파이브아이즈(Five Eyes 혹은 UKUSA)라 불리는 5개 회원국 (미국, 영국, 캐나다, 호주, 뉴질랜드)의 사이보보안 정보기관들이 합동으로 사이버보안 권고문을 발표했다. (09/01/2020)
5개의 기관은 미국의 CISA, 영국의 NCSC, 캐나다의 CCCS, 호주의 ACSC, 뉴질랜드의 CERT NZ다.
14페이지 분량의 문서로 제목은 '악성 행위 탐지와 치료에 관한 기술적인 접근(Technical Approaches to Uncovering and Remediating Malicious Activity)'이다.
아래 CISA 사이트에 주요 시사점(Key Takeaways)들과 요약이 있고 PDF 문서 링크도 제공한다.
CISA Alert (AA20-245A)
PDF 문서 다운로드 링크
악성 행위를 탐지하기 위한 기술적 방법으로 아래와 같은 대응책이 제시되었다.
✓ 침해지표 검색(Indicators of Compromise (IOC) Search)
✓ 빈도 분석(Frequency Analysis)
✓ 패턴 분석(Pattern Analysis)
✓ 비정상 행위 탐지(Anomaly Detection)
또한 사이버보안 사건에 대응할 때 피해야 할 7가지 실수를 아래와 같이 지적했다.
 |
| <사이버보안 사건 대응 시 피해야 할 일반적인 실수들> |
① 데이터를 보호하고 복구하기 전에 치료부터 한다 (데이터 손실, 공격자가 알게됨)
② 공격자의 인프라를 건드린다 (공격자가 탐지 사실을 알게됨)
③ 공격자의 인프라를 먼저 차단한다 (공격자가 C&C를 변경하거나 우회할 수 있음)
④ 암호를 급하게 재설정한다 (공격자가 다른 계정을 사용할 수 있음)
⑤ 로그 데이터 수집과 보존에 실패한다 (최소 1년치 로그 데이터 확보)
⑥ 사고 대응 시 동일 네트워크로 통신한다 (OOB 네트워크로 접근)
⑦ 근본 원인이 아닌 증상만 치료한다 (원인 분석없이 IP 차단하면 공격자가 전략을 변경함)
▶ 함께 읽어보면 좋은 관련 글: 북한의 사이버 공격에 적극 대응하는 미국
* 참고 자료 및 출처
- 파이브아이즈 국가들, 합동으로 사이버 보안 권고문 발표(보안뉴스)
- 7 Things Not to Do When Hacked: Five Eyes Issues Rare Technical Guidance (CBR)
No comments:
Post a Comment