qingfro9님의 블로그 입니다.

6장 종결 종결은 보복 해킹이 아니다! 종결 단계 완화하기 개선하기 재구성하기 조치하기 거부하기 방해하기 저하하기 속이기 파괴하기 사고 데이터 정리하기 추적 활동을 위한 도구 특수 목적으로 제작된 도구 피해 평가 생애주기 관찰 결론 FIR(Fast Incident Response) : 오픈소스 툴, 사고 대응 및 위협 인텔리전스 운영 지원을 위한 전용 플랫폼으로 좋음 단점: 사용자가 커스텀하기 좋지않암. 옵션이 너무 적음 일반화되어있음

5장 위치 결정 침입탐지 네트워크 경고 시스템 경고 GLASS WIZARD 위치 결정하기 침입조사 네트워크 분석 실시간 대응 메모리 분석 디스크 분석 악성 코드 분석 범위 지정 사냥 단서 만들기 단서 테스트하기 결론 위치 결정 : 이전에 확인한 인텔리전스나 위협 데이터를 사용해 환경 또는 외부에서 공격자의 위치를 확인하는 절차 지표를 뽑아내는 방법들에 대해서 설명 (기술) 시그니처 기반 분석 snort 설명 실시간 대응 OSXCollector, macOS의 보안 아티팩트를 수집할 때 사용할 수 있는 오픈 소스(python) Kansa, 윈도우에서 사고 대응 수집 프레임 워크(PowerShell)

4장 탐지 행위자 중심 표적 선정 알려진 첩보로 시작하기 유용한 탐지 첩보 자산 중심 표적 선정 자산 중심 표적 선정 사용하기 뉴스 중심 표적 선정 사용하기 다른 사람의 통보를 기반으로 한 표적 선정 표적 선정의 우선순위 매기기 즉각적인 요구 과거의 사고 심각성 표적 선정 활동 정리하기 경성 단서 연성 단서 관련된 단서들 분류하기 첩보 저장 인텔리전스 제공 요청 절차 결론 일반적으로 이런 모든 선정 방법을 이용해서 TI를 함 (신경쓰는 요소와 그 관계를 잘 연결시켰을대 좋은 TI 결과가 됨) 행위자 중심 표적 선정 (Actor centric targeting) 고통의 피라미드(Pyramid of Pain), ref) ATTACKIQ 자산 중심 표적 선정 (Asset centric targeting) 운영..

3장 사고 대응의 기본 원리 사고 대응 주기 준비 확인 봉쇄 박멸 복구 교훈 킬 체인 표적 선정 정찰 무기화 배달 취약점 공격 설치 명령 및 제어 표적에 관련된 활동 킬 체인의 예 다이아몬드 모델 기본 모델 모델확장 능동적 방어 거부하기 방해하기 저하시키기 속이기 파괴하기 F3EAD 탐지 위치 결정 종결 확대 분석 배포 F3EAD 사용하기 적합한 모델 선택하기 시나리오:GLASS WIZARD 결론 사고 대응 주기(Incident response cycle) 준비(Preparation phase) -> 확인(Identification phase) -> 봉쇄(Containment phase) -> 박멸(Eradication phase) -> 복구(Recovery phase) -> 교훈(Lessons Lear..

2장 인텔리전스의 기본 원리 데이터 대 인텔리전스 출처와 방법 절차 모델 OODA 순환 모델 인텔리전스 주기 인텔리전스 주기 사용 좋은 인텔리전스의 품질 인텔리전스의 수준 전술 인텔리전스 작전 인텔리전스 전략 인텔리전스 신뢰 수준 결론 데이터 대 인텔리전스 데이터 : 첩보, 사실, 통계 등으로 뭔가를 설명하는 것 인텔리전스 : 데이터를 수집하고 처리하고 분석하는 과정, 인텔리전스는 필요한 사람에게 배포되어야한다. 전달되지 않으면 쓸모없는 인텔리전스가 된다. 인텔리전스 출처 사람을 이용한 인텔리전스 수집: HUMINT(Human source intelligence) 신호 인텔리전스 수집: 통신 인텔리전스 COMINT(Communications Intelligence) / 전자 인텔리전스 수집 ELINT(E..