Security Incident Response(SIR)는 사이버 공격을 식별, 우선순위 지정, 격리하는 것은 물론 그러한 공격의 여파를 해결하고 관리하는 전략적 접근법입니다.
사이버 공격은 산 아래를 향해 굴러가는 눈덩이와 같습니다. 소규모로 시작하는 이러한 위협이 점점 더 불어나기 전에 완전히 해결할 수 있는 적절한 자원이나 프로세스를 갖춘 비즈니스는 찾아보기 어렵습니다. 그리고 사이버 공격이 사소한 인시던트에서 주요 비즈니스 위험으로 눈덩이처럼 커지면 치명적인 결과를 초래할 수 있습니다. 연구에 따르면 기업들이 데이터 유출을 감지하는 데 평균 128일이 걸리는 것으로 나타났습니다. 이 4개월 동안 공격자는 데이터를 훔치고 시스템을 손상시키며, 비즈니스 수행 능력을 저하시킬 수 있습니다.
Security Incident Response(SIR)는 조직이 비즈니스에 영향을 미치기 전에 네트워크 침입에 대응할 수 있도록 설계되었습니다. 다양한 종류의 사이버 위협 및 보안 인시던트를 처리하도록 구성된 SIR은 Security Operation Center(SOC) 및 인시던트 응답 팀이 비즈니스에 미치는 영향을 최소화하고 복구 시간을 단축하는 데 사용할 수 있는 검증되고 확장 가능한 워크플로우 및 절차를 수립합니다.
Security Incident Response는 보안과 관련되지 않은 문제도 다루는 보다 일반적인 인시던트 응답 이니셔티브의 하위 범주입니다. SIR은 회사의 디지털 시스템을 대상으로 하는 악의적 공격에 대처하기 위해 특별히 설계되었습니다. 여기에는 다음과 같은 보안 인시던트 범주가 포함됩니다(단, 이에 국한되지 않음).
컴퓨터 시스템 침해(데이터 유출 또는 IT 보안 위반이라고도 함)는 위협 행위자가 회사의 컴퓨터 데이터, 소프트웨어 애플리케이션, 네트워크 또는 장치에 무단으로 액세스할 때 발생합니다.
조직의 네트워크에 액세스할 수 있는 내외부의 위협 행위자는 다양한 도구, 앱, 데이터 또는 기타 민감한 시스템을 변경하려고 시도할 수 있습니다.
암호화되지 않은 하드웨어가 허가되지 않은 사람의 손에 넘어갈 경우 심각한 위협이 될 수 있습니다. 비즈니스 장치를 분실하거나 도난당한 경우 기업은 보안 위험을 해결할 계획을 수립해야 합니다.
사이버 공격의 목표가 데이터를 훔치는 것이 아니라 중단을 유발하는 것인 경우도 있습니다. DoS 공격은 대상 네트워크의 트래픽 폭증과 용량 과부하를 일으켜 시스템을 강제 종료시킵니다.
기업의 시스템에 액세스하는 사이버 범죄자는 랜섬웨어 공격의 기반이 되는 IT 리소스 또는 도구를 제어하려고 시도하는 경우가 종종 있습니다.
공격자가 종종 액세스 권한을 얻는 가장 빠른 방법은 인증된 사용자 계정을 가로채는 것입니다. 손상된 계정은 특히 감지하기가 어려울 수 있습니다.
눈덩이가 커지는 것처럼 해결되지 않고 격리되지 않은 보안 인시던트는 거의 항상 에스컬레이션됩니다. 여기에는 사용자 자격 증명 손실, 회사 및 고객 데이터 손상부터 평판을 훼손하는 고비용의 다운타임, 전체 시스템 붕괴에 이르기까지 모든 것이 포함됩니다. Security Incident Response는 SOC 팀에 올바른 리소스, 도구 및 프로세스를 제공하여 보안 인시던트가 시작되기 전에 해당 보안 인시던트를 찾아 우선순위를 지정할 수 있도록 지원합니다.
SIR은 위협 대응의 각 단계를 포괄하는 베스트 프랙티스, 자동화된 공동 작업 워크플로우, 단계별 위협 완화 계획을 수립함으로써 가능한 한 빠르게 침입을 차단합니다. 그뿐만 아니라 침해 요소를 격리하고 제거한 후 신속하게 복구할 수 있도록 검증되고 확장 가능한 대응 전략을 기업에 제공합니다.
잠재적인 데이터 유출 이벤트로부터 신속한 복구를 보장하는 것 외에도 Security Incident Response는 기업이 의료 및 금융 서비스와 같은 부문에서 법률에 의해 요구되는 규정 준수 표준을 충족하도록 지원합니다. 마지막으로 SIR은 침해 발생으로 인해 영구적인 손상을 입을 수 있는 브랜드 평판을 보호합니다.
Security Incident Response에는 IT, 위험, HR, 법무 등 조직의 모든 수준과 관련된 작업이 포함될 수 있지만 대부분의 책임은 인시던트 응답 팀에 있습니다. 이러한 팀은 일반적으로 다음과 같은 역할로 구성됩니다.
인시던트 응답 관리자는 인시던트 응답을 주도하고, 조치를 감독하며, 위협의 우선순위를 지정하고, 응답 팀과 나머지 조직 간의 연락 담당 역할을 수행합니다. Security Incident Response 계획이 효과적으로 실행되려면 경영진 지원이 필수적이므로 인시던트 응답 관리자는 계획을 구현하기 전에 임원급 경영진의 동의를 얻어야 합니다.
보안 분석가는 인시던트 발생 시 최전선에서 작전을 수행합니다. 이들 분석가는 잠재적인 오탐지 중에서 실제 인시던트를 식별하고, 인시던트가 발생한 시간/위치/세부 정보를 확인하며, 침입자가 남겨둔 증거를 찾아 확보하도록 훈련을 받습니다.
마지막으로 위협 조사자는 침해의 심각성과 범위를 정의합니다. 이들은 회사 시스템에서 유출되었을 수 있는 민감한 정보를 인터넷에서 검색합니다. 또한 이전 인시던트의 데이터베이스를 구축하여 회사의 위협 인텔리전스를 개선하는 데도 도움을 줍니다.
위의 각 역할은 보안 인시던트에 대응하고 복구하는 데 중요한 역할을 합니다. 일부 비즈니스는 이러한 책임 중 일부를 아웃소싱합니다. 그러나 완전히 사내에 구축하든 일부를 아웃소싱하든 관계없이 인시던트 응답 팀은 조직이 Security Incident Response 계획을 올바르게 따르도록 보장하는 데 핵심적인 역할을 할 것입니다.
Security Incident Response가 효과적이려면 보안 인시던트가 발생하기 훨씬 이전에 완벽하게 구현할 준비가 되어 있어야 합니다. Security Incident Response 계획(SIRP)은 회사의 Security Incident Response의 모든 단계에서 취해야 하는 조치를 명확하게 설명하는 공식 문서입니다. 그와 동시에, SIRP는 조직 전반의 보안 응답 역할과 책임에 대해 자세히 설명하고 확립된 응답 프로토콜 내에서 이러한 역할이 어떻게 소통하고 상호 작용하는지를 다룹니다.
SIRP는 가장 중요한 공격 초기에 신속하게 배포하도록 설계되었습니다. 따라서 용어와 언어가 명확하고 분명하며 따르기 쉬워야 합니다. SIRP는 인시던트 응답 Playbooks 라이브러리를 포함하거나 이를 참조하는 경우가 종종 있습니다.
가장 기본적으로 SIRP는 응답 팀이 따라야 하는 일련의 지침으로, 이에 근거하여 빠르고 정확하게 위협을 식별하고, 효과적으로 대응하며, 보안 인시던트가 전반적으로 미치는 영향을 줄일 수 있습니다.
기업이 응답 전략을 배포하는 속도에 대해서는 많은 말들이 있지만, 대부분의 SIRP는 6개의 핵심 단계로 구성된 형식을 따릅니다.
인시던트 응답의 첫 번째 단계에서는 IT, SOC 및 기타 응답 팀 구성원이 위협 발생 시 즉시 위협을 처리할 수 있도록 준비 태세를 갖추는 데 주력합니다. 이 단계는 SIRP에서 가장 중요한 단계이며, 직원 응답 교육, 적절한 자금 확보 및 승인 획득, 문서 표준 설정 등을 고려해야 합니다. 많은 기업들이 관련된 모든 사람들이 자신의 책임에 익숙해지도록 하기 위해 모의 훈련에 참여하고 있습니다.
위반은 서로 다른 많은 영역에서 발생할 수 있으므로 응답 팀은 검증된 보안 인시던트의 상태로 에스컬레이션되기 전에 잠재적 위협을 식별하고 확인하기 위한 절차를 활용할 수 있어야 합니다. 식별 단계에서는 이벤트가 발생한 시기, 발견한 방법, 영향을 줄 수 있는 영역, 현재 운영에 미칠 수 있는 효과, 알려진 진입 지점인지 여부를 판단할 수 있어야 합니다.
위협이 완전히 확인되면 다음 단계로 시스템을 통해 다른 곳으로 이동하지 못하게 막아야 합니다. 격리는 필수적인 단계이며, 제거로 바로 이동하기 위해 건너뛰어서는 안 됩니다. 단순히 멀웨어를 삭제하면 향후 유사한 공격 발생에 대비해 네트워크를 강화하는 데 활용할 수 있는 증거를 수집할 수 있는 기회를 놓칠 수 있습니다. 손상된 시스템을 분리 및 격리하고, 가능한 경우 비즈니스 운영 손실을 방지하기 위해 백업 시스템을 배포합니다. 모든 시스템을 패치하고, 원격 액세스 프로토콜을 검토하고, 모든 관리 계정의 로그인 자격 증명을 변경하도록 유도합니다.
위협을 격리하고 모든 관련 데이터를 수집했으면 이제 시스템에서 멀웨어를 안전하게 제거할 수 있습니다. 여기서 중요한 것은 모든 멀웨어를 제거해야 한다는 것입니다. 공격의 흔적이 남게 되면 데이터에 대한 무단 액세스가 허용되고 향후 멀웨어가 다시 시작될 수 있습니다.
위협을 완화하는 것도 좋지만, 보안 인시던트가 비즈니스에 영향을 미치지 않도록 시스템을 개선하는 것이 더 유용합니다. 인시던트를 올바르게 처리한 후, 응답 팀 구성원과 기타 이해 관계자와의 토론을 통해 인시던트 응답 과정에서 학습한 내용을 파악하고 문서화합니다. 그런 다음 이 교훈을 향후 인시던트에 대비해 시스템을 효과적으로 준비하는 데 적용하여 우선순위 지정 및 응답을 최적화할 수 있습니다.
보안 위협의 빈도, 복잡성, 정교함이 증가함에 따라 Security Incident Response도 경쟁력 있는 차별화 요소에서 필수 보안 표준으로 바뀌었습니다. 그러나 초를 다투는 급박한 환경에 있는 보안 팀은 보안 인시던트가 발생할 때마다 모든 보안 인시던트를 완벽하게 조사, 검증하고 인시던트에 대응할 능력이 없다는 사실을 확인하고 있습니다. 이에 ServiceNow가 그 솔루션을 제공합니다.
ServiceNow Security Incident Response(SIR)는 고급 자동화 기능을 적용하고 보안 운영 데이터, 인사이트 및 보고 기능을 단일 플랫폼으로 중앙화하여 IT 보안 조사, 응답, 복구에 대한 표준 접근 방식을 혁신하고 있습니다. 자동화된 우선순위 지정, 분류, 데이터 분석, 기타 필수 응답 작업으로 응답 팀의 역량을 확대할 수 있습니다.그런 다음 실시간 인사이트, 상세 Playbook, 전체 네트워크 보안 가시성을 통해 한 단계 더 나아가세요.
ServiceNow가 Security Incident Response에 대한 접근 방식을 최적화하고 사이버 공격이 시작되기 전에 이를 탐지하고 차단하는 방법에 대해 자세히 알아보시기 바랍니다.