인시던트 대응 계획

이 테이블을 검사 목록으로 사용하여 사이버 보안 인시던트에 대응하기 위해 SOC(보안 운영 센터)를 준비합니다.

완료	작업	설명	이점
	표 맨 위 연습	조직의 경영진이 어려운 위험 기반 결정을 고려하도록 강제하는 예측 가능한 비즈니스에 영향을 주는 사이버 인시던트의 주기적인 테이블 상위 연습을 수행합니다.	사이버 보안을 비즈니스 문제로 확고하게 설정하고 보여 줍니다. 머슬 메모리를 개발하고 조직 전반에 걸쳐 까다로운 결정과 결정 권한 문제를 발견합니다.
	공격 전 의사 결정 및 의사 결정자 결정	테이블 상위 연습을 보완하기 위해 위험 기반 의사 결정, 의사 결정 기준 및 해당 결정을 내리고 실행해야 하는 사용자를 결정합니다. 예: 누가/언제/언제 법 집행 기관으로부터 도움을 구해야 합니까? 인시던트 응답자를 등록할 사람/시기/시기 누가/언제/언제 몸값을 지불해야 합니까? 외부 감사자에게 알려야 하는 사람/시기/시기 개인 정보 보호 규제 기관에 알리는 사람/시기/시기 증권 규제 기관에 알릴 사람/시기/시기 이사회 또는 감사위원회에 통보할 사람/시기/시기 중요 업무용 워크로드를 종료할 권한은 누구에게 있는가?	인시던트에 대한 대응을 간소화하는 초기 대응 매개 변수 및 연락처를 정의합니다.
	권한 유지 관리	일반적으로 조언은 특권이 있을 수 있지만 사실은 발견할 수 있습니다. 권한이 보존되고 위험이 감소되도록 주요 인시던트 리더가 권한하에 조언, 사실 및 의견을 전달할 수 있도록 교육합니다.	권한 유지는 전자 메일, 공동 작업 플랫폼, 채팅, 문서, 아티팩트를 비롯한 다양한 통신 채널을 고려할 때 복잡한 프로세스가 될 수 있습니다. 예를 들어 Microsoft Teams 룸 사용할 수 있습니다. 인시던트 담당자와 외부 조직을 지원하는 일관된 접근 방식은 잠재적인 법적 노출을 줄이는 데 도움이 될 수 있습니다.
	내부자 거래 고려 사항	증권법 위반 위험을 줄이기 위해 경영진에게 통지할 것을 고려합니다.	이사회와 외부 감사원은 난기류 기간 동안 의심스러운 증권 거래의 위험을 줄이는 완화 조치가 있음을 인정하는 경향이 있습니다.
	인시던트 역할 및 책임 플레이북	다양한 프로세스가 초점을 유지하고 진행되도록 기본 역할과 책임을 설정합니다. 응답 팀이 원격인 경우 표준 시간대에 대한 다른 고려 사항과 조사자에게 적절한 전달이 필요할 수 있습니다. 공급업체 팀과 같이 관련될 수 있는 다른 팀 간에 통신해야 할 수도 있습니다.	기술 인시던트 리더 – 항상 인시던트에서 입력 및 결과를 합성하고 다음 작업을 계획합니다. 통신 연락 – 기술 인시던트 리더에서 경영진과 통신하는 부담을 제거하여 포커스를 잃지 않고 인시던트에 다시 기본 수 있습니다. 이 활동에는 집행 메시징 및 규제 기관과 같은 다른 제3자와의 상호 작용 관리가 포함되어야 합니다. 인시던트 레코더 – 인시던트 대응자가 발견, 결정 및 조치를 기록해야 하는 부담을 없애고 처음부터 끝까지 인시던트에 대한 정확한 설명을 생성합니다. Forward Planner – 중요 업무용 비즈니스 프로세스 소유자와 협력하여 24, 48, 72, 96시간 이상 지속되는 정보 시스템 장애를 고려하는 비즈니스 연속성 활동 및 준비를 수립합니다. 홍보 – Forward Planner를 사용하여 대중의 관심을 끌 가능성이 있는 인시던트가 발생할 경우 가능한 결과를 다루는 공개 커뮤니케이션 접근 방식을 고려하고 초안을 작성합니다.
	개인 정보 인시던트 대응 플레이북	점점 더 엄격한 개인 정보 보호 규정을 충족하려면 SecOps와 개인 정보 보호 사무실 간에 공동 소유 플레이북을 개발합니다. 이 플레이북을 사용하면 보안 인시던트에서 발생할 수 있는 잠재적인 개인 정보 보호 문제를 신속하게 평가할 수 있습니다.	대부분의 보안 인시던트는 고도로 기술적인 SOC에서 발생하기 때문에 개인 정보 보호에 영향을 미칠 가능성이 있는 보안 인시던트를 평가하기가 어렵습니다. 인시던트가 규제 위험이 결정되는 개인 정보 보호 사무실(종종 72시간 알림 기대치 포함)에 신속하게 노출되어야 합니다.
	침투 테스트	중요 비즈니스용 시스템, 중요 인프라 및 백업에 대한 특정 시점 시뮬레이션 공격을 수행하여 보안 태세의 약점을 식별합니다. 일반적으로 이 활동은 예방 제어를 우회하고 주요 취약성을 노출하는 데 중점을 두는 외부 전문가 팀이 수행합니다.	최근 사람이 운영하는 랜섬웨어 인시던트에 비추어 볼 때, 인프라의 범위 증가, 특히 중요 업무용 시스템 및 데이터의 백업을 공격하고 제어할 수 있는 능력에 대해 침투 테스트를 수행해야 합니다.
	레드 팀/블루 팀/퍼플 팀/그린 팀	중요 비즈니스용 시스템, 중요 인프라 및 백업에 대한 지속적 또는 정기적인 시뮬레이션 공격을 수행하여 보안 태세의 약점을 식별합니다. 일반적으로 이 활동은 형사 컨트롤 및 팀(블루 팀)의 효율성을 테스트하는 데 중점을 두는 내부 공격 팀(레드 팀)에 의해 수행됩니다. 예를 들어 Office 365용 Microsoft Defender XDR에서 공격 시뮬레이션 훈련 사용하고 엔드포인트용 Microsoft Defender XDR에 대한 공격 자습서 및 시뮬레이션을 사용할 수 있습니다.	레드, 블루 및 퍼플 팀 공격 시뮬레이션은 잘 수행되면 다음과 같은 다양한 용도로 사용됩니다. IT 조직 전체의 엔지니어가 자체 인프라 분야에 대한 공격을 시뮬레이션할 수 있습니다. 표시 유형 및 검색의 간격을 표시합니다. 전반적으로 보안 엔지니어링 기술을 향상시킵니다. 보다 지속적이고 확장된 프로세스로 작용합니다. 그린 팀은 IT 또는 보안 구성을 변경합니다.
	비즈니스 연속성 계획	중요 업무용 비즈니스 프로세스의 경우 정보 시스템 손상 시 실행 가능한 최소 비즈니스가 작동할 수 있도록 하는 연속성 프로세스를 설계하고 테스트합니다. 예를 들어 Azure 백업 및 복원 계획을 사용하여 공격 중에 중요한 비즈니스 시스템을 보호하여 비즈니스 운영의 신속한 복구를 보장합니다.	IT 시스템의 손상 또는 부재에 대한 연속성 해결 방법이 없다는 사실을 강조합니다. 더 간단한 백업 및 복구보다 정교한 디지털 복원력의 필요성과 자금을 강조할 수 있습니다.
	재해 복구	중요 업무용 비즈니스 프로세스를 지원하는 정보 시스템의 경우 준비 시간을 포함하여 핫/콜드 및 핫/웜 백업 및 복구 시나리오를 설계하고 테스트해야 합니다.	운영 체제 미설치 빌드를 수행하는 조직은 종종 서비스 수준 목표에 맞지 않거나 복제본(replica) 불가능한 활동을 찾습니다. 지원되지 않는 하드웨어에서 실행되는 중요 업무용 시스템은 여러 번 최신 하드웨어로 복원할 수 없습니다. 백업 복원은 종종 테스트되지 않으며 문제가 발생합니다. 백업은 준비 시간이 복구 목표에 고려되지 않도록 오프라인 상태일 수 있습니다.
	대역 외 통신	다음 시나리오에서 통신하는 방법을 준비합니다. 전자 메일 및 공동 작업 서비스 손상 문서 리포지토리의 몸값 직원 전화 번호를 사용할 수 없음	어려운 연습이지만 대규모 배포를 위해 오프라인 디바이스 및 위치에 중요한 정보를 변경할 수 없도록 저장하는 방법을 결정합니다. 예: 전화번호 토폴로지 문서 빌드 IT 복원 절차
	강화, 위생 및 수명 주기 관리	CIS(인터넷 보안 센터) 상위 20개 보안 제어에 따라 인프라를 강화하고 철저한 위생 활동을 수행합니다.	최근 인간이 운영하는 랜섬웨어 인시던트에 대응하여 Microsoft는 사이버 공격 킬 체인의 모든 단계를 보호하기 위한 특정 지침을 발표했습니다. 이 지침은 Microsoft 기능 또는 다른 공급자의 기능에 적용됩니다. 특히 다음과 같습니다. 랜섬 시스템의 경우 변경할 수 없는 백업 복사본의 생성 및 기본 테넌트입니다. 변경 불가능한 로그 파일을 유지하여 공격자가 추적을 커버하는 기능을 복잡하게 만드는 방법도 고려할 수 있습니다. 재해 복구를 위해 지원되지 않는 하드웨어와 관련된 위험
	인시던트 대응 계획	인시던트 시작 시 다음을 결정합니다. 중요한 조직 매개 변수입니다. 역할 및 책임에 대한 인원 할당. 긴급도(예: 24x7 및 업무 시간)입니다. 기간 동안 지속 가능성을 위한 직원입니다.	빠른 해결을 위해 처음에 인시던트에서 사용 가능한 모든 리소스를 throw하는 경향이 있습니다. 인시던트가 장기간 진행될 것으로 인식하거나 예상한 후에는 직원 및 공급업체와 함께 더 긴 운송을 위해 정착할 수 있는 다른 자세를 취합니다.
	인시던트 대응자	서로 명확한 기대치를 설정합니다. 진행 중인 활동을 보고하는 인기 있는 형식은 다음과 같습니다. 우리는 무엇을 했나요 (그리고 결과는 무엇이었는지)? 수행하고 있는 작업(및 생성될 결과 및 시기)은 무엇인가? 다음에 수행할 작업은 무엇인가(및 결과가 나오는 현실적인 시기는 언제인가)?	인시던트 응답자는 데드 박스 분석, 빅 데이터 분석 및 증분 결과를 생성하는 기능을 포함하여 다양한 기술과 접근 방식을 제공합니다. 명확한 기대로 시작하면 명확한 의사 소통이 용이합니다.

인시던트 대응 리소스

• 새로운 역할 및 숙련된 분석가를 위한 Microsoft 보안 제품 및 리소스 개요
• 일반적인 공격 방법에 대응하는 방법에 대한 자세한 지침에 대한 플레이북
• Microsoft Defender XDR 인시던트 대응
• 클라우드용 Microsoft Defender(Azure)
• Microsoft Sentinel 인시던트 대응
• Microsoft 인시던트 대응 팀 가이드가 보안 팀 및 리더를 위한 모범 사례를 공유합니다.
• Microsoft 인시던트 대응 가이드는 보안 팀이 의심스러운 활동을 분석하는 데 도움이 됩니다.

주요 Microsoft 보안 리소스

리소스	설명
2021년 Microsoft 디지털 방어 보고서	Microsoft의 보안 전문가, 실무자 및 수비수의 학습을 포괄하여 전 세계 사람들이 사이버 위협으로부터 방어할 수 있도록 하는 보고서입니다.
Microsoft 사이버 보안 참조 아키텍처	Microsoft의 사이버 보안 기능과 Microsoft 365, Microsoft Azure, 타사 클라우드 플랫폼 및 앱과 같은 Microsoft 클라우드 플랫폼과의 통합을 보여 주는 시각적 아키텍처 다이어그램 세트입니다.
분 문제 인포그래픽 다운로드	Microsoft의 SecOps 팀이 지속적인 공격을 완화하기 위해 인시던트 대응을 수행하는 방법에 대한 개요입니다.
Azure 클라우드 채택 프레임워크 보안 작업	보안 작업 기능을 설정하거나 현대화하는 리더를 위한 전략적 지침입니다.
보안 작업에 대한 Microsoft 보안 모범 사례	SecOps 센터를 사용하여 조직을 대상으로 하는 공격자보다 빠르게 이동하는 가장 좋은 방법입니다.
IT 설계자를 위한 Microsoft 클라우드 보안 모델	ID 및 디바이스 액세스, 위협 방지 및 정보 보호를 위한 Microsoft 클라우드 서비스 및 플랫폼 전반의 보안
Microsoft 보안 설명서	Microsoft의 추가 보안 지침입니다.