Incident Response

침해사고대응에 대해 전체적인 개념에 대해 정리를 하기 위해 글을 썼다. 용어 정리 내용에 들어가기 앞서 사용하는 여러 용어에 대해 적어두었다. Incident vs Event Event(사건) 시스템 또는 네트워크에서 관찰 가능한 모든 행위를 의미한다. 예) 공유 폴더에 연결하는 사용자 웹 페이지 요청을 수신하는 서버 이메일을 보내는 사용자 Incident(사고) 사내 컴퓨터 보안 정책 위반, 시스템 권한의 불법적인 사용, 민감한 데이터에 대한 무단 접근, 악성코드 실행 등과 같은 부정적인 결과를 초래하는 유해한 모든 이벤트를 의미한다. 예) 봇넷에게 웹서버에 많은 양의 연결 요청을 보내 서비스 거부를 유발하도록 명령 사내 이메일을 통해 수신된 악성 첨부파일 실행 조직의 민감한 데이터를 입수한 공격자가 ..