Wiz
모든 기사

Incident Response 무엇인가?

위즈 전문가 팀
8 분 읽기
사고 대응 계획 템플릿Wiz Defend 사용해보기

인시던트 대응이란?

인시던트 대응은 사이버 공격을 탐지하고 대응하기 위한 전략적 접근 방식입니다. 이는 조직적이고 효율적이며 시기적절한 방식으로 위협의 영향을 탐지, 제거 및 복구하는 데 도움이 되는 일련의 조정된 절차로 구성됩니다. 또한 문서화된 계획 및 플레이북, 도구 및 기술, 테스트 및 검토와 같은 준비 및 미세 조정 조치를 다루어 이러한 목표를 충족하는 데 도움이 됩니다.

인시던트 대응은 다음의 일부입니다. 인시던트 관리, 다음과 같은 공격을 처리하는 더 넓은 방법을 나타냅니다. 고위 경영진, 법무팀, 인사, 통신, 그리고 더 넓은 IT 부서.

이 가이드는 기본적으로 인시던트 대응에 중점을 둡니다. 그러나 인시던트 관리의 다른 측면을 간략하게 다룹니다'중요한 것은 조직이 향후 사고를 처리하기 위한 전체적인 접근 방식을 취하는 것입니다.

하자'S는 몇 가지 기본 개념을 살펴보는 것으로 시작합니다.

How to Prepare for a Cloud Cyberattack: An Actionable Incident Response Plan Template

A quickstart guide to creating a robust incident response plan – designed specifically for companies with cloud-based deployments

Download Template

보안 사고란 무엇인가요?

인시던트 대응 팀은 다음과 같은 상황에 신속하게 대응해야 합니다.'다시 행동에 나서야 합니다. 따라서 그들은 잘못된 용어 사용으로 인해 발생할 수 있는 시간 소모적인 오해를 용납할 수 없습니다. 그'보안 사고를 구성하는 요소가 무엇인지 정확히 이해해야 하는 이유와 다음과 같은 유사한 용어와 어떻게 다른지 이해해야 하는 이유 보안 이벤트(security event) 그리고 공격.

  • A 보안 이벤트(security event) 은 트래픽의 갑작스러운 급증 또는 권한 상승과 같은 비정상적인 네트워크 동작의 존재로, 보안 위반의 지표가 될 수 있습니다. 그러나 그렇지 않습니다't는 반드시 보안 문제가 있음을 의미합니다. 추가 조사를 통해 완벽하게 합법적인 활동으로 판명될 수 있습니다.

  • A 보안 인시던트 는 고의적이든 우발적이든 데이터의 손실 또는 무단 액세스와 같은 잠재적인 부정적인 영향이 확인된 하나 이상의 상관 관계가 있는 보안 이벤트입니다.

  • 공격악의적인 의도를 가진 사전에 계획된 보안 위반입니다.

보안 인시던트의 유형

성격이 무엇이든 다양한 유형의 사고에 적절하게 대비해야 합니다.  그래서 당신은'다양한 시나리오를 고려해야 합니다. 여기에는 다양한 유형의 애플리케이션과 기본 인프라가 포함되지만 무엇보다도 다양한 유형의 공격이 포함됩니다.

그 중 가장 일반적인 것은 다음과 같습니다.

  • 서비스 거부(DoS): 가짜 요청으로 서비스를 폭주시켜 합법적인 사용자가 사용할 수 없게 하려는 시도입니다.

  • 응용 프로그램 손상: 다음과 같은 응용 프로그램입니다.'다음과 같은 기술을 사용하여 해킹되었습니다. SQL 인젝션, 교차 사이트 스크립팅(XSS)그리고 캐시 중독, 데이터를 손상, 삭제 또는 유출하거나 다른 형태의 악성 코드를 실행하기 위한 목적입니다.

  • 랜섬웨어: 암호화를 사용하여 데이터에 대한 액세스를 차단하는 맬웨어 유형입니다. 그런 다음 공격자는 암호화 키를 대가로 몸값을 요구합니다.

  • 데이터 유출: 특히 민감한 데이터 또는 기밀 데이터에 대한 무단 액세스와 관련된 보안 위반입니다.

  • 중간자(MitM): 공격자가 두 당사자 간의 데이터 교환을 은밀하게 가로채고 두 당사자 간의 통신을 조작하는 현대식 도청 형태입니다.

그에 따라 다양한 유형의 공격과 시스템의 잠재적 취약성에 대한 깊은 이해를 개발해야 합니다. 이를 통해 대응 절차를 수립하고 툴링 및 기술 요구 사항을 파악할 수 있습니다. 동시에 보안 방어를 개선하고 애초에 중대 사건이 발생할 위험을 줄이는 데 도움이 됩니다.

The Cloud Security Threat Report

The Wiz Threat Research team looks back on the past year to highlight trends and the state of multi cloud usage based on visibility across our customer base.

Download Report

클라우드에서의 인시던트 대응

클라우드의 광범위한 채택을 고려할 때, 인시던트 대응은 새로운 유형의 위협과 다양한 애플리케이션 배포 모델로 인해 발생하는 문제를 해결하기 위해 진화하고 있습니다.

그러나 많은 조직이 여전히 오래된 인시던트 대응 절차에 의존하고 있습니다. 따라서 새로운 공격 표면에 대한 대응 전략을 조정하여 적절한 준비 상태를 유지해야 합니다. 예를 들면 다음과 같습니다.

  • 인시던트 대응 팀이 클라우드 기반 IT 환경을 이해할 수 있도록 충분한 교육을 받을 수 있도록 합니다.

  • 다음과 같은 도구를 구현합니다.'클라우드의 복잡하고 동적인 특성을 위해 특별히 설계되었습니다.

  • CSP(클라우드 서비스 공급자)에서 사용할 수 있는 원격 분석 사용

The Cloud Threat Landscape

A comprehensive threat intelligence database of cloud security incidents, actors, tools and techniques.

Explore

인시던트 대응 설명서

공식적으로 문서화된 작업 과정은 인시던트 처리를 위한 명확한 로드맵을 제공하고 다음을 보장하기 때문에 강력한 인시던트 대응 전략의 필수 구성 요소입니다'다시 그렇게 할 수 있는 적절한 장비를 갖추고 있습니다.

일반적으로 인시던트 대응 자료는 다음과 같은 세 가지 유형의 문서로 구성됩니다.

인시던트 대응 정책

정책 Document는 이니셔티브를 위한 공을 설정하여 인시던트 대응 전략에 대한 광범위한 청사진 역할을 합니다.

인시던트 대응을 위해 비즈니스 사례를 배치하여 고위 의사 결정권자의 동의를 구합니다. 이는 인시던트 대응 팀과 완전한 인시던트 대응 프로그램의 생성을 의무화합니다. 리더십 팀의 승인을 받아야 하며, 이를 통해 사명을 추진할 수 있는 권한을 부여받아야 합니다.

이 문서는 인시던트 대응 프로세스의 실용성을 위한 보다 자세한 문서화를 위한 디딤돌을 제공하는 단일 문서입니다.

위즈 아카데미

How to Create an Incident Response Policy: An Actionable Checklist and Template

더 알아보기

인시던트 대응 계획

인시던트 대응 계획 사이버 보안 인시던트를 처리하기 위해 마련해야 하는 조치를 더 자세히 설명하여 정책 문서를 확장합니다. 전체 대응 수명 주기에 걸쳐 실행되며 다음과 같은 방법에 대한 개략적인 계획이 있습니다.

  • 보안 인시던트 감지 및 분류Detect and classify a security incident

  • 공격의 전체 작동 방식 파악

  • IT 시스템 및 비즈니스 운영에 미치는 영향 제한

  • 위협 요소 제거

  • 인시던트 복구

또한 다음을 설정합니다.

  • 당신을 준비하십시오'공격을 예상하고 만들 것입니다.

  • 분석 및 검토를 위한 사후 활동 제안

인시던트 대응 계획 또한 는 인시던트 대응 플레이북을 지원하는 토대를 마련하는 단일 문서이기도 합니다.

위즈 아카데미

7 Incident Response Plan Templates & Examples

더 알아보기

인시던트 대응 플레이북

일반적으로 인시던트 대응 플레이북은 특정 유형의 인시던트를 처리하기 위한 매우 상세한 절차 집합을 제공하는 문서입니다.

각 플레이북은 서로 다른 상황에 맞게 조정됩니다. 예를 들어, 다음과 같습니다.'d는 일반적으로 다양한 공격 벡터에 대한 일련의 플레이북을 만듭니다. 그러나 플레이북을 사용하여 인시던트 대응 팀의 특정 역할에 대한 지침을 제공할 수도 있습니다. 이는 광범위한 인시던트 관리 프로세스에서 일반적입니다. 예를 들어, 다음과 같습니다.'d 일반적으로 법무 및 PR 팀을 위한 플레이북을 만들어 규정 준수 요구 사항을 충족하고 커뮤니케이션을 각각 처리하는 데 도움을 줍니다.

인시던트 대응 팀

인시던트 대응 팀은 인시던트 대응 작업을 오케스트레이션하는 일을 담당하는 교차 기능 사용자 그룹입니다.

조직 전체의 다양한 직무 역할로 구성되며 일반적으로 다음을 포함합니다.

  • 경영진 스폰서.CSO(최고 보안 책임자) 또는 CISO(최고 정보 보안 책임자)와 같은 고위 경영진의 구성원으로, 인시던트 대응 이니셔티브의 옹호자 역할을 합니다. 그들은 종종 회사에 진행 상황을 보고할 책임이 있습니다's 경영진.

  • 인시던트 대응 관리자: 인시던트 대응 전략을 개발 및 구체화하고 활동을 조정하는 팀 리더입니다. 그들은 대응 프로세스 전반에 걸쳐 전반적인 책임과 권한을 갖습니다.

  • 커뮤니케이션 팀: PR, 소셜 미디어 및 HR 부서의 대표와 대변인 및 회사 블로거는 직원, 고객, 대중 및 기타 이해 관계자에게 개발 상황을 알릴 책임이 있습니다.

  • 법무팀: 사건의 규정 준수 및 형사 영향과 잠재적인 계약 위반을 다루는 지정된 법률 대리인.

  • 기술 팀.위협을 탐지, 분석, 억제 및 제거하는 것과 관련된 기술적 업무를 수행할 수 있는 적절한 자격을 갖춘 IT 및 보안 운영 팀의 개인입니다.

인시던트 대응 수명 주기

잘 구조화되고 체계적인 인시던트 대응 수명 주기는 효과적인 인시던트 관리의 핵심으로, 공격에 대처하기 위한 단계별 프로세스를 제공합니다. 그러나, 당신은 할 수 없습니다'자체 대응 수명 주기를 개발하기 위해 처음부터 시작해야 하며, 프로세스를 안내하는 여러 프레임워크를 사용할 수 있습니다.

여기에는 다음이 포함됩니다.

  • NIST 800-61: 컴퓨터 보안 인시던트 처리 가이드

  • SANS 504-B 인시던트 대응 주기

  • ISO/IEC 27035 시리즈: 정보 기술 — 정보 보안 사고 관리

비슷한 맥락에서 위즈(Wiz)는 최근 인시던트 대응 계획 템플릿 그'특히 보호 책임자를 대상으로 합니다. 퍼블릭 클라우드, 하이브리드 클라우드 그리고 멀티클라우드 배포.

각 인시던트 대응 프레임워크는 약간 다른 접근 방식을 취하지만, 기본적으로 모두 수명 주기를 다음 단계로 나눕니다.

준비

대응 전략을 수립하기 가장 어려운 시기는 피해가 최소화되고 비즈니스 중단을 줄이기 위해 신속하게 조치를 취해야 하는 사고가 발생했을 때입니다. 그'S 왜 준비가 중요한지.

인시던트 대응의 준비 단계에서는 모든 것을 미리 준비하여 지체 없이 인시던트에 대응할 수 있습니다. 여기에는 다음과 같은 조치가 포함됩니다.

  • 인시던트 대응 팀의 구성

  • 모든 기반을 다루는 데 도움이 되는 최신 자산 인벤토리

  • 인시던트 후 타임라인 분석을 지원하기 위한 로그 데이터 캡처

  • 신속한 탐지 및 봉쇄를 위한 툴링 조달

  • 사례를 에스컬레이션하고 진행 상황을 모니터링하기 위한 문제 추적 시스템 구현

  • 비즈니스 운영 중단을 최소화하기 위한 비상 조치

  • 인시던트 대응 교육

  • 인시던트 대응 테스트 연습

  • 사이버 보험 적용

탐지

탐지 단계에서는 보안 인시던트가 발생했는지 또는 발생할 예정인지 확인하기 위해 체계적인 접근 방식을 취합니다. 공격의 첫 번째 징후는 다음과 같습니다.

  • 로그인 시도 실패 횟수가 많습니다.

  • 비정상적인 서비스 액세스 요청

  • 권한 상승

  • 계정 또는 리소스에 대한 차단된 액세스

  • 누락된 데이터 자산

  • 느리게 실행되는 시스템

  • 시스템 충돌

Example threat detection originating from an EKS container

그러나 탐지는 인시던트 대응에서 가장 어려운 측면 중 하나이며, 이러한 이벤트가 실제 보안 인시던트를 나타내는지 확인하기 위해 다양한 소스의 정보를 상호 연관시키는 작업이 포함됩니다. 출처에는 다음이 포함될 수 있습니다.

  • 워크로드 텔레메트리

  • CSP에서 사용할 수 있는 원격 분석

  • 제3자 위협 인텔리전스

  • 최종 사용자의 피드백

  • 소프트웨어 공급망의 다른 당사자

조사/분석

인시던트 조사 단계는 공격의 근본 원인, 배포에 미칠 수 있는 영향 및 적절한 수정 작업을 확인하기 위한 체계적인 일련의 단계로 구성됩니다.

An example root cause analysis on a machine that's been affected by multiple critical vulnerabilities and misconfigurations

탐지 단계와 마찬가지로 서로 다른 로그 소스의 이벤트 데이터를 결합하여 인시던트에 대한 전체 그림을 구축하는 작업이 포함됩니다.

견제

격리 단계의 목적은 다음과 같습니다.

  • 공격의 폭발 반경 최소화

  • IT 시스템 및 비즈니스 운영에 미치는 영향 제한

  • 보다 포괄적인 문제 해결 조치를 취하기 전에 시간 벌기

Example of an incident management tool triggering real-time response actions to reduce and contain the blast radius of a potential incident..

방법은 사고 유형에 따라 다릅니다. 예를 들어 DoS(Denial-of-Service) 공격을 억제하려면 다음을 수행합니다'd IP 주소 필터링과 같은 네트워크 조치를 구현합니다. 그러나 다른 많은 경우에는 다음과 같습니다'd 공격의 횡적 이동을 방지하기 위해 리소스를 격리합니다. 당신이 하는 길'd 이 작업은 인프라 유형에 따라 다릅니다. 기존 IT 환경에서는 EDR(Endpoint Detection and Response)과 같은 보안 도구가 가장 효율적인 방법입니다. 그러나 클라우드 기반 환경에서는'일반적으로 컨트롤 플레인을 통해 리소스의 보안 그룹 설정을 변경하는 것이 더 간단합니다.

전문가 팁

Did you know? Gartner recognizes cloud investigation and response automation (CIRA) as an indispensable technology in the cybersecurity landscape. Gartner views CIRA as a strategic investment for organizations looking to fortify their security posture in the cloud. Simply put, the shift to cloud computing brings unprecedented opportunities but also introduces new risks.

박멸

박멸은 위협을 완전히 제거하여's가 더 이상 존재하지 않음 어디서 나 조직의 네트워크 내에서.

시스템에서 위협을 제거하는 방법은 다음과 같습니다.

  • 악성 코드 제거

  • 응용 프로그램 재설치

  • 로그인 자격 증명 및 API 토큰과 같은 보안 암호 교체

  • 진입 장벽

  • 취약점 패치

  • IaC(Infrastructure-as-Code) 템플릿 업데이트

  • 감염 이전 상태로 파일 복원

술래'또한 복구 후 영향을 받는 시스템과 영향을 받지 않는 시스템을 모두 스캔하여 침입의 흔적이 남지 않도록 하는 것이 중요합니다.

인시던트 후 검토

검토 단계에서는 대응 전략을 구체화할 수 있는 기회를 제공합니다.'향후 발생할 수 있는 사고를 더 잘 처리할 수 있습니다. 인시던트에 대응한 방식, 인시던트 대응 팀의 피드백, 인시던트가 비즈니스 운영에 미치는 영향을 고려해야 합니다.

검토를 수행할 때 제기해야 하는 질문 유형은 다음과 같습니다.

  • 우리의 문서는 충분히 명확했는가?

  • 정보가 정확했는가?

  • 인시던트 대응 팀의 구성원이 자신의 역할과 책임을 이해했나요?

  • 다른 작업을 완료하는 데 얼마나 걸렸습니까?

  • 향후 유사한 사고를 방지하기 위한 추가 조치가 필요합니까?

  • 보안 도구에 허점이 있었나요?

  • 복구 시간을 지연시키는 실수를 저질렀습니까?

  • 인시던트에서 규정 준수 요구 사항 위반이 드러났습니까?

비즈니스 연속성 및 재해 복구(BCDR)

비즈니스 연속성(BC)는 보안 사고와 같은 중단 기간 동안 중요 업무용 작업을 계속 실행하기 위해 조직이 마련해야 하는 일련의 비상 조치입니다. 재해 복구(DR)반면에 는 다운타임을 최소화하고 비즈니스에 미치는 영향을 최소화하면서 시스템을 정상으로 복원하기 위한 일련의 프로비저닝입니다.

따라서 두 가지 원칙 모두 성공적인 대응에 필수적입니다. 그러나 다음을 위해 인시던트 관리 전략과 조정해야 합니다.

  • 응답 수명 주기에서 가장 적절한 시점에서 BCDR 절차를 트리거해야 합니다.

  • 위협 지속성의 위험 최소화

이러한 목표를 달성하려면 다음 사항을 충분히 고려해야 합니다.

  • 모든 페일오버 시스템의 보안

  • 감염 예방을 위한 백업 위생 수칙

  • 복구 우선 순위 

  • 시스템 종속성

도구 및 기술

올바른 도구는 실시간 보안 사고에 직면하여 가능한 한 빨리 위협을 해결해야 할 때 신의 선물입니다. 그래서 마무리하자면, 우리는'그 중 일부를 나열했습니다. 인시던트 대응 도구 그리고 당신이 가진 기술'효과적인 대응이 필요하며, 대응 수명 주기에서 수행하는 역할도 필요합니다.

TechnologyDescriptionRole in response lifecycle
Threat detection and response (TDR)A category of security tools that monitor environments for signs of suspicious activity and provide remediation capabilities to contain and eradicate threats. Examples of TDR technology include endpoint detection and response (EDR) and cloud detection and response (CDR).Detection, investigation, containment, and eradication
Security information and event management (SIEM)An aggregation platform that enriches logs, alert, and event data from disparate sources with contextual information, thereby enhancing visibility and understanding for better incident detection and analysis.Detection and investigation
Security orchestration, automation and response (SOAR)A security orchestration platform that integrates different security tools, providing streamlined security management through a unified interface. Allows you to create playbooks to perform predefined automated responses.Detection, investigation, containment, and eradication
Intrusion detection and prevention system (IDPS)A traditional defense system that detects and blocks network-level threats before they reach endpoints.Detection and investigation
Threat intelligence platform (TIP)An emerging technology that collects and rationalizes external information about known malware and other threats. TIP helps security teams quickly identify the signs of an incident and prioritize their efforts through insights into the latest attack methods adversaries are using.Detection, investigation, containment, and eradication
Risk-based vulnerability management (RBVM)A security solution that scans your IT environment for known vulnerabilities and helps you prioritize remediation activity based on the risk such vulnerabilities pose to your organization.Containment and eradication

클라우드 네이티브 IR을 위한 Wiz

Wiz는 포괄적인 기능을 제공합니다. Cloud Detection and Response(CDR) 솔루션 조직이 클라우드 환경에서 보안 사고를 효과적으로 탐지, 조사 및 대응할 수 있도록 지원합니다. Wiz의 주요 측면은 다음과 같습니다.'클라우드 인시던트 대응에 대한 S 접근 방식:

  1. 상황에 맞는 위협 탐지: Wiz는 통합 보기에서 실시간 신호 및 클라우드 활동 전반의 위협을 상호 연관시켜 방어자가 클라우드에서 공격자의 움직임을 신속하게 발견할 수 있도록 합니다. 이러한 상황화는 경고의 우선 순위를 지정하고 거짓 긍정을 줄여 많은 보안 팀이 직면하는 경고 피로 문제를 해결하는 데 도움이 됩니다.

  2. 클라우드 네이티브 모니터링: 이 플랫폼은 워크로드 이벤트와 클라우드 활동을 모니터링하여 알려지거나 알려지지 않은 위협과 악의적인 행동을 모두 탐지합니다. 이러한 클라우드 네이티브 접근 방식은 매우 중요한데, 기존 보안 솔루션은 클라우드 환경의 동적인 특성으로 인해 어려움을 겪는 경우가 많기 때문입니다.

  3. 자동 응답 플레이북: Wiz는 클라우드 네이티브 기능을 사용하여 영향을 받는 리소스를 조사하고 격리하도록 설계된 즉시 사용 가능한 대응 플레이북을 제공합니다. 또한 증거 수집을 자동화하여 보안 팀이 억제, 근절 및 복구 단계를 신속하게 진행할 수 있도록 합니다.

  4. 근본 원인 분석을 위한 보안 그래프: 대단한's Security Graph는 인시던트 대응에 필수적인 자동화된 근본 원인 및 폭발 반경 분석을 제공합니다. 리소스가 어떻게 손상되었는지, 공격자가 환경에서 어떤 잠재적 경로를 사용할 수 있는지와 같은 중요한 질문에 답하는 데 도움이 됩니다. 더 알아보세요->

  5. 클라우드 포렌식: Wiz는 리소스가 손상되었을 수 있는 경우 중요한 증거를 자동으로 수집할 수 있는 방법을 제공하여 포렌식 기능을 향상시킵니다. 여기에는 VM 볼륨 복사, 로그 및 아티팩트가 포함된 포렌식 패키지 다운로드, 런타임 센서를 사용하여 컨테이너 또는 VM의 프로세스 보기가 포함됩니다.

  6. 폭발 반경 평가: 보안 그래프를 통해 IR 팀은 영향 범위를 신속하게 식별하고, 공격 경로를 추적하고, 사고의 근본 원인을 파악할 수 있습니다. 이는 손상된 리소스의 잠재적인 비즈니스 영향을 이해하는 데 특히 유용합니다. 더 알아보세요->

  7. 런타임 모니터링: Wiz는 런타임에서 의심스러운 활동이 있는지 워크로드를 지속적으로 모니터링하여 폭발 반경 분석에 컨텍스트를 추가합니다. 여기에는 컴퓨터 서비스 계정 또는 특정 사용자가 수행한 의심스러운 이벤트 감지가 포함됩니다.

Your Cloud Incident Response Plan Starts Here!

Get Started