디지털 포렌식과 사고 대응 (사이버 위협에 대응하는 사고 대응 기법과 절차 | 2 판)

디지털 포렌식과 사고 대응 (사이버 위협에 대응하는 사고 대응 기법과 절차 | 2 판)

$41.08
Ask a Question
Vendor: 에이콘출판 - 제라드 요한센
Type: 보안/해킹
SKU: 9791161755557
Categories: ALL BOOKS 컴퓨터/인터넷 컴퓨터/인터넷_OS/Networking
Tags: 디지털포렌식과사고대응사이버위협에대응하는사고대응기법과절차2판 컴퓨터/IT_보안/해킹
Description
디지털 포렌식을 사이버 보안 사고에 대한 전반적인 대응과 통합하는 방법을 이해하는 것은 공격으로부터 조직의 인프라를 보호하는 데 중요하다. 개정판에서는 사이버 사고 관리, 메모리 및 로그 분석, 위협 사냥 등 다양하고 실용적인 예를 추가하고, 보안 및 사고 조사에 관련된 중요한 이벤트 유형을 부록으로 추가해 최첨단 디지털 포렌식 활동 및 사고 대응을 수행하는 데 필요한 정보를 제공한다. 더불어 각 장을 마칠 때마다 핵심적인 사항의 이해를 돕는 문제와 더 읽어볼 거리는 이 책을 강의용으로 활용하는 데에도 유용할 것이다.
사고 대응과 디지털 포렌식의 기초를 다진 후, 사고 대응 절차, 포렌식 원칙, 사고 관리와 같은 기본 요소를 살펴보는 것으로부터 시작한다. 보안 사고에 대한 중요성을 이해하는 것에서부터 보안 사고에 신속하고 효과적으로 대응하는 데 도움이 되는 유용한 사례를 통해 안내한다. 그 다음, 증거 수집과 휘발성 메모리 조사부터 하드 드라이브 조사와 네트워크 기반 증거에 이르기까지 디지털 포렌식 기술을 익히게 된다. 이를 통해 위협 인텔리전스가 사고 대응 절차에서 어떤 역할을 하는지 알게 될 것이다. 또한 분석 결과를 문서화하는 사고 대응 보고서를 작성 방법도 배우게 된다. 마지막으로, 다양한 사고 대응 활동 외에도 악성코드 분석을 다루고 위협 사냥에서 디지털 포렌식 기술을 능동적으로 사용할 수 있는 방법을 보여준다. 이 책을 다 읽고 나면 조직에서 원치 않는 보안 침해 및 사고를 효과적으로 조사하고 보고하는 방법을 알게 될 것이다.
저자

제라드요한센

GerardJohansen
침투테스트,취약성관리,위협평가모델링,사고대응분야에서15년이상의경험을가진정보보안전문가다.사이버범죄수사관으로정보보안직종에입문했고,의료및금융분야의고객과조직을대상으로컨설턴트와보안분석가로일하면서경험을쌓았다.노위치대학교(NorwichUniversity)정보보호석사학위를받았고,공인정보시스템보안전문가(CISSP)자격을취득했다.현재는사고탐지,대응,위협인텔리전스통합에주력하는대형기술회사에서고위급사고대응컨설턴트로일하고있다.

목차

1부.사고대응과디지털포렌식기초
1장.사고대응의이해
__사고대응절차
____디지털포렌식의역할
__사고대응프레임워크
____사고대응헌장
____컴퓨터보안사고대응팀
______CSIRT핵심팀
______기술지원인력
______조직지원인력
______외부리소스
__사고대응계획
____사고분류
__사고대응플레이북
____단계적확대절차
__사고대응프레임워크테스트
__요약
__문제
__더읽어볼거리

2장.사이버사고관리
__사고대응팀참여시키기
____CSIRT모델
______SOC에스컬레이션
______SOC와CSIRT의연합
______CSIRT융합센터
____워룸
____의사소통
____직원교대
__위기커뮤니케이션통합
____내부커뮤니케이션
____외부커뮤니케이션
____공시
__사고조사
__봉쇄전략통합
__정상으로복귀-근절및복구
____근절전략
____복구전략
__요약
__질문
__더읽어볼거리

3장.디지털포렌식기본원리
__법적측면
____법률및규정
______증거규칙
__디지털포렌식기본원리
____연혁
____디지털포렌식절차
______식별
______보존
______수집
________적절한증거의취급
________관리연속성
______조사
______분석
______제출
____디지털포렌식연구실
______물리적보안
______도구
________하드웨어
________소프트웨어
________리눅스포렌식도구
________점프키트
__요약
__질문
__더읽어볼거리

2부.증거수집
4장.네트워크증거수집
__네트워크증거개관
____준비
____네트워크다이어그램
____구성
__방화벽과프록시로그
____방화벽
____웹프록시서버
__NetFlow
__패킷캡처
____tcpdump
____WinPcap및RawCap
__Wireshark
__증거수집
__요약
__질문
__더읽어볼거리

5장.호스트기반증거확보
__준비
__휘발성순위
__증거확보
____증거수집절차
__휘발성메모리확보
____로컬확보
______FTKImager
______WinPmem
______RAMCapturer
____원격획득
______WinPmem
______가상머신
__비휘발성증거확보
____CyLR.exe
____암호화확인
__요약
__질문
__더읽어볼거리

6장.포렌식이미징이해
__포렌식이미징이해
__이미징도구
__스테이지드라이브준비하기
__Digital
__쓰기방지장치의사용
__이미징기법
____데드이미징
______FTKImager로이미징하기
____라이브이미징
____원격메모리획득
______WinPmem
______F-Response
____가상머신
______리눅스이미징
__요약
__질문
__더읽어볼거리

3부.증거분석
7장.네트워크증거분석
__네트워크증거의개요
__방화벽및프록시로그분석
____DNS블랙리스트
____SIEM도구들
____ElasticStack
__NetFlow분석
__패킷캡처분석
____명령행도구
____Moloch
____Wireshark
__요약
__질문
__더읽어볼거리

8장.시스템메모리분석
__메모리분석개요
__메모리분석방법론
____SANS6단계방법론
____네트워크연결방법론
____메모리분석도구
__Redline메모리분석
____Redline분석프로세스
____Redline프로세스분석
__Volatility메모리분석
____Volatility설치
____Volatility다루기
____Volatility이미지정보
____Volatility프로세스분석
______프로세스목록
______프로세스검사
______프로세스트리
______DLL리스트
______handles플러그인
______LDR모듈
______프로세스xview
____Volatility네트워크분석
______connscan
____Volatility증거추출
______메모리덤프
______DLL파일덤프
______실행파일덤프
__Strings메모리분석
____Strings설치
____IP주소검색
____HTTP검색
__요약
__질문
__더읽어볼거리

9장.시스템스토리지분석
__포렌식플랫폼
__Autopsy
____Autopsy설치
____Case열기
____Autopsy탐색
____Case조사
______웹아티팩트
______이메일
______연결장치
______삭제파일
______키워드검색
______타임라인분석
__MFT분석
__레지스트리분석
__요약
__질문
__더읽어볼거리

10장.로그파일분석
__로그및로그관리
__이벤트관리시스템의작업
____SecurityOnion
____ElasticStack
__윈도우로그의이해
__윈도우이벤트로그분석
____획득
____선별
____분석
______EventLogExplorer
______Skadi로그분석
__요약
__질문
__더읽어볼거리

11장.사고보고서작성
__문서작성개요
____문서작성대상
____문서작성유형
____출처
____독자
__사고추적
____신속사고대응
__서면보고
____핵심요약
____사고보고서
____포렌식보고서
__요약
__질문
__더읽어볼거리

4부.전문주제
12장.사고대응을위한악성코드분석
__악성코드분류
__악성코드분석개요
____정적분석
____동적분석
__악성코드분석
____정적분석
______ClamAV
______Pestudio
______REMnux
______YARA
__동적분석
____악성코드샌드박스
____ProcessExplorer
______ProcessSpawnControl
____CuckooSandbox
__요약
__질문
__더읽어볼거리


13장.위협인텔리전스활용
__위협인텔리전스이해
____위협인텔리전스유형
____고통의피라미드
__위협인텔리전스방법론
____위협인텔리전스지휘
______킬체인
______다이아몬드모델
__위협인텔리전스소스
____내부개발소스
____상업적소스
____오픈소스
__위협인텔리전스플랫폼
____MISP위협공유
__위협인텔리전스의사용
____예방적위협인텔리전스
____사후적위협인텔리전스
______Autopsy
______Redline에IOCs추가
______Yara와Loki
__요약
__질문
__더읽어볼거리

14장.위협사냥
__위협사냥성숙도모델
__위협사냥주기
____이벤트착수
____작업가설생성
____위협인텔리전스활용
____포렌식기법적용
____새로운지표식별
____기존가설강화
__MITREATT&CK
__위협사냥계획
__위협사냥보고
__요약
__질문
__더읽어볼거리

출판사 서평

★이책에서다루는내용★
■조직내에서사고대응기능의구축및배치
■적절한증거수집및처리절차수행
■수집된증거분석및보안사고의근본원인파악
■메모리및로그분석
■디지털포렌식기법과절차를전반적인사고대응절차에통합
■다양한위협사냥기법
■분석의주요결과를문서화하는효과적인사고보고서작성

★이책의대상독자★
정보보호전문가,디지털포렌식실무자,소프트웨어애플리케이션및기본명령행사용에대한지식과경험이있는독자를대상으로한다.또한조직내에서사고대응,디지털포렌식,위협사냥임무를처음접하는정보보호전문가에게도움이될것이다.

★이책의구성★
1장,‘사고대응의이해’에서는사고대응의절차와기업내부적으로사고대응에대한프레임워크를수립하는방법을다룬다.이프레임워크를통해사고의근본원인을구체적이며체계적으로조사할수있고,사고를억제하고충격을줄일수있으며,피해를복구해기업을평시의상태로되돌릴수있다.
2장,‘사이버사고관리’에서는사고대응을위한전략적구성개념을제공하는사고관리프레임워크를논하며,사고관리방법의가이드를제시한다.사고에스컬레이션,사고워룸(warroom)의구성,위기커뮤니케이션,조직을평시로되돌리기위한기법등과같은전략적수준의이슈를다룬다.
3장,‘디지털포렌식기본원리’에서는디지털포렌식의기초를배운다.디지털포렌식의주요역사와과학수사의기본요소,디지털포렌식기법과사고대응프레임워크의통합방법을다룬다.
4장,‘네트워크증거수집’에서는네트워크기반증거의획득에중점을둔다.방화벽,라우터,스위치,프록시서버,그밖의네트워크레이어장비와같은네트워크장비의로그파일들을다룬다.그밖에패킷캡처와같은증거유형도탐색해본다.
5장,‘호스트기반증거확보’에서는손상된호스트가많은경우직접적으로또는네트워크의다른영역에대한피벗포인트로써공격의대상이된다는점을설명한다.이러한시스템들의증거는사고의근본원인을파악하는핵심이다.휘발성메모리,로그파일,기타관련증거를캡처하는데사용되는도구와기법을중점적으로다룬다.
6장,‘포렌식이미징’에서는손상된시스템의물리적디스크드라이브가중요한증거소스가된다는점을설명한다.이증거가손상되지않게하려면증거를적절하게확보해야한다.이장에서는의심스러운하드디스크드라이브(HDD)를올바르게이미징하는방법에집중한다.
7장,‘네트워크증거분석’에서는tcpdump,Wireshark,Moloch와같은오픈소스도구를사용하는방법을알아본다.명령및제어채널이나데이터추출을식별하기위한네트워크증거분석가이드를제시한다.이러한증거는네트워크프록시나방화벽로그,패킷캡처와같은다른네트워크증거와깊이연관된다.
8장,‘시스템메모리분석’에서는산업표준도구들을활용해시스템메모리안에포함된악성활동들을식별하는다양한방법을살펴본다.악성프로세스,네트워크연결,감염된시스템에서실행되는악성코드와관련된지표들의식별방법을소개한다.
9장,‘시스템스토리지분석’에서는앞서이미징한HDD로부터증거를추출하는데사용할수있는도구와기법을소개한다.시스템스토리지를검사하는데사용할수있는방법들을다루지만,9장에서는특정측면만중점적으로다룬다.
10장,‘로그파일분석’에서는정당한동작과적대적인동작중에생성되는다양한윈도우OS로그를탐색한다.오픈소스도구를사용해로그파일을분석함으로써보안,시스템또는애플리케이션이벤트로그를검사하고,잠재적인침해지표를식별하는방법을알아본다.
11장,‘사고보고서작성’에서는조사자체만큼중요한,사고대응자의조치와분석을캡처한서면문서의작성을논한다.잠재적인법인을포함해주요내부및외부의이해관계자를대상으로한보고서작성에초점을둔다.법정에서의철저한검토에부합하는보고서를준비하는것이최종목표다.
12장,‘악성코드분석’에서는악성코드를검사할때배포되는도구및기법을개관한다.여기에서는주요지표를식별하는정적분석기법과악성코드의동작을탐색하는동적분석을다룬다.
13장,‘위협인텔리전스활용’에서는위협인텔리전스가적대적인전술,기법,절차의광범위한내용에대한세부정보를제공함에따라사고대응에서점점더중요해지고있다는점을설명한다.더불어위협인텔리전스를이해하고이를사고대응절차에적용하는방법을다룬다
14장,‘위협사냥’에서는디지털포렌식도구및기법을위협인텔리전스와통합해네트워크가침해됐는지확인하는방법을소개한다.또한위협사냥가설및사냥을위한지표의작성을통해서위협사냥의방법과함께위협인텔리전스가어떻게사냥을촉진할수있는지알아본다.
15장,‘부록’에서는보안및사고조사에관련된가장중요한이벤트가포함돼있으며이는참고용으로제공됐다.IT및보안전문가들이활용할수있는상당한수의WindowsEventLog의유형을제시했다.

★옮긴이의말★
오늘날사이버공격기법은인터넷환경및IT기술의발달과더불어매우정교하고빠른속도로진화해우리를교묘하게괴롭히고있다.마치세렝게티초원의배고픈사자처럼타깃을꾸준히감시하고은밀하게침투하며공격시점을엿보는APT형태의사이버공격은결국전산망을마비시키거나정보를탈취해해당조직을위기상황에몰아넣는다.이와같은사이버공격에있어서사고대응의성공여부를판가름하는척도는크게두가지다.먼저얼마나빨리이상징후를탐지할수있는가?그리고탐지된위협에얼마나신속하게조치하는가?이러한일련의사고대응의성공확률을높여줄열쇠는바로사고대응팀의경험과지식에기반한통찰력과열정에있다고해도과언이아니다.
이번개정판을준비하던시기는랜섬웨어의시대라할정도로세계곳곳에서표적형랜섬웨어가폭발적으로기승을부려대규모피해가발생했다는뉴스가자주보도됐다.과거스팸메일로악성코드를무차별살포하던때와달리최근에는정교한방법과고도의코드를사용해장기적으로표적을공격하는양상을보이고있다.잘알려진글로벌보안업체가제공하는보안솔루션에서제로데이취약점이발견됐고,취약점이발견되기전에이미악용돼피해가발생했다는것은시사하는바가크다.개정판에추가된사이버사고관리,메모리및로그분석,위협사냥등다양하고실용적인예는시의적절하게디지털포렌식활동및사고대응을수행하는데필요한정보를제공한다.더불어각장을마칠때마다핵심적인사항의이해를돕는문제와더읽어볼거리가제공돼교육용으로활용하기에도좋다.
이책의저자는『손자병법』의손무가강조했던‘지피지기(知彼知己)’사상의전략적개념을언급하며,이것이사이버침해사고에서도상통될수있음을필력하고있다.『손자병법』제6편에보면다음과같은말이있다.
“선전자,치인이불치어인(善戰者,致人而不致於人)”
적보다먼저전쟁터에도착해적을기다리는군대는편안하고,적보다늦게전쟁터에도착해갑자기전투에투입되는군대는좋은거점을놓쳐피동적으로적에게끌려간다는말이다.이것은사이버공격에대응하는우리의자세가어떠해야하는지를되새기게한다.보이지않는적의공격에대한철저한준비의자세는아무리강조해도지나치지않다.이책의저자역시‘준비에실패하는것은실패를준비하는것’이라는벤자민프랭클린의말을인용하며사이버공격에대비한철저한준비를다시한번강조한다.손무는‘전쟁에서승리는인위적으로만드는것’이라고했다.따라서독자들이칼이나총이아닌최신해킹기술과도구를무기로사용하는사이버공격의대응전략을터득하게되길바란다.
사이버공격의위험을완전히제거하는것은불가능하다.다만체계적이고효율적인방법으로침해사고에대응하는능력을적절하게갖춘다면잠재적인사이버공격의피해를줄이고관련된피해를신속히복구함으로써조직의위험을최소화할수있을것이다.그리고근본적인사고원인의분석을통해사고대응계획을개선하는과정을거친다면향후유사한사고가발생할위험을줄일수있을것이다.또한이책에서제시된문서화의과정을올바르게수행한다면만일사고가법정에서다뤄지더라도증거가누락되는일은쉽게일어나지않을것이다.
더불어사고대응분석자는이와관련한법적절차와판례의동향을숙지해야한다.최근대법원은형사절차상전자적정보의수집과분석에관한새로운판례를많이내어놓고있으며전자적정보의수집과분석과정,증거능력의인정에관해엄격한입장을취하고있다.민사소송에서는자유심증주의를채택하고있어원칙적으로증거수집방법이나증거능력의제한은없으나객관적증명의개연성과법관의주관적인확신이있을것을요구하고있다.따라서관련법규와최근판례의동향을분석해디지털포렌식역량을쌓아간다면조직의정보보호전략의수립및사고대응시과학적조사기술의타당성증명에자신감을얻게될것이다.
사이버전쟁에서‘전략’과‘전술’은사고대응의중요한요소다.이책은이러한전략과전술에대한저자의경험과내공이묻어난다.이에독자들은각장의세심한구성과실제의예시들을따라가며비교적쉽게사고대응의흐름을이해할수있을것이다.이책이사이버보안전문가에게는사고대응역량을향상시키고,디지털포렌식입문자에게는이분야의체계적인소양을기르기위한더없이훌륭한셰르파(Sherpa)가되리라생각한다.