핵심을 찾아내는 침해사고 분석
시스템 해킹 및 웹 해킹 사고 분석 기법
Description
1. 클랙스 요약
사이버침해사고가 발생하면 기업은 신속하게 피해 범위를 파악하고, 사고 수습을 통해 비지니스 영향을 최소화해야 합니다. 산업에서 요구하는 법규 또는 규정 준수를 위해 필요한 활동이 누락될 경우 관련 법규나 규정에 의한 처벌이나 추가 이행 항목이 발생할 수 있습니다. 비지니스 영향을 최소화하기 위해 기업의 보안팀과 홍보팀, 법무팀 등 전사적으로 사고대응에 집중을 합니다. 기업에서는 보안사고가 발생할 경우 대응하기 위해 필요한 필수 활동을 모의 훈련을 통해서 연간 또는 분기별 훈련을 수행 합니다.
강의를 통해 정부 및 공공에서 요구하는 침해사고대응 절차에 대해서 설명하고, 기업에 심각한 피해를 발생하는 사이버보안 사고의 유형과 원인에 대해서 학습합니다. 해킹 사고의 원인이 되는 보안 취약점을 근본적으로 해결하기 위해 역량을 학습 합니다.
침해사고분석 업무를 수행하기 위해 필요한 훈련을 진행하는 실습 중심의 강의입니다. 기업 침입대응 및 분석 업무에 필요한 실무 관점의 침해사고 분석 방법을 함께 살펴봅니다. 사고 원인을 파악해서 동일한 사고가 재발하지 않도록 조치하기 위한 기술적인 조치에 대해서 학습 합니다.
실습을 통해 해킹 사고에 대해 이해하고, 침해사고 대응 절차에 대해서도 사고대응 모의 훈련을 통해 학습 합니다.
지속적인 학습 관리와 학습자의 멘토링 지원을 통해 침해사고대응 지원을 제공 합니다.
<학습내용>
사이버 보안 사고 대응 절차 이해
개인정보 유출 사고 대응 절차
취약점을 이용한 해킹 유형 이해
침해사고 대응 전문가의 역할
침해사고 분석 역량 학습
침해사고 모의 훈련
침해대응 아키텍처 설계
침해사고대응 전문가의 기본 역량, 침해사고 분석!
침해사고대응 분석가는 기업이나 조직에 침해사고가 발생하거나 법적인 이슈가 발생할 경우 사고 분석 업무를 수행합니다. 다양한 원인으로 발생되는 시스템 이상 현상의 원인을 파악하기 위해서는 이러한 문제 상황을 구분할 수 있는 역량이 필요합니다. 특히, 외부인의 침입이나 내부 임직원에 의한 침해사고가 발생할 경우 사고 분석을 통해 시스템의 피해 상황 및 침해 원인 분석 업무를 수행해야 하는 게 보안 분석가의 역할입니다.
개념부터 실무까지 침해사고 분석의 기본기.
기업 침입 대응 및 분석 업무 수행에 필요한 실무 관점의 사고 분석 방법
보안 분석가 업무를 수행하기 위한 기본 지식과 분석 도구 실습
네트워크 통신/애플리케이션에 대한 이해를 바탕으로 보안 사고 원인 분석
다양한 보안 장비에서 발생되는 위협 로그를 분석
이 강의에서는 기업에서 침입대응 및 분석 업무 수행에 필요한 실무 관점의 침해사고 분석 방법을 같이 살펴볼 것입니다. 네트워크 기반의 침입탐지 로그 또는 네트워크 패킷 분석 업무를 수행하는 실무자들에게 보안 분석가가 분석 시 필요한 지식과 분석툴을 다루는 노하우를 제공하며, 분석을 통해서 어떤 결과를 찾아야 하는지 설명합니다.
특히, 보안 분석 업무를 수행하다 보면 다양한 로그와 분석 툴을 사용하게 됩니다. 침입탐지시스템 로그 분석, 웹 서버 로그, 네트워크 패킷 분석 업무를 하고 싶어하는 분을 위해 위협 분석 기초 개념과 실무 기술을 설명하고자 합니다. 기본 개념 및 기술과 저자가 업무에서 습득한 노하우도 함께 설명함으로써 수강생들에게 업무 수행 능력을 향상시킬 수 있도록 도움이 되고자 합니다.
사고 분석을 위해 분석하는 정보는 대표적으로 웹로그, IDS/IPS 로그, 네트워크 패킷 로그가 있습니다. 실제 보안 사고가 발생했던 시스템의 로그를 분석하면서 사고 대응 훈련을 수행할 예정입니다.
2. 학습 내용
<사이버 보안 사고 대응 절차 학습>
정보통신망법 제2조 제1항 제7호에 따르면 ‘‘침해사고’’란 ‘‘해킹, 컴퓨터바이러스. 논리폭탄, 메일폭탄, 서비스 거부 또는 고출력 전자기파 등의 방법으로 정보통신망 또는 이와 관련된 정보시스템을 공격하는 행위를 하여 발생한 사태’’를 의미 합니다.
정보통신망 이용촉진 및 정보보호 등에 관한 법률 제48조의 3(침해사고의 신고 등)에 의거하여 정보통신서비스 제공자, 집적 정보통신시설 사업자는 침해사고가 발생하면 즉시 그 사실을 과학기술통신부장관이나 한국인터넷진흥원에 신고하여야 합니다.
<시스템/어플리케이션 취약점을 이용한 해킹 기법 학습>
공격자들은 다양한 방법으로 시스템에 침입을 시도합니다. 특정 공격 툴이나 공격 방법에 종속되지 않고, 취약점을 악용하는 원리를 이해함으로써 다양한 보안 공격 시도에 응용해서 분석을 수행할 수 있게 됩니다.
<침해대응/분석 실무자가 사용하는 분석 도구 및 방법 학습>
침해사고 분석 경험이 많지 않을 경우 사고 조사 시 어디서부터 분석을 시작할 지 막막할 수 있습니다. 본 강의를 통해 분석가가 빠르게 사고 원인을 찾고, 공격 경로를 식별할 수 있도록 유형별 사고 사례를 실습하게 됩니다. 실습을 통해 보안 로그를 분석할 때 침해사고 발생에 대한 흔적을 찾기 위해 무엇에 집중하고, 어떻게 하면 효율적으로 분석하는지 알게 됩니다.
정상 로그 구분 기준 사례 학습
대량 로그 분석 프로그램 사용 실습
침해 사고 유형 학습
<해킹 기법에 종속되지 않는 분석 방법>
OS (Windows/Linux) 및 Network level에 대한 침해사고분석 훈련
Windows/Linux 시스템(Server/PC)에 대한 공격코드분석 훈련
<훈련을 위한 보안 실습>
IDS 로그 분석 훈련 상용 보안 제품에서 탐지된 공격 행위 로그 일부를 필터하여 실습을 위해 제공합니다. 공격 이벤트명, 공격 시간, 기타 정보는 실제 사고 사례와 동일하게 구성되어 있습니다.
웹 로그 분석 훈련 웹 서버를 대상으로 이뤄졌던 공격 기법과 공격 대상 서버에 남은 로그를 직접 분석합니다. 분석을 통해 웹 서버의 취약한 설정을 파악하고 사고 원인을 식별합니다.
네트워크 패킷 분석 훈련 사이버 보안 사고 사례를 랩 환경에서 동일한 조건으로 재현하였고, 공격자의 시각에서 시스템을 공격하는 과정을 재현해 네트워크 트래픽을 캡쳐합니다. 캡처한 패킷을 분석하여 공격 대상과 피해 범위를 분석합니다.
어플리케이션 취약점 검증 훈련 어플리케이션 취약점을 이용한 해킹 공격에 대응하기 위해 취약점을 검증하고 재현하는 방법을 학습 합니다.
Local File Inclusion(LFI) 취약점 테스트
Remote File Inclusion(RFI) 취약점 테스트
각각의 실습 사례를 통해 침해사고 분석을 실습하며 분석 과정을 학습할 수 있습니다. 분석 과정을 통해 학습하기 전에 먼저 직접 분석을 수행해본 뒤, 직접 분석한 과정과 분석 가이드의 내용을 비교해 봅니다.
3. 자주 묻는 질문
Q. 학습하기 위해 필요한 선행 지식은 무엇인가요?
본 강의는 실습 위주로 구성되어 있습니다. 사이버 보안에 대한 기본적인 개념이나 이론은 포함되어 있지 않습니다. 본 강의의 실습을 수행하기 위해서는 IDS에 대해서 이해하고 있고, 웹 어플리케이션 설정과 웹 서버 응답코드에 대해서 이해가 필요합니다. 선수 지식은 필요하지만 해킹을 해본 적이 없어도 침해사고분석을 할 수 있습니다.
Q. 다른 보안 강의와 무엇이 다른가요?
보안 사고 분석 분석 기법이나 노하우에 대한 실무 경험을 중심으로 강의 컨텐츠를 구성하였습니다. 3가지 침해사고분석 사례는 모두 실제 사고 사례를 각색하였기 때문에 보안사고분석 경험을 향상시킬 수 있습니다. 다만, 디스크 이미지를 수집하는 법적인 의미의 포렌식 과정은 다루지 않을 것입니다.
Q. 수강 관련 참고 사항이 있나요?
실습은 공개툴(MS Log Parser Studio, Wireshark)과 프리 트라이얼(스플렁크), 유료 제품 Microsoft EXCEL을 사용 합니다. 실습 내용에는 분석 제품을 설치하는 과정은 생략하였습니다. 각 제품별 제조사의 설치 안내 링크를 참고하여 수강생이 개별 설치를 진행해야 합니다.
What You Will Learn!
- Incident Response (IR)
- 사이버보안 사고 대응
- 침해사고분석
- 사이버 보안 사고 핵심 분석 전력
- 침해사고분석 훈련
Who Should Attend!
- SOC Level 1 analyst
- Junior member of incident response team
- SOC 보안 분석가
- 보안 컨설턴트