1. 사고 대응팀 구성
컴퓨터를 사용하는 대부분의 기관에서는 사고 대응팀이 필요함.
사고 대응팀은 한 조직/기관에 다수가 존재할 수 도 있으며, 규모가 작은 경우에는 독립된 조직이 아닌 VIRTUAL 조직으로 구성되거나 일반 IT 요원이 사고대응 담당을 겸임하기도 함.
사고 대응팀 구성에 대해 살펴 봄으로서 올바른 침해사고 처리 절차에 대해 이해 할 수 있음.
2. 목적 및 업무 범위 1
명확한 목적, 업무범위 설정이 필요.
- 타 부서와의 마찰
- 과다한 업무
3. 목적 및 업무 범위 2
CERTCC-KR 의 목적 - 국내에서 운영되고 있는 전산망의 침해 사고 대응 활동을 지원하고, 전산망 운용기관 등에 대해 통일된 협조 체제를 구축하여 국제적 침해 사고 대응을 위한 단일 창구를 제공한다.
업무 범위 : 국내의 모든 전산망
활동 목적 : 침해사고 대응 활동, 협조체계 구축, 국제적 침해 사고 대응을 위한 단일 창구 제공
기업의 경우 좀더 제한된 범위에서 보다 세세한 내용을 설정 해야 함.
해당 내용을 기업 내부뿐 아니라 외부에도 알려야 함. -> 외부 기간과의 긴밀한 협력을 필요로 함.
ISP 업체의 CERT 운영 목적
OOO CERT 의 목적은 OOO 서비스 네트워크 보호에 있으며, 목표는 다음과 같다.
침해사고 예방을 위한 정책수립 및 적용
침해사고 대응 및 분석, 피해 복구
대외 침해사고 대응조직 간 정보교류 및 협조 유지
침해사고 대응을 위한 고객 기술지원
관련기술 연구 및 시스템 보완
4. 서비스 범위
명확하게 정의되지 않고 널리 알려지지 않는다면 불필요한 업무가 많이 발생하게 됨.
주요 서비스
해킹사고 처리
소프트웨어 취약성 분석
보안 관련 정보 요청
보안 관련 회의/교육 요청
보안 감사 요청
보안시스템 도입/운영
정기적 보안 취약성 점검
5. 공지 및 연락처 확립
조직 내의 다른 부서와 외부 기관이 해킹사고를 신고할 수 있도록 자신의 존재를 공지하는 일이 중요함.
공지해야 할 정보
- 해당 팀의 목적
- 제공하는 서비스
- 서비스대상
- 연락처
- 사고신고 방법
공지 수단
홈페이지 – 가장 효과적임. 사고 대응팀의 서비스 내용, 서비스 대상, 연락처 정보, 해킹사고를 신고하는 방법
e-mail – RFC2142 에서는 각 사이트 보안과 관련된 문제를 다루기 위한 e-mail 계정으로 security, abuse, cert 계정을 사용하도록 권고하고 있음.
도메인/IP 주소 등록 – 사이트 도메인 정보, IP 주소 등록 시 사고 대응팀의 연락처 정보를 명시.
1. Construct an incident response team
Most computer-based organizations require an incident response team.
There may be multiple incident response teams in one organization/institution, and if they are small, they may consist of VIRTUAL organizations rather than independent organizations, or general IT personnel may also serve as accident response officers.
By looking at the composition of the accident response team, you can understand the correct procedure for handling infringement accidents.
2. Purpose and scope of work1
Clear purpose, scope of work is required.
- friction with other departments
- an excessive amount of work
3. Purpose and scope of work 2
CERTCC-KR's purpose - It supports activities to respond to infringement accidents in computer networks operated in Korea and provides a single window for international infringement accidents by establishing a unified cooperation system for computer network management organizations.
Scope of work: All domestic computer networks
Activity Purpose: Activities to respond to infringement incidents, establish a cooperative system, and provide a single window to respond to international infringement incidents
For companies, more detail needs to be set to a more limited extent.
The information should be informed not only inside the company but also outside. -> Close cooperation with external periods is required.
Purpose of ISP company's CERT operation
The purpose of OOO CERT is to protect the OOO service network, with the following objectives.
Establishment and application of policies to prevent infringement accidents
Response and analysis of infringement incidents and damage recovery
Maintaining information exchange and cooperation between organizations responding to external infringement incidents
Customer technical support to respond to infringement incidents
Research related technologies and complement systems
4. Service scope
If it is not clearly defined and is not widely known, a lot of unnecessary work will occur.
Major Services
Handling hacking incidents
Analyzing Software Vulnerabilities
Request security related information
Security-related meetings/training requests
Security Audit Request
Introduction/Operation of Security Systems
Regular security vulnerability checks
5. Establish notifications and contacts
It is important for other departments and external organizations within the organization to make their presence known so that they can report hacking incidents.
Information to be announced
- Purpose of the team
- Services provided
- Service target
- Contact information
- How to report an accident
a means of announcement
Homepage – most effective; incident response team service content, service target, contact information, how to report hacking incidents
e-mail – RFC2142 recommends the use of security, abuse, and cert accounts as e-mail accounts to address issues related to each site's security.
Domain/IP address registration – Site domain information, and contact information of the incident response team when registering an IP address.