침해사고에 대한 충분한 근거 자료를 확보하고 원인에 대한 분석이 완료되었다면 원인과 근거 자료를 기반으로 향후 대응 방안을 수립한다. 수립된 대응 방안에 필요한 할 일(액션 아이템)을 가능한 상세하게 구분하여 침해사고가 재발되지 않도록 방안을 제시한다.
종합적인 분석 결과를 기반으로 조직의 의사결정권자는 필요한 조치를 수행할 리소스를 확보하고 정해진 기한에 따라 이행 사항을 실행 한다.
분석 결과 보고
보고 대상을 고려해 적절한 단어와 표현 방법을 사용해 핵심 사항을 전달하는 것이 보고서 작성의 기본이다.
그렇다면 보안 위협 분석 보고서의 작성 시 가장 중요한 부분은 무엇일까? 이슈에 대한 핵심과 적절한 대응 전략이 포함되는 것은 물론 적정한 시기에 보고서가 전달 되는 것도 중요하다. 모든 주요 이슈에 대한 의사 결정이 끝나고 난 후에는 아무리 완벽한 보고서도 그 빛을 잃는다.
- 상황정의나 침해단계 정의 내용을 전달하여 상황 요약 전달
- 대응에 필요한 충분한 정보가 제공되었는가?
- 보고서 제공시기와 횟수가 적절한가?
보고서를 구성하는 항목은 다음과 같다. 기본적인 핵심 정보를 전달하기 위해 공통 항목에 대해 조직의 내부 정책에 따라 유형을 분류하고 보고서 작성 시 판단 기준에 따라 해당 항목을 기입한다.
| 구성 | 표기내용 |
| 위협판단유형 | 내부외부평판기반 이상행위기반 시그니처기반 내부사고사례 권한관리위반 이상거래탐지 |
| 사고단계 | 시도/성공/유출/확산 |
| 업무연속성계획(BCP) | 예방/대비/대응/복구 |
| 로그소스 | 위협시나리오 관련 로그 소스 |
| 대응우선순위 | 긴급대응/실시간모니터/정기점검 |
| 차단정보 | IP차단, Class차단 |
| 공격대상 | 공격대상 정보 |
| 액션 아이템 | 예방 및 복구 조치 상세 내용 |
<보고서 – 샘플>
| 위협시나리오 | 악성코드 배포 사이트 접근(파일다운로드) | |||||
| 사고단계 | 성공 | 대응우선순위 | 실시간 모니터(차단) | |||
| 탐지시간 | 2014-04-27 11:44:48 KST | |||||
| 이벤트설명 | Non-DNS 트래픽이 TCP 53번 포트를 통해 통신이 이뤄질 경우 탐지 됩니다. | |||||
| 탐지로그 | GET /070726/sdshell.asp?Action=llgxdnh HTTP/1.1 Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */* Referer: http://192.xx.xx.250/070726/sdshell.asp | |||||
| 점검결과 | End-Point 점검 결과 기입 평판 정보 점검 결과 기입 의심 파일 점검 결과 기입 | |||||
| 공격패턴 | 공격샘플 – ASP 웹쉘을 이용 원격에서 시스템제어시 wscript 관련 명령을 사용 – ASP 웹쉘 실행시 cmd.exe, wscript=yes, cmd= 을 포함하는 문자열 탐지 | |||||
| IP정보 | 출발지 IP | 233.233.233.233(9238) | 국가코드 | CN | ||
| 도착지 IP | 211.211.211.211(80) | 국가코드 | KR | |||
| 장비 IP | 1.1.1.1 | |||||
| 조치내역 | IDS/IPS | 탐지모드: [자동차단/탐지모드] 구성정보: [인라인/미러링] | ||||
| End-Point | 격리/예외/허용 | |||||
| 방화벽 | [C Class차단][IP 차단] access-list acl_out line 1241 deny ip 233.233.233.0 255.255.255.0 any (hitcnt=3) | |||||
| 대응방안 | 취약점 보완책, 시스템 또는 Application설정 보완 방법 | |||||