[CISSP] Domain7_Security Operations (3/6)

3. 컴퓨터 침해 사고 대응

 

 1. 컴퓨터 침해사고(Computer Incident)

   - 업무의 운영에 있어 분명한 붕괴의 원인이 될 수 있거나 영향을 끼치는 동안 수행능력 상실

 

 2. 컴퓨터 침해 대응팀(CERT:Computer Emergency Response Team)

  1) 필수적으로 제공해야 하는 침해 사고 대응 지원 업무

   - 보안 권고문(Guidelines)을 작성하고 배포 -> 예방통제

   - 보안 취약점 분석 및 대응업무(1차적 대응) -> 교정통제

   - 취약점 분석 및 테스트, 취약점 보완 대책 수립 -> 예방통제

  2) Patch

   - Patch에 대한 최종 책임 : (CERT<Patch관리그룹) 확보

   - Patch deploy에 대한 책임 : 운영자그룹 설치

   - Patch 확보 -> 영향평가 -> 설치

 

 

 3. 디지털 증거

   - Primary Evidence : 법정에서 가장 선호 (원본, 법적 문서, 사건 현장의 사진, 물증)

   - Direct Evidence : 직접 증거, 객곽적으로 입증하며 추론 필요 (목격자, CCTV)

   - Indirect Evidence : 정황/간접 증거 (email, 채팅기록)

   - Hearsay Evidence : 간접 증거 일종, (사람 구술, 메모, 업무 거래 내역)

 

  1) 증거 규칙(Rules of Evidence)

   - 미연방법원은 Federal Rules of Evidence를 따른다.

   - 증거로서 채택되기 위해서 관련성, 신뢰성, 충분성, 법적 허용성 등을 가져야 한다.

   (1) Relevant(관련성) : 증거가 범죄와 관련 있어야 함

   (2) Reliable(신뢰성) : 손상이나 변형이 없어야 함

   (3) Sufficient(충분한) : 반론할 수 없을 만큼 설득력이 있어야 함

   (4) Legally Permissible(법적 허용성) : 합법적 수집 -> (불법도청=배제의 원칙(exclusionary rule))

 

  2) 증거 라이프 사이클(Evidence life-cycle)

   (1) 증거의 수집 및 식별

   (2) 저장, 보호, 운반

   (3) 법원에 제출

   (4) 소유자에게 반환

   => 데이터의 무결성, 원본성의 증명이 필요하며, 매 단계마다 비디오 녹화

 

   2-1) 증거 수집 절차

    (1) 가장 먼저 시잭해야할 것은 문서화이다.

    (2) 압류 당시 모니터에 있는 내용을 캡쳐하기 위해 모니터를 카메라로 찍는다.

    (3) 사라지기 쉬운 데이터를 보존하기 위한 조치(메모리 덤프)를 취한다. (netstat명령어, arp명령어)

    (4) 원본 디스크의 무결성을 보존하기 위해 디스크 이미지를 생성

    (5) 원본을 정확히 복제했는지 확인(CRC, 체크섬, 해싱 알고리즘)

 

   2-2) 휘발성 정보 수집 순서

    (1) 네트워크 연결정보

    (2) 물리 메모리 덤프

      가. 레지스터

      나. 캐시 (S-RAM)

      다. 물리적 메모리 (D-RAM)

      라. 2차 저장장치

    (3) 로그온 사용자 정보

 

   2-3) 디지털 증거 보존

    - Disk Copying(논리적 복사) :  (1) 삭제파일을 제외하고 존재하는 데이터만 복사

                                            (2) Source Read & Destination Write 저장방식

    - Disk Imaging(물리적 복사) :  (1) 모든정보를 복사

                                            (2) Bit Stream Clone(Sector by Sector, Bit by Bit)

 

   2-4) Chain of Custody : 증거 담당자 목록=연계보관성

     - Chain of Evidence, Chain of Continuity

     - 법정에 제출될 때까지 거쳐간 경로, 사람, 시간 등 추적이 가능해야 함

     - Chain of Custody 작성 시 인계자(Released By), 인수자(Received by) 정보 작성

     - 처분(Final Disposition) 활동(Action Taken) : 반환, 압수, 보존, 파괴 (파괴=최소 2명, 촬영, 동행)