1. 사고 대응팀의 인력 구성 및 체계 1
몇 개의 사고 대응팀을 둘 것인가? -> 기업의 상황과 규모에 따라 결정
2. 사고 대응팀의 인력 구성 및 체계 2
대기업의 사고대응팀 예
최고 정보관리 책임자(CIO) : 기업의 목표 달성을 위한 정보 기술의 활용과 관리를 담당
최고 정보보호 책임자(CSO) : 기업의 정보보호에 관한 모든 활동을 총괄 함. CIO 가 CSO 를 겸임하는 경우가 많음.
사고 대응팀 팀장 : 기업내의 IT 전반에 대한 지식과 경험, 관련 담당자들과 의사 소통이 잘 되는 사람. 조직내에서 영향력 있는 임원진의 도움을 받을 수 있어야 함.
법률 조언자 : 개인 프라이버시를 포함하여 불법 행위의 고소, 외부기관과의 법률적 문제 등 많은 법적인 사안이 발생.
사고 대응 전문가 : 해당 사고를 정확히 분석하고 대응할 수 있는 전문가가 필요. 기업 내의 시스템 및 네트워크 관리 서비스 운영에 대한 지식 필요.
헬프데스크 : 규모가 큰 사고 대응팀의 경우 필요. 사고접수, 사고 할당, 대외 연락업무 수행
기타 : 각 IT 업무 담당자들과의 협력체계
3. 사고 대응팀의 인력 구성 및 체계 3
사고 대응 업무를 담당하는 직원이 갖추어야 할 일반적인 능력
시스템/ 네트워크 관리지식
인터넷 어플리케이션 설치/운영지식
각종 프로토콜에 관한 지식
TCP/IP 네트워크 프로토콜에 관한 지식
해킹기법에 대한 지식
보안취약성에 대한 지식
4. 사고 대응팀의 인력 구성 및 체계 4
조직 내에서의 사고 대응팀의 체계
하나의 조직에서 다수의 사고 대응팀을 구축한 예
서비스 대상에 따른 분리 : 대형 ISP 는 사용자로부터의 사고를 처리하는 팀과 ISP 자체의 보안 문제를 처리하는 팀이 따로 존재하는 경우가 많음. 시스템/네트워크 장비 제조 업체의 경우도 마찬가지
사고의 특성에 따른 분리 : 바이러스 전담, 시스템 침입전담
규모에 따른 분리 : 조직의 규모가 큰 경우, 지역별, 업무별로 분리
사고 대응팀 구성 관련 팁
사고 대응팀을 구성하고 운영하는데 있어 기업 내의 영향력 있는 임원으로 부터의 지원을 받는 일은 매우 중요함
5. 사고대응팀의 대응 서비스 1
사고/취약성 공지 및 경고
사고처리
사고 분석
온사이트/온라인 사고 대응
사고 대응 지원
사고 대응 협력
취약성 관리
취약성 분석
취약성 대응
취약성 대응 협력
6. 사고대응팀의 대응 서비스 2
- 사고/취약성 공지 및 경고
경고(Alert) : 새로운 공격, 자주 발생하는 사고에 대한 정보를 전달
보안권고문(Advisories) : 새로운 보안 취약성 정보나 사고를 예방하기 위한 정보를 제공
가이드라인(Guide Line) : 시스템 및 네트워크 보안을 증진시킬 수 있는 보안 기술 및 보안관리를 위한 기술 문서
기술문서(Technical Report) : 특정 보안 문제와 관련된 기술적 문제를 다룸
정보보호 지침(Policy) – 기업 내에서 준수해야 하는 기본적인 보안정책
정보보호 절차(Procedure) – 정보보호 지침을 근거로 한 구체적이고 기술적인 보안활동 안내. 좀더 최신의 기술정보/대처방법 안내를 위해 Guide Line 을 이용함.
7. 사고대응팀의 대응 서비스 3
- 사고 경고 및 보안 권고문 제공 사이트
CERTCC – http://www.krcert.or.kr
Securityfocus – http://www.securityfocus.com
CERT/CC – http://www.cert.org
CIAC – http://www.ciac.org/ciac/
SANS Internet Storm Center – http://isc.sans.org/
8. 사고대응팀의 대응 서비스 4
- 사고 처리 서비스
사건의 접수, 사고 여부 판단, 사고분석, 사고대응, 결과 보고 담당.
사고 분석
사고 대응
사고 대응 협력
9. 사고대응팀의 대응 서비스 5
- 취약성 관리 서비스
취약성 분석
취약성 대응
취약성 대응 협력
10. 사고대응팀의 예방 서비스
예방 서비스
보안 해킹 기술 Follow-up
보안 감사 및 평가
보안 시스템 관리
시스템/네크워크 관리
보안 도구의 개발
침입탐지
보안 컨설팅
보안교육 및 훈련
제품 벤치마크 테스트 및 인증
11. 장비 및 소프트웨어
통신수단
전화
e-mail
이동 통신기기
팩스
시스템 및 네트워크
도메인 이름
IP 주소
네트워크 구성
소프트웨어
PGP International : http://www.pgpi.org
GNU Privacy Guard : http://www.gnupg.org/
CERT 운영 시스템 – 자체 개발 하는 경우가 많음.
1. Workforce composition and structure 1 of the incident response team
How many incident response teams will you have? -> Decide on the company's situation and size
2. Workforce composition and framework 2 of the incident response team
Example of a large company's incident response team
Chief Information Management Officer (CIO): Responsible for utilizing and managing information technology to achieve corporate goals
Chief Information Protection Officer (CSO): Responsible for all corporate information protection activities; CIO often doubles as CSO.
Head of the incident response team: A person who has knowledge and experience of the overall IT within the company and communicates well with relevant personnel. You should be able to get help from influential executives within the organization.
Legal Adviser: Many legal issues arise, including complaints of illegal acts, including personal privacy, and legal issues with external agencies.
Accident response experts: Need experts who can accurately analyze and respond to accidents. Knowledge of the operation of systems and network management services within the enterprise is required.
Helpdesk: Required for large-scale accident response teams. Receiving accidents, allocating accidents, and conducting external contact work
Others: Cooperation system with each IT person
3. Workforce composition and framework 3 of the incident response team
General capabilities that staff in charge of incident response work should have
Systems/Network Management Knowledge
Knowledge of Internet application installation/operation
Knowledge of various protocols
Knowledge of TCP/IP network protocols
Knowledge of hacking techniques
Knowledge of security vulnerabilities
4. Workforce composition and structure of the incident response team 4
a system of incident response teams within an organization
Example of multiple incident response teams in a single organization
Separation according to service target: Large ISPs often have a separate team that handles accidents from users and a separate team that handles the security issues of the ISP itself. The same is true for system/network equipment manufacturers
Separation according to the nature of the accident: dedicated to viruses, dedicated to system intrusion
Separation by size: When the organization is large, it is separated by region and by task
Tips for organizing an incident response team
It is very important to get support from influential executives within the enterprise in forming and operating an incident response team
5. Incident Response Team Response Service1
Incident/vulnerability notices and warnings
Accident handling
accident analysis
Onsite/Online Incident Response
Accident Response Support
cooperation in responding to accidents
Vulnerability Management
Vulnerability Analysis
Vulnerability Response
Vulnerability Response Cooperation
6. Incident Response Team Response Service 2
- Incident/vulnerability notices and warnings
Alert: Communicate information about new attacks, frequent incidents
Security Recommendations: Provide new security vulnerability information or information to prevent accidents
Guide Line: Technical documentation for security technology and security management that can enhance system and network security
Technical Report: addressing technical issues related to specific security issues
Information Protection Guidelines (Policies) – Basic security policies that must be observed within the enterprise
Information Protection Procedures – Specific and technical security activity guidance based on information protection guidelines. Guide lines are used for more up-to-date technical information/response guidance.
7. Incident Response Team Response Service 3
- Site providing incident warnings and security recommendations
CERTCC – http://www.krcert.or.kr
Securityfocus – http://www.securityfocus.com
CERT/CC – http://www.cert.org
CIAC – http://www.ciac.org/ciac/
SANS Internet Storm Center – http://isc.sans.org/
8. Incident Response Team Response Service 4
- Accident handling service
Responsible for receiving cases, determining whether there is an accident, analyzing accidents, responding to accidents, and reporting results.
accident analysis
accident response
cooperation in responding to accidents
9. Incident Response Team Response Service 5
- Vulnerability Management Services
Vulnerability Analysis
Vulnerability Response
Vulnerability Response Cooperation
10. Accident Response Team's Preventive Services
a preventive service
Security Hacking Technology Follow-up
Security Audit and Assessment
Managing Security Systems
Systems/network management
Development of Security Tools
Infiltration detection
Security Consulting
Security training and training
Product benchmark testing and certification
11. Equipment and software
means of communication
a telephone call
e-mail
mobile communication equipment
a fax machine
Systems and networks
Domain Name
IP Address
Network Configuration
software
PGP International : http://www.pgpi.org
GNU Privacy Guard : http://www.gnupg.org/
CERT operating system – is often self-developed.