기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
운영
운영은 인시던트 대응 수행의 핵심입니다. 여기서 보안 인시던트 대응 및 해결 조치가 이루어집니다. 운영에는 탐지, 분석, 격리, 근절, 복구와 같은 다섯 가지 단계가 포함됩니다. 이러한 단계 및 목표에 대한 설명은 표 3에서 확인할 수 있습니다.
표 3 - 작업 단계
| Phase(단계) | 목표 |
|---|---|
| 감지 | 잠재적 보안 이벤트를 파악합니다. |
| 분석 | 보안 이벤트가 인시던트인지 확인하고 인시던트의 범위를 평가합니다. |
| 격납 | 보안 이벤트의 범위를 최소화하고 제한합니다. |
| 근절 | 보안 이벤트와 관련된 승인되지 않은 리소스 또는 아티팩트를 제거합니다. 보안 인시던트를 일으킨 완화 조치를 구현합니다. |
| 복구 | 시스템을 알려진 안전 상태로 복원하고 이러한 시스템을 모니터링하여 위협이 반환되지 않는지 확인합니다. |
이 단계는 효과적이고 강력한 방식으로 대응하기 위해 보안 인시던트에 대응하고 이를 운영할 때 지침으로 활용해야 합니다. 실제로 취하는 조치는 인시던트에 따라 달라집니다. 예를 들어 랜섬웨어와 관련된 인시던트는 퍼블릭 Amazon S3 버킷과 관련된 인시던트와는 다른 대응 단계를 따라야 합니다. 또한 이러한 단계가 반드시 순차적으로 발생하는 것은 아닙니다. 격리 및 근절 후에는 분석 작업으로 돌아가 자신의 행동이 효과적이었는지 파악해야 할 수도 있습니다.
