사고 대응

인시던트 대응은 조직의 복원력을 유지하고 보안 인시던트가 발생할 때 비즈니스 영향을 최소화하여 포렌식 증거를 유지하면서 신속한 탐지, 효과적인 억제 및 포괄적인 복구를 보장합니다. 준비, 검색 및 분석, 포함/근절/복구 및 인시던트 후 활동을 포함하는 NIST SP 800-61 프레임워크에 접근 방식을 맞춥니다. 약하거나 부재한 기능은 지속 시간 연장, 심각한 손상, 규정 위반 및 반복된 공격으로 이어지고 있습니다.

다음은 인시던트 대응 보안 도메인의 세 가지 핵심 핵심 요소입니다.

인시던트 대응 준비: 인시던트가 발생하기 전에 계획, 절차 및 기능을 설정합니다. 위협 탐지 플랫폼, XDR(확장 검색 및 대응) 솔루션, SIEM(보안 정보 및 이벤트 관리) 시스템, 중앙 집중식 로깅 인프라 및 워크플로 자동화 기능을 비롯한 클라우드 네이티브 보안 도구를 구현합니다. 보안 연락처, 알림 및 에스컬레이션 절차를 구성하여 인시던트 중에 이해 관계자의 신속한 조정을 보장합니다.

관련 컨트롤:

• IR-1: 준비 - 인시던트 대응 계획 및 처리 프로세스 업데이트
• IR-2: 준비 - 인시던트 알림 설정

인시던트 검색, 분석 및 조사: 클라우드 보안 분석 및 위협 인텔리전스를 사용하여 고품질 경고 생성, 자동화된 인시던트 생성 및 체계적인 조사를 구현합니다. 고급 분석, 위협 헌팅 및 ID 서비스, 네트워크 원격 분석 및 시스템 스냅샷을 비롯한 포괄적인 데이터 원본 통합을 사용하여 클라우드 워크로드에 통합된 위협 탐지 기능을 배포합니다. 자산 중요도, 비즈니스 영향 및 위협 심각도에 따라 인시던트의 우선 순위를 지정합니다.

관련 컨트롤:

• IR-3: 검색 및 분석 - 고품질 경고를 기반으로 인시던트 만들기
• IR-4: 검색 및 분석 - 인시던트 조사
• IR-5: 검색 및 분석 - 인시던트 우선 순위 지정

인시던트 포함, 복구 및 학습: 신속한 포함 및 일관된 실행을 위해 보안 오케스트레이션 및 워크플로 자동화를 통해 응답을 자동화합니다. 학습된 검토를 수행하고, 변경할 수 없는 클라우드 스토리지에 증거를 유지하고, 인시던트 대응 기능을 지속적으로 개선합니다.

관련 컨트롤:

• IR-6: 봉쇄, 근절 및 복구 - 인시던트 처리 자동화
• IR-7: 인시던트 후 활동 - 배운 교훈을 수행하고 증거를 유지합니다.

IR-1: 준비 - 인시던트 대응 계획 및 처리 프로세스 업데이트

보안 원칙

공유 책임 모델, 클라우드 네이티브 조사 기능 및 자동화된 대응 도구를 통합하여 Azure 환경에 맞게 특별히 조정된 포괄적인 인시던트 대응 계획을 개발하고 유지 관리합니다. 탁상 연습 및 시뮬레이션을 통해 응답 절차를 정기적으로 테스트하여 효율성과 지속적인 개선을 보장합니다.

완화할 리스크

포괄적인 인시던트 대응 계획 없이 운영되는 조직은 보안 인시던트가 발생할 때 엄청난 결과를 초래하여 장기간의 비즈니스 중단, 규제 위반 및 고객 신뢰에 영구적인 손상을 입힙니다. 체계적인 인시던트 대응 준비 없이:

• 혼란스러운 위기 대응: 절차, 역할 및 채널이 부족하면 혼란, 지연 및 비효율적인 작업으로 이어지며, 이로 인해 지연 시간이 연장되고 피해가 증폭됩니다.
• 부적절한 클라우드 관련 절차: 기존 계획에는 클라우드 공유 책임 모델, 조사 도구 및 클라우드 포렌식이 누락되어 불완전한 응답 및 증거 손실이 발생합니다.
• 이해 관계자 조정 누락: 클라우드 서비스 공급자, 규제 기관, 고객 및 내부 팀과의 통신 프로토콜이 없으므로 지연, 위반 및 평판이 손상됩니다.
• 테스트되지 않은 응답 기능: 조직은 제어된 테스트 환경이 아닌 실제 인시던트 중에 도구, 기술 및 절차에서 결함을 발견하여, 억제에 실패하고 복구 시간이 연장되는 결과를 초래했습니다.
• 규정 준수 실패: 인시던트 알림 요구 사항이 적용되는 산업(HIPAA, PCI-DSS, GDPR, SOX)은 문서화되고 테스트된 응답 절차 없이는 필수 보고 일정을 충족할 수 없습니다.
• 부적절한 증거 보존: 적절한 증거 수집 및 보존 절차를 설정하지 못하면 법의학 조사, 법적 절차 및 근본 원인 분석 기능이 손상됩니다.

부적절한 준비는 영향을 증폭시키고, 복구를 확장하며, 재발을 방지하기 위한 학습을 저해합니다.

MITRE ATT&CK

• 방어 회피(TA0005): 탐지 또는 효과적인 봉쇄 없이 더 오래 작동하기 위해 인시던트 대응 절차의 격차를 악용하는 방어(T1562)를 손상시킵니다.
• 영향(TA0040): 조직에서 백업 복원 및 시스템 복구를 위한 신속한 대응 기능이 부족한 경우 최대 손상을 초래하는 데이터 파괴(T1485)입니다.
• 수집(TA0009): 지연된 검색 및 응답을 활용하여 반출을 위해 준비된 데이터(T1074)를 사용하여 데이터 도난 작업을 완료합니다.

IR-1.1: Azure 관련 인시던트 대응 계획 개발

일반적인 인시던트 대응 계획은 공유 책임 모델, API 기반 증거 수집 및 서비스 공급자 협업 요구 사항이 기존의 데이터 센터 인시던트 처리와 근본적으로 다른 클라우드 환경에서 실패합니다. Azure 특정 응답 절차는 물리적 네트워크 연결 끊김 대신 자동화를 통해 VM 스냅샷, 네트워크 흐름 로그 및 리소스 격리와 같은 클라우드 네이티브 기능을 해결해야 합니다. Microsoft 협업 프로세스에 대한 명확한 설명서를 통해 보안 팀은 공급업체 지원이 필요한 인시던트 중에 플랫폼 지원을 언제 어떻게 참여해야 하는지 알 수 있으므로 에스컬레이션 절차에 대한 불확실성으로 인한 지연된 대응을 방지할 수 있습니다.

Azure 관련 계획을 통해 클라우드 인식 인시던트 대응을 설정합니다.

Azure 환경, 공유 책임 모델 및 클라우드 네이티브 보안 기능을 다루는 포괄적인 인시던트 대응 계획을 개발합니다. 클라우드용 Microsoft Defender 및 Microsoft Sentinel 은 통합 인시던트 대응 기능을 제공합니다.

Azure 인시던트 대응 계획 개발:

• 공유 책임 모델 통합:Azure 공유 책임 모델을 사용하여 인시던트 대응 활동에서 다양한 서비스 유형(IaaS, PaaS, SaaS)에 대한 Microsoft와 고객 간의 책임에 대한 명확한 설명입니다.
• Azure-Native 조사 기능: 포괄적인 인시던트 조사를 위해 Azure Monitor 로그, Microsoft Entra ID 감사 로그, Microsoft Entra ID 로그인 로그, 네트워크 보안 그룹 흐름 로그 및 클라우드용 Microsoft Defender 경고를 활용
• 클라우드 특정 증거 수집: Azure 서비스에서 VM 스냅샷, 메모리 덤프, 네트워크 패킷 캡처 및 로그 수집에 대한 절차
• Microsoft 공동 작업 절차: 필요한 경우 Microsoft 지원, Azure 보안 대응 팀 및 MSRC(Microsoft 보안 대응 센터) 를 참여시키기 위한 확립된 프로세스
• Azure 리소스 격리 절차: 인시던트 포함 중에 손상된 VM, 컨테이너, 스토리지 계정 및 기타 Azure 리소스를 격리하기 위한 특정 단계( 클라우드용 Defender 경고 처리 및 격리 참조).

클라우드용 Microsoft Defender 통합:

• 보안 연락처 구성: 24/7 가용성 및 에스컬레이션 절차가 있는 인시던트 알림에 대해 지정된 보안 연락처(보안 연락처 구성).
• 경고 심각도 매핑: Defender for Cloud 경고 심각도와 조직 인시던트 분류 수준 간의 상관 관계(Defender for Cloud 경고 심각도).
• 자동화된 워크플로 통합: 고심각도 보안 경고에 의해 트리거되는 Logic Apps를 사용하여, 자동으로 인시던트를 생성하고 알림하는 워크플로입니다(워크플로 자동화(클래식)).
• 규정 알림 템플릿: GDPR, HIPAA, PCI-DSS 및 기타 규정 요구 사항에 대해 미리 구성된 알림 템플릿
• 증거 내보내기 절차: 인시던트 설명서(연속 내보내기)에 대한 보안 결과, 권장 사항 및 경고 데이터를 내보내기 위한 체계적인 절차입니다.

IR-1.2: 인시던트 대응 팀 구조 및 교육 설정

인시던트 응답 효율성은 Azure 특정 조사 기술, 로그 분석 기능 및 기존 인프라 기술과 다른 클라우드 서비스 아키텍처를 사용하는 팀 구성원의 전문 지식에 크게 의존합니다. 명확하게 정의된 역할은 권한에 대한 모호성이 대응 마비를 유발할 때 고압 인시던트 동안 책임 격차 및 의사 결정 지연을 방지합니다. 클라우드 네이티브 조사 도구 및 절차에 대한 전문 교육은 일반 보안 분석가를 플랫폼 기능을 사용하여 신속한 증거 수집 및 포함 작업을 수행할 수 있는 Azure 인시던트 응답자로 변환합니다.

특수한 팀 구조를 통해 Azure 인시던트 대응 기능을 빌드합니다.

Azure 환경에 대해 명확하게 정의된 역할, 책임 및 의사 결정 권한을 사용하여 전용 인시던트 대응 팀을 설정합니다. Microsoft Security Academy 및 클라우드용 Microsoft Defender 교육 자료 는 특수한 클라우드 인시던트 대응 교육을 제공합니다.

Azure 중심 팀 구조:

• 클라우드 보안 분석가: Azure 보안 서비스, 로그 분석 및 클라우드 네이티브 조사 기술 전문
• Azure 솔루션 설계자: Azure 서비스 구성, 네트워크 토폴로지 및 아키텍처 보안 영향 이해
• 법률 및 규정 준수 담당자: 클라우드 관련 규정 요구 사항 및 Microsoft 공동 작업 절차에 대한 지식
• 비즈니스 연속성 코디네이터: Azure 재해 복구, 백업 복원 및 서비스 연속성 계획에 대한 전문 지식
• 외부 에스컬레이션 연락처: Microsoft 지원, 법률 고문 및 규제 알림 연락처와의 관계 설정

구현 예제

의료 조직은 HIPAA 요구 사항을 충족하고 문서화된 절차 및 학습된 대응 팀을 사용하여 환자 데이터를 보호하기 위해 포괄적인 Azure 인시던트 대응 준비를 구현했습니다.

도전: 의료 조직은 Azure 특정 인시던트 대응 절차와 구조화된 팀 할당이 부족하여 환자 데이터 위반 중 지연된 응답과 불분명한 에스컬레이션 경로가 있는 잠재적 HIPAA 위반의 위험을 초래했습니다.

솔루션 접근 방식:

• 환자 데이터 인시던트에 대한 HIPAA 위반 알림 요구 사항 및 Microsoft 협업 절차를 통합하는 Azure 관련 인시던트 대응 계획 개발
• Microsoft Sentinel 조사 및 Azure 포렌식에서 인증된 Azure 보안 전문가로 구성된 인시던트 대응 팀
• 24/7 알림 및 HIPAA 위반에 대한 법률 팀에 대한 자동 에스컬레이션을 사용하여 클라우드용 Microsoft Defender 보안 연락처 구성
• 랜섬웨어, 데이터 반출 및 내부자 위협에 대한 Azure 공격 시뮬레이션 시나리오를 사용하여 분기별 탁상 연습 구현
• VM 스냅샷 자동화, Azure Monitor 로그 내보내기 및 Microsoft Entra ID 감사 보존을 포함하여 Azure 서비스에 대한 증거 수집 프로시저를 만들었습니다.
• Azure 플랫폼 인시던트 중 Microsoft 지원을 참여시키기 위한 Microsoft 공동 작업 워크플로 설정

결과: 문서화된 절차, 학습된 팀 및 24/7 응답 범위를 사용하여 포괄적인 HIPAA 규격 인시던트 대응 기능을 달성했습니다. 분기별 연습은 응답 효율성의 유효성을 검사하고 지속적인 개선 기회를 확인했습니다.

중요도 수준

있어야 합니다.

컨트롤 매핑

• NIST SP 800-53 개정판 5: IR-1, IR-1(1), IR-2, IR-2(1), CP-2, CP-2(1)
• PCI-DSS v4: 12.10.1, 12.10.2
• CIS 컨트롤 v8.1: 17.1, 17.2, 17.3
• NIST CSF v2.0: PR.IP-9, PR.IP-10, RS.CO-1
• ISO 27001:2022: A.5.24, A.5.25, A.5.26, A.5.27
• SOC 2: CC9.1, A1.1

IR-2: 준비 - 인시던트 알림 설정

Azure Policy:Azure 기본 제공 정책 정의 IR-2를 참조하세요.

보안 원칙

자동화된 트리거, 적절한 관련자 연락처 목록 및 Microsoft 보안 서비스와의 통합을 통해 포괄적인 인시던트 알림 시스템을 설정하여 필요한 모든 당사자 간에 신속하고 정확하며 규정을 준수하는 인시던트 통신을 보장합니다.

완화할 리스크

부적절한 인시던트 알림 시스템은 보안 인시던트 영향을 증폭시키고, 규제 요구 사항을 위반하며, 이해 관계자 신뢰를 훼손하는 심각한 지연을 만듭니다. 적절한 알림 인프라가 없는 경우:

• 지연된 이해 관계자 인식: 임원, 법률 팀 및 응답자는 적시에 결정 및 리소스 할당을 방지하여 인식하지 못합니다.
• 규정 위반: 누락된 알림 타임라인(GDPR 72시간, HIPAA 60일 PCI-DSS 즉시)은 벌금 및 제재를 트리거합니다. (참조: GDPR 문서 33/34, HIPAA 위반 알림 규칙, PCI-DSS).
• 비효율적인 클라우드 공급자 공동 작업: 클라우드 보안 연락처를 제대로 구성하지 못하면 플랫폼 수준 인시던트 또는 공급자 지원이 필요한 경우 클라우드 공급자 보안 대응 팀과의 협업을 방지할 수 있습니다.
• 고객 신뢰 침식: 개인 데이터 또는 서비스 중단과 관련된 인시던트 중 지연되거나 부적절한 고객 알림은 관계를 손상시키고 법적 노출을 만듭니다.
• 정렬되지 않은 응답 작업: 자동화된 알림 트리거 및 에스컬레이션 프로시저가 없으면 여러 팀이 조정 또는 상황 인식 없이 작업하면서 대응 작업이 단편화됩니다.
• 지연된 응답 조정: 법의학 팀, 법률 고문 및 기술 응답자에 대한 느린 알림은 중요한 봉쇄 조치, 증거 보존 절차 및 조정 된 방어 조치를 지연합니다.

잘못된 알림 시스템은 신속한 대응, 조정 및 규정 준수를 방지하여 손상을 가중합니다.

MITRE ATT&CK

• 명령 및 제어(TA0011): 지연된 관련자 알림이 조정된 네트워크 수준 포함 작업을 방지할 때 명령 및 제어 채널을 더 오래 유지 관리하는 애플리케이션 계층 프로토콜(T1071)입니다.
• 반출(TA0010): 팀 간 조정 전에 알림 및 에스컬레이션 지연 중에 데이터 도난을 완료하는 C2 채널(T1041)을 통한 반출은 효과적인 차단을 가능하게 합니다.
• 영향(TA0040): 영향을 위해 암호화된 데이터(T1486)는 여러 시스템에 랜섬웨어를 분산하는 반면 지연된 알림은 신속한 격리 및 백업 복구 조정을 방지합니다.

IR-2.1: Microsoft 보안 연락처 정보 구성

Microsoft 플랫폼 수준의 개입이 필요한 보안 인시던트가 오래되거나 잘못된 연락처 정보로 인해 공급자 알림이 차단되어 클라우드 공급업체만 수행할 수 있는 중요한 대응 작업이 지연되는 경우 실패합니다. 확인된 24/7 연결 가능한 보안 연락처를 통해 Microsoft는 고객에게 플랫폼 취약성, 서비스 중단 또는 조정된 대응이 필요한 검색된 손상 패턴을 즉시 알릴 수 있습니다. 다중 채널 통신 방법 및 백업 연락처는 기본 연락처 가용성, 표준 시간대 차이 또는 통신 인프라 오류에 관계없이 인시던트 알림이 적절한 담당자에게 도달하도록 보장합니다.

확인된 보안 연락처를 통해 Microsoft 협업을 사용하도록 설정합니다.

Microsoft Defender for Cloud에서 보안 연락처 정보를 구성하고 포괄적인 연락처 관리를 설정하여 공동 작업 또는 플랫폼 수준의 대응이 필요한 인시던트 중에 Microsoft가 적절한 담당자에게 연락할 수 있도록 합니다.

클라우드용 Microsoft Defender 보안 연락처:

• 기본 보안 연락처: 인시던트 대응 기관 및 의사 결정 기능을 갖춘 24/7 연결 가능한 보안 팀 담당자
• 보조 연락처 구성: 시간대 전역에서 적용 범위를 보장하기 위해 지리적으로 분산된 백업 연락처를 사용하는 글로벌 조직
• 역할 기반 연락처 할당: 데이터 유출, 플랫폼 취약성, 서비스 중단 등 다양한 인시던트 유형별 별도 연락처
• 연락처 확인 절차: Microsoft 공동 작업 연습 및 알림 훈련을 통해 연락처 정보의 정기적인 테스트
• 다중 채널 통신: 기본 연락처를 사용할 수 없는 경우 명확한 에스컬레이션 절차를 사용하는 전자 메일, SMS 및 전화 연락처 방법

클라우드용 Microsoft Defender 통합:

• 경고 트리거 알림: 사용자 지정 가능한 임계값 및 필터링 조건을 사용하여 높고 중요한 심각도 경고에 대한 자동 알림 생성
• Subscription-Level 구성: 관리 그룹, 구독 및 리소스 그룹 등 다양한 범위 수준에서의 보안 연락처 구성
• 알림 사용자 지정: 인시던트 심각도 수준, 영향을 받는 리소스 및 초기 응답 지침을 포함한 사용자 지정 알림 템플릿
• Ticketing Systems와 통합: 인시던트 추적 및 워크플로 관리를 위한 Azure DevOps 또는 기타 ITSM 플랫폼에서 자동 티켓 만들기

IR-2.2: 자동화된 알림 워크플로 구현

수동 알림 프로세스는 보안 인시던트 중에 중요한 지연을 발생시키고, 관련자 식별 및 통신에서 사용자 병목 현상이 발생하여 신속한 대응 동원을 방지합니다. 자동화된 워크플로는 수동 결정 없이 인시던트 특성, 심각도 및 규정 요구 사항에 따라 경고를 적절한 담당자에게 즉시 라우팅하여 알림 대기 시간을 제거합니다. 심각도 기반 에스컬레이션은 일상적인 경고를 필터링하여 보안 소음으로 경영진을 혼란스럽게 하지 않으면서 중요한 사고에 대해 리더들이 인지하도록 보장하고, 실제로 비즈니스에 영향을 미치는 사건에 경영진의 주의를 집중시킵니다.

알림 자동화를 통해 인시던트 동원을 가속화합니다.

Azure Logic Apps 및 Microsoft Sentinel 플레이북을 구현하여 관련자 대상 지정, 심각도 기반 에스컬레이션 및 규정 준수 트리거를 사용하여 인시던트 알림 워크플로를 자동화합니다.

자동화된 알림 구현:

• Logic Apps 워크플로 자동화: 보안 경고 심각도, 영향을 받는 리소스 종류 및 비즈니스 영향 평가에 따라 트리거된 알림 워크플로
• Microsoft Sentinel 플레이북 통합: 보강 기능을 가지고 있으며 관련자 결정 논리가 포함된 자동화된 조사 및 알림 플레이북(자세한 내용은 Sentinel 플레이북 참조).
• 관련자 매트릭스 구성: 보안 팀, 법률 고문, 임원 리더십 및 규정 준수 임원을 포함한 역할 기반 알림 대상 지정
• 심각도 기반 에스컬레이션: 중요한 인시던트에 적절한 리더십 참여를 보장하기 위한 시간 기반 트리거를 포함한 자동화된 에스컬레이션 절차
• 규정 알림 템플릿: 자동화된 트리거 조건이 있는 GDPR, HIPAA, PCI-DSS 및 기타 규정 요구 사항에 대해 미리 구성된 알림 템플릿

Azure Monitor 및 Event Hub 통합:

• 사용자 지정 경고 규칙: 자동화된 알림 워크플로 및 관련자를 대상으로 하는 특정 보안 이벤트에 대한 구성 가능한 경고 규칙
• 이벤트 허브 스트리밍: SIEM 플랫폼, SOAR 도구 및 통신 플랫폼을 비롯한 외부 시스템으로 실시간 이벤트 스트리밍
• Teams 및 전자 메일 통합: 서식이 풍부한 실행 가능한 단추를 포함한 Microsoft Teams 채널 알림 및 이메일 배포 목록
• 외부 시스템 통합: 고객 알림 플랫폼, 상태 페이지 및 통신 관리 시스템과 API 기반 통합

구현 예제

금융 서비스 회사는 SOX 규정 준수 요구 사항을 충족하고 거래 시스템 및 고객 데이터에 영향을 주는 보안 인시던트 중에 신속한 이해 관계자 통신을 보장하기 위해 포괄적인 외부 및 내부 인시던트 알림을 구현했습니다.

도전: 금융 서비스 회사는 거래 시스템에 영향을 미치는 보안 인시던트 중에 자동화된 이해 관계자 알림이 부족하여 SEC/FINRA에 대한 규제 보고가 지연되고 오류가 발생하기 쉬운 수동 알림 프로세스가 있는 잠재적 SOX 규정 준수 위반의 위험이 발생했습니다.

솔루션 접근 방식:

• 글로벌 거래 센터에서 24/7 적용 범위를 제공하는 기본 및 보조 연락처와 클라우드용 Microsoft Defender 보안 연락처 구성
• SEC 인시던트 보고, FINRA 위반 알림 및 사전 승인된 템플릿과의 고객 데이터 위반 통신을 비롯한 자동화된 외부 알림을 위한 Azure Logic Apps 워크플로 구현
• 법률 팀, 규정 준수 임원 및 임원에 대한 내부 알림과 규제 기관, 영향을 받는 고객 및 비즈니스 파트너에 대한 외부 알림을 위한 관련자 매트릭스가 있는 Microsoft Sentinel 플레이북을 만들었습니다.
• 성립된 규정 알림 템플릿으로 SEC Form 8-K 제출, 주 법무 장관의 데이터 침해 알림, 그리고 PCI-DSS 인수자 알림에 대해 인시던트 심각도와 데이터 노출을 바탕으로 자동화된 트리거 조건 사용
• 법적 검토 승인을 통해 주법 요구 사항을 충족하는 데이터 위반 알림에 대한 자동화된 전자 메일 생성을 사용하여 구성된 고객 알림 워크플로
• 내부 대응 조정을 위한 자동화된 티켓 생성과 티켓 시스템 통합 구현 및 규제 제출 마감일에 대한 외부 이해 관계자 추적

결과: SOX 규정 준수를 보장하는 자동화된 규제 보고를 통해 인시던트 알림 시간을 크게 줄입니다. 사전 승인된 템플릿 및 자동화된 워크플로는 관련자 통신에서 수동 오류를 제거하고 일관된 규정 제출 절차를 보장했습니다.

중요도 수준

있어야 합니다.

컨트롤 매핑

• NIST SP 800-53 Rev.5: IR-2, IR-2(1), IR-2(2), IR-4(2), IR-6
• PCI-DSS v4: 12.10.1, 12.10.3
• CIS 컨트롤 v8.1: 17.4, 17.5
• NIST CSF v2.0: RS.CO-1, RS.CO-2, RS.CO-3, RS.CO-4
• ISO 27001:2022: A.5.24, A.5.26, A.5.28
• SOC 2: CC9.1, A1.1

IR-3: 탐지 및 분석 – 고품질 경고를 기반으로 인시던트 만들기

Azure Policy:Azure 기본 제공 정책 정의 IR-3을 참조하세요.

보안 원칙

고급 분석, 위협 인텔리전스 통합 및 지속적인 튜닝을 통해 고품질 경고 생성을 구현하여 가양성을 최소화하면서 진정한 보안 위협에 대한 포괄적인 범위를 보장합니다. 적절한 보강 및 에스컬레이션 절차를 사용하여 자동화된 인시던트 생성 워크플로를 설정합니다.

완화할 리스크

경고 품질이 저하되면 운영 비효율성이 발생하여 보안 운영 효율성이 저하되어 누락된 위협, 분석가의 소진 및 인시던트 대응 기능이 저하됩니다. 고품질 경고 생성이 없는 경우:

• 오탐으로 인한 경고 피로: 분석가들은 압도되어 집중력이 떨어지고, 진정한 위협을 놓치며 대응이 지연됩니다.
• 소음에 묻혀 있는 중요한 위협: 우선 순위가 높은 인시던트가 경고 볼륨에서 사라져 적시에 탐지 및 대응을 방지합니다.
• 비효율적인 리소스 할당: 보안 팀은 즉각적인 주의와 숙련된 분석이 필요한 진정한 위협에 집중하는 대신 가양성 및 우선 순위가 낮은 경고를 조사하는 데 시간을 낭비합니다.
• 지연된 위협 탐지 및 대응: 신호 대 노이즈 비율이 빠를수록 MTTD(평균 감지 시간) 및 MTTR(평균 응답 시간)이 연장되어 공격자가 목표를 달성하고 피해를 입힐 수 있는 시간이 늘어나게 됩니다.
• 부적절한 위협 인텔리전스 통합: 경고에는 컨텍스트 정보, 위협 인텔리전스 상관 관계 및 위험 점수 매기기 기능이 부족하여 적절한 우선 순위 지정 및 효과적인 대응 계획을 방지할 수 있습니다.
• 일관되지 않은 인시던트 생성: 수동 또는 임시 인시던트 생성 프로세스로 인해 에스컬레이션 누락, 일관되지 않은 설명서 및 표준화된 대응 절차가 부족합니다.

저품질 경고는 탐지, 우선 순위 지정 및 대응 팀에 대한 에스컬레이션을 저해합니다.

MITRE ATT&CK

• 방어 회피(TA0005): 잘못 조정된 경고 시스템에서 탐지를 방지하기 위해 악의적인 활동을 정상 작업과 혼합하는 위장(T1036)
• 지속성(TA0003): 유효한 계정(T1078)은 합법적인 자격 증명을 사용하여 악의적인 활동을 수행함으로써 비정상적인 동작에 대해 잘 구성된 경고를 트리거하지 않을 수 있습니다.
• 수집(TA0009): 경고 피로가 미묘한 이상 탐지를 방해할 때 장기간에 걸쳐 체계적인 데이터 수집을 수행하는 자동화된 수집(T1119)입니다.

IR-3.1: 통합 위협 탐지를 위한 Microsoft Defender XDR 구성

개별 제품의 격리된 보안 신호는 완전한 공격 설명을 공개하지 않고 압도적인 경고 볼륨을 생성하므로 악의적 사용자가 공격 체인을 통해 진행하는 동안 분석가는 연결이 끊긴 이벤트의 상관 관계를 수동으로 지정해야 합니다. 확장 검색 및 응답은 단일 제품 검색에서 식별할 수 없는 전체 공격 스토리를 노출하기 위해 엔드포인트, ID, 이메일 및 클라우드 애플리케이션 간에 신호를 상호 연결하여 조각난 경고를 통합 인시던트로 변환합니다. 자동화된 조사 및 수정은 분석가가 복잡한 사례를 조사하는 동안 몇 시간이 아닌 몇 분 내에 공격을 포함하는 인간 제한 분석 속도가 아닌 머신 속도로 위협에 대응합니다.

플랫폼 간 신호 상관 관계를 통해 조정된 공격을 검색합니다.

엔드포인트, ID, 이메일 및 클라우드 애플리케이션을 비롯한 Microsoft 365 워크로드에서 포괄적인 위협 탐지를 위한 기본 통합 보안 플랫폼으로 Microsoft Defender XDR (확장 검색 및 대응)을 구현합니다. Defender XDR은 간소화된 조사 및 대응을 위해 여러 원본의 경고를 통합 인시던트와 자동으로 상호 연관시킵니다.

Microsoft Defender XDR 핵심 기능:

• 통합 인시던트 관리: 엔드포인트용 Microsoft Defender, ID, Microsoft 365 및 Cloud Apps에서 전체 공격 스토리 시각화를 사용하여 단일 인시던트에 대한 경고의 자동 상관 관계
• AIR(자동 조사 및 대응): AI 기반 자동화 조사로 경고 검사 및 즉시 수정 작업을 수행하여 구성 가능한 자동화 수준으로 위반 해결
• 고급 헌팅: KQL(Kusto Query Language)을 사용하여 쿼리 기반 위협 헌팅을 사용하여 모든 Microsoft 365 보안 신호(고급 헌팅)에서 최대 30일간의 원시 데이터를 사전에 검사합니다.
• 제품 간 신호 상관 관계: 전자 메일, 엔드포인트 및 공동 작업 도구에서 자동 악성 파일 차단을 포함하여 공격 진행을 중지하기 위해 Defender 제품 간의 실시간 정보 공유
• 공격 중단: 인시던트 상관 관계 및 지속적인 Microsoft 보안 연구로부터의 신호를 이용하여, 머신 수준의 속도로 활성 공격을 자동으로 고신뢰도로 억제합니다.

위협 탐지 및 경고 생성:

• 동작 분석: 손상 또는 내부자 위협을 나타내는 비정상적인 사용자 및 디바이스 동작 패턴의 기계 학습 기반 검색
• 위협 인텔리전스 통합: 알려진 공격자 인프라, 맬웨어 서명 및 캠페인 특성 등 Microsoft 위협 인텔리전스를 사용한 자동 보강
• 사용자 지정 검색 규칙: 조직별 위협 패턴 및 비즈니스 논리 요구 사항에 대한 KQL 쿼리를 사용하여 유연한 검색 규칙 만들기
• 속임수 기술: 랜섬웨어 및 비즈니스 이메일 침해 공격에서 인간이 조작하는 횡적 이동을 감지하는 미끼 자산 배포
• 실시간 위험 점수 매기기: Microsoft Entra 조건부 액세스와의 통합을 통해 위험 기반 액세스 결정을 가능하게 하는 사용자, 디바이스 및 로그인에 대한 동적 위험 평가

Microsoft Sentinel과 통합:

• Unified SecOps 플랫폼: Microsoft Sentinel이 고급 SIEM 및 SOAR 기능을 유지하면서 Defender XDR 인시던트 및 경고를 수집할 수 있도록 하는 양방향 통합
• Microsoft Defender XDR 커넥터: 플랫폼 간 상관 관계를 위해 인시던트, 경고 및 고급 헌팅 데이터를 Microsoft Sentinel에 동기화하는 네이티브 커넥터
• 하이브리드 및 다중 클라우드 적용 범위: Sentinel 통합을 통해 검색 기능을 Microsoft 365를 넘어 Azure, 온-프레미스 및 타사 환경으로 확장
• 통합 인시던트 큐: 일관된 조사 워크플로를 통해 Defender XDR 및 Sentinel의 모든 인시던트를 하나의 인터페이스에서 통합적으로 보고 관리합니다.
• 플랫폼 간 분석: 인프라 보안 이벤트, 클라우드 워크로드 경고 및 타사 보안 신호와 Microsoft 365 위협의 상관 관계

IR-3.2: 클라우드용 Microsoft Defender 고급 경고 구성

Defender XDR은 정교한 공격을 감지하지만 경고 품질을 최적화하려면 Azure 인프라 및 워크로드에서 포괄적인 위협 범위를 유지하면서 가양성을 최소화하기 위한 구성 튜닝이 필요합니다. AI 기반 분석을 사용한 고급 경고는 무해한 운영 활동의 진정한 위협을 식별하여 분석가가 노이즈 속에서 중요한 경고를 놓치게 하는 경고 피로를 방지합니다. 인시던트 관리 플랫폼과 통합하면 원시 경고가 적절한 관련자 라우팅 및 응답 오케스트레이션을 통해 실행 가능한 보안 이벤트로 변환됩니다.

고급 경고를 통해 Azure 인프라 위협 탐지를 최적화합니다.

고급 경고 및 적절한 튜닝을 사용하여 Microsoft Defender for Cloud 를 구현하여 최소한의 가양성으로 Azure 인프라 및 워크로드에 대한 고품질 보안 경고를 생성합니다. Defender for Cloud는 지속적인 학습을 통해 Azure 리소스에서 AI 기반 위협 탐지를 제공합니다.

고급 경고 구성:

• Defender 계획 사용: 작업 유형에 따라 서버용 Defender, App Service용 Defender, 스토리지용 Defender, 컨테이너용 Defender 및 Key Vault용 Defender를 비롯한 적절한 Defender 계획을 사용하도록 설정합니다.
• 위협 인텔리전스 통합: 향상된 검색 정확도를 위해 Microsoft 위협 인텔리전스 피드, 글로벌 공격 서명 및 알려진 악성 지표와의 자동 상관 관계
• Machine Learning 동작 분석: 비정상적인 로그인 패턴, 권한 에스컬레이션 및 데이터 액세스 이상과 같은 비정상적인 활동을 감지하는 AI 기반 동작 분석
• 사용자 지정 경고 억제 규칙: 정기적인 검토 및 유효성 검사를 통해 실제 위협에 대한 경고 범위를 유지하면서 알려진 오탐 경보에 대한 지능형 경고 억제
• 경고 심각도 보정: 실제 비즈니스 영향, 자산 위험성 및 위협 인텔리전스 신뢰 수준을 기반으로 적절한 경고 심각도 할당
• Defender XDR과 통합: Microsoft 365 보안 이벤트와 통합된 인시던트 상관 관계를 위해 클라우드용 Defender 경고를 Microsoft Defender XDR 포털로 자동 전달

Azure Sentinel과 통합:

• Azure Sentinel 데이터 커넥터: 고급 상관 관계 및 조사 기능을 위해 클라우드용 Defender 경고를 Microsoft Sentinel에 스트리밍하기 위한 네이티브 커넥터
• Sentinel의 경고 보강: 사용자 동작 분석, 위협 인텔리전스 및 관련 보안 이벤트를 비롯한 추가 컨텍스트를 사용하여 Defender 경고 자동 보강
• 워크로드 간 상관 관계: 조정된 공격 및 복잡한 위협 패턴을 식별하기 위해 여러 Azure 워크로드 및 서비스에서 경고의 상관 관계
• 사용자 지정 분석 규칙: 조직별 위협 탐지 패턴 및 비즈니스 논리 상관 관계에 대한 고급 KQL 기반 분석 규칙
• 위협 헌팅 통합: 사전 위협 조사를 위한 Microsoft Sentinel 위협 헌팅 기능과 Defender 경고 통합

IR-3.3: 자동화된 인시던트 생성 및 보강 구현

보안 경고가 생성되었지만 관리되는 인시던트로 변환되지 않으면 연결이 끊긴 조사 워크플로가 생성됩니다. 여기서 중요한 컨텍스트, 관련자 할당 및 응답 추적은 수동 프로세스로 인해 사용자 오류 및 지연이 발생하기 쉽습니다. 자동화된 인시던트 생성은 관련 경고들을 통합하여, 지능형 보강을 통해 위협 인텔리전스, 사용자 컨텍스트 및 자산의 중요도를 추가함으로써 분석가가 검토하기 전에 통합된 사례로 만들어 줍니다. 분류 자동화 및 관련자 할당은 수동 심사 결정을 기다리지 않고 위협 특성 및 비즈니스 영향에 따라 인시던트가 적절한 팀으로 즉시 라우팅되도록 합니다.

자동화를 통해 경고를 실행 가능한 인시던트로 변환합니다.

일관된 관리 및 대응 효율성을 위해 지능형 보강, 분류 및 관련자 할당을 사용하여 Microsoft Sentinel 자동화된 인시던트 생성을 구현합니다.

자동화된 인시던트 생성:

• 분석 규칙 구성: 적절한 심각도 수준 및 분류 기준을 사용하여 고품질 경고를 인시던트로 변환하기 위한 포괄적인 분석 규칙
• 인시던트 그룹화 논리: 조각화를 방지하고 포괄적인 조사 범위를 보장하기 위해 관련 경고를 단일 인시던트에 지능적으로 그룹화
• 엔터티 매핑 및 보강: 위협 인텔리전스 및 기록 데이터로부터 보강된 엔터티(사용자, 호스트, IP 주소, 파일)의 자동 추출 및 매핑
• 심각도 점수 매기기 및 우선 순위 지정: 자산 위험성, 사용자 위험 수준 및 공격 기법 정교성을 비롯한 여러 요인을 기반으로 하는 자동화된 심각도 점수 매기기
• 소유자 할당 및 에스컬레이션: 승인되지 않은 중요한 인시던트에 대한 에스컬레이션 절차를 사용하여 적절한 대응 팀에 인시던트 자동 할당

Microsoft Sentinel 인시던트 관리:

• 인시던트 타임라인 만들기: 포괄적인 조사 컨텍스트에 대한 관련 경고, 사용자 활동 및 시스템 이벤트를 사용하여 인시던트 타임라인 자동 생성
• Evidence 컬렉션 자동화: 조사 지원을 위한 시스템 로그, 사용자 활동, 네트워크 흐름 및 파일 해시를 비롯한 관련 증거의 자동화된 수집
• 협업 도구 통합: 원활한 인시던트 통신 및 조정을 위해 Microsoft Teams, ServiceNow 및 기타 공동 작업 플랫폼과 통합
• SLA 및 메트릭 추적: 승인 시간, 조사 시간 및 해결 시간을 포함하여 인시던트 대응 SLA의 자동화된 추적
• 플레이북 자동화: 일반적인 인시던트 유형에 대해 자동화된 포함, 증거 수집 및 관련자 알림을 포함하는 트리거된 플레이북 실행

구현 예제

조직은 위협 탐지 정확도를 개선하고 보안 인시던트에 대한 신속한 대응을 보장하기 위해 고급 경고 및 자동화된 인시던트 생성을 구현하여 포괄적인 적용 범위를 유지하면서 가양성 비율을 줄여 줍니다.

과제: 조직은 보안 경고에서 높은 가양성 비율을 경험하여 경고 피로를 초래하고 실제 위협에 대한 응답이 지연되었으며, 수동으로 인시던트를 생성하는 프로세스로 인해 일관되지 않은 조사 범위가 만들어지고 보안 이벤트가 놓쳤습니다.

솔루션 접근 방식:

• 사용자 지정된 경고 임계값을 포함하여 서버용 Defender, 스토리지 및 Key Vault를 포함한 전체 포괄적인 클라우드용 Microsoft Defender 보호 기능 사용
• 무단 데이터 액세스, 비정상적인 데이터베이스 쿼리 및 비정상적인 인증 패턴을 비롯한 조직별 위협 패턴으로 구성된 Microsoft Sentinel 분석 규칙
• 지능형 그룹화로 자동화된 인시던트 생성을 구현하여 인시던트 볼륨을 줄이면서 관련 보안 이벤트에 대한 포괄적인 조사 범위 보장
• 배포된 엔터티 향상은 사용자 계정을 Microsoft Entra ID 그룹, 권한 있는 액세스 수준 및 기록 보안 사건과 자동으로 연관시킵니다.
• 증거 수집, 관련자 알림 및 규제 보고 워크플로를 포함하여 인시던트 조사를 위한 자동화된 플레이북 만들기
• 설정된 SLA 모니터링을 통해 자동화된 에스컬레이션으로 지연된 응답을 처리하고 인시던트 응답 시간을 감시합니다.

결과: 포괄적인 위협 범위를 유지하면서 경고 튜닝을 통해 거짓 양성 비율을 크게 줄였습니다. 자동화된 인시던트 생성은 지능형 경고 그룹화 및 엔터티 보강을 통해 조사 시간을 크게 줄여 조사 효율성을 개선합니다.

중요도 수준

있어야 합니다.

컨트롤 매핑

• NIST SP 800-53 Rev.5: SI-4, SI-4(1), SI-4(2), SI-4(4), IR-4(1), IR-5
• PCI-DSS v4: 5.3.2, 10.6.1, 10.6.2, 11.5.1
• CIS 컨트롤 v8.1: 8.11, 13.1, 13.2, 17.4
• NIST CSF v2.0: DE.CM-1, DE.CM-4, DE.CM-7, DE.AE-1, DE.AE-2
• ISO 27001:2022: A.8.16, A.5.24, A.5.26
• SOC 2: CC7.2, CC7.3

IR-4: 검색 및 분석 – 인시던트 조사

Azure Policy:Azure 기본 제공 정책 정의 IR-4를 참조하세요.

보안 원칙

Azure 네이티브 보안 서비스, 포렌식 도구 및 체계적인 조사 절차를 사용하여 포괄적인 인시던트 조사 기능을 구현하여 공격 범위, 증거 보존 및 효과적인 봉쇄 계획을 완벽하게 이해합니다.

완화할 리스크

부적절한 인시던트 조사 기능은 조직이 공격 범위를 이해하고, 근본 원인을 식별하고, 효과적인 봉쇄 조치를 구현하지 못하게 하여 공격자가 지속성을 유지하고 악의적인 활동을 계속할 수 있도록 합니다. 포괄적인 조사 기능이 없는 경우:

• 불완전한 공격 범위: 진행, 횡적 이동 및 데이터 액세스에 대한 제한된 가시성은 격리를 어렵게 하고, 보이지 않는 취약점을 허용합니다.
• 알 수 없는 데이터 노출: 액세스, 수정 또는 반출된 데이터를 식별하지 못하면 규정 준수 위반이 발생하며 정확한 위반 알림을 방지합니다.
• 누락된 공격 지속성 메커니즘: 부적절한 조사는 백도어, 예약된 작업, 레지스트리 수정 또는 기타 지속성 메커니즘을 식별하지 못하여 공격자가 초기 수정 작업 후 액세스 권한을 다시 얻을 수 있도록 합니다.
• 증거 파기 및 변조: 적절한 증거 보존 절차가 없으면 조사 중에 중요한 법의학 증거를 덮어쓰거나 수정하거나 삭제하여 법적 절차와 근본 원인 분석을 손상시킬 수 있습니다.
• 연장된 거주 시간 및 손상: 비효율적인 조사는 환경에서 공격자의 존재를 연장시켜 데이터 노출, 시스템 손상 및 비즈니스 영향을 증가시키는 동시에 보안 제어에 대한 신뢰를 약화합니다.
• 불완전한 수정으로 인한 되풀이 인시던트: 모든 공격 벡터 및 진입점을 식별하지 못하면 동일한 취약성 및 공격 경로를 통해 다시 컴파일됩니다.

잘못된 조사 기능은 응답을 방지하고, 지속적인 공격자 활동을 허용하고, 학습을 저해하여 손상을 가중합니다.

MITRE ATT&CK

• 방어 회피(TA0005): 공격 방법 및 범위의 조사 및 분석을 방지하기 위해 로그 및 증거를 삭제하는 지표 제거(T1070)
• 방어 회피 (TA0005): 파일 삭제 (T1070.004) 법의학적 증거 수집 전에 악성 파일 및 아티팩트를 제거하여 증거 보존을 방해할 수 있습니다.
• 지속성 (TA0003): 피상적인 조사 노력으로부터 백도어 및 지속성 메커니즘을 숨기기 위한 숨겨진 파일 및 디렉터리 (T1564.001)
• 검색(TA0007): 시스템 정보 검색(T1082) 조사 기능을 이해하고 검색 메커니즘을 방지하기 위해 시스템 정보를 수집합니다.

IR-4.1: 포괄적인 로그 수집 및 분석 구현

인증 이벤트, 네트워크 트래픽, 구성 변경 내용 및 공격자 메서드 및 인프라 손상 범위를 표시하는 애플리케이션 활동을 캡처하는 포괄적인 로그 데이터가 없으면 인시던트 조사가 실패합니다. Azure Monitor 및 Microsoft Sentinel을 통한 중앙 집중식 로그 분석은 분산된 로깅을 통합 조사 기능으로 변환하여 여러 로그 원본의 쿼리가 전체 공격 타임라인을 생성할 수 있도록 합니다. 고급 쿼리 기능 및 상관 관계 분석은 개별 로그 원본에 보이지 않는 패턴을 식별하여 단일 소스 검색을 회피하는 정교한 공격을 표시합니다.

중앙 집중식 로깅을 통해 포괄적인 포렌식 조사를 사용하도록 설정합니다.

효과적인 조사 및 포렌식 분석을 위해 Azure Monitor, Microsoft Sentinel 및 Azure Log Analytics를 통해 중앙 집중식 분석을 통해 Azure 서비스 및 워크로드 전반에 걸쳐 포괄적인 로그 수집을 구현합니다.

Azure 로그 수집 전략:

• Microsoft Entra ID 감사 및 로그인 로그: 위험 분석, 조건부 액세스 정책 평가 및 권한 있는 작업 추적을 사용하여 인증 및 권한 부여 로깅 완료
• Azure 활동 로그: 모든 Azure 서비스(Azure 활동 로그)에서 리소스 수정, 정책 변경 및 관리 작업을 포함한 포괄적인 제어 평면 작업
• 네트워크 보안 그룹 흐름 로그:NSG 흐름 로그(횡적 이동 감지)에 대한 원본/대상 매핑, 프로토콜 분석 및 연결 패턴 식별을 사용한 네트워크 트래픽 분석
• Azure Monitor 에이전트 배포: 포괄적인 시스템 수준 로깅을 위해 모든 VM 및 가상 머신 확장 집합에 Azure Monitor 에이전트를 체계적으로 배포
• 애플리케이션 및 서비스 로그: 비즈니스 논리 조사를 위한 구조적 형식, 상관 관계 ID 및 보안 이벤트 분류를 사용하는 사용자 지정 애플리케이션 로깅
• Microsoft Defender XDR 데이터 통합: 통합 위협 상관 관계를 위해 Microsoft 365 환경에서 엔드포인트, ID, 전자 메일 및 클라우드 앱 신호 자동 수집

Microsoft Sentinel 조사 기능:

• 엔터티 동작 분석: 조사 우선 순위 지정을 위한 변칙 검색 및 위험 점수 매기기로 사용자 및 엔터티 동작에 대한 AI 기반 분석
• 조사 그래프: 포괄적인 인시던트 분석을 위한 엔터티 관계, 공격 타임라인 및 증거 상관 관계를 보여 주는 시각적 조사 인터페이스
• 위협 헌팅 통합 문서: KQL 쿼리, 시각화 및 조사 워크플로를 사용하여 체계적인 위협 헌팅을 위한 미리 빌드된 통합 문서
• MITRE ATT&CK 프레임워크 매핑: 탐지된 활동을 MITRE ATT&CK 기술에 자동 매핑하여 공격 패턴 인식 및 방어 갭 분석
• 작업 영역 간 조사: 대규모 엔터프라이즈 환경에 대한 여러 Log Analytics 작업 영역의 조사 기능

IR-4.2: 증거 보존 및 법의학 기능 설정

증거 수집 지연 및 부적절한 처리는 법의학 무결성을 손상시켜, 조사 결과가 법적 절차에서 증거로 채택되지 않도록 만들고, 공격자가 증거를 파괴하여 흔적을 지울 수 있게 합니다. VM 스냅샷, 디스크 백업 및 메모리 덤프를 사용하여 자동화된 증거 보존은 악의적인 변조가 발생하기 전에 인시던트 검색 즉시 시스템 상태를 캡처합니다. 법적 보존 정책을 사용하는 변경할 수 없는 스토리지는 조사 및 잠재적 법적 절차 전반에 걸쳐 증거 무결성을 보장하여 규정 준수 및 기소에 필요한 양육권 체인을 유지합니다.

자동화된 수집을 통해 법의학적 증거를 보존합니다.

Azure VM 스냅샷, Azure Disk Backup, 메모리 덤프 수집 및 변경할 수 없는 스토리지를 사용하여 체계적인 증거 보존을 구현하여 법의학 무결성을 보장하고 법적 절차를 지원합니다.

증거 수집 자동화:

• Azure VM 스냅샷 자동화: 메타데이터 태그 지정 및 보존 정책을 사용하여 인시던트 응답 중에 지정 시간 VM 스냅샷을 만들기 위한 PowerShell 및 ARM 템플릿 자동화(스냅샷 만들기).
• Azure Disk Backup 통합: 법적 보존 조치 및 장기 보존을 적용하는 인시던트 중에 Azure Backup 금고에서 자동화된 백업 트리거 (Azure Backup 개요).
• 메모리 덤프 컬렉션: 휘발성 증거 보존을 위해 Azure 확장과 PowerShell 원격 제어를 이용한 체계적인 메모리 덤프 수집
• 로그 내보내기 및 보존: 법적 보존 정책(Blob용 변경할 수 없는 스토리지)을 사용하여 Azure Monitor 로그, Microsoft Entra ID 로그 및 보안 이벤트 로그를 변경할 수 없는 Azure Storage로 자동으로 내보냅니다.
• 네트워크 패킷 캡처: 네트워크 포렌식 분석(패킷 캡처)을 위해 보안 인시던트에 의해 트리거되는 Azure Network Watcher 패킷 캡처 자동화입니다.

법의학 분석 도구 통합:

• 클라우드용 Microsoft Defender 통합: 조사 타임라인과 상관 관계가 있는 심각도가 높은 경고에 의해 트리거되는 자동화된 증거 수집
• 타사 포렌식 도구 지원: Azure Storage 탑재 및 보안 증거 전송을 통해 타사 포렌식 도구와 통합
• 증거물 관리 절차: 법적 증거 요구 사항에 대한 암호화 해시, 디지털 서명 및 액세스 로깅을 사용하는 증거물 관리 자동화 문서
• 증거 보존 정책: 다양한 인시던트 유형 및 규정 프레임워크에 대한 규정 준수 요구 사항을 사용하여 자동화된 보존 정책 적용
• 지역 간 증거 복제: 암호화 및 액세스 제어를 사용하여 재해 복구 및 관할 요구 사항에 대한 지리적 증거 복제

구현 예제

금융 서비스 조직은 SEC 규정 요구 사항을 지원하고 정교한 금융 사기 공격으로부터 보호하기 위해 포괄적인 인시던트 조사 기능을 구현하여 완전한 법의학적 증거 수집 및 분석 기능을 보장했습니다.

도전: 금융 서비스 조직은 정교한 금융 사기 공격을 조사하기 위한 포괄적인 포렌식 기능이 부족했으며, 수동 증거 수집 프로세스는 증거 손실의 위험을 초래하고 완전한 공격 범위 설명서가 필요한 SEC 조사 일정을 충족할 수 없습니다.

솔루션 접근 방식:

• 악의적인 PowerShell, 프로세스 삽입 및 자격 증명 도난 활동을 감지하는 동작 모니터링 및 스크립트 분석 기능을 사용하여 모든 가상 머신에 엔드포인트용 Microsoft Defender 배포
• 비정상적인 거래 패턴, 무단 시스템 액세스 및 의심스러운 금융 거래를 감지하는 엔터티 동작 분석으로 구성된 Microsoft Sentinel
• 포렌식 보존을 위해 5분 이내에 전체 시스템 상태를 캡처하는 중요한 보안 경고에 의해 트리거되는 자동화된 VM 스냅샷 프로시저 구현
• SEC 조사 요구 사항 및 소송 지원에 대한 증거 무결성을 보장하는 법적 보존 정책을 사용하여 변경할 수 없는 Azure Storage 설정
• 시간 외 거래 활동, 비정상적인 데이터 액세스 패턴 및 엔드포인트, ID 및 클라우드 애플리케이션에서 권한 있는 계정 오용을 비롯한 재무 사기 패턴에 대한 Microsoft Defender XDR 고급 헌팅 쿼리를 만들었습니다.
• 전체 네트워크 포렌식 기능을 제공하는 의심스러운 내부자 거래 인시던트에 대한 자동화된 패킷 캡처가 있는 Azure Network Watcher 배포

결과: SEC 규정 준수를 보장하는 자동화된 증거 보존을 통해 포괄적인 포렌식 조사 기능을 달성했습니다. 신속한 공격 범위 식별 및 완전한 증거 체인 설명서를 가능하게 하는 고급 헌팅 쿼리 및 엔터티 동작 분석을 통해 조사 시간을 크게 단축했습니다.

중요도 수준

있어야 합니다.

컨트롤 매핑

• NIST SP 800-53 Rev.5: IR-4, IR-4(1), IR-4(4), AU-6, AU-6(1), AU-6(3), AU-7
• PCI-DSS v4: 10.6.1, 10.6.2, 10.6.3, 12.10.4, 12.10.5
• CIS 컨트롤 v8.1: 8.2, 8.5, 8.11, 13.2, 17.4
• NIST CSF v2.0: DE.AE-2, DE.AE-3, RS.AN-1, RS.AN-2, RS.AN-3
• ISO 27001:2022: A.5.24, A.5.25, A.5.28, A.8.16
• SOC 2: CC7.2, CC7.4, A1.2

IR-5: 탐지 및 분석 – 인시던트 우선 순위 지정

Azure Policy:Azure 기본 제공 정책 정의 IR-5를 참조하세요.

보안 원칙

자동화된 채점 및 분류를 사용하여 자산 위험성, 비즈니스 영향, 위협 심각도 및 규제 요구 사항에 따라 체계적인 인시던트 우선 순위를 구현하여 적절한 리소스 할당 및 응답 타이밍을 보장합니다.

완화할 리스크

인시던트 우선 순위가 좋지 않으면 보안 리소스가 잘못 할당되고, 중요한 위협에 대한 대응이 지연되고, 보안 인시던트의 비즈니스 영향이 증가합니다. 체계적인 우선 순위 지정 없이:

• 지연된 주요 위협 대응: 영향력이 높은 인시던트는 충분한 주의를 받지 못하고 리소스는 낮은 우선 순위 이벤트에 투입됩니다.
• 우선 순위가 낮은 이벤트에 대한 리소스 소모: 팀은 사소한 인시던트 조사, 정교한 공격은 고부가가치 시스템에서 진행됩니다.
• 비즈니스 영향 증폭: 자산 중요도 인식이 부족하면 중요하지 않은 인프라 문제에 집중하면서 수익 창출 시스템에 대한 가동 중지 시간이 연장됩니다.
• 규정 위반 에스컬레이션: PII(개인 식별 정보), PHI(보호된 상태 정보) 또는 재무 데이터와 관련된 인시던트에는 부적절한 우선 순위 지정이 수신되어 알림 기한이 누락되고 규정 준수 위반이 발생합니다.
• 비효율적인 이해 관계자 통신: 명확한 우선 순위 지정 기준이 없을 경우 고위 경영진의 개입이 필요한 인시던트에 대한 적절한 임원 알림 및 리소스 할당을 방지할 수 있습니다.
• 잘못 입력하는 동안의 공격 진행: 정교한 공격자는 우선 순위 격차를 악용하여 횡적 이동 및 데이터 반출을 수행하는 반면 보안 팀은 전환 전술 또는 우선 순위가 낮은 이벤트에 집중합니다.

부적절한 우선 순위 지정은 비즈니스 위험에 따라 적절한 리소스 할당 및 응답 타이밍을 방지합니다.

MITRE ATT&CK

• 방어 회피(TA0005): 가장(T1036) 중요 비즈니스 시스템 내에서 보안 팀을 압도하기 위해 영향력이 큰 활동을 수행하면서 많은 수의 낮은 우선순위 경고를 생성합니다.
• 영향(TA0040): 높은 가치 시스템을 대상으로 하는 영향(T1486)으로 암호화된 데이터이지만 보안 팀은 우선 순위가 낮은 인시던트에 의해 방해를 받습니다.
• TA0008(횡적 이동): 높은 가치의 네트워크를 통해 진행되는 원격 서비스(T1021)는 우선 순위 격차로 인해 중요한 자산 손상에 대한 적절한 초점을 방지합니다.

IR-5.1: 자산 중요도 및 비즈니스 영향 평가 구현

비즈니스 컨텍스트가 없는 인시던트 우선순위 설정은 모든 보안 이벤트를 동일하게 처리하여, 경고로 인해 대응 팀이 압도되는 한편, 중요한 비즈니스에 영향을 주는 인시던트는 그 중요성을 구별하지 못해 충분한 주의를 받지 못합니다. 비즈니스 중요도, 수익 종속성 및 규제 범위를 기반으로 자산 분류를 사용하면 위험 기반 우선 순위를 설정하여 조직에 중요한 시스템에 영향을 주는 인시던트에 제한된 응답 리소스를 집중합니다. 자동화된 비즈니스 영향 점수 매기기에서는 주관적인 우선 순위를 데이터 기반 의사 결정으로 변환하여 재무, 운영 또는 평판 손상을 위협하는 인시던트가 즉시 에스컬레이션되도록 합니다.

비즈니스 영향 분석을 통해 위험 기반 인시던트 우선 순위를 사용하도록 설정합니다.

Azure 리소스 태그, 클라우드용 Microsoft Defender 자산 인벤토리 및 위험 기반 인시던트 우선 순위를 위한 비즈니스 영향 점수를 사용하여 포괄적인 자산 분류 및 비즈니스 영향 평가를 구현합니다.

자산 분류 및 태그 지정:

• 중요도 기반 리소스 태그 지정: 비즈니스 영향 평가 및 수익 종속성을 기반으로 중요도 수준(위험, 높음, 중간, 낮음)을 사용하여 Azure 리소스의 체계적인 태그 지정
• 데이터 분류 통합: 중요한 데이터 범주와 관련된 인시던트 자동 우선 순위를 지정하기 위해 Microsoft Purview 데이터 분류와 통합
• 비즈니스 함수 매핑: 특정 비즈니스 기능에 영향을 주는 인시던트에 대한 신속한 영향 평가를 가능하게 하는 비즈니스 기능 연결을 사용하여 리소스 태그 지정
• 규정 범위 식별: 적절한 인시던트 에스컬레이션 및 알림 절차에 대한 특정 규정 요구 사항(PCI-DSS, HIPAA, SOX)에 따라 리소스 태그 지정
• 소유자 및 연락처 정보: 인시던트 중 신속한 이해 관계자 알림에 대한 비즈니스 소유자 연락처 및 기술 지원 정보를 사용하여 리소스 태그 지정

클라우드용 Microsoft Defender 통합:

• 자산 인벤토리 및 위험 평가: 위험 기반 우선 순위 지정에 대한 보안 상태 점수 매기기 및 취약성 평가를 사용하는 포괄적인 자산 인벤토리
• 비즈니스 영향 상관 관계: 자동 인시던트 심각도 조정 및 우선 순위 지정 점수 매기기용 자산 중요도 태그와 보안 경고의 상관 관계
• 규정 준수 매핑: 규정 준수 규제 리소스에 영향을 미치는 인시던트를 자동으로 에스컬레이션하는 규정 준수 평가와의 통합
• 공격 표면 분석: 인터넷에 노출되거나 높은 권한의 리소스와 관련된 사건을 우선화하여 공격 표면 가시성을 확보.
• 보안 권장 사항 우선 순위 지정: 비즈니스 영향 고려 사항 및 수정 타임라인 지침이 포함된 보안 권장 사항의 위험 기반 우선 순위 지정

IR-5.2: 자동화된 심각도 점수 매기기 및 에스컬레이션 구성

정적 인시던트 심각도 분류는 비즈니스 컨텍스트 및 환경 요인을 무시하므로 중요 비즈니스에 영향을 주는 인시던트는 주의가 부족하지만 영향이 낮은 경고는 불균형한 응답 리소스를 사용합니다. 자동화된 심각도 점수 매기기에서는 자산 중요도, 규제 범위, 영향을 받는 사용자 모집단 및 위협 지표를 고려하여 일반 경고 범주가 아닌 실제 비즈니스 위험을 반영하는 동적 우선 순위 점수를 계산합니다. 시간 기반 에스컬레이션은 승인되지 않거나 확인되지 않은 중요한 인시던트가 자동으로 리더십 알림을 트리거하여 분석가가 일상적인 사례를 처리하는 동안 중요한 이벤트가 큐에서 중단되지 않도록 합니다.

자동화된 채점을 통해 위험 기반 인시던트 우선 순위를 계산합니다.

여러 위험 요소에 따라 적절한 우선 순위 지정 및 리소스 할당을 위해 사용자 지정 분석 규칙 및 에스컬레이션 워크플로를 사용하여 Microsoft Sentinel 자동화된 심각도 채점을 구현합니다.

자동화된 심각도 점수 매기기:

• 다단계 위험 점수 매기기: 자산 중요도, 데이터 민감도, 위협 인텔리전스 신뢰도 및 잠재적 비즈니스 영향을 고려하는 포괄적인 점수 매기기 알고리즘
• Microsoft Sentinel 엔터티 위험 점수 매기기: 기록 동작 분석 및 변칙 검색을 사용하는 사용자, 디바이스 및 IP 주소에 대한 AI 기반 엔터티 위험 점수 매기기
• 위협 인텔리전스 통합: 위협 인텔리전스 피드, 알려진 공격자 인프라 및 캠페인 특성에 따라 자동 심각도 조정
• 규정 준수 영향 평가: 적절한 알림 워크플로가 있는 규제 보호 데이터와 관련된 인시던트에 대한 자동 심각도 에스컬레이션
• 시간 기반 에스컬레이션 규칙: 심각도에 적합한 시간 임계값 및 관련자 알림을 사용하여 승인되지 않은 인시던트에 대한 자동화된 에스컬레이션 절차

에스컬레이션 및 알림 워크플로:

• 임원 알림 트리거: 중요 비즈니스용 시스템 또는 잠재적인 규제 위반과 관련된 중요한 인시던트에 대한 자동화된 임원 알림
• 법률 팀 통합: 데이터 위반, 지적 재산권 또는 규정 준수 문제와 관련된 인시던트에 대한 자동 법률 팀 알림

구현 예제

조직은 중요한 데이터를 보호하고 비즈니스 연속성을 보장하기 위해 포괄적인 인시던트 우선 순위를 구현하여 비즈니스 영향 및 규제 요구 사항에 따라 적절한 리소스 할당을 가능하게 했습니다.

도전: 조직은 동시 보안 인시던트 중에 적절한 리소스 할당으로 어려움을 겪었으며, 수동 우선 순위 지정 프로세스로 인해 중요한 비즈니스 시스템 인시던트에 대한 응답이 지연되고 영향력이 큰 이벤트에 대한 임원에게 일관되지 않은 에스컬레이션이 발생했습니다.

솔루션 접근 방식:

• "위험" 및 필수적이지 않은 시스템으로 태그가 지정된 중요한 비즈니스 시스템을 사용하여 비즈니스 중요도별로 모든 리소스를 분류하는 Azure 리소스 태그 지정 전략을 구현했습니다.
• 인시던트 우선 순위 지정에 대한 규제 범위, 비즈니스 영향 및 데이터 민감도를 계량하는 사용자 지정 점수 매기기 알고리즘으로 구성된 Microsoft Sentinel
• 관리되는 데이터 또는 중요한 비즈니스 시스템과 관련된 인시던트에 대해 임원 및 법률 팀에 즉시 알리는 자동화된 에스컬레이션 워크플로 배포
• 영향을 받는 시스템 및 기록 운영 데이터를 기반으로 잠재적인 비즈니스 영향을 계산하는 비즈니스 영향 평가 자동화를 만들었습니다.
• 중요한 인시던트에 대한 15분 임원 알림 및 승인되지 않은 우선 순위가 높은 이벤트에 대한 4시간 에스컬레이션을 통해 설정된 시간 기반 에스컬레이션 절차
• 중요한 데이터와 관련된 인시던트에 대한 자동 에스컬레이션을 보장하는 인시던트 우선 순위 지정과 통합된 Microsoft Purview 데이터 손실 방지 경고

결과: 우선 순위가 자동화된 인시던트 대응 리소스 할당이 개선되어 중요한 인시던트가 즉시 주의를 끌었습니다. 우선 순위가 낮은 이벤트에 대한 불필요한 에스컬레이션을 제거하면서 중요한 인시던트에 대한 임원 알림 시간을 크게 줄입니다.

중요도 수준

있어야 합니다.

컨트롤 매핑

• NIST SP 800-53 Rev.5: IR-4(2), IR-4(4), IR-5, RA-2, RA-3
• PCI-DSS v4: 12.5.1, 12.10.5
• CIS 컨트롤 v8.1: 1.1, 1.2, 17.4, 17.5
• NIST CSF v2.0: DE.AE-1, RS.AN-1, RS.AN-5
• ISO 27001:2022: A.5.24, A.5.27, A.8.8
• SOC 2: CC7.3, A1.1

IR-6: 봉쇄, 근절 및 복구 - 인시던트 처리 자동화

보안 원칙

Microsoft Sentinel 플레이북, Logic Apps 및 Power Automate를 통해 포괄적인 인시던트 대응 자동화를 구현하여 자동화된 공격의 속도와 일치하는 신속한 봉쇄, 일관된 대응 절차 및 확장 가능한 인시던트 처리를 사용하도록 설정합니다.

완화할 리스크

수동 인시던트 대응 프로세스는 보안 팀이 시간이 많이 걸리는 수동 절차에 어려움을 겪는 동안 공격자가 최대 피해를 입히고, 지속적인 액세스를 설정하고, 목표를 완료할 수 있는 위험한 지연을 만듭니다. 자동화가 없는 경우:

• 확장된 응답 시간: 수동 포함은 몇 시간 또는 며칠이 걸리며 자동화된 공격은 몇 분 안에 목표를 완료합니다.
• 압력을 받고 있는 사람의 오류: 수동 프로시저는 불완전한 봉쇄, 증거 파기 및 잘못된 복구를 비롯한 실수를 생성합니다.
• 인시던트 간 일관되지 않은 대응: 수동 프로세스는 인시던트 중 분석가의 환경 및 가용성에 따라 응답 품질, 누락된 단계 및 불완전한 수정의 변화로 이어지고 있습니다.
• 분석가의 소진 및 리소스 고갈: 인시던트 대응 중 반복적인 수동 작업은 분석가의 시간과 에너지를 소비하여 복잡한 조사 및 전략적 위협 헌팅 활동에 대한 용량을 줄입니다.
• 광범위한 인시던트 중 확장성 제한 사항: 조직은 개별 분석가의 주의가 필요한 수동 절차에 의존할 때 여러 동시 인시던트 또는 대규모 공격에 효과적으로 대응할 수 없습니다.
• 손상 증폭을 허용하는 지연된 포함: 수동 격리 절차는 랜섬웨어와 같은 빠르게 이동하는 공격에서 횡적 이동, 데이터 반출 및 시스템 손상을 방지하는 데 너무 오래 걸립니다.

수동 응답은 자동화된 공격 속도 및 규모와 일치할 수 없습니다.

MITRE ATT&CK

• 횡적 이동(TA0008): 원격 서비스 악용(T1210)이 네트워크를 통해 빠르게 진행되는 반면 수동 봉쇄 절차는 공격 진행보다 뒤쳐집니다.
• 영향(TA0040): 여러 시스템에 랜섬웨어를 배포하여 영향을 미치기 위해 암호화된 데이터(T1486)이며, 수동 격리 작업은 공격 속도에 맞게 확장할 수 없습니다.
• 반출(TA0010): 수동 응답 시간이 연장되는 동안 데이터 도난 작업을 완료하는 자동화된 반출(T1020)입니다.

IR-6.1: Microsoft Sentinel의 자동 응답 플레이북 배포

수동 인시던트 대응 작업은 분석가가 봉쇄 절차를 실행하여야 하는 동안 악의적 사용자가 공격 체인을 계속 진행할 수 있도록 하는 주요 지연을 발생시킵니다. 대응 속도가 인간의 한계로 인해 제한되면서, 공격자는 효과적인 대책이 배포되기 전에 목표를 달성할 수 있습니다. 자동화된 플레이북은 머신 속도로 봉쇄, 조사 및 복구 작업을 실행합니다. 즉, 손상된 시스템을 격리하고, 위반된 계정을 사용하지 않도록 설정하며, 몇 시간 동안 사람이 주도하는 응답이 아닌 몇 초 내에 악의적인 인프라를 차단합니다. 표준화된 자동화 프로시저는 분석가 경험 수준 또는 인시던트 볼륨에 관계없이 일관된 응답 품질을 보장하여 고압 인시던트 대응 중에 누락된 봉쇄 단계를 발생시키는 가변성을 제거합니다.

자동화를 통해 일관된 신속한 응답을 실행합니다.

Microsoft Sentinel 플레이북을 Azure Logic Apps 통합과 함께 구현하여 포함, 조사 및 복구를 포함한 일반적인 인시던트 대응 작업을 자동화합니다. 플레이북은 대규모로 일관되고 신속한 응답을 제공합니다.

핵심 플레이북 범주:

• 사용자 계정 응답 플레이북: 오탐지 방지를 위해 승인 워크플로를 사용하여 자동화된 사용자 계정 비활성화, 암호 재설정, 세션 종료 및 권한 철회
• 디바이스 격리 플레이북: 네트워크 보안 그룹 수정, Azure Firewall 규칙 배포 및 가상 네트워크 분할을 통한 자동화된 VM 격리
• 맬웨어 응답 플레이북: 자동화된 파일 격리, Azure Defender에서 해시 차단 및 조직 전체의 Windows Defender에 서명 배포
• 데이터 보호 플레이북: 데이터 노출과 관련된 인시던트에 대한 자동화된 데이터 분류 검토, 액세스 해지 및 암호화 키 회전
• 통신 및 알림 플레이북: 템플릿 메시징 및 승인 워크플로를 사용하여 자동화된 이해 관계자 알림, 고객 통신 및 규제 보고

통합 기능:

• Microsoft Entra ID 통합: Microsoft Graph API를 통한 자동화된 사용자 계정 관리, 조건부 액세스 정책 수정 및 권한 있는 ID 관리 작업
• Microsoft Defender 통합: Defender 플랫폼에서 자동화된 위협 헌팅, IoC(손상 지표) 차단 및 보안 권장 사항 구현
• Azure 리소스 관리: Azure Resource Manager API를 통해 자동화된 리소스 격리, 구성 변경 및 백업 트리거
• 타사 SOAR 통합: REST API를 통해 ServiceNow, Phantom 및 기타 보안 오케스트레이션, 자동화 및 응답 플랫폼과 통합
• 승인 및 사용자 유효성 검사: 시간 제한 절차 및 에스컬레이션 메커니즘을 사용하는 영향력이 큰 자동화된 작업에 대한 구성 가능한 승인 워크플로

IR-6.2: 자동화된 포함 및 격리 프로시저 구현

억제 지연을 통해 악의적 사용자는 지속성 메커니즘을 설정하거나, 데이터를 반출하거나, 랜섬웨어를 배포할 수 있으며, 수동 격리 절차는 승인 체인 및 구성 변경을 통해 진행되며, 공격 진행은 종종 인간의 대응 기능을 능가합니다. 네트워크 격리, 계정 비활성화 및 시스템 격리를 통한 자동화된 포함은 탐지 후 몇 초 내에 실행되어 악의적 사용자가 목표를 달성하기 전에 공격 체인을 중단합니다. 사전 승인된 격리 자동화는 결정적인 대응 시간 동안 사람의 의사 결정으로 인한 지연을 제거하여, 간 발작을 차단하고 데이터 유출을 예방합니다. 이처럼 분 단위의 지연이 침입 격리와 성공적인 데이터 유출 사이의 결과 차이를 결정할 수 있습니다.

즉시 자동화된 제한을 통해 공격 진행을 차단합니다.

Azure Automation(런북: Azure Automation 개요), Azure Policy(Azure Policy 개요) 및 Microsoft Defender를 이용하여 신속한 격리를 통해 공격 진행을 방지하기 위해 자동화된 네트워크 격리, 계정 사용 안 함, 그리고 시스템 격리를 배포합니다.

네트워크 격리 자동화:

• Azure 네트워크 보안 그룹 자동화: 조사 액세스를 유지하면서 손상된 가상 머신을 격리하기 위한 네트워크 보안 그룹 규칙의 자동화된 수정(NSG 관리).
• Azure Firewall 규칙 배포: Azure Firewall을 사용하여 인시던트 중에 식별된 악의적인 IP 주소, 도메인 및 통신 패턴을 차단하는 Azure Firewall 규칙의 신속한 배포
• 가상 네트워크 격리: 활성 인시던트 중 횡적 이동을 방지하기 위한 자동화된 가상 네트워크 분할 및 서브넷 격리
• Load Balancer 및 Traffic Manager 업데이트: 고객에게 미치는 영향을 방지하기 위해 부하 분산 장치 풀 및 트래픽 라우팅에서 손상된 리소스의 자동화된 제거
• ExpressRoute 및 VPN 격리: 온-프레미스 환경에서 손상된 네트워크 세그먼트를 격리하기 위한 라우팅 정책의 자동화된 수정

계정 및 액세스 제어 자동화:

• Microsoft Entra 조건부 액세스: 손상된 계정, 디바이스 또는 위치의 액세스를 차단하는 자동화된 조건부 액세스 정책 배포(조건부 액세스 개요).
• Privileged Identity Management: 권한 있는 액세스 할당의 자동 해지 및 손상된 계정에 대한 Just-In-Time 액세스(PIM 개요).

구현 예제

조직은 규정 준수를 유지하면서 응답 시간을 시간에서 분으로 줄이기 위해 포괄적인 인시던트 대응 자동화를 구현했습니다.

문제: 조직은 수동 포함 프로세스 때문에 인시던트 대응이 지연되어 공격자가 네트워크에서 횡적 이동할 수 있도록 허용했으며, 일관되지 않은 대응 절차로 인해 규정 준수 문서와 감사 기록에 빈틈이 생겼습니다.

솔루션 접근 방식:

• 신뢰도 높은 보안 경고에 의해 트리거된 자동화된 사용자 계정 일시 중단 및 디바이스 격리를 위한 Microsoft Sentinel 플레이북 배포
• Azure Automation 런북을 구현하여 중요한 시스템으로의 횡적 이동을 방지하고 포렌식 증거를 보존하도록 가상 머신을 신속하게 격리했습니다
• 심각도에 적합한 에스컬레이션 절차가 있는 법률 팀, 규정 준수 임원 및 임원을 포함하여 자동화된 이해 관계자 알림을 위한 Logic Apps 워크플로를 만들었습니다.
• 자동화된 준수 수정 작업을 위해 구성된 Azure Policy가 격리된 시스템이 인시던트 대응 절차 중에 보안 구성을 유지하도록 보장합니다.
• 프로덕션 시스템에 영향을 주는 작업에 대한 2인 권한 부여 요구 사항이 있는 영향력이 높은 자동화 작업에 대한 승인 워크플로 설정
• 포괄적인 인시던트 설명서 및 감사 내역을 보장하는 자동화된 티켓 생성, 할당 및 에스컬레이션 절차를 포함하는 통합 워크플로

결과: 자동화된 공격의 속도에 맞춘 자동화된 격리를 통해 인시던트 대응 시간이 크게 줄었습니다. 자동화된 플레이북은 규정 준수를 지원하는 완전한 감사 내역을 통해 일관된 응답 절차를 보장했으며, 2인 권한 부여는 자동화 오류로부터 프로덕션 시스템을 보호했습니다.

중요도 수준

있어야 합니다.

컨트롤 매핑

• NIST SP 800-53 Rev.5: IR-4(1), IR-4(4), IR-5(1), IR-8
• PCI-DSS v4: 12.10.4, 12.10.6
• CIS 컨트롤 v8.1: 17.4, 17.6, 17.7
• NIST CSF v2.0: RS.RP-1, RS.MI-1, RS.MI-2, RS.MI-3
• ISO 27001:2022: A.5.24, A.5.25, A.5.26
• SOC 2: CC7.3, CC7.4, CC9.1

IR-7: 인시던트 후 활동 - 배운 교훈을 수행하고 증거를 유지합니다.

보안 원칙

포괄적인 교훈 학습 프로세스, 변경할 수 없는 스토리지를 사용한 증거 보존, 실제 인시던트 환경 및 진화하는 위협 환경에 기반한 인시던트 대응 기능의 지속적인 개선 등 체계적인 인시던트 후 활동을 설정합니다.

완화할 리스크

체계적인 인시던트 후 활동을 수행하지 못하면 조직 학습, 규정 준수 위반 및 반복된 보안 인시던트에 대한 기회를 놓치고 적절한 교훈을 얻은 프로세스를 통해 방지할 수 있습니다. 포괄적인 인시던트 후 절차 없이:

• 되풀이 인시던트: 근본적인 격차를 식별하고 수정하지 못하면 동일한 취약성을 통해 반복된 공격이 발생합니다.
• 증거 파괴: 보존이 부족하면 법적 조치, 보험 청구 및 규정 준수에 필요한 법의학적 증거가 파괴됩니다.
• 누락된 규정 준수 의무: 증거 보존 요구 사항(HIPAA, SOX, PCI-DSS, GDPR)이 있는 산업은 위임된 기간 동안 증거가 제대로 보존되지 않으면 상당한 처벌을 받게 됩니다.
• 비효율적인 보안 제어 개선 사항: 학습된 체계적인 교훈이 없으므로 보안 제어 격차를 식별할 수 없으므로 유사한 공격과 취약성에 계속 노출됩니다.
• 성능이 저하된 인시던트 대응 기능: 팀은 실제 인시던트 환경을 기반으로 대응 절차, 도구 및 교육을 개선하지 못하여 반복적인 응답 비효율성 및 지연을 초래합니다.
• 손실된 조직 지식: 개별 인시던트 환경은 조직 전체에서 캡처되고 공유되지 않으므로 조직 학습 및 기능 개발을 방지합니다.

인시던트 후 오류는 조직의 적응을 방지하고 예방 가능한 공격에 대한 지속적인 취약성을 보장합니다.

MITRE ATT&CK

• 지속성(TA0003): 계정 조작(T1098)을 통해 조직이 인시던트 후 분석 중 식별된 근본 원인을 해결하지 못할 경우 동일한 공격 벡터를 통해 액세스를 다시 확보합니다.
• 초기 액세스(TA0001): 인시던트 후 분석에서 시스템 보안 격차를 식별하고 수정하지 못할 때 동일한 취약성을 반복적으로 악용하는 공용 애플리케이션(T1190)을 악용합니다.
• 방어 회피(TA0005): 부적절한 증거 보존을 활용하여 인디케이터 삭제(T1070)는 귀속 및 유사한 공격 패턴의 향후 탐지를 방지합니다.

IR-7.1: 학습된 체계적인 프로세스 구현

보안 인시던트에서 배운 교훈을 캡처하지 못하는 조직은 예방 가능한 오류를 반복하며 이론적 위협이 아닌 실제 손상 시나리오에서 관찰된 실제 공격 패턴을 기반으로 방어를 강화할 기회를 놓치고 있습니다. 체계적인 인시던트 후 검토는 보안 이벤트를 조직 학습으로 변환하여 제어 향상, 프로세스 구체화 및 실제 악의적인 기술로 통보된 학습 업데이트를 통해 측정 가능한 보안 향상을 추진합니다. 구조적 근본 원인 분석은 표면 증상을 해결하는 대신 기본적인 보안 약점을 식별하여 전체 공격 클래스를 제거하는 아키텍처 변경을 통해 재발을 방지합니다.

체계적인 학습을 통해 인시던트가 보안 개선으로 전환:

조직은 Microsoft Sentinel 인시던트 추적, Azure DevOps 작업 항목 관리 및 구조적 개선 프로세스를 사용하여 보안 인시던트 이후의 포괄적인 교훈 학습 절차를 설정하여 지식을 캡처하고 보안 향상을 추진해야 합니다.

학습된 프레임워크:

• 인시던트 후 검토 모임: 인시던트 폐쇄 후 72시간 이내에 기술 응답자, 비즈니스 소유자 및 고위 경영진을 포함한 모든 이해 관계자가 참여하는 체계적인 검토 회의
• 근본 원인 분석 방법론: 5가지 이유, Fishbone 다이어그램 및 타임라인 분석과 같은 기법을 사용하여 즉각적인 증상을 넘어서는 근본적인 원인을 식별하는 구조적 근본 원인 분석
• 보안 제어 격차 평가: 검색 기능, 대응 절차 및 방지 메커니즘을 포함하여 인시던트 중 보안 제어 효율성에 대한 포괄적인 평가
• 타임라인 및 의사 결정 분석: 인시던트 타임라인, 의사 결정 지점 및 응답 효율성을 자세히 분석하여 프로세스 개선 및 교육 요구 사항을 식별합니다.
• 관련자 피드백 수집: 인시던트가 영향을 받는 사용자, 고객 및 외부 파트너를 비롯한 모든 인시던트 관련자의 체계적인 피드백 수집

향상된 구현 추적:

• Azure DevOps 통합: Azure DevOps Boards를 통해 할당된 소유자, 마감일 및 진행률 추적을 통해 식별된 개선 사항을 위한 작업 항목 만들기
• 보안 로드맵 통합: 학습된 결과를 조직 보안 로드맵 및 전략적 계획 프로세스에 통합
• 메트릭 및 KPI 개발: 향상된 효율성 및 인시던트 응답 성숙도를 측정하는 데 학습된 교훈을 기반으로 KPI(핵심 성과 지표) 개발
• 교육 및 인식 업데이트: 학습된 교훈을 기반으로 보안 인식 교육, 인시던트 대응 절차 및 기술 설명서에 대한 체계적인 업데이트
• 탁상 연습 향상: 학습된 시나리오를 탁상 연습 및 인시던트 대응 교육 프로그램에 통합

IR-7.2: 증거 보존 및 변경할 수 없는 스토리지 설정

수집 후 증거 수정 또는 삭제는 법의학 무결성을 손상하여 법적 절차에서 조사 결과를 허용되지 않는 동시에 악의적 사용자가 방어 전략에서 증거 변조를 주장 할 수 있도록합니다. 시간 기반 보존 정책 및 법적 보존이 있는 변경할 수 없는 스토리지는 규정 보존 기간 및 법적 절차 전반에 걸쳐 증거를 보존하여 조기 삭제 또는 무단 수정을 방지합니다. 암호화 검증이 포함된 보관 문서 체인은 증거를 수집에서 분석을 통해 변경되지 않고 기소 및 규제 집행 조치에 필요한 증거 표준을 충족한다는 법적 증거를 제공합니다.

변경할 수 없는 보존을 통해 법의학적 증거 무결성을 보장합니다.

조직은 Azure Storage 변경할 수 없는 보존 정책, 법적 보존 절차 및 규정 준수 기반 증거 관리를 구현하여 법적 절차, 규정 요구 사항 및 향후 인시던트 분석을 위한 적절한 증거 보존을 보장해야 합니다.

변경할 수 없는 증거 스토리지:

• Azure Blob Storage 변경할 수 없는 정책: 필요한 보존 기간 동안 증거 수정 또는 삭제를 방지하는 시간 기반 및 법적 보존 정책
• 증거 분류 및 보존: 규정 요구 사항 및 법적 고려 사항에 따라 적절한 보존 기간이 있는 증거 유형의 체계적인 분류 데이터 분류, 민감도 레이블 지정 및 보존/수명 주기 정책에 Microsoft Purview 를 활용하여 증거 처리를 조직 거버넌스(Microsoft Purview)와 정렬합니다.
• 보관 문서 체인: 암호화 해시, 디지털 서명 및 법적 증거 요구 사항에 대한 액세스 로깅을 사용하여 자동화된 보관 추적 체인
• 지역 간 증거 복제: 암호화 및 액세스 제어를 사용하여 재해 복구 및 관할 요구 사항에 대한 지리적 증거 복제
• 증거 검색 및 검색: 법적 절차 및 향후 인시던트 분석을 위해 신속한 검색을 가능하게 하는 체계적인 증거 인덱싱 및 검색 기능

규정 준수 및 법적 요구 사항:

• 규정 보존 매핑: 관련 규정에서 증거 보존 요구 사항을 매핑합니다(예: HIPAA 설명서 보존 6년; SOX 관련 레코드는 종종 7년입니다. PCI-DSS 로그 보존 최소 1년 및 3개월 즉시 사용 가능). 참고: GDPR은 고정된 다년 증거 보존 기간을 규정하지 않습니다. 데이터 최소화 및 목적 제한 원칙을 적용합니다. 규정 보고, 법적 방어 및 보안 작업에 필요한 한 문서화된 근거를 사용하여 보존합니다. 출처: HIPAA, SOX, PCI-DSS, GDPR.
• Legal Hold Automation: 소송, 규제 조사 또는 무기한 보존을 사용하는 기타 법적 요구 사항에 의해 트리거되는 자동화된 법적 보존 구현

구현 예제

의료 조직은 체계적인 증거 보존 및 학습된 프로세스를 통해 HIPAA 요구 사항을 충족하기 위해 포괄적인 인시던트 후 활동을 구현했습니다.

도전: 의료 조직은 처리되지 않은 근본 원인에서 되풀이되는 인시던트를 만드는 체계적인 인시던트 후 검토 프로세스가 부족했으며, 수동 증거 보존 절차로 인해 HIPAA 규정 준수 위반의 위험이 발생하고 6년 보존에 대한 OCR 조사 요구 사항을 충족할 수 없게 됩니다.

솔루션 접근 방식:

• 임상 직원, IT 팀, 개인 정보 보호 책임자 및 고위 경영진이 참여하는 인시던트 종료 후 48시간 이내에 구조화된 교훈 학습 회의를 수립했습니다.
• HIPAA 규정 준수에 대한 6년 보존 정책과 잠재적 소송에 대한 자동화된 법적 보존 트리거를 사용하여 변경할 수 없는 Azure Storage 보존 구현
• 할당된 소유자 및 분기별 검토 주기를 사용하여 개선 구현을 추적하기 위한 Azure DevOps 작업 항목 템플릿을 만들었습니다.
• 증거 관리 자동화 체인을 배포하여 암호화 해시 및 디지털 서명을 통해 OCR 조사 및 법적 절차에서의 증거 무결성을 보장합니다.
• 인시던트 대응 성숙도 메트릭을 개발하여 중간 탐지 시간, 억제 효과, 되풀이 인시던트 패턴을 추적함으로써 지속적인 개선을 도모하다.
• 월별 보안 인식 교육 및 분기별 인시던트 대응 탁상 연습에 대한 통합 단원 학습 결과

결과: 체계적인 근본 원인 수정을 통해 반복 인시던트가 감소하면서 지속적인 인시던트 대응 개선을 달성했습니다. 자동화된 법적 보존이 있는 변경할 수 없는 스토리지는 HIPAA가 OCR 조사 및 법적 절차를 지원하는 완전한 증거 체인을 준수하도록 보장했습니다.

중요도 수준

있어야 합니다.

컨트롤 매핑

• NIST SP 800-53 Rev.5: IR-4(4), IR-4(5), IR-4(10), CP-9(8), AU-11
• PCI-DSS v4: 10.5.1, 12.10.7
• CIS 컨트롤 v8.1: 8.3, 17.8, 17.9
• NIST CSF v2.0: RS.RP-1, RS.IM-1, RS.IM-2
• ISO 27001:2022: A.5.24, A.5.28, A.8.13
• SOC 2: CC9.1, A1.2, A1.3