안녕하세요 !
이번 글에서는 웹 애플리케이션 공격 대응 프로세스는 보안 관제 업무의 각 단계를 체계적으로 글을 써보려고 합니다.
1단계 : 공격 정보 수집
1.1 분석 담당자 지정 : 현재 시간에 근무 중인 분석 담당자를 지정하여서 공격에 대응합니다.
1.2 IP 국가 정보 조회 : 공격자의 IP 주소에 대해서 WHOIS 조회를 통해서 국가 정보를 수집합니다.
1.3 자산 정보 조회 : 공격 대상 IP 에 대해서 대역 정보를 조회하고 내부망에 있는 IP인지 확인합니다. ( 화이트 리스트 조회 )
1.4 이벤트 내 차단 여부 확인 : 방화벽 로그에서 해당 공격자의 IP가 이미 차단된 상태인지 확인합니다.
1.5 탐지 장비 로그 조회 : 방화벽, 침입 방지 시스템 ( IPS ) , 웹 방화벽 ( WAF ) 등의 로그에서 공격자 IP 관련 로그를 확인하여서 과거 기록을 조회합니다.
1.6 평판 조회 : VirusTotal 과 같은 평판 시스템을 사용해서 공격자 IP가 악성으로 분류되어 있는지 확인합니다.
1.7 기 차단 여부 조회 : 공격자 IP 가 이미 차단 목록에 있는지 확인합니다.
2단계 : 초동 분석 및 1차 조치
2.1 초동 분석 : 공격자의 국가 정보, 다른 공격 대상이 있는지 여부, 공격자 IP의 평판 정보를 기반으로 초동 분석을 수행합니다.
2.2 IP 차단 여부 : 분석 결과에 따라서 공격자 IP를 차단할지 여부를 결정합니다.
2.3 이중 탐지 이벤트 존재 여부 확인 : 다른 탐지 장비에서 발생한 동일 공격에 대한 이벤트가 있는지 확인하여서 중복 탐지를 체크합니다.
2.4 IP 평판 및 악성 여부 검토 : 평판 조회 결과에 따라서 악성인지 여부를 판단합니다.
2.5 상황 종료 : 상황이 종결되면 차단되었거나 영향이 없음을 기록합니다.
3단계 : 추가 정보 수집 및 심층 분석
3.1 추가 정보 수집 : 보안 이벤트 로그를 수집하여서 더 자세한 정보를 얻는다.
3.2 이벤트 패킷 수집 : 발생한 이벤트에 대해서 패킷을 수집하고 심층 분석합니다.
3.3 이벤트 설명 조회 : IPS 또는 WAF 탐지 이벤트의 설명을 통해서 이벤트에 대한 정보를 확인한다.
3.4 분석가 2차 판단 : 공격이 실제 위협인지 ( 정탐 ) 또는 잘못 탐지된 것인지 ( 오탐 ) 2차 판단을 수행한다.
3.5 시급성 판단 : 공겨그이 긴급성을 판단하여서 긴급 / 비긴급을 결정한다.
3.6 담당자 보고 : 이메일 또는 SMS 로 해당 정보를 보고한다.
4단계 : 대응 및 보고
4.1 차단 적용성 검토 : 이벤트가 오탐인지 방지해야 하는지 여부를 검토하여서 차단 가능성을 판단합니다.
4.2 담당자 차단 메일 발송 : 차단이 필요하다면 담당자에게 차단 요청 메일을 보낸다.
4.3 IP 차단 수행 : 필요한 경우 IP 차단을 수행합니다.
4.4 차단 IP DB 갱신 : 차단된 IP를 데이터베이스에 업데이트 합니다.
4.5 케이스 내용 검토 : 케이스 내용을 재검토하여서 추가 조치 여부를 결정합니다.
4.6 보고서 작성 및 발송 : 공격 대응에 대한 보고서를 작성하여서 발송합니다.
4.7 상태 업데이트 : SIEM ( 통합 보안 이벤트 관리 시스템 ) 에 상태를 업데이트 하여서 케이스를 종료합니다.
5 단계 : 보고 및 종료
5.1 보고 종료 : 모든 대응이 완료되면 보고 절차를 종료하고 케이스를 마무리 합니다.
끝