보안 제어 엔지니어링의 일부인 탐지

탐지 메커니즘은 보안 제어 개발의 중요한 부분입니다. 지시적 및 예방적 제어가 정의되면 관련 탐지 및 대응 제어를 구성해야 합니다. 예를 들어 조직에서 AWS 계정의 루트 사용자와 관련된 지시어 제어를 설정하는 경우, 이 지시어는 매우 잘 정의된 특정 활동에 대해서만 사용해야 합니다. 이를 조직의 AWS 서비스 제어 정책(SCP)을 사용하여 구현된 예방 제어와 연결합니다. 예상 기준을 초과하는 루트 사용자 활동이 발생하면 EventBridge 규칙 및 SNS 주제로 구현된 탐지 제어가 보안 운영 센터(SOC)에 알립니다. 대응 제어는 SOC가 적절한 플레이북을 선택하고, 분석을 수행하고, 인시던트가 해결될 때까지 작업하는 것을 의미합니다.

보안 제어는 AWS에서 실행되는 워크로드의 위협 모델링을 통해 가장 잘 정의됩니다. 탐지 제어의 중요도는 특정 워크로드에 대한 비즈니스 영향 분석(BIA)을 검토하여 설정됩니다. 탐지 제어에 의해 생성된 알림은 들어오는 대로 처리되지 않고 초기 중요도에 따라 분석 중 조정됩니다. 초기 중요도 세트는 우선순위를 정하는 데 도움이 됩니다. 알림이 발생한 상황에 따라 실제 중요도가 결정됩니다. 예를 들어 조직은 워크로드의 일부인 EC2 인스턴스에 사용되는 탐지 제어의 구성 요소로 Amazon GuardDuty를 사용합니다. 조사 결과 Impact:EC2/SuspiciousDomainRequest.Reputation이 생성되어 워크로드 내에 나열된 Amazon EC2 인스턴스가 악성으로 의심되는 도메인 이름을 쿼리하고 있음을 알려줍니다. 이 알림은 기본적으로 낮은 심각도로 설정되며, 분석 단계가 진행됨에 따라 권한이 없는 행위자가 p4d.24xlarge 유형의 EC2 인스턴스를 수백 개 배포하여 조직의 운영 비용을 크게 높인 것으로 확인되었습니다. 이 시점에서 인시던트 대응 팀은 이 알림의 중요도를 높음으로 조정하여 긴급성을 높이고 추가 조치를 신속하게 진행하기로 결정합니다. GuardDuty 조사 결과 심각도는 변경할 수 없습니다.