인시던트 대응 개요

인시던트 대응은 조직에서 활성 공격 캠페인을 조사하고 수정하는 방법입니다. 인시던트 대응은 보안 작업(SecOps) 분야의 일부이며 주로 본질적으로 반응적입니다.

인시던트 응답은 전체 MTTA(평균 승인 시간) 및 보안 운영이 조직의 위험을 줄일 수 있는 정도를 측정하는 MTTR(평균 수정 시간)에 가장 큰 직접적인 영향을 줍니다. 인시던트 대응 팀은 실제로 위험을 줄이기 위해 위협 헌팅, 인텔리전스 및 인시던트 관리 팀(있는 경우) 간의 양호한 작업 관계에 크게 의존합니다. 자세한 내용은 SecOps 메트릭을 참조 하세요.

보안 작업 역할 및 책임에 대한 자세한 내용은 Cloud SOC 함수를 참조 하세요.

인시던트 대응 프로세스

첫 번째 단계는 사이버 보안 인시던트에 대응하기 위한 내부 및 외부 프로세스를 모두 포함하는 인시던트 대응 계획을 수립 하는 것입니다. 이 계획은 조직에서 다음을 수행해야 하는 방법을 자세히 설명해야 합니다.

• 비즈니스 위험 및 인시던트의 영향에 따라 달라지는 공격을 해결합니다. 이는 관리자 수준 자격 증명의 손상에 더 이상 사용할 수 없는 격리된 웹 사이트와 다를 수 있습니다.
• 서비스 복귀 또는 공격의 법적 또는 홍보 측면을 처리하는 등의 대응 목적을 정의합니다.
• 인시던트 및 해당 태스크를 작업해야 하는 사람의 수와 관련하여 처리해야 하는 작업의 우선 순위를 지정하는 방법

인시던트 대응 계획에 포함해야 하는 활동의 검사 목록은 인시던트 대응 계획 문서를 참조하세요. 인시던트 대응 계획이 준비되면 가장 심각한 유형의 사이버 공격에 대해 정기적으로 테스트하여 조직이 빠르고 효율적으로 대응할 수 있는지 확인합니다.

조직의 인시던트 대응 프로세스는 조직 구조 및 기능 및 기록 경험에 따라 다를 수 있지만 이 문서의 권장 사항 및 모범 사례 집합을 고려하여 보안 인시던트에 대응합니다.

인시던트 중에는 다음이 중요합니다.

• 침착함 유지

  인시던트는 혼란을 유발하며 감정적으로 사람을 격앙시킬 수 있습니다. 감정을 다스리고 가장 중요한 작업부터 처리할 수 있도록 우선 순위를 정하는 데 주력합니다.

• 해를 입히지 말 것

  응답이 데이터 손실, 중요 비즈니스용 기능 손실 및 증거 손실을 방지하는 방식으로 설계 및 실행되어 있는지 확인합니다. 포렌식 타임라인을 만들고, 근본 원인을 식별하고, 중요한 교훈을 배울 수 있는 능력을 손상시킬 수 있는 결정을 피하십시오.

• 법률 부서 참여

  조사 및 복구 절차를 적절하게 계획할 수 있도록 법무 부서에서 법적 대응을 계획하고 있는지 여부를 확인합니다.

• 인시던트 정보를 공개적으로 공유할 때는 주의해야 합니다.

  고객 및 대중과 정보를 공유할 때는 항상 법무 부서의 자문을 받아야 합니다.

• 필요한 경우 도움말 보기

  정교한 공격자의 공격을 조사하고 대응할 때 심층적인 전문 지식과 경험을 활용합니다.

의료 질환을 진단하고 치료하는 것과 마찬가지로 주요 사고에 대한 사이버 보안 조사 및 대응에는 다음 두 가지 모두의 시스템을 방어해야 합니다.

• 매우 중요합니다(작동하도록 종료할 수 없습니다).
• 복잡합니다(일반적으로 한 사람이 이해할 수 있는 범위를 벗어남).

인시던트 중에는 다음과 같은 중요한 균형을 유지해야 합니다.

• 속도

  신속한 의사 결정의 위험과 이해 관계자를 만족시키기 위해 신속하게 행동해야 할 필요성의 균형을 조정합니다.

• 정보 공유

  법률 부서의 조언에 따라 조사자, 이해 관계자 및 고객에게 책임을 제한하고 비현실적인 기대를 설정하지 않도록 알릴 수 있습니다.

이 문서는 피해야 할 일반적인 오류를 식별하고, 위험을 줄이고 관련자의 요구를 충족하는 조치를 신속하게 수행하여 조직의 사이버 보안 인시던트 위험을 완화하기 위해 설계되었습니다.

참고 항목

랜섬웨어 및 기타 유형의 다단계 공격에 대한 조직 준비에 대한 자세한 지침은 복구 계획 준비를 참조하세요.

응답 모범 사례

이러한 권장 사항을 사용하여 기술 및 운영 관점에서 인시던트에 효과적으로 대응할 수 있습니다.

참고 항목

자세한 업계 지침은 NIST 컴퓨터 보안 인시던트 처리 가이드를 참조 하세요.

기술 응답 모범 사례

인시던트 대응의 기술적 측면에서 다음과 같은 목표를 고려해야 합니다.

• 공격 작업의 범위를 파악합니다.

  대부분의 악의적 사용자는 여러 지속성 메커니즘을 사용합니다.

• 공격 목표을 식별합니다(가능한 경우).

  영구 공격자는 향후 공격에서 목표(데이터/시스템)를 위해 자주 반환됩니다.

다음은 몇 가지 유용한 팁입니다.

• 온라인 스캐너에 파일 업로드 안 함

  많은 악의적 사용자들이 대상 맬웨어를 검색하는 VirusTotal과 같은 서비스의 인스턴스 수를 모니터링합니다.

• 신중하게 수정 고려

  삭제, 암호화 및 반출과 같은 중요 비즈니스용 데이터 손실의 임박한 위협에 직면하지 않는 한 수정하지 않을 위험이 예상된 비즈니스 영향과 균형을 이루게 됩니다. 예를 들어 공격이 진행되는 동안 중요 비즈니스용 자산을 보호하기 위해 조직의 인터넷 액세스를 일시적으로 종료해야 하는 경우가 있습니다.

  조치를 취하지 않을 때 감수해야 하는 위험이 조치를 취할 때 감수해야 하는 위험보다 크면 변경 작업을 수행해야 하며, 어떤 조치를 취했는지 변경 로그에 문서화해야 합니다. 인시던트 대응 중에 변경된 내용은 공격자를 방해하는 데 초점을 맞추고 비즈니스에 부정적인 영향을 줄 수 있습니다. 복구 프로세스 후에 이러한 변경 내용을 롤백해야 합니다.

• 영원히 조사하지 마십시오.

  냉정하게 조사 우선 순위를 지정해야 합니다. 예를 들어 공격자가 사용하거나 수정한 엔드포인트에 대해서만 포렌식 분석을 수행합니다. 예를 들어 공격자가 관리 권한을 가진 주요 인시던트에서는 잠재적으로 손상될 수 있는 모든 리소스(모든 조직 리소스를 포함할 수 있음)를 조사하는 것은 사실상 불가능합니다.

• 정보 공유

  모든 내부 팀과 외부 조사관 또는 보험사를 포함한 모든 조사 팀이 법무 부서의 자문에 따라 서로 데이터를 공유하는지 확인합니다.

• 올바른 전문 지식에 액세스

  보안 일반인뿐만 아니라 내부 직원 또는 공급업체와 같은 외부 엔터티와 같이 시스템에 대한 깊은 지식을 가진 사람들을 조사에 통합해야 합니다.

• 응답 기능 감소 예상

  상황 스트레스로 인해 직원의 50%가 정상 용량의 50%로 운영되도록 계획합니다.

관련자와 함께 관리해야 하는 주요 기대는 로그 롤링을 통해 추적을 처리하는 공격자와 같이 조사가 시작되기 전에 식별에 필요한 데이터가 삭제되었기 때문에 초기 공격을 식별할 수 없다는 것입니다.

작업 응답 모범 사례

인시던트 대응의 SecOps(보안 운영) 측면에서 다음과 같은 목표를 고려해야 합니다.

• 집중 유지

  중요 비즈니스용 데이터, 고객에게 미치는 영향 및 수정 준비에 계속 초점을 맞추고 있는지 확인합니다.

• 조정 및 역할 명확성 제공

  위기 팀을 지원하기 위한 운영에 대한 고유한 역할을 설정하고 기술, 법률 및 커뮤니케이션 팀이 서로에게 정보를 제공하고 있는지 확인합니다.

• 비즈니스 관점 유지

  악의적인 작업과 사용자 고유의 응답 작업 모두에 의해 비즈니스 운영에 미치는 영향을 항상 고려해야 합니다.

다음은 몇 가지 유용한 팁입니다.

• 위기 관리를 위한 ICS(인시던트 명령 시스템) 고려

  보안 인시던트를 관리하는 영구 조직이 없는 경우 ICS를 임시 조직 구조로 사용하여 위기를 관리하는 것이 좋습니다.

• 일상적인 운영 유지

  일반적인 SecOps가 인시던트 조사를 지원하기 위해 완전히 사이드라이닝되지 않도록 합니다. 이 작업은 계속 수행해야 합니다.

• 낭비된 지출 방지

  많은 주요 인시던트 때문에 배포되거나 사용되지 않는 부담이 큰 보안 도구를 구입하게 됩니다. 조사 중에 도구를 배포하고 사용할 수 없는 경우 도구를 운영하는 데 필요한 기술 집합을 사용하여 더 많은 직원을 고용하고 교육할 수 있는 도구를 배포하고 사용할 수 없는 경우 조사를 완료할 때까지 인수를 연기합니다.

• 심층적인 전문 지식에 액세스

  중요한 플랫폼에 대한 심층 전문가에게 질문과 문제를 에스컬레이션할 수 있는지 확인합니다. 이 기능을 사용하려면 중요 비즈니스용 시스템 및 데스크톱 및 서버와 같은 엔터프라이즈 전체 구성 요소에 대한 운영 체제 및 애플리케이션 공급업체에 액세스해야 할 수 있습니다.

• 정보 흐름 설정

  고위 인시던트 대응 리더와 조직 이해 관계자 간의 정보 흐름에 대한 명확한 지침과 기대치를 설정합니다. 자세한 내용은 인시던트 대응 계획을 참조하세요.

복구 모범 사례

다음과 같은 권장 사항을 잘 따르면 기술과 운영의 관점에서 효과적으로 인시던트를 복구할 수 있습니다.

기술 복구 모범 사례

인시던트 복구의 기술적 측면에서 다음과 같은 목표를 고려해야 합니다.

• 바다를 끓이지 마십시오.

  복구 작업을 24시간 이내에 실행할 수 있도록 응답 범위를 제한합니다. 만일의 사태와 정정 작업을 고려하여 주말로 계획합니다.

• 방해 방지

  크고 복잡한 새 보안 시스템을 구현하거나 복구 작업 후까지 맬웨어 방지 솔루션을 대체하는 것과 같은 장기 보안 투자를 연기합니다. 현재 복구 작업에 직접적이고 즉각적인 영향을 미치지 않는 모든 것은 방해가 됩니다.

다음은 몇 가지 유용한 팁입니다.

• 한 번에 모든 암호를 다시 설정하지 마세요.

  조사 결과에 따라 알려진 손상된 계정부터 집중적으로 암호를 재설정한 다음, 손상 가능성이 있는 관리자 또는 서비스 계정의 암호를 재설정합니다. 보증되는 경우 사용자 암호는 스테이징되고 제어된 방식으로만 재설정되어야 합니다.

• 복구 작업 실행 통합

  중요 비즈니스용 데이터 손실의 임박한 위협에 직면하지 않는 한 손상된 모든 리소스(예: 호스트 및 계정)를 신속하게 수정하고 손상된 리소스를 찾을 때 수정하는 통합 작업을 계획해야 합니다. 이 시간 창을 압축하면 공격 운영자가 지속성을 조정하고 유지 관리하기가 어렵습니다.

• 기존 도구 사용

  복구하는 동안 새 도구를 배포하고 학습하기 전에 배포한 도구의 기능을 연구하고 사용합니다.

• 악의적 사용자에게 제보 금지

  복구 작업에 대한 정보를 악의적 사용자가 알 수 없도록 제한하는 조치를 취해야 합니다. 악의적 사용자는 일반적으로 주요 사이버 보안 인시던트에서 모든 프로덕션 데이터 및 이메일에 액세스할 수 있습니다. 그러나 실제로 대부분의 공격자는 모든 통신을 모니터링할 시간이 없습니다.

  Microsoft의 SOC(보안 운영 센터)는 인시던트 대응 팀의 구성원을 위한 보안 통신 및 협업을 위해 비프로덕션 Microsoft 365 테넌트를 사용합니다.

Operations Recovery 모범 사례

인시던트 복구의 운영 측면에서 다음과 같은 목표를 고려해야 합니다.

• 명확한 계획 및 제한된 범위 사용

  기술 팀과 긴밀히 협력하여 범위가 제한된 명확한 계획을 수립합니다. 악의적인 활동 또는 새 정보에 따라 계획이 변경 될 수 있지만 범위 확장을 제한하고 더 많은 작업을 수행하려면 부지런히 노력해야 합니다.

• 명확한 계획 소유권 보유

  복구 작업에는 여러 작업을 수행하는 많은 사람이 한꺼번에 투입되므로, 위기대응 팀 간에 명확한 의사 결정과 확정적 정보 흐름이 이루어질 수 있도록 프로젝트 책임자를 지정해야 합니다.

• 관련자 커뮤니케이션 유지 관리

  커뮤니케이션 팀과 협력하여 조직 이해 관계자에게 시기 적절한 업데이트 및 적극적인 기대 관리를 제공합니다.

다음은 몇 가지 유용한 팁입니다.

• 기능 및 제한 사항 파악

  주요 보안 인시던트 관리는 매우 도전적이고 매우 복잡하며 업계의 많은 전문가에게 새로운 기능입니다. 팀이 과부하가 되거나 다음에 무엇을 해야 할지 확신할 수 없는 경우 외부 조직이나 전문 서비스에서 전문 지식을 가져오는 것이 좋습니다.

• 배운 교훈을 잘 정리

  기록 프로시저 없이 첫 번째 인시던트인 경우에도 SecOps에 대한 역할별 핸드북을 빌드하고 지속적으로 개선합니다.

인시던트 대응을 위한 임원 및 이사회 수준의 통신은 실행되지 않거나 예상하지 못할 경우 어려울 수 있습니다. 진행률 보고 및 복구에 대한 기대치를 관리하는 통신 계획이 있는지 확인합니다.

SecOps에 대한 인시던트 대응 프로세스

SecOps 및 직원의 인시던트 대응 프로세스에 대한 일반적인 지침을 고려합니다.

1. 결정 및 행동

Microsoft Sentinel 또는 Microsoft Defender XDR과 같은 위협 탐지 도구에서 가능성이 있는 공격을 감지하면 인시던트가 생성됩니다. SOC 응답성의 MTTA(평균 승인 시간) 측정은 보안 직원이 공격을 감지하는 시간으로 시작합니다.

교대 근무에 대한 분석가는 인시던트에 대한 소유권을 위임하거나 가져와 초기 분석을 수행합니다. 이에 대한 타임스탬프는 MTTA 응답성 측정의 끝이며 MTTR(평균 수정 시간) 측정을 시작합니다.

인시던트를 소유한 분석가가 공격의 스토리와 범위를 이해할 수 있을 만큼 높은 수준의 신뢰를 개발함에 따라 신속하게 정리 작업 계획 및 실행으로 전환할 수 있습니다.

공격의 특징과 범위에 따라 분석가는 공격 아티팩트(예: 이메일, 엔드포인트, ID)를 진행하면서 정리할 수도 있고, 손상된 리소스 목록을 작성하여 한꺼번에 정리할 수도 있습니다(빅뱅이라고도 함).

• 이동하면서 깨끗함

  공격 작업 초기에 감지되는 대부분의 일반적인 인시던트에 대해 분석가는 아티팩트가 발견되면 신속하게 정리할 수 있습니다. 이 연습에서는 악의적 사용자가 불이익을 받고 공격의 다음 단계를 진행하지 못하게 합니다.

• 빅뱅 준비

  이 방법은 악의적 사용자가 이미 사용자 환경에 정착하고 중복 액세스 메커니즘을 설정한 시나리오에 적합합니다. 이 사례는 Microsofts 인시던트 대응 팀에서 조사한 고객 인시던트에서 자주 볼 수 있습니다. 이 접근 방식에서 분석가는 공격자의 존재가 완전히 발견될 때까지 악의적인 상황을 방지해야 합니다. 이는 놀라움이 작업을 완전히 방해하는 데 도움이 될 수 있기 때문입니다.

  Microsoft는 부분 수정이 악의적 사용자에게 팁을 주는 경우가 많으므로 대응하고 신속하게 인시던트를 악화시킬 수 있는 기회를 제공한다는 것을 알게 되었습니다. 예를 들어 공격자는 공격을 더 확산시키고, 액세스 방법을 변경하여 탐지를 회피하고, 추적을 덮고, 복수를 위해 데이터와 시스템 손상 및 파괴를 가할 수 있습니다.

  피싱 및 악성 전자 메일 정리는 공격자를 차단하지 않고도 수행할 수 있지만 호스트 맬웨어를 정리하고 계정 제어를 회수하면 검색 가능성이 높습니다.

이러한 결정은 쉬운 결정이 아니며 이러한 판단 호출을 하는 경험을 대체할 수 없습니다. SOC의 공동 작업 환경 및 문화는 분석가가 서로의 경험을 활용할 수 있도록 하는 데 도움이 됩니다.

특정 대응 단계는 공격의 특성에 따라 달라지지만 분석가가 사용하는 가장 일반적인 절차는 다음과 같습니다.

• 클라이언트 엔드포인트(디바이스)

  엔드포인트를 격리하고 사용자 또는 IT 작업/helpdesk에 문의하여 다시 설치 절차를 시작합니다.

• 서버 또는 애플리케이션

  IT 운영 및 애플리케이션 소유자와 협력하여 이러한 리소스의 신속한 수정을 준비합니다.

• 사용자 계정

  계정을 비활성화하고 손상된 계정의 암호를 다시 설정하여 제어권을 회수합니다. 이러한 절차는 사용자가 Windows Hello 또는 다른 형태의 MFA(다단계 인증)를 사용하여 암호 없는 인증으로 전환함에 따라 진화할 수 있습니다. 별도의 단계는 클라우드용 Microsoft Defender 앱을 사용하여 계정에 대한 모든 인증 토큰을 만료하는 것입니다.

  또한 분석가는 MFA 방법 전화 번호 및 디바이스 등록을 검토하여 사용자에게 연락하여 하이재킹되지 않도록 하고 필요에 따라 이 정보를 재설정할 수 있습니다.

• 서비스 계정

  서비스 또는 비즈니스 영향의 위험이 높기 때문에 분석가는 레코드의 서비스 계정 소유자와 함께 작업하여 필요에 따라 IT 작업을 다시 수행하여 이러한 리소스의 신속한 수정을 준비해야 합니다.

• 메일

  공격 또는 피싱 전자 메일을 삭제하고 사용자가 삭제된 전자 메일을 복구하지 못하도록 삭제하는 경우가 있습니다. 나중에 사후 공격 분석에 사용할 수 있도록 헤더, 콘텐츠, 스크립트, 첨부 파일 등의 원본 이메일 복사본을 항상 저장합니다.

• 기타

  공격 특성에 따라 애플리케이션 토큰 해지, 서버 및 서비스 다시 구성 등의 사용자 지정 작업을 실행할 수 있습니다.

2. 인시던트 후 정리

향후 작업을 변경할 때까지 학습된 교훈을 활용하지 못하므로 항상 조사에서 배운 유용한 정보를 SecOps에 다시 통합합니다.

동일한 위협 행위자 또는 메서드에서 과거와 미래의 인시던트 간의 연결을 확인하고 이러한 학습을 캡처하여 향후 수동 작업 및 분석 지연이 반복되는 것을 방지합니다.

이러한 학습은 다양한 형태를 취할 수 있지만 일반적인 사례에는 다음 분석이 포함됩니다.

• IoC(손상 지표).

  파일 해시, 악성 IP 주소 및 전자 메일 특성과 같은 적용 가능한 IoC를 SOC 위협 인텔리전스 시스템에 기록합니다.

• 알 수 없거나 패치가 적용되지 않은 취약점

  분석가는 누락된 보안 패치가 적용되고, 잘못된 구성이 수정되고, 공급업체(Microsoft 포함)가 보안 패치를 만들고 배포할 수 있도록 "제로 데이" 취약성을 알릴 수 있도록 프로세스를 시작할 수 있습니다.

• 클라우드 기반 및 온-프레미스 리소스를 포함하는 자산에 대한 로깅을 사용하도록 설정하는 등의 내부 작업입니다.

  기존 보안 기준을 검토하고 보안 컨트롤을 추가하거나 변경하는 것이 좋습니다. 예를 들어 다음 인시던트가 발생하기 전에 디렉터리에서 적절한 수준의 감사를 사용하도록 설정하는 방법에 대한 자세한 내용은 Microsoft Entra 보안 작업 가이드를 참조하세요.

응답 프로세스를 검토하여 인시던트 중에 발견된 간격을 식별하고 해결합니다.

인시던트 대응 리소스

• SOC 계획
• 일반적인 공격 방법에 대응하는 방법에 대한 자세한 지침에 대한 플레이북
• Microsoft Defender XDR 인시던트 대응
• 클라우드용 Microsoft Defender(Azure)
• Microsoft Sentinel 인시던트 대응
• Microsoft 인시던트 대응 팀 가이드가 보안 팀 및 리더를 위한 모범 사례를 공유합니다.
• Microsoft 인시던트 대응 가이드는 보안 팀이 의심스러운 활동을 분석하는 데 도움이 됩니다.

주요 Microsoft 보안 리소스

리소스	설명
2023년 Microsoft 디지털 방어 보고서	Microsoft의 보안 전문가, 실무자 및 수비수의 학습을 포괄하여 전 세계 사람들이 사이버 위협으로부터 방어할 수 있도록 하는 보고서입니다.
Microsoft 사이버 보안 참조 아키텍처	Microsoft의 사이버 보안 기능과 Microsoft 365, Microsoft Azure, 타사 클라우드 플랫폼 및 앱과 같은 Microsoft 클라우드 플랫폼과의 통합을 보여 주는 시각적 아키텍처 다이어그램 세트입니다.
분 문제 인포그래픽 다운로드	Microsoft의 SecOps 팀이 지속적인 공격을 완화하기 위해 인시던트 대응을 수행하는 방법에 대한 개요입니다.
Azure 클라우드 채택 프레임워크 보안 작업	보안 작업 기능을 설정하거나 현대화하는 리더를 위한 전략적 지침입니다.
보안 작업에 대한 Microsoft 보안 모범 사례	SecOps 센터를 사용하여 조직을 대상으로 하는 공격자보다 빠르게 이동하는 가장 좋은 방법입니다.
IT 설계자를 위한 Microsoft 클라우드 보안 모델	ID 및 디바이스 액세스, 위협 방지 및 정보 보호를 위한 Microsoft 클라우드 서비스 및 플랫폼 전반의 보안
Microsoft 보안 설명서	Microsoft의 추가 보안 지침입니다.