The 6 Phases of an Incident Response Plan

인시던트 대응: 단계별 프로세스

인시던트 대응 (IR) 프로세스는 사이버 인시던트를 처음부터 끝까지 관리하기 위한 체계적인 접근 방식입니다. 이는 6가지 주요 단계로 구성되어 있으며, 각 단계는 향후 사고 발생 시 비즈니스 운영에 미치는 영향을 줄이는 데 중요한 역할을 합니다.

1. 준비. IR 계획을 수립하고, 이해관계자를 파악하고, 커뮤니케이션 채널을 구축하세요.
2. 평가. 사고의 범위, 심각도 및 영향을 파악하기 위해 정보를 수집합니다.
3. 완화. 영향을 받는 시스템을 격리하고 악성 트래픽을 차단하여 추가 피해를 방지하기 위해 인시던트를 억제합니다.
4. 응답. 멀웨어 제거 및 데이터 복원을 포함하여 인시던트 해결을 위한 수정 조치를 취합니다.
5. 복구. 시스템 기능을 검증하고 정상적인 비즈니스 운영을 다시 설정하여 정상 운영을 복원합니다.
6. 검토. 인시던트의 근본 원인을 분석 및 파악하고 그에 따라 인시던트 대응 계획을 업데이트합니다.

각 단계를 더 자세히 살펴보겠습니다.

#1: 사고 대응을 위한 준비

효과적인 IR 계획의 첫 번째 단계는 IR 계획의 범위와 목표를 정의하고, 프로세스에 참여해야 하는 이해관계자를 식별하며, IR의 모든 단계를 포괄하는 절차를 개발하는 것입니다.

인시던트 대응에 대비하는 방법은 다음과 같습니다:

• 인시던트 대응 범위를 정의합니다: 종합적인 사고 대응 계획은 애플리케이션의 범위, 목표, 경영진, IT 담당자, 법률 자문, 커뮤니케이션 팀 등 계획 및 실행에 관여하는 주요 이해관계자의 범위를 정의합니다.
• 사고 대응 팀을 구성합니다: IR 팀은 각각 지정된 역할과 책임이 있는 주요 중소기업으로 구성되며, 사고 대응 및 관리에 있어 중요한 역할을 담당합니다. 이들은 필요에 따라 대응 주기에 따라 역할이 변화하면서 함께 인시던트를 해결하기 위해 협력합니다.
• 명확한 커뮤니케이션 채널을 설정하세요: IR 계획에는 이메일 목록, 메시징 시스템, 전화 회선 등 사고 발생 시 내부 및 외부 이해관계자를 위한 커뮤니케이션 채널이 명시되어 있어 효과적인 정보 공유와 조율이 이루어질 수 있도록 합니다.
• 위험 파악: 정기적인 위험 평가를 실시하여 조직의 보안 상태를 파악하고 잠재적인 취약성을 파악한 다음, 발생 가능성과 잠재적 영향에 따라 위험의 우선순위를 정하고 적절한 보안 조치를 개발합니다.

#2: 초기 식별 및 평가

이 단계에서는 사이버 보안 사고를 신속하게 감지하고 평가하여 문제의 범위를 파악하고 다음 단계의 대응 계획에 대비하는 것이 중요합니다.

방법은 다음과 같습니다:

• 인식 타협 지표 (IoC): 비정상적인 로그인 시도나 의심스러운 네트워크 트래픽과 같은 IoC를 식별하면 잠재적인 위협을 조기에 감지하여 신속하게 대응할 수 있습니다.
• 이상 징후 탐지 및 인시던트 이벤트 모니터링:이상 징후와 보안 이벤트를 지속적으로 모니터링하면 사고를 신속하게 파악하여 신속하고 효과적으로 대응함으로써 조직에 미치는 영향을 최소화할 수 있습니다.
• 영향력 및 위험도에 따라 인시던트 우선순위 지정: 우선순위 지정을 통해 조직은 영향력이 크거나 위험도가 높은 인시던트를 먼저 처리하여 잠재적 피해를 최소화하고 가장 중요한 문제를 신속하게 해결함으로써 리소스를 효과적으로 집중할 수 있습니다.

이러한 단계를 실행하면 사이버 보안 사고를 신속하게 감지하고 평가하여 다운타임이 장기화될 가능성을 줄일 수 있습니다.

#3: 격리 및 완화

이 단계는 사이버 보안 사고가 조직에 미치는 영향을 최소화하고 추가적인 피해와 손실을 방지하는 데 매우 중요합니다.

이 단계의 내용은 다음과 같습니다.

• 장단기 봉쇄 전략: 영향을 받는 시스템 격리, 자격 증명 변경, 사용자 액세스 제한과 같은 즉각적인 조치는 단기적으로 인시던트의 확산을 줄이는 데 도움이 됩니다. 장기적인 격리 조치에는 IR 절차 및 교육 개선, 업데이트된 보안 정책의 시행 및 시행, 정기적인 감사 및 평가 실시 등이 포함됩니다.
• 손상된 시스템 격리 및 복구: 손상된 시스템과 네트워크를 격리하면 사고가 더 이상 확산되지 않아 조직 내의 다른 자산을 보호할 수 있습니다. 손상된 시스템을 철저히 조사하고 수정하면 사고의 근본 원인을 제거하고 향후 재발을 방지하는 데 도움이 됩니다.
• 배포 보안 패치 및 업데이트: 소프트웨어, 애플리케이션, 운영 체제를 최신 보안 패치 및 업데이트로 정기적으로 업데이트하면 알려진 취약성에 대한 강력한 방어력을 유지할 수 있습니다.

포괄적인 봉쇄 및 완화 조치를 시행하면 사고로 인한 확산과 피해를 제한하는 동시에 완전한 복구를 위해 노력할 수 있습니다.

#4: 사고 대응 워크플로

중앙 집중식 IR 팀은 사이버 공격의 영향을 근절하기 위한 노력을 조율하는 데 중요한 역할을 합니다. 이 단계에는 몇 가지 주요 단계가 포함됩니다:

• 알림 및 에스컬레이션 절차: 정해진 절차에는 연락 대상, 인시던트 보고 방법 및 예상 응답 시간이 간략하게 설명되어 있습니다. 우선순위가 높은 인시던트가 신속하게 처리될 수 있도록 에스컬레이션 절차도 마련되어 있습니다.
• 외부 조사와의 협력: 사고 대응팀은 법 집행 기관 또는 타사 포렌식 전문가와 협력하여 근본 원인을 파악하고 포괄적이고 효과적인 대응을 보장합니다. 시스템 로그와 데이터를 분석하면 인시던트의 범위와 근본 원인을 파악하는 데 도움이 됩니다.
• 증거 수집 및 보존: 사고 대응팀은 증거를 수집하고 보존하여 향후 참조 또는 잠재적인 법적 소송을 위해 문서화하고 보관합니다.

#5: 인시던트 복구

이 단계에서는 인시던트를 억제하고 근절하는 것에서 기능을 복구하고 다운타임을 최소화하는 것으로 초점이 이동합니다.

방법은 다음과 같습니다:

• 영향을 받은 시스템 및 서비스 복원: 여기에는 영향을 받은 모든 시스템과 서비스가 올바르게 작동하고 사고 이전 상태로 복구되었는지 확인하는 작업이 포함됩니다. 여기에는 워크스테이션 재이미징, 데이터베이스 복원 또는 네트워크 장치 재구성이 포함될 수 있습니다.
• 데이터 무결성 확인: 조직은 영향을 받은 시스템에 저장된 데이터의 무결성을 확인하여 사고 발생 중에 데이터가 손상되거나 손상되지 않았는지 확인해야 합니다.
• 커뮤니케이션 채널 재구축: 시스템과 서비스가 복구되면 조직은 고객, 파트너, 직원 등 이해관계자와의 커뮤니케이션 채널을 다시 구축해야 합니다.

#6: 사고 후 활동 검토 및 사후 활동

IR 계획의 마지막 단계에는 사고를 검토하고, 절차 개선 사항을 평가하고, 사고에서 얻은 교훈을 문서화하는 작업이 포함됩니다.

• 인시던트 검토: 인시던트가 발생한 후 철저한 사후 분석을 수행하여 인시던트의 근본 원인과 영향, 개선할 부분, 교훈을 파악합니다.
• 인시던트 문서: 사고 후 활동의 일환으로 IR 팀은 향후 계획 및 운영에 정보를 제공하기 위해 사고의 주요 학습 내용을 포함하여 사고를 자세히 설명하는 사고 보고서를 작성합니다.
• 프로세스 개선: IR 계획을 업데이트하여 비효율적인 것으로 확인된 기존 프로세스를 개선하고, 사고 예방에 적절하지 않은 기술을 업그레이드 또는 교체하며, 교훈을 바탕으로 새로운 프로세스를 개발합니다.