SEC10-BP03 포렌식 역량 확보

인스던트 대응 담당자가 대응 계획의 어느 시점에 어떻게 포렌식 조사를 실행할지 이해하는 것이 중요합니다. 조직에서는 이 프로세스에서 어떤 증거가 수집되고 어떤 도구가 사용되는지 정의해야 합니다. 외부 전문가, 도구 및 자동화를 비롯하여 적합한 포렌식 역량을 파악하고 확보합니다. 미리 결정해야 할 중요한 사항은 라이브 시스템에서의 데이터 수집 여부입니다. 휘발성 메모리 콘텐츠 또는 액티브 네트워크 연결과 같은 일부 데이터는 시스템의 전원이 꺼지거나 재부팅되면 손실됩니다.

대응 팀에서는 AWS Systems Manager, Amazon EventBridge, AWS Lambda 등의 도구를 결합하여 운영 체제 및 VPC 트래픽 미러링 내에서 자동으로 포렌식 도구를 실행하여 네트워크 패킷 캡처를 확보함으로써 비영구적인 증거를 수집할 수 있습니다. 맞춤화된 포렌식 워크스테이션과 대응 담당자가 액세스 가능한 도구를 사용할 수 있는 전담 보안 계정에서 로그 분석 또는 디스크 이미지 분석과 같은 다른 활동을 수행합니다.

높은 내구성과 무결성을 제공하는 데이터 스토어에 관련 로그를 주기적으로 전송합니다. 대응 담당자는 이런 로그에 액세스할 수 있어야 합니다. AWS는 로그 조사를 용이하게 하는 Amazon Athena, Amazon OpenSearch Service(OpenSearch Service), Amazon CloudWatch Logs Insights와 같은 도구를 제공합니다. 또한 Amazon Simple Storage Service(Amazon S3) 객체 잠금을 사용하여 증거를 안전하게 보존합니다. 이 서비스는 WORM(Write-Once-Read-Many) 모델을 따르며 일정 기간 동안 객체가 삭제되거나 덮어써지지 않도록 합니다. 포렌식 조사 기법에는 전문가 교육이 필요하므로 외부 전문가의 참여가 필요할 수도 있습니다.

이 모범 사례가 수립되지 않을 경우 노출되는 위험의 수준: 보통

구현 가이드

리소스

관련 문서: