Link Search Menu Expand Document
Jmini Story
bob 11th 지원대상자가 이수해야 할 사전 교육에 대한 학습 일지입니다.

단계별 침해사고 대응

1. 준비 단계

  • 시스템 설정을 점검하고 보안 장비를 설치한다
  • 사고 발생 감지를 위한 무결성 검사 프로그램을 설치한다
  • 사고대응에 필요한 로그를 안전하게 보관할 수 있도록 한다

사전준비

  1. 침해사고 분석 및 복구 준비
    • 무결성 점검(tripwire)
    • 로그 설정 및 로그 서버운영
    • 백업
  2. 침해사고 예방을 위한 보안 조치
    • 시스템 보안(불필요한 서비스 제거, 모든 패치 적용)
    • 네트워크 보안(별도로 구축된 로그 서버)
    • 보안정책 및 사용자 교육
  3. 침해사고 대응 프로세스 준비
    • 분석 장비 준비
    • 사고대응팀 멤버 구성
    • 정책과 절차의 수립(아래 사항을 고려)
      • 사업에 또는 기관의 신뢰도에 미치는 영향
      • 조사에 대한 법적인 문제
      • 기업이나 기관의 정책적 문제
      • 침해사고 대응팀의 기술 능력




2. 침해사고 탐지 단계

이상징후탐지

  • 대응의 실질적인 시작점은 이상요소의 탐지이다.

침해사고 정보 기록

  • 침해사고 대응에 불필요한 것처럼 보이는 정보들도 나중에 필요할 수 있기에 가능한 세세하게 기록
    • 신고자 관련 정보
    • 사고관련 사항
    • 시스템 상황(채증)
    • 네트워크 상황
    • 공격관련 사항
    • 당사자들의 정보
    • 기타 특이 사항




3. 초기대응

초기 대응 방법

  • 조사 도구의 준비
  • 외장형 저장매체를 이용한 정보 저장
  • 포렌식을 위한 자료 이중화 전 휘발성 데이터 수집
    1. 신뢰할 수 있 는 쉘로의 조사
    2. 피해시스템에 누가 로그인하고 있는지 확인
    3. 실행중인 프로세서 조사
    4. 루트킷이 있는지 조사
    5. 열린 포트와 연결을 기다리고 있는 서비스 조사
    6. /tmp 디렉토리 복사
    7. 상위 조사로 남은 로그의 삭제
  • 의심스러운 프로세스의 추적
    • 프로세스의 메모리 상태를 얻는다(명령어: gcore [PID])
    • /proc 디렉토리의 내용물 이용
  • 조사 준비를 위한 자료 수집
    • 본격적인 조사로 인하여 변경될 수 있는 파일의 속성을 저장(MAC Time)
    • 시스템 로그파일의 저장
    • 중요한 설정파일의 저장

※ MAC Time: Modified(수정), Accessed(접근), Created(생성)과 관련된 시간

공개 포렌식 툴을 이용한 초기대응

  • TCT(The Coroner’s Toolokit) 을 이용하여 실행되는 시스템에서 현재 상태 정보를 수집하고 분석한다.