사고 대응(IR)은 공격을 신속하게 식별하고, 그 영향을 최소화하며, 피해를 억제하고, 향후 인시던트의 리스크를 줄이기 위해 원인을 치료하는 활동입니다.

사고 대응에 대한 정의

거의 모든 회사에는 일정 수준의 사고 대응 프로세스가 있습니다. 하지만 보다 공식적인 프로세스를 구축하려는 회사라면 다음과 같이 적절한 질문을 해야 합니다.

1. 사고 대응에 관여하는 담당자가 출두할 경우 이를 지원하기 위한 단계는 무엇입니까?
2. 대응 계획은 얼마나 포괄적이고 구체적이어야 합니까?
3. 적절하게 대응할 수 있는 적합한 인력이 충분합니까?
4. 인시던트에 대응하고 정상적인 운영으로 복귀하는 데 허용되는 SLA는 얼마입니까?

Ponemon Institute의 연구에 따르면, 대부분의 회사는 한 가지 이상의 영역에서 부족하기 때문에 대개 이러한 질문에 대한 최적의 답을 찾기 어렵습니다.

77%의 회사가 공식적이고 일관되게 적용되는 계획을 갖추고 있지 않음

57%는 대응 시간이 증가했다고 응답

77%가 보안 직원을 채용하고 유지하는 데 어려움을 겪고 있다고 응답*

평균적으로 악의적 공격 또는 범죄 공격을 식별하는 데 214일이 소요되고 억제 및 복구에는 77일이 소요됩니다. 매일 직면하는 점점 증가하고 가속화되는 위협으로부터 조직을 완벽하게 보호하려면 더 나은 사고 대응 관리가 필요하다는 것은 분명합니다.

*IBM 연구: 여전히 비즈니스의 주요 당면 과제인 사이버 보안 인시던트에 대한 대응

A. 적합한 팀 - 가장 효과적인 사고 대응을 제공하기 위해 업계 전문가들은 회사의 규모와 관계없이 팀에 다음과 같은 역할을 포함할 것을 제안합니다. 물론 기술 팀이 주도권을 갖지만 특히 심각한 공격이 발생하는 경우 회사 내 다른 기능 영역이 협력해야 합니다. 이러한 역할에 대한 담당자를 파악하고 나면, 광범위한 결과를 초래하는 심각하고 광범위한 공격이 발생할 경우 사고 대응, 보안 분석, IT, 위협 연구, 법무, 인사, 기업 커뮤니케이션, 리스크 관리, 경영진 및 외부 보안 포렌식 전문가 등 담당자에게 자신의 책임이 무엇인지 교육하십시오.

B. 적합한 계획 – 포괄적인 사고 대응 계획에는 최소한 다음과 같은 전략과 프로세스가 포함됩니다.

• 팀이 어떤 종류의 위협에도 대응할 수 있도록 대비
• 인시던트 발생 후 해당 유형과 심각도 감지 및 식별
• 피해 억제 및 제한
• 피해 영향 및 관련 리스크 파악
• 근본 원인 파악 및 근절
• 공격의 완화 및 해결
• 공격 후 계획을 분석 및 수정하여 향후 공격을 예방

공격이 진행 중일 때는 커뮤니케이션이 중요하므로, 대응 계획의 일환으로 원활한 커뮤니케이션 흐름을 수립해야 합니다.

C. 적합한 툴 – 알려지지 않은 공격이 증가하고 있는 상황에서 적합한 툴을 사용하면 회사의 시간과 비용을 크게 절감할 수 있습니다. 또한 고객과 브랜드 충성도를 보호할 수 있을 것입니다.

정보는 사고 대응 계획을 위한 중요한 자산입니다. 따라서 클라우드 기반 엔드포인트 보안 솔루션은 일반적으로 가장 포괄적인 툴을 제공하여 가장 빠른 방식으로 공격을 완화합니다. 여기에는 다음을 통한 주요 데이터에 대한 액세스가 포함됩니다.

• 필터링되지 않은 데이터 캡처는 대응 팀에 이전에 발견된 공격 패턴과 동작뿐만 아니라 엔드포인트 동작에 대한 통찰력을 제공합니다. 특히 오늘날 활용되는 알려지지 않은 공격 방법이 증가하는 상황을 고려할 때, 이는 공격 조사를 며칠에서 몇 분으로 단축할 수 있는 핵심입니다.
• 데이터 분석은 현재 및 과거의 모든 엔드포인트 활동에 대한 가시성을 제공합니다. 적절한 데이터가 있으면 공격이 시작되는 위치와 공격 경로를 파악할 수 있으므로 더욱 신속하게 공격을 해결할 수 있습니다.
• 외부 위협 인텔리전스를 통해 조직은 아직 보지 못했지만 다른 회사에는 발견한 위협을 신속하게 식별할 수 있습니다. 대상을 알면 더욱 신속하게 대응할 수 있다는 점을 다시 한 번 강조합니다.
• Live Response 기능을 통해 원격 엔드포인트의 문제를 해결하고 불필요한 리이미징 작업을 제거할 수 있습니다.

사이버 복원력을 갖춘 조직에 관한 제3차 연례 보고서

회사가 직면하고 있는 보안 당면 과제에 대한 대부분의 연구에는 숙련된 보안 인력을 고용하고 유지하는 어려움에 대한 통계가 포함되어 있으며, 위 Ponemon 연구에 따르면 응답자의 77%가 해당 어려움을 겪는 것으로 나타났습니다. 전 세계적으로 거의 200만 명에 달하는 중요 보안 직무에 필요한 인력에 대한 부족 현상이 빠르게 대두되고 있습니다.

적합한 보안 인력의 부재는 사고 대응에 심각한 영향을 미치기 때문에 회사에서는 이와 같은 보안 기능을 아웃소싱하는 방안을 모색하고 있습니다. 실제로 Gartner에서는 2018년에 보안 아웃소싱 서비스 관련 지출이 180억 달러를 넘어설 것으로 전망하며, 이는 컨설팅에 이어 두 번째로 큰 보안 지출 부문입니다.

적합한 인재를 고용하기 어려운 상황에서, 관리형 서비스가 보안 팀의 빈틈을 빠르게 메울 수 있으므로 보안 아웃소싱 지출이 합리적인 이유가 됩니다. 이를 통해 알림의 우선 순위를 지정하고, 새로운 위협을 발견하고, 조사를 가속화할 수 있습니다. 이러한 서비스는 일반적으로 회사 환경을 지속적으로 감시하고 새로운 위협을 식별하며 팀에 가장 큰 도움이 필요할 때 중요한 보안 서비스에 대한 액세스를 제공할 수 있는 고도로 숙련된 위협 전문가로 구성됩니다.

*Gartner는 2018년에 전 세계 보안 지출이 2017년 대비 8% 증가한 960억 달러에 이를 것으로 예측함