사고 대응 계획은 사이버 공격이나 기타 보안 위협이 발생할 경우 취해야 할 조치를 간략히 설명하여 조직을 준비시킵니다.
위협의 정교함과 빈도가 날로 증가함에 따라 가장 강력한 보안 솔루션을 갖춘 조직이라도 사이버 공격을 당할 수 있습니다.
시스템과 데이터를 손상시키는 보안 사고가 발생한 후 어떻게 연속성을 보장합니까?
효과적인 사고 대응 계획을 개발하면 조직이 보안 위협이나 공격으로부터 신속하게 복구할 수 있습니다. 이는 팀이 모든 사고를 효과적으로 처리하고 가동 중지 시간, 재정적 손실 및 위반의 영향을 최소화하는 데 도움이 됩니다.
이 기사에서는 사고 대응 계획이 무엇인지, 주요 목표는 무엇인지, 그리고 계획을 개발하고 정기적으로 검토하는 것이 왜 중요한지에 대해 알아봅니다. 또한 효과적인 계획을 세우는 데 사용할 수 있는 몇 가지 표준 템플릿을 살펴보겠습니다.
목차
사고 대응 계획이란 무엇입니까?
원천: cisco.com
사고 대응 계획(IRP)은 공격이나 보안 침해가 발생할 때마다 조직이 취해야 하는 조치를 간략하게 설명하는 체계적으로 구성된 일련의 절차입니다. 사고 대응 계획의 목적은 중단과 피해를 최소화하거나 전혀 없이 위협을 신속하게 제거하는 것입니다.
일반적인 계획은 위협을 탐지, 억제, 근절하기 위해 수행하는 단계를 설명합니다. 또한 공격으로부터 복구하고 정상적인 운영을 재개하는 방법을 간략하게 설명하는 것 외에도 개인, 팀 및 기타 이해관계자의 역할과 책임을 지정합니다.
실제로 보안 사고 이전, 도중, 이후에 무엇을 해야 하는지에 대한 지침을 제공하는 계획은 경영진의 승인을 받아야 합니다.
사고 대응 계획이 중요한 이유는 무엇입니까?
사고 대응 계획은 보안 침해의 영향을 줄이기 위한 큰 진전입니다. 이는 피해를 최소화하면서 신속하게 대응하고, 공격을 중지하고, 정상적인 서비스를 복원하는 방법에 대해 조직과 책임자를 준비시킵니다.
계획에서는 사고 발생 시 연락할 사람을 포함하여 인사 책임, 따라야 할 단계, 에스컬레이션 요구 사항 및 보고 구조를 간략하게 설명하면서 사고를 정의합니다. 이상적으로는 계획을 통해 기업은 사고로부터 신속하게 복구하여 서비스 중단을 최소화하고 재정 및 평판 손실을 방지할 수 있습니다.
좋은 사고 대응 계획은 조직이 보안 위협을 해결하기 위해 따를 수 있는 포괄적이고 효과적인 일련의 단계를 제공합니다. 여기에는 보안 위협을 감지 및 대응하고, 심각도를 평가하고, 조직 내부 및 때로는 외부의 특정 개인에게 알리는 방법에 대한 절차가 포함됩니다.
이 계획에는 심각도와 복잡성에 따라 위협을 근절하고 다른 팀이나 타사 제공업체로 에스컬레이션하는 방법이 간략하게 설명되어 있습니다. 마지막으로 사고 복구 단계를 지정하고 기존 조치를 검토하여 격차를 식별하고 해결합니다.
위협 심각도 이미지: 업가드
사고 대응 계획의 이점
사고 대응 계획은 조직과 고객에게 광범위한 이점을 제공합니다. 주요 이점 중 일부는 다음과 같습니다.
#1. 더 빠른 응답 시간 및 감소된 가동 중지 시간
사고 대응 계획은 위협이 발생할 경우 팀이 시스템을 손상시키기 전에 이를 신속하게 감지하고 해결할 수 있도록 모든 사람을 준비시킵니다. 이를 통해 비즈니스 연속성과 가동 중지 시간을 최소화할 수 있습니다.
또한 더 많은 다운타임과 금전적 손실을 초래할 수 있는 비용이 많이 드는 재해 복구 프로세스를 호출하는 것을 방지합니다. 그러나 공격으로 인해 전체 시스템이 손상될 경우를 대비하여 재해 복구 시스템을 유지하는 것이 필수적이며 전체 백업을 복원해야 합니다.
#2. 법률, 산업 및 규제 표준 준수 보장
보안 사고 계획은 조직이 광범위한 산업 및 규제 표준을 준수하는 데 도움이 됩니다. 데이터를 보호하고 개인 정보 보호 규칙 및 기타 요구 사항을 준수함으로써 조직은 잠재적인 금전적 손실, 처벌 및 평판 훼손을 방지합니다.
또한 관련 산업 및 규제 기관으로부터 인증을 더 쉽게 얻을 수 있습니다. 규정을 준수한다는 것은 중요한 데이터와 개인 정보를 보호하여 우수한 고객 서비스, 평판 및 신뢰를 유지하는 것을 의미합니다.
#삼. 내부 및 외부 커뮤니케이션 간소화
명확한 의사소통은 사고 대응 계획의 주요 구성 요소 중 하나입니다. 여기에는 보안 팀, IT 직원, 직원, 경영진 및 해당하는 경우 타사 솔루션 제공업체 간의 커뮤니케이션 흐름이 어떻게 설명되어 있는지 설명되어 있습니다. 사고가 발생하는 경우 계획을 통해 모든 사람이 같은 입장에 있을 수 있도록 합니다. 결과적으로 혼란과 비난 게임을 줄이면서 사고로부터 더 빠르게 복구할 수 있습니다.
내부 커뮤니케이션을 강화하는 것 외에도 사고가 조직의 역량을 벗어나는 경우 최초 대응자와 같은 외부 이해관계자에게 빠르고 원활하게 연락하고 참여할 수 있게 해줍니다.
#4. 사이버 탄력성 강화
조직이 효과적인 사고 대응 계획을 개발하면 보안 인식 문화를 촉진하는 데 도움이 됩니다. 일반적으로 직원이 잠재적 및 기존 보안 위협과 침해 발생 시 수행할 작업을 이해할 수 있도록 하여 직원의 역량을 강화합니다. 결과적으로 회사는 보안 위협과 침해에 대한 복원력을 더욱 강화하게 됩니다.
#5. 사이버 공격의 영향 감소
효과적인 사고 대응 계획은 보안 위반의 영향을 최소화하는 데 매우 중요합니다. 보안 팀이 위반을 신속하고 효과적으로 중지하고 확산과 영향을 줄이기 위해 따라야 하는 절차를 간략하게 설명합니다.
결과적으로 조직의 가동 중지 시간, 시스템 추가 손상 및 재정적 손실을 줄이는 데 도움이 됩니다. 또한 평판 손상과 잠재적 벌금을 최소화합니다.
#6. 보안 사고 감지 강화
좋은 계획에는 가능한 한 빨리 위협을 감지하고 해결하기 위한 시스템의 지속적인 보안 모니터링이 포함됩니다. 또한 격차를 식별하고 해결하려면 정기적인 검토와 개선이 필요합니다. 따라서 이를 통해 조직은 보안 위협이 시스템에 영향을 미치기 전에 신속하게 탐지하고 해결하는 능력을 포함하여 보안 시스템을 지속적으로 개선할 수 있습니다.
사고 대응 계획의 주요 단계
사고 대응 계획은 일련의 단계로 구성됩니다. 이는 단계와 절차, 취해야 할 조치, 역할, 책임 등을 지정합니다.
준비
준비 단계는 가장 중요한 단계이며 직원에게 자신의 역할 및 책임과 관련된 적절한 교육을 제공하는 것이 포함됩니다. 또한 필요한 하드웨어, 소프트웨어, 교육 및 기타 리소스의 사전 승인 및 가용성을 보장하는 것도 포함됩니다. 또한 모의 연습을 통해 계획을 평가해야 합니다.
준비란 보호할 자산, 직원 교육, 연락처, 소프트웨어, 하드웨어 및 기타 요구 사항을 포함한 모든 리소스에 대한 철저한 위험 평가를 의미합니다. 또한 기본 채널이 손상된 경우 통신 및 대안을 다룹니다.
신분증
이는 비정상적인 네트워크 활동, 대규모 다운로드 또는 위협을 나타내는 업로드와 같은 비정상적인 동작을 발견하는 방법에 중점을 둡니다. 대부분의 조직은 오탐을 방지하면서 위협을 적절하게 식별하고 분류해야 하기 때문에 이 단계에서 어려움을 겪습니다.
이 단계에는 고급 기술과 경험이 필요합니다. 또한 이 단계에서는 해당 이벤트에 대응하는 방법을 포함하여 특정 위협으로 인해 발생하는 심각도와 잠재적 피해에 대해 간략히 설명해야 합니다. 또한 이 단계에서는 중요한 자산, 잠재적 위험, 위협 및 그 영향을 식별해야 합니다.
방지
봉쇄 단계에서는 사고 발생 시 취해야 할 조치를 제시합니다. 그러나 똑같이 해를 끼치는 과소반응이나 과잉반응을 피하기 위해 주의할 필요가 있습니다. 심각도와 잠재적 영향을 기반으로 잠재적인 조치를 결정하는 것이 중요합니다.
적합한 인력을 활용하여 올바른 조치를 취하는 등의 이상적인 전략은 불필요한 가동 중단을 방지하는 데 도움이 됩니다. 또한 조사관이 무슨 일이 일어났는지 판단하고 향후 재발을 방지할 수 있도록 법의학 데이터를 유지하는 방법을 간략하게 설명해야 합니다.
근절
봉쇄 후 다음 단계는 위반에 기여한 절차, 기술 및 정책을 식별하고 해결하는 것입니다. 예를 들어, 맬웨어와 같은 위협을 제거하는 방법과 향후 발생을 방지하기 위해 보안을 강화하는 방법을 간략하게 설명해야 합니다. 이 프로세스에서는 손상된 모든 시스템을 철저하게 정리하고, 업데이트하고, 강화해야 합니다.
다시 덮다
이 단계에서는 손상된 시스템을 정상 작동으로 복원하는 방법을 다룹니다. 이상적으로는 유사한 공격을 방지하기 위해 취약점을 처리하는 것도 포함되어야 합니다.
일반적으로 팀은 위협을 식별하고 근절한 후 시스템을 강화하고 패치하고 업데이트해야 합니다. 또한 이전에 손상된 시스템을 다시 연결하기 전에 모든 시스템을 테스트하여 깨끗하고 안전한지 확인하는 것이 중요합니다.
검토
이 단계는 침해 후 이벤트를 문서화하며 현재 사고 대응 계획을 검토하고 약점을 식별하는 데 유용합니다. 결과적으로 이 단계는 팀이 격차를 식별하고 해결하여 향후 유사한 사건이 발생하지 않도록 방지하는 데 도움이 됩니다.
검토는 정기적으로 수행되어야 하며, 이어서 직원 교육, 훈련, 공격 시뮬레이션 및 기타 훈련을 통해 팀을 더 잘 준비하고 취약한 영역을 해결해야 합니다.
검토는 팀이 잘 작동하는 것과 그렇지 않은 것을 결정하는 데 도움이 되므로 팀은 격차를 해소하고 계획을 수정할 수 있습니다.
사고 대응 계획을 수립하고 구현하는 방법
사고 대응 계획을 수립하고 구현하면 조직은 모든 위협을 빠르고 효율적으로 처리하여 영향을 최소화할 수 있습니다. 다음은 좋은 계획을 개발하는 방법에 대한 지침입니다.
#1. 디지털 자산 식별 및 우선순위 지정
첫 번째 단계는 조직의 모든 중요한 데이터 자산을 식별하고 문서화하는 위험 분석을 수행하는 것입니다. 손상, 도난 또는 손상될 경우 막대한 재정적 손실과 평판 손실을 초래할 수 있는 민감하고 가장 중요한 데이터를 설정합니다.
그런 다음 역할과 가장 높은 위험에 직면한 자산을 기준으로 중요한 자산의 우선순위를 지정해야 합니다. 이를 통해 경영진이 민감하고 중요한 자산 보호의 중요성을 이해하면 경영진의 승인과 예산을 더 쉽게 얻을 수 있습니다.
#2. 잠재적인 보안 위험 식별
각 조직에는 범죄자가 악용하여 가장 큰 피해와 손실을 초래할 수 있는 고유한 위험이 있습니다. 또한 업계마다 위협이 다릅니다.
일부 위험 영역은 다음과 같습니다.
위험 영역잠재 위험비밀번호 정책무단 접속, 해킹, 비밀번호 크래킹 등직원 보안 인식피싱, 악성 코드, 불법 다운로드/업로드무선 네트워크무단 접속, 사칭, 악성 액세스 포인트 등접근 제어무단 접속, 권한 남용, 계정 도용기존 침입 탐지 시스템 및 보안 솔루션 방화벽, 바이러스 백신 등악성코드 감염, 사이버 공격, 랜섬웨어, 악성 다운로드, 바이러스, 보안 솔루션 우회 등데이터 처리데이터 손실, 손상, 도난, 이동식 미디어를 통한 바이러스 전송 등이메일 보안피싱, 악성 코드, 악성 다운로드 등물리적 보안노트북, 스마트폰, 이동식 미디어 등의 도난 또는 분실.
#삼. 사고 대응 정책 및 절차 개발
사건 처리를 담당하는 직원이 위협 발생 시 취해야 할 조치를 알 수 있도록 따르기 쉽고 효과적인 절차를 확립하십시오. 일련의 절차가 없으면 직원은 중요한 영역이 아닌 다른 곳에 집중할 수 있습니다. 주요 절차는 다음과 같습니다.
- 정상 작동 중에 시스템이 어떻게 작동하는지에 대한 기본 정보를 제공합니다. 이로부터 벗어나는 것은 공격 또는 중단을 나타내며 추가 조사가 필요합니다.
- 위협을 식별하고 억제하는 방법
- 공격에 대한 정보를 문서화하는 방법
- 담당 직원, 제3자 제공업체 및 모든 이해관계자에게 알리고 알리는 방법
- 침해 후 시스템을 방어하는 방법
- 보안 직원 및 기타 직원을 교육하는 방법
이상적으로는 IT 직원, 보안 팀 구성원 및 모든 이해관계자가 이해할 수 있는 읽기 쉽고 잘 정의된 프로세스의 개요를 작성하세요. 지침과 절차는 따라하기 쉽고 실행 가능한 단계를 구현하여 명확하고 간단해야 합니다. 실제로 조직이 발전해야 함에 따라 절차도 계속해서 변경됩니다. 따라서 이에 따라 절차를 조정하는 것이 중요합니다.
#4. 사고 대응팀을 구성하고 책임을 명확하게 정의하세요.
다음 단계는 위협이 감지되면 사고를 해결하기 위해 대응팀을 구성하는 것입니다. 팀은 다운타임과 영향을 최소화하기 위해 대응 작업을 조정해야 합니다. 주요 책임은 다음과 같습니다.
- 팀 리더
- 커뮤니케이션 리더
- IT 관리자
- 고위 경영진 대표
- 법정 대리인
- 섭외
- 인적 자원
- 수석 조사관
- 문서 리더
- 타임라인 리더
- 위협 또는 침해 대응 전문가
이상적으로 팀은 명확하게 정의된 역할과 책임을 통해 사고 대응의 모든 측면을 다루어야 합니다. 모든 이해관계자와 대응자는 사고가 발생할 때마다 자신의 역할과 책임을 알고 이해해야 합니다.
계획에서는 충돌이 없고 사건, 심각도, 기술 요구 사항 및 개인 능력에 따라 적절한 에스컬레이션 정책이 있는지 확인해야 합니다.
#5. 적절한 커뮤니케이션 전략 개발
문제가 발생할 때마다 모든 사람이 같은 입장을 갖도록 하려면 명확한 의사소통이 필수적입니다. 전략에는 의사소통에 사용할 채널과 구성원이 사건에 대해 알 수 있도록 지정해야 합니다. 가능한 한 단순하게 유지하면서 단계와 절차를 명확하게 설명하십시오.
사고 통신 이미지: 아틀라시안
또한 보안팀 구성원과 기타 이해관계자가 사고 대응 계획에 액세스하고, 사고에 대응하고, 사고를 기록하고, 유용한 정보를 찾을 수 있는 중앙 위치에서 계획을 개발하십시오. 직원이 사고에 대응하기 위해 여러 다른 시스템에 로그인해야 하는 상황을 피하십시오. 이로 인해 생산성이 저하되고 혼란이 생길 수 있습니다.
또한 보안팀이 운영, 관리, 제3자 제공업체, 언론 및 법 집행 기관과 같은 기타 조직과 통신하는 방법을 명확하게 정의하십시오. 또한 기본 통신 채널이 손상될 경우를 대비해 백업 통신 채널을 설정하는 것이 중요합니다.
#6. 사고 대응 계획을 경영진에게 판매
계획을 실행하려면 경영진의 승인, 지원, 예산이 필요합니다. 계획이 수립되면 이를 고위 경영진에게 제시하고 조직 자산 보호에 있어 계획의 중요성을 설득해야 할 때입니다.
이상적으로는 조직의 규모에 관계없이 고위 경영진은 귀하가 앞으로 나아갈 수 있도록 사고 대응 계획을 지원해야 합니다. 보안 위반을 해결하는 데 필요한 추가 재정 및 리소스를 승인해야 합니다. 계획을 구현하면 연속성, 규정 준수, 가동 중지 시간 및 손실 감소가 어떻게 보장되는지 이해하게 하십시오.
#7. 직원 교육
사고 대응 계획을 수립한 후에는 IT 직원과 기타 직원이 인식을 제고하고 위반 시 수행할 작업을 알릴 수 있도록 교육해야 합니다.
경영진을 포함한 모든 직원은 안전하지 않은 온라인 관행의 위험을 인식해야 하며 공격자가 악용하는 피싱 이메일 및 기타 사회 공학 수법을 식별하는 방법에 대한 교육을 받아야 합니다. 훈련 후에는 IRP와 훈련의 효과를 테스트하는 것이 중요합니다.
#8. 사고 대응 계획 테스트
사고 대응 계획을 개발한 후 이를 테스트하고 의도한 대로 작동하는지 확인합니다. 이상적으로는 공격을 시뮬레이션하고 계획이 효과적인지 확인할 수 있습니다. 이는 도구, 기술, 기타 요구 사항 등 모든 격차를 해결할 수 있는 기회를 제공합니다. 또한 침입 감지 및 보안 시스템이 위협이 발생할 때마다 이를 감지하고 즉각적인 경고를 보낼 수 있는지 확인하는 데 도움이 됩니다.
사고 대응 템플릿
사고 대응 계획 템플릿은 보안 사고를 처리하는 데 필요한 단계, 조치, 역할 및 책임을 설명하는 자세한 체크리스트입니다. 이는 모든 조직이 고유한 요구 사항에 맞게 사용자 정의할 수 있는 일반적인 프레임워크를 제공합니다.
처음부터 계획을 세우는 대신 표준 템플릿을 사용하여 공격의 영향을 탐지, 완화 및 최소화하기 위한 정확하고 효과적인 단계를 정의할 수 있습니다.
사고 대응 계획 템플릿 이미지: F-시큐어
이를 통해 조직의 고유한 요구 사항을 해결하는 계획을 사용자 정의하고 개발할 수 있습니다. 그러나 계획이 효과적이려면 내부 부서와 솔루션 공급자와 같은 외부 팀을 포함한 모든 이해관계자와 함께 정기적으로 테스트하고 검토해야 합니다.
사용 가능한 템플릿에는 조직이 고유한 구조 및 요구 사항에 맞게 사용자 정의할 수 있는 다양한 구성 요소가 있습니다. 그러나 다음은 모든 계획에 포함되어야 하는 협상할 수 없는 몇 가지 측면입니다.
- 계획의 목적과 범위
- 위협 시나리오
- 사고대응팀
- 개별 역할, 책임 및 연락처
- 사고 대응 절차
- 위협 억제, 완화 및 복구
- 알림
- 사고 에스컬레이션
- 교훈
다음은 조직에 맞게 다운로드하고 사용자 정의할 수 있는 몇 가지 인기 있는 템플릿입니다.
결론
효과적인 사고 대응 계획은 보안 위반, 중단, 법적 및 산업적 벌금, 평판 손실 등의 영향을 최소화합니다. 가장 중요한 점은 조직이 사고로부터 신속하게 복구하고 다양한 규정을 준수할 수 있다는 것입니다.
모든 단계를 간략하게 설명하면 프로세스를 간소화하고 응답 시간을 줄이는 데 도움이 됩니다. 또한 이를 통해 조직은 시스템을 평가하고, 보안 상태를 이해하고, 격차를 해소할 수 있습니다.
다음으로, 중소기업부터 대기업까지 모두를 위한 최고의 보안 사고 대응 도구를 확인해 보세요.