- 침해사고 카테고리
1) 대규모(동시에 다수의 서버 공격)
2) 분산화(다수의 서버에서 목표시스템을 공격)
3) 대중화(해킹관련 정보의 손쉬운 획득)
4) 범죄적 성향(금전적 이익, 산업정보 침탈, 정치적 목적 등)
- 침해사고 대응 절차 요약
(https://www.linux.co.kr/home2/board/subbs/board.php?bo_table=lecture&wr_id=1691&page=&sca=7)
1) 사고 전 준비 과정 : 사고가 발생하기 전 대응팀 및 조직적인 대응 준비
2) 사고 탐지 : 침해사고 식별
3) 초기 대응 : 타임라인 기반 사고 정황 기록, 침해사고 관련 부서 통지
4) 대응 전략 체계화 : 대응 전략 결정 및 승인, 초기 조사 결과 토대로 소송이 필요한지 유무 결정과 수사기관 공조 여부 판단
5) 사고 조사 : 데이터 수집 및 분석 수행. 언제, 누가, 어떻게 사고가 일어났고 피해확산 및 사고 재발을 어떻게 예방할지 결정
6) 보고서 작성 : 의사 결정자가 쉽게 이해할 수 있도록 정확한 보고서 작성
7) 해결 : 차기 유사공격 식별 및 예방 보안정책 수립, 절차 변경, 사건 기록, 장기 보안 정책 수립, 기술 수정 계획수립 등 결정
- 침해사고 대응절차 상세
■ 사고 탐지
▷ 사고 탐지시 확인해야 할 세부항목
1) 현재 시간과 날짜
2) 사건보고 내용과 출처
3) 사건 특성
4) 사건이 일어난 일시
5) 관련된 하드웨어, 소프트웨어 목록(EX FW, IDS, IPS... 등)
6) 사고 탐지 및 사고 발생 관련자의 네트워크 연결 지점
■ 초기 대응
▷ 초기 대응 중요임무
: 현재 발생한 사건이 업무 및 서비스에 영향을 미치는지 검증 후 사고를 어떻게 처리할 지 결정(대응전략 수립)
1) 정오탐 구분
2) 침해된 시스템에 적당한 대응책이 있는지
3) 사건의 유형이 무엇인지
4) 사고로 인한 잠재적인 업무 영향
■ 대응전략 수립
▷ 환경의 전체적인 고려
1) 침해당하거나 도난당한 정보가 얼마나 민감
2) 시스템과 사용자의 업무중단 시간은 어느정도
3) 어느 정도의 경제적 피해
.....등
▷ 적절한 대응 고려
(http://blog.pages.kr/1274)
■ 사고 조사
▷ 수집된 데이터 처리
(http://blog.pages.kr/1274)
1) 네트워크 기반 증거 : 사고발생 관련 네트워크 장비들에 대한 로그 수집
2) 호스트 기반 증거 : 휘발성 데이터 먼저 수집 후 위와 같은 필요 데이터 수집
(http://wrkk.tistory.com/entry/%EB%93%A4%EC%96%B4%EA%B0%80%EB%A9%B02 참고)
※ 데이터 수집시 시스템 날짜와 시간 고려