보안 분석가의 사이버 침해사고 분석 전략

보안 분석가의 사이버 침해사고 분석 전략

$31.30
Description
[보안 분석가의 사이버 침해사고 분석 전략]은 시니어 분석가의 역할과 관련 기술을 설명한다. 네트워크 기반의 패킷 및 IDS/IPS 등 보안 장비의 위협 로그를 어떻게 좀 더 효율적으로 분석하는지에 대해 충분한 설명과 예제를 제공하며 시스템 기반의 로그나 침해 분석 방법 및 관련 도구를 예제와 함께 설명한다. 3.20 사이버 테러 발생 당시 언론사를 마비시키고 대한민국을 혼란에 빠뜨린 APT 공격의 숨은 실체를 살펴본다.
저자

송대근

저자송대근은안랩CERT팀에서보안분석가로다수의침해사고분석을수행했다.민간기업의대규모정보유출과3.20사이버테러당시관련침해사고분석업무를수행했고,공공기간을대상으로한사이버테러대응을지원했다.SOC(SecurityOperationCenter)매니저로활동하며진화된사이버보안위협에대응하기위한‘차세대보안관제서비스(NG-MSS)’개발에참여했다.

목차

1부.보안분석가

1장.보안위협정보수집
__1.1보안위협이해
____1.1.1애플리케이션취약점
____1.1.2지능형지속공격(APT)
____1.1.3내부통제
__1.2침입분석솔루션
____1.2.1네트워크침입탐지시스템
____1.2.2호스트기반침입탐지시스템
__1.3패킷정보수집
____1.3.1패킷페이로드정보
____1.3.2패킷메타정보이해
____1.3.3세션정보수집
__1.4시스템정보수집
____1.4.1수집항목
__1.5보안인텔리전스
____1.5.1바이러스토탈
____1.5.2X-ForceExchange
____1.5.3Zone-H
____1.5.4Malwaredomains외

2장.분석가의역할
__2.1분석가란?
____2.1.1전문침해대응
____2.1.2보고서작성
__2.2분석가의기본지식
____2.2.1네트워크서비스와취약점
____2.2.2데이터베이스구조와쿼리문
____2.2.3침입탐지시스템이해
____2.2.4오픈소스스노트
____2.2.5스노트시그니처
____2.2.6스노트시그니처작성
__2.3분석가가사용하는분석도구
____2.3.1패킷분석도구
____2.3.2파일분석도구
____2.3.3취약점스캐너

3장.보안위협이벤트분석
__3.1왜공격인가?
____3.1.1임계치기반분석
____3.1.2시그니처기반분석
__3.2정보수집
____3.2.1수집정보
____3.2.2시스템보안이벤트
____3.2.3애플리케이션로그
____3.2.4운영체제로그
__3.3위험확인방법
____3.3.1공격재현
____3.3.2공격유형분석
__3.4영향도분석
____3.4.1피해범위확인
____3.4.2응답코드점검
____3.4.3영향받는시스템점검
__3.5대응방안수립
____3.5.1패치적용
____3.5.2시스템설정
____3.5.3이행점검
__3.6결과공유와의사결정
____3.6.1분석결과보고
____3.6.2상세작성

2부.침해사고분석

4장.공격흔적찾기
__4.1휘발성정보
____4.1.1세션정보수집
____4.1.2세션별실행파일
____4.1.3사례분석
____4.1.4세션테이블리스트
__4.2프로세스정보
____4.2.1프로세스정보수집
____4.2.2프로세스를실행시킨명령어
____4.2.3실전사례
____4.2.4프로세스에서사용하는파일
____4.2.5프로세스와포트
____4.2.6로그온세션정보
____4.2.7마지막로그인정보
__4.3로그점검
____4.3.1윈도우이벤트ID와로그온타입
____4.3.2보안로그를이용한컴퓨터사용시간계산
____4.3.3프로그램실행추적
____4.3.4넷바이오스연결보안로그
____4.3.5원격명령실행로그
____4.3.6이벤트삭제로그
____4.3.7로그인성공로그검색
____4.3.8실전사례
____4.3.9애플리케이션로그

5장.공격경로분석
__5.1정보수집
____5.1.1네트워크정보수집
____5.1.2효율적인이벤트분석
__5.2공격경로분석
____5.2.1세션재구성
____5.2.2타임테이블분석
____5.2.3정보유출분석
__5.3실전대비모의훈련
____5.3.1실전훈련
____5.3.2실전훈련가이드


6장.피해분석
__6.1사용자계정분석
____6.1.1사용자목록
____6.1.2윈도우관리자계정목록
____6.1.3윈도우관리자계정삭제점검
____6.1.4리눅스관리자계정삭제점검
____6.1.5실전사례
__6.2애플리케이션정보
____6.2.1서비스목록점검
____6.2.2자동실행항목점검
____6.2.3프리패치점검
____6.2.4USB연결히스토리
__6.3파일점검
____6.3.1공유목록점검
____6.3.2공유파일점검
____6.3.3열린파일
____6.3.4파일접근검색
____6.3.5백업파일검색
____6.3.6시스템파일점검
____6.3.7웹접근히스토리
__6.4보안설정
____6.4.1계정정책
____6.4.2로컬정책
____6.4.3파일권한점검
__6.5실전사례분석
____6.5.1사전식대입공격
____6.5.2실습소개

7장.윈도우레지스트리분석
__7.1레지스트리분석
____7.1.1레지스트리추출
____7.1.2삭제레지스트리추출
____7.1.3레지스트리분석


8장.통합모니터링환경구축
__8.1보안환경분석
____8.1.1대응시나리오정의
____8.1.2정보수집대응시나리오
____8.1.3의심행위대응시나리오
____8.1.4악성코드대응시나리오
__8.2시나리오설계
____8.2.1단일시나리오
____8.2.2복합시나리오
__8.3보안대응범위정의
____8.3.1대응프로세스정의
____8.3.2인프라현황분석
__8.4통합보안모니터링
____8.4.1구축

부록A.윈도우서비스와이벤트ID
__A.1윈도우기본시작서비스
__A.2주요윈도우이벤트ID
__A.3유용한보안툴

출판사 서평

★이책에서다루는내용★

■침입대응/분석실무에필요한정보수집방법
■침해대응/분석실무자가사용하는분석도구및방법
■해킹기법에종속되지않는분석방법
■사례를통한침해대응분석노하우
■침해분석정보보고서작성시구성방법,정보전달요령

★이책의대상독자★

침해대응분석실무자
실시간으로발생하는위협시도에대응하고다양한해킹유형을경험해볼수있는중요한업무포지션이다.실시간위협대응업무를통해시니어보안분석가로성장하기위해꼭필요한업무지식과경험을쌓을수있는단계기도하다.주니어보안분석가가시니어보안분석가로성장하기위해필요한스킬셋과업무경험에대해설명한다.이책을통해간접체험하게될침해사고유형과공격유형은보안위협에대한식견을넓히는데도움을줄것이다.

기업IT보안실무담당자
기업의보안인프라를보호하기위해필요한방법에대해많은고민을하고책임을맡고있는포지션이다.점차지능적으로변화하는위협에대응하기위해오픈소스프로그램과상용프로그램을이용해APT공격을탐지하기위한방법을소개한다.침해사고가발생했을때효과적으로대응하기위해필요한프로세스나체계에대해SOC운영당시고민했던내용들을이책을통해공유하고자한다.

★이책의구성★

이책은크게1부와2부로나뉜다.1부에서는침해사고분석및대응을위해보안분석가가갖춰야하는지식과보안분석도구를살펴본다.보안분석가의중요한역할은수집된정보를잘분석하고분석한정보를기업이나조직에서사용할수있게잘가공하는것이다.
2부에서는침해사고가발생하는경우보안분석가가점검해야하는항목들을네트워크에서수집할수있는정보와시스템에서수집할수있는정보로나눠살펴본다.보안인프라를운영하는방식에따라분석에필요한정보를수집하는방식이달라진다.네트워크기반의정보를이용하게되면통신내역에서공격과관련된징후를수집하고분석해야한다.호스트시스템에대해조사가이뤄질때는침해사고가발생한호스트에서필요한정보를수집하고분석한다.또한영역별로수집해야하는정보와분석시사고가발생할때나타나는증상들을살펴본다.어떻게공격이시작돼어떤피해가발생하는지실제사례를통해간접경험해볼수도있다.
각장의구성의다음과같다.
1장,‘보안위협정보수집’IT보안사고대응의가장첫번째단계는사고관련증거를수집하는절차다.침해사고분석을위해보안분석가가수집해야하는정보가무엇인지살펴본다.보안솔루션과네트워크패킷에서보안분석가가어떤정보를확인해야하는지와,평판기반의보안위협정보를통해활용할수있는정보도살펴본다.
2장,‘분석가의역할’침해사고분석업무를수행하는보안분석가의역할을살펴보고,분석업무를수행하기위해필요한기본배경지식이무엇인지살펴본다.침해사고분석시유용하게사용되는분석툴의사용목적과사용방법을배우고,실제침해사고분석에활용할수있다.상용솔루션들의모티브가된다양한오픈소스를소개하고직접설치및사용가능한툴을소개한다.
3장,‘보안위협이벤트분석’보안분석가는보안솔루션에탐지된로그를이용해위협행위를식별해야한다.보안솔루션에탐지되는위협이벤트에서시스템에영향을미치는위험요소를식별해야한다.3장에서는위험요인을식별하기위한접근방법을소개하고활용방법도함께소개한다.위험요인을식별하는것만이보안분석가업무의전부는아니다.분석가는식별된위험요인으로기업이나조직에미칠수있는영향의정도를판단해야하고,식별된위험요인을제거하기위해필요한대응방안을수립할수있어야한다.분석결과를종합해사건의개요에서부터최종조치와사업영향도까지전체사건에대한보고서를작성하는능력이필요하다.
4장,‘공격흔적찾기’IT보안사고가발생하면사고와연관된시스템에대한상세분석을진행한다.보안솔루션단위에서탐지된위협이벤트를분석해시스템에미치는영향을판단할수있지만,정확한피해는시스템상세분석을통해이뤄진다.상세분석시보안분석가가점검해야하는항목들과관련항목들이실제사고발생시어떤연관성이있는지침해사고사례를통해살펴본다.점검항목중휘발성정보가무엇이고,시스템메시지중공격행위와연관된증거가무엇인지점검하는방법을살펴본다.
5장,‘공격경로분석’단편적인공격행위를모아침해사고와연관된일련의사건흐름을조합한다.사건을시간흐름에따라재조합하고최초공격자가유입된시점을파악해서공격침투경로를재구성한다.5장에서는실제웹셀공격이발생한네트워크트래픽을유튜브데모영상을보며직접분석해본다.
6장,‘피해분석’분석가는수집된정보를분석해서침해사고의원인을찾는작업을가장먼저수행한다.원인파악이완료되면시스템에발생한피해를파악하기위한분석을수행한다.피해를분석하는작업은기업이나조직의사업에미칠영향을파악하는작업이기때문에중요하다.어떤정보가유출됐는지에따라대응방법은달라질수있다.정확한피해를분석하기위해파일에대한변조내역,사용자계정의변화,실행된애플리케이션등을확인하는방법을살펴본다.실제로침해가발생했던사례연구를통해공격의발생원인과어떤피해가발생했는지를분석해본다.
7장,‘윈도우레지스트리분석’윈도우계열시스템의분석항목중매우중요한항목이레지스트리정보다.악성코드에의해시스템피해가발생하는경우대부분시스템의레지스트리정보가변경된다.또한사용자에대한계정추가/삭제내역도레지스트리정보를통해흔적을분석할수있다.윈도우시스템분석시유용한레지스트리정보를추출하고분석하는방법을소개한다.
8장,‘통합모니터링환경구축’시니어보안분석가의중요한역할중하나는다양한침해대응및분석경험을바탕으로최적화된사이버보안대응체계를구축하는작업이다.전체보안인프라에대한개념및용도설계를수행하고위협을탐지하는데필요한역할을정의한다.역할에따라IT대응에필요한업무프로세스를정의하고상세한대응가이드를제공한다.