SEC10-BP08 인시던트로부터 학습하기 위한 프레임워크 구축

이때 학습한 내용 프레임워크와 근본 원인 분석 기능을 구현하면 인시던트 대응 능력을 개선하는 데 도움이 될 뿐만 아니라 인시던트 재발을 방지하는 데도 도움이 됩니다. 각 인시던트에서 교훈을 얻음으로써 동일한 실수, 노출 또는 잘못된 구성을 반복하지 않도록 하여 보안 태세를 개선할 뿐만 아니라 사전에 방지 가능한 상황으로 인한 시간 손실을 최소화할 수 있습니다.

이 모범 사례가 확립되지 않을 경우 노출되는 위험 수준: 보통

구현 가이드

개략적인 수준에서 다음 사항을 설정하고 달성하는 학습한 내용 프레임워크를 구현하는 것이 중요합니다.

• 학습한 교훈은 언제 적용하게 되나요?

• 학습한 교훈 과정에는 무엇이 포함되나요?

• 학습한 교훈은 어떻게 수행되나요?

• 누가, 어떻게 이 과정에 참여하나요?

• 개선이 필요한 부분은 어떻게 확인할 수 있나요?

• 개선 사항을 효과적으로 추적하고 구현할 수 있도록 어떻게 해야 할까요?

프레임워크는 개인에게 초점을 맞추거나 개인을 비난하는 것이 아니라 도구와 프로세스를 개선하는 데 초점을 맞춰야 합니다.

구현 단계

앞에서 설명한 개략적인 결과 외에도, 프로세스에서 최대한의 가치(실행 가능한 개선으로 이어지는 정보)를 이끌어낼 수 있도록 올바른 질문을 하는 것이 중요합니다. 다음 질문을 고려하면 학습한 교훈 토론을 시작하는 데 도움이 됩니다.

• 어떤 인시던트였나요?

• 인시던트가 언제 처음 확인되었나요?

• 어떻게 식별되었나요?

• 어떤 시스템에서 해당 활동에 대해 경고했나요?

• 어떤 시스템, 서비스 및 데이터가 관련되어 있나요?

• 구체적으로 어떤 일이 발생했나요?

• 어떤 점이 잘 작동했나요?

• 어떤 점이 잘 작동하지 않았나요?

• 인시던트에 대응하기 위해 어떤 프로세스 또는 절차가 실패했거나 확장하지 못했나요?

• 다음 영역에서 개선할 수 있는 사항:

  • 직원

    • 연락이 필요한 직원이 실제로 연락이 가능했고 연락처 목록이 최신 상태였나요?

    • 인시던트에 효과적으로 대응하고 조사하는 데 필요한 교육이나 역량을 갖춘 직원이 없었나요?

    • 적절한 리소스가 준비되어 있고 이용 가능했나요?

  • 프로세스:

    • 프로세스와 절차를 준수했나요?

    • 이 (유형의) 인시던트에 대한 프로세스와 절차가 문서화되어 있고 사용 가능했나요?

    • 필요한 프로세스 및 절차가 누락되지는 않았나요?

    • 대응 담당자가 문제를 대응하는 데 필요한 정보에 적시에 액세스할 수 있었나요?

  • 기술

    • 기존 경고 시스템이 활동을 효과적으로 식별하고 경고했나요?

    • 어떻게 하면 탐지 시간을 50%까지 줄일 수 있을까요?

    • 기존 경고 시스템을 개선해야 하나요, 아니면 이 (인시던트 유형) 사고에 대해 새로운 경고 시스템을 구축해야 하나요?

    • 기존 도구로 인시던트를 효과적으로 조사(검색/분석)할 수 있었나요?

    • 이 (유형의) 인시던트를 더 빨리 식별하려면 어떻게 해야 할까요?

    • 이 (유형의) 인시던트가 재발하는 것을 방지하려면 어떻게 해야 할까요?

    • 개선 계획의 담당자는 누구이며 개선 계획이 실행되었는지 어떻게 테스트할 예정인가요?

    • 추가 모니터링 또는 예방적 통제 및 프로세스를 구현하고 테스트할 일정은 어떻게 되나요?

이 목록은 모든 것을 포함하지는 않지만, 조직 및 비즈니스 요구 사항이 무엇인지 식별하고 인시던트로부터 가장 효과적으로 학습하고 보안 태세를 지속적으로 개선하기 위해 이를 분석할 수 있는 방법을 식별하기 위한 출발점이 될 수 있습니다. 가장 중요한 것은 인시던트 대응 프로세스, 문서화 및 이해 관계자 전반의 기대치에서 학습한 교훈을 표준으로 삼아 통합하는 것부터 시작하는 것입니다.

리소스

관련 문서:

• AWS 보안 인시던트 대응 가이드 - 인시던트를 통해 배울 수 있는 프레임워크 수립

• NCSC CAF 지침 - 학습한 교훈