클라우드에서의 인시던트 대응
클라우드 대응의 설계 목표
NIST SP 800-61 Computer Security Incident Handling Guide
-
대응 목표 수립 - 이해 관계자, 법률 자문, 조직 리더십과 협력하여 인시던트 대응 목표를 결정합니다. 몇 가지 일반적인 목표로는 문제 억제 및 완화, 영향을 받은 리소스 복구, 포렌식을 위한 데이터 보존, 귀속 등이 있습니다.
-
클라우드를 사용하여 대응 - 이벤트와 데이터가 발생하는 곳에 대응 패턴을 구현합니다.
-
무엇을 가지고 있고 무엇이 필요한지 파악 - 로그, 스냅샷 및 기타 증거를 중앙 집중식 보안 클라우드 계정에 복사하여 보존합니다. 보존 정책을 적용하는 태그, 메타데이터, 메커니즘을 사용합니다. 예를 들어 Linux
dd명령이나 이에 해당하는 Windows 명령을 사용하여 조사 목적을 위한 데이터의 전체 복사본을 만들 수 있습니다. -
재배포 메커니즘 사용 - 보안 문제의 원인이 잘못된 구성일 수 있는 경우, 적절한 구성의 리소스를 재배포하여 변형을 제거하는 것만으로 간단하게 해결할 수 있습니다. 가능하면 알 수 없는 상태에서 대응 메커니즘을 두 번 이상 실행할 수 있도록 합니다.
-
가능한 경우 자동화 - 반복되는 문제나 인시던트의 경우, 일반적인 상황을 프로그래밍 방식으로 분류하고 이에 대응하는 메커니즘을 구축합니다. 사람은 특별하고, 새롭고, 중요한 인시던트에 대응합니다.
-
확장 가능한 솔루션 선택 - 조직에서 클라우드 컴퓨팅을 확장하는 방식에 맞추고 탐지와 대응 사이의 시간을 단축하기 위해 노력합니다.
-
프로세스 교육 및 개선 - 프로세스, 도구, 인력의 격차가 발견되면 이를 해결하기 위한 계획을 구현합니다. 시뮬레이션은 격차를 찾고 프로세스를 개선할 수 있는 안전한 방법입니다.
NIST 설계 목표는 인시던트 대응과 위협 탐지를 모두 수행할 수 있는 기능에 대한 아키텍처를 검토하도록 상기시키는 것입니다. 클라우드 구현을 계획할 때 인시던트 또는 포렌식 이벤트에 대응하는 방법을 생각해 보세요. 경우에 따라 이러한 대응 작업을 위해 특별히 설정된 여러 조직, 계정 및 도구가 있을 수 있습니다. 이러한 도구와 기능은 배포 파이프라인을 통해 인시던트 대응 담당자가 사용할 수 있도록 해야 하며 더 큰 위험을 초래할 수 있으므로 정적이어서는 안 됩니다.
