앙집중식 단위다. 건물 또는 시설 내의 SOC는 직원들이 데이터 처리 기술을 사용하여 현장을 감독하는 중심 위치다.

보안 운영 센터는 기술 도구 모음일 뿐만이 아니다. SOC는 사람, 프로세스, 기술이다.

임무를 준비하기 위해 샘프슨 챈들러에서 본 가이드를 읽어보도록 적극 추천한다: 사건 대응 가이드

측정할 수 없는 것은 개선할 수 없기 때문에 SOC 성숙도를 평가하는 것이 필수적이다. 비즈니스 요구 사항과 사용 사례에 따라 다양한 메트릭스를 기반으로 하는 많은 성숙도 모델이 야생에 존재한다. 몇 가지 지표는 다음과 같다. * 탐지 시간(TTD) * 응답 시간(TDR)

성숙도 모델은 LogRythm의 다음 그래프를 사용하여 식별된다.

요약

지금쯤이면 우리는 많은 중요한 용어와 사고 대응을 수행하기 위한 단계를 다루었을 것으로 추측한다. 이 글을 쓰는 주요 목표는 독자들이 사건 처리자로서 일상 업무에 필요한 기본 기술을 익힐 수 있도록 돕는 공동 가이드를 전달하는 것이다. 이 기사에서 당신의 논평이 큰 역할을 하고 있다. 추가 또는 수정하고 싶은 사항이 있으시면 주저하지 말고 의견을 제시하십시오. 그러면 안내서를 찾는 독자들이 사건 대응에 대해 배울 수 있는 원스톱 자료를 함께 만들 수 있습니다. 너의 모든 코멘트는 환영이야!

참조 및 신용

1. https://searchsecurity.techtarget.com/definition/incident-response
2. https://logrhythm.com/blog/a-ctos-take-on-the-security-operations-maturity-model/

 

 

Incident Response and Security Operations Fundamentals

In this module, we are going to discover the required terminologies and fundamentals to acquire a fair understanding of “Incident Response” and the different steps and teams to perform incident response

We are going to explore the following points:

• Attack Vector Analysis
• Incident Response Fundamentals
• Incident Response Standards and Guidelines
• Incident response Process
• Incident response Teams
• Security Operation Centers

Before exploring what incident response is, let’s explore some important terminologies

Attack vector analysis Attack vectors are the paths used by attackers to access a vulnerability. In other words, the method used to attack an asset is called a Threat Vector or Attack vector. Attack vectors can be analyzed. The analysis is done by studying the attack surfaces like the entry points of an application, APIs, files, databases, user interfaces and so on. When you face a huge number of entries you can divide the modeling into different categories (APIs, Business workflows etc...)

Incident Response Fundamentals

TechTarget defines incident response as follows: “Incident response is an organized approach to addressing and managing the aftermath of a security breach or cyberattack, also known as an IT incident, computer incident or security incident. The goal is to handle the situation in a way that limits damage and reduces recovery time and costs.”

But what is an information security Incident?

An event is any observable occurrence in a system or network. Events include a user connecting to a file share, a server receiving a request for a web page, a user sending email, and a firewall blocking a connection attempt. Incidents are events with a negative consequence, such as system crashes, packet floods, unauthorized use of system privileges, unauthorized access to sensitive data, and execution of malware that destroys data. During incident response operation there are a lot of artifacts resources you need to collect. You can use different artifacts such as:

• IP addresses
• Domain names
• URLs
• System calls
• Processes
• Services and ports
• File hashes

Incident Response Process

Incident response like any methodological operation goes thru a well-defined number of steps:

1. Preparation: during this phase, the teams deploy the required tools and resources to successfully handle the incidents including developing awareness training.
2. Detection and analysis: this is the most difficult phase. It is a challenging step for every incident response team. This phase includes networks and systems profiling, log retention policy, signs of an incident recognition and prioritizing security incidents.
3. Containment eradication and recovery: during this phase, the evidence pieces are collected and the containment and recovery strategies are maintained.
4. Post-incident activity: discussions are held during this phase to evaluate the team performance, to determine what actually happened, policies compliance and so on.

Establishing incident response teams

There are different incident response Teams: * Computer Security Incident Response Teams * Product Security Incident Response Teams * National CSIRTs and Computer Emergency Response Team.

Incident response standards and guidelines:

There are many great standards and guidelines to help you become more resilient and help you to build a mature incident response program some of the following: * Computer Security Incident Handling Guide: (NIST 800-63 Second revision), you can find it here: Computer Security Incident Handling Guide - NIST Page
* ISO 27035: ISO/IEC 27035 Security incident management * SANS Incident Handler Handbook: Incident Handler's Handbook - SANS.org * CREST Cyber Security Incident Response Guide: Cyber Security Incident Response Guide - crest

Security Operation Centers Fundamentals

Wikipedia defines Security Operation Centers as follows: A security operations center is a centralized unit that deals with security issues on an organizational and technical level. A SOC within a building or facility is a central location from where staff supervises the site, using data processing technology.

Security Operation Centers are not only a collection of technical tools. SOCs are people, process and technology.

To help you prepare your mission I highly recommend you to read this guide from Sampson Chandler : Incident Response Guide

It is essential to evaluate your SOC maturity because you can’t improve what you cannot measure. There are many maturity models in the wild based on different metrics based on your business needs and use cases. Some of the metrics are: * Time to Detect (TTD) * Time to Respond (TDR)

Your maturity model will be identified using this graph from LogRythm:

Summary

By now I assume that we covered many important terminologies and steps to perform incident response. The major goal of writing this article is delivering a collaborated guide to help our readers learning the fundamental skills needed in a daily basis job as incident handlers. Your comments are playing a huge role in this article. Please if you want to add or correct something please don’t hesitate to comment so we can create together a one-stop resource for readers who are looking for a guide to learn about Incident Response. All your comments are welcome!

References and Credit

1. https://searchsecurity.techtarget.com/definition/incident-response
2. https://logrhythm.com/blog/a-ctos-take-on-the-security-operations-maturity-model/

 

※ 출처 : Blue Teams Academy | www.blueteamsacademy.com/incident-response-and-security-operations-fundamentals/