사이버 사고 대응 실무

스티브앤슨

SteveAnson
전직미연방요원으로FBI사이버범죄태스크포스와미국방범죄조사국에서다양한사이버관련사건을다뤘다.FBI아카데미에서컴퓨터침해조사를가르쳤으며미국무부테러방지지원프로그램의계약자로서여러나라의경찰기관과협력해지속적으로잘정비된디지털포렌식및사이버수사역량개발을돕고있다.IT보안선도기업인포워드디펜스(ForwardDefense)의공동설립자로서전세계정부및민간기업에보안컨설팅을제공하며,SANS인스티튜트의공인강사로네트워크환경을보호하고방어하는내용을가르치고있다.

1부.준비


1장.위협동향
2장.침해사고대응준비

2부.대응


3장.원격선별진단
4장.원격선별진단도구
5장.메모리수집
6장.디스크이미징
7장.네트워크보안모니터링
8장.이벤트로그분석
9장.메모리분석
10장.멀웨어분석
11장.디스크포렌식
12장.내부망이동분석

3부.개선


13장.지속적개선
14장.예방활동

◈이책에서다루는내용◈

◆효과적인침해사고대응을위한환경준비
◆적극적네트워크방어를위한MITREATT&CK및위협인텔리전스활용
◆파워쉘,WMIC,오픈소스도구를이용한로컬및원격시스템의선별진단
◆로컬또는원격으로RAM및디스크이미지수집
◆Volatility및Rekall로RAM분석
◆오픈소스또는상용도구를이용한시스템드라이브심층분석
◆네트워크보안모니터링을위한SecurityOnion과ElasticStack활용
◆로그분석및고가치로그집계를위한기법
◆YARA규칙,FLAREVM,CuckooSandbox로멀웨어의정적및동적분석
◆Pass-the-hash,pass-the-ticket,Kerberoasting,파워쉘의악의적사용등을포함해내부망이동기법에대한탐지와대응
◆효과적인위협헌팅기법
◆AtomicRedTeam으로공격자모방
◆예방및탐지통제개선

◈이책의대상독자◈

침해사고대응분야로지식을넓히려는IT전문가나이분야를처음배우는학생,빠른참조가이드를찾아헤매는사이버전선의전문가모두를대상으로한다.


◈이책의구성◈

1장,‘위협동향’에서는지난10년간조직적범죄의주요수입원이면서동시에국가간스파이활동의주요방법이자신종전쟁무기가된사이버공격에대해설명한다.
2장,‘침해사고대응준비’에서는효과적인대응을위해네트워크,팀,프로세스를준비하는데필요한도구를알려준다.
3장,‘원격선별진단’에서는우리의환경에서공격자를찾는데필요한지식을제공한다.
4장,‘원격선별진단도구’에서는네트워크전반에서시스템정보를수집하고침해가능성이있는시스템을파악해피해를억제하고경감하는기법과도구를알려준다.
5장,‘메모리수집’에서는포렌식기법으로로컬또는원격시스템에서메모리를수집하는다양한방법과도구를살펴본다.
6장‘디스크이미징’에서는로컬시스템과원격시스템에서포렌식이미지를취득하는도구와기법을다룬다.
7장,‘네트워크보안모니터링’에서는침해사고대응프로세스를위해네트워크에서수집한텔레메트리(telemetry)를엔드포인트데이터와결합시켜네트워크활동의더완벽한그림을그리는방법을알아본다.
8장,‘이벤트로그분석’에서는중요한증거를이해하고해석하는데필요한기술을알려준다.
9장,‘메모리분석’에서는이미수집해둔RAM덤프나운영중인시스템에서수집한휘발성메모리를분석하거나시스템활동을자세히이해하기위해RAM의데이터구조를분석하는능력을배운다.
10장,‘멀웨어분석’에서는정적및동적접근방식으로멀웨어를분석하는실용기술을알려준다.
11장,‘디스크포렌식’에서는침해된시스템을포렌식기법으로자세히분석하는기술을다룬다.
12장,‘내부망이동분석’에서는공격자가침해환경에서이동하는기술과그에맞서대응전문가가취해야하는단계를설명한다.
13장,‘지속적개선’에서는침해사고를경감하는데도움을주는보안통제,텔레메트리,절차,보안교육을이해한다.
14장,‘예방활동’에서는우리팀이공격자보다한수위가되도록끊임없이노력하는방법을알아본다.