Microsoft Online Services 인시던트 대응 3단계 - 억제, 근절 및 복구 이해
보안 대응 팀이 조정한 분석에 따라 보안 인시던트의 영향을 최소화하고 증거를 보존하며 환경에서 위협을 제거하기 위해 적절한 봉쇄 및 복구 계획이 개발됩니다. 관련 서비스 팀은 보안 대응 팀의 지원을 받아 계획을 구현하여 위협이 성공적으로 제거되고 영향을 받는 서비스가 완전히 복구되도록 합니다.
억제
억제의 주요 목표는 Microsoft 시스템, 응용 프로그램, 고객 및 고객 데이터에 대한 피해를 제한하는 것입니다. 이 단계에서 보안 대응 팀은 영향을 받는 서비스 팀과 협력하여 보안 인시던트의 영향을 제한하고 추가 피해를 방지합니다. 봉쇄 전략은 인시던트 유형에 따라 달라지지만 영향을 받는 시스템 다시 빌드, 감염된 호스트 분리 및 격리 또는 중요한 리소스에 대한 액세스 제어를 포함할 수 있습니다. 더 큰 영향 인시던트의 경우 계획은 복잡성으로 인해 사례별로 결정됩니다. Microsoft Online Services 내의 다양한 자동화된 응답은 팀이 인시던트 포함에 도움이 될 수도 있습니다.
데이터 수집 및 분석은 인시던트의 근본 원인이 올바르게 식별되고 영향을 받는 모든 서비스 및 테넌트가 근절 및 복구 계획에 포함되도록 하기 위해 억제 단계를 통해 계속됩니다. 영향을 받는 모든 서비스를 성공적으로 추적하면 완전한 근절 및 복구가 가능합니다.
근절
근절은 높은 신뢰도로 보안 인시던트의 근본 원인을 제거하는 과정입니다. 근절의 목표는 두 가지입니다. 즉, 공격자를 환경에서 완전히 제거하고, 인시던트에 기여했거나 적이 환경에 재진입할 수 있는 취약점을 줄이는 것입니다.
공격자를 제거하고 취약점을 완화하기 위한 근절 단계는 이전 인시던트 대응 단계에서 수행된 분석을 기반으로 합니다. 인시던트의 영향에 따라 악의적인 아티팩트 제거, 악의적인 프로세스 삭제, 비밀 재설정 또는 경우에 따라 시스템을 완전히 다시 빌드하는 작업이 포함될 수 있습니다. 이 프로세스 전반에 걸쳐 보안 대응 팀은 네트워크 및 프로세스 모니터링과 같은 전략을 사용하여 악의적인 활동을 계속 추적하고 모니터링합니다. 보안 대응 팀은 영향을 받는 서비스 팀과 협력하여 계획이 설계대로 실행되고 위협이 환경에서 성공적으로 제거되도록 합니다. 위협이 제거되고 근본 원인이 해결될 때까지는 복구가 불가능합니다.
복구
보안 대응 팀이 악의적 사용자가 환경에서 제거되고 알려진 취약성이 수정되었다고 확신하는 경우 영향을 받는 서비스 팀과 협력하여 복구를 시작합니다. 복구는 영향을 받는 서비스를 알려진 보안 구성으로 가져옵니다. 복구 프로세스에는 서비스의 마지막으로 알려진 양수 상태를 식별하고, 백업에서 이 상태로 복원하고, 복원된 상태를 확인하면 인시던트에 기여한 취약성이 완화됩니다.
복구 프로세스의 주요 측면은 복구 계획이 성공적으로 실행되었고 환경 내에 위반 징후가 남아 있지 않은지 검증하기 위한 향상된 탐지 제어 활동입니다. 추가 탐지 제어의 예로는 네트워크 수준 모니터링 증가, 인시던트 대응 프로세스 중에 식별된 공격 벡터에 대한 표적 경고, 중요 리소스에 대한 추가 보안 팀 경계 등이 있습니다. 강화된 모니터링은 근절이 성공하고 공격자가 환경에 재진입할 수 없도록 하는 데 도움이 됩니다.