플리커 제공첫 번째이자 가장 중요한 단계는 사고 대응 라이프사이클의 핵심은 준비입니다. 사고 발생 전의 준비는 혼란 속에서도 더 신속하고 효과적으로 대응할 수 있도록 해줍니다. 준비는 라이프사이클의 다양한 측면에 영향을 미치므로, 사람, 프로세스, 기술이라는 공통된 분류 체계를 사용해 보겠습니다. 이 세 가지는 서로 연관되어 있다는 점을 명심해야 합니다.
이번 포스팅에서는 평소처럼 모든 것에 집중하는 것을 잠시 접어두겠습니다. 보안 오케스트레이션, 자동화 및 대응(SOAR) p를 파헤치다배상, 특히, 사고 식별에 있어 정책과 기준선의 역할을 중점적으로 살펴보겠습니다. 팀이 사고를 제대로 식별하지 못하면 조직은 상당한 위험에 노출됩니다.
처음부터 시작해 보겠습니다. 준비 단계의 첫 번째 단계는 역할과 책임을 파악하고 할당하는 것입니다. 이는 사고의 심각도, 환경의 세부 사항, 사용 가능한 도구 등 다양한 요소에 따라 달라집니다.
적합한 사람들이 파악되면 다음 질문은 "그들은 무엇을 하는가?" 또는 더 구체적으로 말하면 "팀이 무엇을 해야 하는지 알고 교육을 받은 후, 언제 해야 하는지는 어떻게 아는가?"입니다. 이 질문에 대한 답은 상황에 따라 달라집니다. 보안 성숙도 수준 귀 기관.
이 질문에 대한 답을 찾으려면 매일 발생하는 수백, 아니 수천 건의 보안 이벤트 중에서 어떤 것을 사고로 분류하고 추가적인 조치가 필요한지 파악하는 것부터 시작해야 합니다. 대부분의 조직은 이 질문에 대해 명확하게 다루지 않고, 가용 자원과 전문성에 따라 그때그때 상황에 맞춰 대응하고 있습니다. 이러한 방식은 당분간은 효과적일 수 있지만, 검토 및 개선을 위한 일관된 정보를 제공하지 못하고 전반적으로 대응의 질이 떨어질 가능성이 높습니다. 차라리 사고를 사전에 식별하는 공식적인 프로세스를 구축하여 근본적인 문제를 해결하는 것이 더 효과적입니다.
어떤 것이 사건으로 간주되나요?
그에 따르면 미국 국립표준기술연구소(NIST), 보안 이벤트란 "네트워크 또는 정보 시스템에서 관찰 가능한 모든 현상"을 의미합니다. 따라서 네트워크를 면밀히 관찰하고 계측 장비의 민감도를 높일수록 더 많은 이벤트를 관찰하거나 감지할 수 있습니다. 이러한 이벤트는 방화벽 핑부터 피싱 시도, 데이터 유출에 이르기까지 심각도에 따라 다양합니다. 경험과 보완 통제의 유무에 따라 많은 이벤트는 안전하게 무시할 수 있습니다. 반면, NIST는 사이버 "사고"를 "보안 정책, 보안 절차 또는 허용 가능한 사용 정책을 위반하는" 파괴적인 현상으로 정의합니다.“
NIST 접근 방식은 프로그램 관리 중심적 관점을 반영합니다. 문제의 사건은 내부 또는 외부 행위자에 의한 표준 위반을 나타내며, 대응은 위반된 표준에 따라 결정됩니다. 그러나 보안 분석가의 관점에서 이벤트 또는 잠재적 사건은 네트워크에서 비정상적인 동작이나 이상 행동을 관찰한 것을 의미합니다. 어떤 것을 사건으로 분류하기 전에, 정상적인 활동이 무엇인지 파악하기 위해 활동 측정의 기준선을 설정해야 합니다. 대비책 측면에서, 네트워크에서 "정상적인" 활동을 명시하는 정책과 절차가 있어야 합니다.
사건과 사고를 파악하는 또 다른 방법은 해당 사건에 대해 몇 가지 핵심 질문을 던지는 것입니다.
해당 사건이 PCI/DSS, HIPAA, FERPA 등과 같은 법률 또는 관련 규정을 위반한 것입니까? 해당 사건으로 인해 공개 통지가 요구되는 규정이 있습니까?
해당 사건이 회사 정책 위반에 해당하는가? 그리고 정책에 명시된 위반 행위에 대한 결과는 무엇인가?
해당 사건이 기업 가치 및/또는 윤리 위반에 해당합니까? (3번 질문에는 '예'이지만 2번 질문에는 '아니오'인 경우, 관련 정책을 마련해야 하는지 고려해 보십시오.).
사고 대응 준비는 어려운 일이지만, 사고를 식별하는 과정을 공식화하면 훨씬 더 잘 대처할 수 있을 것입니다. 답변에 대비했습니다사건을 억제하고, 근절하고, 복구하는 것.
English 
Français 
Deutsch 
日本語 
한국어 
Português 
Español