Microsoft Online Services 인시던트 대응 1단계 이해 - 준비
이제 인시던트 대응을 담당하는 팀을 알았으므로 인시던트 대응 프로세스의 각 단계를 살펴보겠습니다.
대비하면 인시던트 발생 시 신속한 대응이 가능하고 인시던트를 사전에 예방할 수도 있습니다. Microsoft는 보안 인시던트에 대비하기 위해 상당한 리소스를 사용합니다.
교육
Microsoft에서 근무하는 각 직원은 보안 인시던트 대응과 관련하여 자신의 역할에 적합한 교육을 받아야 합니다. 초기 교육은 신입 사원이 일하기 시작할 때 이루어지며, 그 후 매년 갱신 교육이 시행됩니다. 이 교육은 직원들이 Microsoft의 보안에 대한 근본적인 접근 방식을 이해할 수 있도록 하기 위해 마련되었습니다. 교육을 마치면 모든 직원은 다음을 수행할 수 있습니다.
- 보안 인시던트를 정의합니다.
- 보안 인시던트를 보고하는 역할과 책임을 설명합니다.
- 보안 대응 팀이 보안 인시던트에 대응하는 방법을 설명합니다.
- 잠재적인 보안 인시던트 를 적절한 보안 대응 팀으로 에스컬레이션하는 방법입니다.
- 개인 정보, 특히 고객 개인 정보에 대한 특별한 우려 사항을 명시합니다.
- 보안, 개인 정보 보호 및 에스컬레이션 연락처에 대한 추가 정보에 액세스합니다.
일반 보안 교육 외에도 인시던트 대응에 참여하는 직원은 추가 역할 기반 보안 교육을 받습니다.
OCE(온-콜 엔지니어) 유지 관리
보안 대응 팀을 포함한 모든 서비스 운영 팀은 24x7x365 리소스를 사용할 수 있도록 온-콜 회전을 유지합니다. 대기 순환에는 가용성을 위한 백업과 책임을 보장하기 위한 에스컬레이션 지점이 포함됩니다. OCE 및 해당 대기 시간은 인시던트가 관리되는 동일한 dashboard 내의 각 서비스 팀에 대해 중앙에서 나열됩니다. Microsoft의 호출 순환을 통해 Microsoft는 광범위하거나 동시적인 이벤트를 포함하여 언제든지 또는 규모에 따라 효과적인 인시던트 대응을 탑재할 수 있습니다.
OCE는 보안 관리 워크스테이션을 사용하여 프로덕션 환경에 액세스하며, 액세스는 시간 제한이며 인시던트 대응에 필요한 작업으로 범위가 지정됩니다.
도구 및 리소스
Microsoft 보안 대응 팀은 보안 인시던트 대응과 관련된 모든 도구와 리소스를 유지 관리할 책임이 있습니다. 여기에는 대기 중인 엔지니어에게 적절한 절차와 잠재적인 문제를 빠르고 안전하게 에스컬레이션하는 방법을 신속하게 알리도록 설계된 온라인 도움말 리소스가 포함됩니다. 인시던트 대응 리소스에는 보안 대응 팀이 다양한 보안 문제 및 공격 유형을 해결하는 데 도움이 되는 사용자 지정 도구, 스크립트 및 프로세스도 포함됩니다. OCE는 인시던트 대응 도구 및 리소스에 대한 액세스 자격을 유지하기 위해 연간 교육을 완료하고 최신 배경 검사를 받아야 합니다.
인시던트 대응 테스트
Microsoft는 환경 변경 및 새로운 보안 위협을 고려하여 인시던트 대응 계획을 정기적으로 테스트, 검토 및 업데이트합니다. 인시던트 대응 테스트 방법론은 레드 팀이라고 하는 보안 침투 테스터의 내부 팀에서 실시간으로 예측할 수 없는 공격을 사용합니다. 레드 팀은 다양한 기술을 사용하여 검색 없이 Microsoft Online Services 시스템을 손상시키려고 시도합니다. 레드 팀 활동은 실제 공격을 시뮬레이션하고 Microsoft의 보안 대응 팀의 기능을 테스트합니다.
내부 침투 테스트의 맥락에서 Microsoft의 보안 대응 팀은 블루 팀이라고 합니다. 블루 팀은 인시던트 대응 프로세스를 통해 레드 팀 공격을 실제 보안 인시던트인 것처럼 탐지하고 대응합니다. 고객 데이터는 침투 테스트의 대상이 아니지만 이러한 연습은 Microsoft Online Services가 새로운 종류의 보안 위협을 감지, 방지 및 대응할 준비가 되었는지 확인하는 데 도움이 됩니다.
Microsoft는 지속적인 내부 침투 테스트 외에도 '플래그 캡처' 이벤트, 일회성 탁상 연습 및 기타 즉석 또는 조직 이벤트를 비롯한 다양한 인시던트 대응 연습을 수행합니다. 이러한 연습은 진행 중인 내부 침투 테스트를 보완하여 모든 팀이 실제 보안 인시던트 발생 시 책임을 완수할 수 있도록 적절하게 준비되었는지 확인합니다.
증거 보호
인시던트 대응 중에 수집된 데이터는 민감한 경우가 많으며 보안을 유지해야 합니다. Microsoft의 보안 대응 팀은 모든 인시던트 관련 통신 및 설명서에 대해 적절한 암호화 및 정보 보호를 보장할 책임이 있습니다. 여기에는 조사 중에 수집된 포렌식 증거를 보관하기 위해 보안 증거 보관함을 사용하는 것이 포함됩니다. 팀은 모든 사건 관련 증거가 안전하고 수정되지 않은 상태로 유지되도록 하기 위해 일련의 보관을 포함하여 포렌식 증거를 처리하는 승인된 프로세스를 따릅니다.