1. 사고 처리 절차
사고 탐지
사건 판단 및 사고 번호 할당
초기 분석 및 사고 대응 전략 수립
사고 분석
모니터링
사고 대응 및 복구
보고 및 피드백
2. 사고 탐지 1
보고 경로
내부직원 보고
외부기관 항의 e-mail
다른 사고 대응팀 통지
보안시스템 로그/경보
보고 절차 명시
사건 유형
보고할 내용 : 시간, 연락처, 사고설명, 피해시스템 관련사항
보고 수단 : e-mail, 전화, 팩스 등
사고처리 시스템TTS(Trouble Ticketing Syste)를 활용할 수 있으나, 대부분은 조직 특성에 맞게 개발하여 사용
3. 사고 탐지 2
보고서 양식 샘플
신고자 연락처 및 기관 정보
이름 :
기관 이름 :
기관 종류 :
e-mail 주소 :
전화번호 :
기타
피해시스템 전보(각 시스템 마다 기재)
호스트 이름, IP 주소 :
시간 대역 :
시스템 용도 :
공격시스템 정보(각 시스템 마다 기재)
호스트 이름, IP 주소 :
시간 대역:
사고 설명(아는 번위에서)
사고 발견 시간
공격방법
공격 흔적
취약성
공격 출처
피해상황
기타 발견된 모든 정보
4. 사건 판단 및 사고 번호 할당
사고번호 – 개별 사고를 구분, 외부에 공개됨.(ex. CERT#xxxxxx)
사고번호 예제들
USPS CIRT(USPSCIRT@email.usps.gov) : Incident Number: 0304XX-0001
SecurePipe Incident Response Team(incident.response@securepipe.com) : [securepipe.com #6216XX] Backdoor Network Probe (17300/tcp)
TM Technology Security Operations Center(itmtech.com) : Intrusion Task EKF4-28845XXX
secomj.co.jp : [IMS2003012527XX] Incident From 211.XXX.XXX.XXX
[CERTCC-KR#030104XX]Spida Worm 관련 시스템 확인요청 - 211.XXX.XXX.XXX
securitymap.net : [IAM12308XXX]Abuse from 211.17X.XXX,XXX.
myNetWatchman Incident [90337XX] Src:(211.17X.XXX.XXX) Targets:68
사고 등급
기밀 정보가 유출될 위험이 있는가?
회사의 업무에 지장을 주는가?
회사의 인지도에 위험을 주는가?
5. 초기 분석 및 사고 대응 전략 수립 1
사고 번호 할당 -> 처리 담당자 지정 -> 초기 분석과정
담당자의 능력과 경험에 의존.
시스템 담당자와 사전협의
분석 방법 고려사항
라이브 분석 – 네트워크가 연결된 체로 서비스 제공 중인 시스템 분석
백업 시스템 X, 빠른 사고 대응 요구, 공격자 지속적 모니터링 필요, 피해여부가 확실하지 않아 확인 분석을 할 경우
격리분석 – 네트워크 단절 후 분석. 디스크 이미지 복사 후 분석/읽기 전용으로 마운트 하여 분석
공격의 피해가 계속 확산된다고 판단되는 경우, 여분의 백업시스템이 있는 경우, 라이브 시스템 분석 이후 보다 자세한 분석이 필요한 경우, 공격 증거 보존이 필요한 경우
6. 초기 분석 및 사고 대응 전략 수립 2
라이브 분석
장점 :
현재 실행되고 있는 프로세스,메모리, 네트워크 활동정보 등 분석
공격자 감시 가능
서비스 지속 가능
단점 :
공격자에게 노출 가능 시스템 crash 가능!
격리 분석
장점 :
사고 피해 확산 X 안전한 분석
시스템 상태 훼손 X
세밀한 분석
단점:
라이브 시스템에서만 획득할 수 있는 많은 정보를 놓침
지속적인 공격 모니터링 불가능
7. 초기 분석 및 사고 대응 전략 수립 3
대응 방법 고려사항
공격자 추적 – 많은 시간 자원 필요
복구 – 해킹사고의 성격, 피해, 범위에 따라 달라짐
법적 대응
법적 대응 방법
피해시스템 통제 : 외부로 부터 시스템 차단
시스템 처리 : 직접 분석하지 않고 원본상태로 보관
수사기관에 신고 : 피해상담 및 복구, 법률적인 대응 방안에 대해서 도움을 얻도록 함.
8. 사고 분석
사고 발생 원인 및 공격 방법
사고 발생 시간
사고 발생 범위
공격자 출처
공격 목적
사고 복구를 위한 긴급 조치와 장기 조치
사고 처리 요령
조급해 하지 않는다
가능한 많은 침입흔적 보존
분석하는 모든 과정 기록
각각의 침입 흔적에 대한 설명, 발견 위치, 시간 등을 기록
사고와 직접적으로 관련되지 않은 사람에게 관련정보 공개 불가
9. 모니터링
네트워크 모니터링
IDS 이벤트, 방화벽 로그 등을 이용
시스템 모니터링
피해시스템을 모니터링
10. 사고 대응 및 복구
취약성 제거
피해시스템 복구
관련자 통지
11. 보고 및 피드백
공격에 이용된 취약성 제거 여부
데이터 파일 복구/시스템 복구 여부
사고 분석 결과가 문서화 됐는지 여부
사고와 관련된 로그 파일과 분석기록, 침입흔적 저장 여부
유사한 사고를 예방/탐지하기 위한 조치 여부
사고 분석 결과가 현재의 보안 정책 또는 보안 대책에 피드백 됐는지 여부
1. Accident handling procedures
Accident detection
Judgment of incidents and assignment of incident numbers
Establish initial analysis and incident response strategies
accident analysis
Monitoring
Accident Response and Recovery
Reporting and feedback
2. Accident detection 1
Reporting Path
Internal staff report
External organization clause e-mail
Notification of another incident response team
Security System Logs/Alarms
Specifying reporting procedures
Type of events
What to report: Time, contact information, accident description, damage system related matters
Reporting means: e-mail, telephone, fax, etc
Incident handling system TTS (Trouble Ticketing System) can be used, but most of them are developed and used according to the characteristics of the organization
3. Accident detection 2
Report Form Sample
Caller contact information and institutional information
Name:
Institution Name:
Institution type:
Email address:
Phone number:
Guitar
Damage System Telegraph (for each system)
Host name, IP address:
Time zone:
System Usage:
Attack System Information (for each system)
Host name, IP address:
Time zone:
Accident Description (from known rank)
Accident discovery time
How to attack
a trail of attack
vulnerability
the source of the attack
Damage situation
All other information found
4. Judgment of incidents and assignment of incident numbers
Accident Number – Individual accidents are identified and disclosed to the public. (ex. CERT#xxxx)
Accident Number Examples
USPS CIRT(USPSCIRT@email.usps.gov) : Incident Number: 0304XX-0001
SecurePipe Incident Response Team(incident.response@securepipe.com) : [securepipe.com #6216XX] Backdoor Network Probe (17300/tcp)
TM Technology Security Operations Center(itmtech.com) : Intrusion Task EKF4-28845XXX
secomj.co.jp : [IMS2003012527XX] Incident From 211.XXX.XXX.XXX
[CERTCC-KR#030104XX] Request to verify Spida Worm related systems - 211.XXX.XXX.XXX
securitymap.net : [IAM12308XXX]Abuse from 211.17X.XXX,XXX.
myNetWatchman Incident [90337XX] Src:(211.17X.XXX.XXX) Targets:68
accident rating
Is there a risk of confidential information being leaked?
Does it interfere with the company's work?
Does it pose a risk to the company's recognition?
5. Establish initial analysis and incident response strategies1
Accident Number assignment -> Specify a person responsible for handling -> Initial analysis process
Relying on the ability and experience of the person in charge.
Pre-consultation with system personnel
Analytical Method Considerations
Live Analysis – Analysis of systems being serviced by a connected network
Backup system X, needs to respond quickly to incidents, requires continuous monitoring of attackers, and is not sure whether it is damaged, so when you do a confirmation analysis
Isolation analysis – network disconnection analysis; copy disk images and mount/read-only for analysis
If you believe the damage of the attack continues to spread, if you have an extra backup system, if you need more detailed analysis after live system analysis, or if you need to preserve evidence of the attack
6. Establish initial analysis and incident response strategies 2
Live Analysis
Advantage:
Analysis of current processes, memory, network activity information, etc
Attackers can be monitored
Service Sustainable
Disadvantages:
system that can be exposed to attackers can crash!
Isolation Analysis
Advantage:
Accident Damage Spread X Safe Analysis
Corruption of system status X
a detailed analysis
Disadvantages:
Missing a lot of information that can only be obtained from the live system
Continuous attack monitoring is not possible
7. Establish initial analysis and incident response strategies 3
Response Method Considerations
Attacker tracking – requires a lot of time resources
Recovery – Depends on the nature, damage, and scope of the hacking incident
legal action
a legal response
Damage System Control: Blocking the system from the outside
System Processing: Store in original state without direct analysis
Report to the investigative agency: Get help in damage counseling, recovery, and legal countermeasures.
8. accident analysis
Cause of accident and attack method
Accident time
the extent to which an accident occurs
Attacker source
the purpose of an attack
Emergency and long-term measures for accident recovery
How to handle an accident
be not in a hurry
Preserving as many intrusion tracks as possible
Record all courses you analyze
Record the description, location, time, etc. of each intrusion trace
Unable to disclose relevant information to persons not directly related to the accident
9. Monitoring
Network Monitoring
Use IDS events, firewall logs, etc
System Monitoring
Monitoring the damage system
10. Accident Response and Recovery
Remove Vulnerability
Recovery of the victim system
Notification of the person concerned
11. Reporting and feedback
Whether to remove vulnerabilities used in the attack
Data File Recovery/System Recovery
Whether the accident analysis results are documented
Log files, analysis records, and intrusion traces related to the accident are stored
Measures to prevent/detect similar incidents
Whether the incident analysis results have been fed back to the current security policy or security measures
