[정보보안][악성코드]인텔리전스 기반 사고 대응, 3장(1부)

3장 사고 대응의 기본 원리

• 사고 대응 주기

• 준비

• 확인

• 봉쇄

• 박멸

• 복구

• 교훈

• 킬 체인

• 표적 선정

• 정찰

• 무기화

• 배달

• 취약점 공격

• 설치

• 명령 및 제어

• 표적에 관련된 활동

• 킬 체인의 예

• 다이아몬드 모델

• 기본 모델

• 모델확장

• 능동적 방어

• 거부하기

• 방해하기

• 저하시키기

• 속이기

• 파괴하기

• F3EAD

• 탐지

• 위치 결정

• 종결

• 확대

• 분석

• 배포

• F3EAD 사용하기

• 적합한 모델 선택하기

• 시나리오:GLASS WIZARD

• 결론

 

---

 

 

사고 대응 주기(Incident response cycle)

• 준비(Preparation phase) -> 확인(Identification phase) -> 봉쇄(Containment phase) -> 박멸(Eradication phase) -> 복구(Recovery phase) -> 교훈(Lessons Learned phase)

 

킬 체인(Kill Chain)

• 표적 선정 - 정찰 - 무기화 - 배달 - 취약점 공격 - 설치 - 명령 및 제어 - 표적 활동

• 공격자가 목적을 달성하기 위해 수행해야하는 일련의 단계

 

다이아몬드 모델

• 다양한 행위자와 공격자 도구 간의 상호 작용을 파악하는 패러다임

 

F3EAD

• 탐지 -> 위치 결정 -> 종결 -> 배포 -> 분석 ->  확대 ...

• F3 : 탐지(Find phase), 위치 결정(Fix phase), 종결 단계 (Finish phase)

• EAD: 확대(Exploit phase, 수집), 분석(Analysis phase). 배포(dessemination)