사고 대응 설명: 단계 및 오픈 소스 소프트웨어

현재는 주머니 속의 슈퍼컴퓨터 시대입니다. 그러나 최고의 보안 도구를 사용함에도 불구하고 범죄자들은 ​​계속해서 온라인 리소스를 공격합니다. 이 게시물은 IR(Incident Response(Incident Response (IR)) )을 소개하고 IR 의 여러 단계를 설명한 다음 IR에 도움이 되는 세 가지 무료 오픈 소스 소프트웨어를 나열하는 것입니다.

사고 대응이란

사고 대응

인시던트(Incident) 란 무엇입니까 ? 컴퓨터를 장악하는 사이버 범죄자 또는 악성 코드일 수 있습니다. IR은 누구에게나 발생할 수 있으므로 무시해서는 안 됩니다. 당신이 영향을 받지 않을 것이라고 생각한다면, 당신이 옳을 수도 있습니다. 그러나 인터넷(Internet) 에 연결되어 있다는 보장이 없기 때문에 오래 가지 못합니다 . 거기에 있는 모든 아티팩트는 악성 코드를 설치하거나 사이버 범죄자가 데이터에 직접 액세스하도록 허용할 수 있습니다.

공격 시 대응할 수 있도록 사고 대응 템플릿(Incident Response Template) 이 있어야 합니다 . 즉, IRIF에(IF,) 관한 것이 아니라 정보과학의 WHENHOW 에 관한 것입니다.(HOW)

사고 대응(Incident Response) 은 자연 재해에도 적용됩니다. 재난이 닥쳤을 때 모든 정부와 국민이 대비하고 있다는 것을 알고 있습니다. 그들은 항상 안전하다고 상상할 여유가 없습니다. 이러한 자연적인 사건에서 정부, 군대 및 많은 비정부 단체( NGO(NGOs) ). 마찬가지로(Likewise) IT 부서의 IR( 사고 대응(Incident Response) ) 을 간과할 수 없습니다 .

기본적으로 IR은 사이버 공격에 대비하고 해를 끼치기 전에 차단하는 것을 의미합니다.

사고 대응 – 6단계

대부분의 IT 전문가 는 (IT Gurus)사고 대응(Incident Response) 의 6단계가 있다고 주장합니다 . 어떤 사람들은 그것을 5로 유지합니다. 그러나 6은 설명하기 더 쉽기 때문에 좋습니다. 다음은 사고 대응(Incident Response) 템플릿 을 계획할 때 초점을 맞춰야 하는 IR 단계입니다 .

  1. 준비
  2. 신분증
  3. 방지
  4. 근절
  5. 회복, 그리고
  6. 교훈

1] 사고 대응 – 준비(1] Incident Response – Preparation)

사이버 공격을 감지하고 대처할 준비가 되어 있어야 합니다. 즉, 계획이 있어야 합니다. 여기에는 특정 기술을 가진 사람들도 포함되어야 합니다. 회사의 인재가 부족한 경우 외부 조직의 사람들이 포함될 수 있습니다. 사이버 공격이 발생한 경우 수행할 작업을 설명하는 IR 템플릿을 사용하는 것이 좋습니다. 직접 만들거나 인터넷(Internet) 에서 다운로드할 수 있습니다 . 인터넷(Internet) 에는 많은 사고 대응(Incident Response) 템플릿 이 있습니다 . 그러나 IT 팀이 네트워크 상태에 대해 더 잘 알고 있으므로 템플릿에 참여하는 것이 좋습니다.

2] IR – 식별(2] IR – Identification)

이는 불규칙한 비즈니스 네트워크 트래픽을 식별하는 것을 의미합니다. 이상 사항을 발견하면 IR 계획에 따라 조치를 시작하십시오. 공격을 방지하기 위해 이미 보안 장비와 소프트웨어를 배치했을 수 있습니다.

3] IR – 격리(3] IR – Containment)

세 번째 프로세스의 주요 목표는 공격 영향을 억제하는 것입니다. 여기서 억제는 영향을 줄이고 사이버 공격이 피해를 입기 전에 방지하는 것을 의미합니다.

사고 대응(Incident Response) 억제는 단기 및 장기 계획을 모두 나타냅니다(사건에 대응할 템플릿이나 계획이 있다고 가정).

4] IR – 근절(4] IR – Eradication)

인시던트 대응의 6단계에서 근절은 공격의 영향을 받은 네트워크를 복원하는 것을 의미합니다. 네트워크나 인터넷(Internet) 에 연결되지 않은 별도의 서버에 저장된 네트워크 이미지만큼 간단할 수 있습니다 . 네트워크를 복원하는 데 사용할 수 있습니다.

5] IR – 회복(5] IR – Recovery)

사고 대응(Incident Response) 의 다섯 번째 단계는 근절 후에 남을 수 있는 모든 것을 제거하기 위해 네트워크를 청소하는 것입니다. 또한 네트워크에 생명을 불어넣는 것을 의미합니다. 이 시점에서 네트워크에서 비정상적인 활동을 계속 모니터링하게 됩니다.

6] 사고 대응 – 교훈(6] Incident Response – Lessons Learned)

인시던트 대응 6단계의 마지막 단계는 인시던트를 조사하고 잘못을 지적하는 것입니다. 사람들은 종종 이 단계를 놓치지만, 무엇이 잘못되었고 앞으로 그것을 피할 수 있는 방법을 배우는 것이 필요합니다.

(Open Source Software)사고 대응(Incident Response) 관리를 위한 오픈 소스 소프트웨어

1] CimSweep 은 (1] CimSweep)사고 대응(Incident Response) 에 도움이 되는 에이전트 없는 도구 모음입니다 . 발생한 장소에 참석할 수 없는 경우 원격으로 할 수도 있습니다. 이 제품군에는 위협 식별 및 원격 대응을 위한 도구가 포함되어 있습니다. 또한 이벤트 로그, 서비스 및 활성 프로세스 등을 확인하는 데 도움이 되는 포렌식 도구를 제공합니다. 자세한 내용은 여기(More details here) .

2] GRR Rapid Response ToolGitHub 에서 사용할 수 있으며 네트워크( 가정(Home) 또는 사무실(Office) )에서 다양한 검사를 수행하여 취약점이 있는지 확인할 수 있습니다. 실시간 메모리 분석, 레지스트리 검색 등의 도구가 있습니다. Python 으로 빌드되어 Windows 10을 포함한 모든 (Python)Windows OS – XP 이상 버전과 호환됩니다 . Github에서 확인하세요(Check it out on Github) .

3] TheHive 는 또 다른 오픈 소스 무료 사고 대응(Incident Response) 도구입니다. 그것은 팀과 함께 일할 수 있습니다. 팀워크는 업무(의무)가 서로 다른 재능 있는 사람들에게 완화되기 때문에 사이버 공격에 더 쉽게 대응할 수 있습니다. 따라서 실시간 IR 모니터링에 도움이 됩니다. 이 도구는 IT 팀이 사용할 수 있는 API를 제공합니다. 다른 소프트웨어와 함께 사용할 경우 TheHive 는 한 번에 최대 100개의 변수를 모니터링할 수 있으므로 모든 공격이 즉시 감지되고 사고 대응(Incident Response) 이 빠르게 시작됩니다. 자세한 내용은 여기를 참조하십시오(More information here) .

위의 내용은 사고 대응을 간략하게 설명하고, 사고 대응의 6단계를 확인하고, 사고 처리에 도움이 되는 세 가지 도구의 이름을 지정합니다. 추가할 사항이 있으면 아래 댓글 섹션에 추가하세요.(The above explains Incident Response in brief, checks out the six stages of Incident Response, and names three tools for help in dealing with Incidents. If you have anything to add, please do so in the comments section below.)



동하 주

About the author

저는 컴퓨터 전문가이며 2009년부터 사람들의 PC 사용을 돕고 있습니다. 제 기술에는 iphone, 소프트웨어, 가제트 등이 있습니다. 저도 지난 4년 동안 강사로 일하고 있습니다. 그 시간 동안 저는 사람들이 새로운 프로그램을 배우도록 돕는 방법과 전문적인 방식으로 장치를 사용하는 방법을 배웠습니다. 나는 모든 사람이 직장이나 학교에서 성공할 수 있도록 내 기술을 향상시키는 방법에 대한 팁을 제공하는 것을 즐깁니다.


Related posts