728x90
반응형
악성 행위를 탐지하기 위한 기술적 방법들에는 다음과 같은 것들이 제시되어 있다.
1) 침해지표 검색
2) 트래픽 패턴 분석(네트워크와 호스트 시스템)
3) 데이터 분석(반복되는 패턴 찾기)
4) 비정상 행위 탐지
또한 네트워크 조사나 호스트 분석을 위해서는 광범위하고 다양한 아티팩트를 찾도록 보고서는 제안하고 있다. 여기에는 다음과 같은 것들이 있다.
1) DNS 트래픽
2) RDP 세션
3) VPN 세션
4) SSH 세션
5) 가짜 악성 프로세스
6) 새로운 애플리케이션
7) 레지스트리 키
8) 열려진 포트
9) 성립된 연결
10) 사용자 로그인 데이터
11) 파워셸 명령
또한 사건을 대응할 때 조직들이 흔히 저지르는 실수들도 지적됐다.
1) 시스템 침해 사실을 알게 된 후 즉각적인 행동을 취한다. 이렇게 할 경우 공격자가 탐지된 사실을 알게 된다.
2) 아티팩트들을 충분히 확보하기 전에 시스템 복구부터 시작한다.
3) 공격자의 인프라를 먼저 차단한다.
4) 크리덴셜을 성급하게 재설정한다.
5) 로그 데이터를 삭제한다.
6) 공격의 뿌리가 되는 근원을 파헤치거나 해결하지 못한다.
비슷한 공격의 재발을 막기 위해 조직들이 할 수 있는 일로는 다음과 같은 것들이 제안됐다.
1) FTP의 제한 및 차단
2) 텔넷(Telnet)의 제한 및 차단
3) 조직이 허용하지 않은 VPN 서비스의 제한 및 차단
4) 사용되지 않는 서비스나 시스템의 제한 및 차단
5) 침해된 호스트의 깨끗한 청소
6) 불필요한 포트와 프로토콜의 폐쇄
7) 원격 네트워크 관리자 도구의 비활성화
8) 비밀번호 재설정
9) 늦지 않은 취약점 패치
피해를 최소화 시키는 방법에 대해서는 다음과 같은 것들이 망라됐다.
1) 네트워크 분리(망분리)
2) 민감한 데이터의 물리적 분리 보관
3) 권한 최소화의 원칙 준수하기
4) 분리된 망들의 환경설정 상황 주기적으로 모니터링하기
공격자의 이상 행위가 탐지되면 식별, 격리, 대응의 절차가 순서대로 자동 발생하도록 하면 공격자의 투자 대비 성과를 낮출 수 있습니다.
728x90
'03.Security' 카테고리의 다른 글
| 정보보안 - 보안관제, 침해사고 대응 - SOAR (0) | 2020.09.11 |
|---|---|
| 공인인증서 이슈 - 금융인증서비스 (0) | 2020.09.11 |
| 양자 암호 - [알기 쉬운 ICT 용어] 진정한 무작위가 가능할까? 양자난수생성기 (0) | 2020.08.25 |
| 정보보안 - 보안관제, 침해사고 대응 - 침해사고지표(IOC) (0) | 2020.08.04 |
| yara (0) | 2020.08.04 |
