# 인시던트 사후 활동
<a name="post-incident-activity"></a>

 위협 환경은 끊임없이 변화하므로 환경을 효과적으로 보호할 수 있는 조직의 역량도 그에 못지않게 역동적으로 대처하는 것이 중요합니다. 지속적인 개선의 핵심은 발생 가능한 보안 인시던트를 효과적으로 탐지, 대응 및 조사할 수 있는 능력을 향상시키고, 발생 가능한 취약성을 줄이며, 대응 시간을 단축하고, 안전한 운영으로 돌아갈 수 있도록 인시던트 및 시뮬레이션의 결과를 반복해서 검토하는 것입니다. 다음 메커니즘은 조직이 상황에 관계없이 효과적으로 대응할 수 있는 최신 역량과 지식을 갖추고 있는지 확인하는 데 도움이 될 수 있습니다.

# 인시던트로부터 학습하기 위한 프레임워크 구축
<a name="establish-framework-for-learning"></a>

 *파악한 내용* 프레임워크와 방법론을 구현하면 인시던트 대응 능력을 개선하는 데 도움이 될 뿐만 아니라 인시던트의 재발을 방지하는 데도 도움이 됩니다. 각 인시던트에서 교훈을 얻음으로써 동일한 실수, 노출 또는 잘못된 구성을 반복하지 않도록 하여 보안 태세를 개선할 뿐만 아니라 사전에 방지 가능한 상황으로 인한 시간 손실을 최소화할 수 있습니다.

 다음 사항을 높은 수준에서 설정하고 달성하는 학습한 교훈 프레임워크를 구현하는 것이 중요합니다.
+  학습한 교훈은 언제 적용하게 되나요?
+  학습한 교훈 과정에는 무엇이 포함되나요?
+  학습한 교훈은 어떻게 수행되나요?
+  누가 어떻게 이 과정에 참여하나요?
+  개선이 필요한 부분은 어떻게 확인할 수 있나요?
+  개선 사항을 효과적으로 추적하고 구현할 수 있도록 어떻게 해야 할까요?

 이러한 개략적인 결과 외에도, 프로세스에서 최대한의 가치(실행 가능한 개선으로 이어지는 정보)를 이끌어낼 수 있도록 올바른 질문을 하는 것이 중요합니다. 다음 질문을 고려하면 학습한 교훈 토론을 시작하는 데 도움이 됩니다.
+  어떤 인시던트였나요?
+  인시던트가 언제 처음 확인되었나요?
+  어떻게 식별되었나요?
+  어떤 시스템에서 해당 활동에 대해 경고했나요?
+  어떤 시스템, 서비스 및 데이터가 관련되어 있나요?
+  구체적으로 어떤 일이 발생했나요?
+  어떤 점이 잘 작동했나요?
+  어떤 점이 잘 작동하지 않았나요?
+  인시던트에 대응하기 위해 어떤 프로세스 또는 절차가 실패했거나 조정되지 못했나요?
+  다음 영역에서 개선할 수 있는 사항: 
  +  **사람** 
    +  연락이 필요한 직원이 실제로 연락이 가능했고 연락처 목록이 최신 상태였나요?
    +  인시던트에 효과적으로 대응하고 조사하는 데 필요한 교육이나 역량을 갖춘 직원이 없었나요?
    +  적절한 리소스가 준비되어 있고 이용 가능했나요?
  +  **프로세스** 
    +  프로세스와 절차를 준수했나요?
    +  이 (유형의) 인시던트에 대한 프로세스와 절차가 문서화되어 있고 사용 가능했나요?
    +  필요한 프로세스 및 절차가 누락되지는 않았나요?
    +  대응 담당자가 문제를 대응하는 데 필요한 정보에 적시에 액세스할 수 있었나요?
  +  **기술** 
    +  기존 경고 시스템이 활동을 효과적으로 식별하고 경고했나요?
    +  기존 경고 시스템을 개선해야 하나요? 아니면 이 인시던트 유형에 대해 새로운 경고 시스템을 구축해야 하나요?
    +  기존 툴링으로 인시던트를 효과적으로 조사(검색 및 분석)할 수 있었나요?
+  이 (유형의) 인시던트를 더 빨리 식별하려면 어떻게 해야 할까요?
+  이 (유형의) 인시던트가 재발하는 것을 방지하려면 어떻게 해야 할까요?
+  개선 계획의 담당자는 누구이며 개선 계획이 실행되었는지 어떻게 테스트할 예정인가요?
+  추가 모니터링/예방적 통제/프로세스를 구현하고 테스트하는 일정은 어떻게 되나요?

 이 목록은 모든 것을 포함하지는 않지만, 조직 및 비즈니스 요구 사항이 무엇인지 식별하고 인시던트로부터 가장 효과적으로 학습하고 보안 태세를 지속적으로 개선하기 위해 이를 분석할 수 있는 방법을 식별하기 위한 출발점이 될 수 있습니다. 가장 중요한 것은 인시던트 대응 프로세스, 문서화 및 이해관계자 전반의 기대치에서 학습한 교훈을 표준으로 삼아 통합하는 것부터 시작하는 것입니다.

# 성공을 위한 지표 설정
<a name="establish-metrics-for-success"></a>

 지표는 인시던트 대응 기능을 효과적으로 측정, 평가 및 개선하는 데 필요합니다. 측정항목이 없으면 조직의 성과가 얼마나 좋은지 또는 나쁜지 정확하게 측정하거나 파악할 수 있는 기준이 없습니다. 운영 우수성을 위해 노력하기 위한 기대치와 기준을 설정하려는 조직에 좋은 출발점이 될 수 있는 몇 가지 인시던트 대응에 공통적인 지표가 있습니다.

# 평균 탐지 시간
<a name="mean-time-to-detect"></a>

 *평균 탐지 시간*은 가능한 보안 인시던트를 발견하는 데 걸리는 평균 시간입니다. 특히, 이는 첫 번째 손상 지표 발생과 초기 식별 또는 알림 사이의 시간입니다.

 이 지표를 사용하여 탐지 및 알림 시스템의 성능을 추적할 수 있습니다. 효과적인 탐지 및 알림 메커니즘은 가능한 보안 인시던트가 환경 내에 남아 있지 않은지 확인하기 위한 핵심 요소입니다.

 평균 탐지 시간이 길수록 가능한 보안 인시던트를 식별하고 발견하기 위해 더 효과적인 알림 및 메커니즘을 추가로 구축해야 할 필요성이 커집니다. 평균 탐지 시간이 짧을수록 탐지 및 알림 메커니즘이 더 잘 작동합니다.

# 평균 승인 시간
<a name="mean-time-to-acknowledge"></a>

 *평균 승인 시간*은 가능한 보안 인시던트를 확인하고 우선순위를 지정하는 데 걸리는 평균 시간입니다. 구체적으로는 알림이 생성된 후 SOC 또는 인시던트 대응 담당자가 알림을 식별하고 처리 우선순위를 정하기까지의 시간을 말합니다.

 이 지표를 사용하여 팀이 알림을 얼마나 잘 처리하고 우선순위를 정하고 있는지 추적할 수 있습니다. 팀이 알림을 효과적으로 식별하고 우선순위를 지정하지 못하면 대응이 지연되고 비효율적이 됩니다.

 평균 승인 시간이 길수록 팀이 보안 인시던트를 신속하게 인지하고 대응 우선순위를 정할 수 있도록 적절한 인력과 교육을 받았는지 확인해야 할 필요성이 커집니다. 평균 인지 시간이 짧을수록 팀이 보안 알림에 효과적으로 대응하고 우선순위를 잘 정할 수 있음을 의미합니다.

# 평균 대응 시간
<a name="mean-time-to-respond"></a>

 평균 대응 시간은 가능한 보안 인시던트에 대한 초기 대응을 시작하는 데 걸리는 평균 시간입니다. 구체적으로는 보안 인시던트의 최초 알림 또는 발견부터 대응을 위한 첫 번째 조치까지의 시간을 의미합니다. 이는 평균 승인 시간과 비슷하지만 상황의 간단한 인식 또는 승인과 비교하여 특정 대응 작업(예: 시스템 데이터 획득, 시스템 격리)을 측정하는 것입니다.

 이 지표를 사용하여 보안 인시던트에 대응할 준비를 추적할 수 있습니다. 앞서 언급했듯이 준비는 효과적인 대응의 핵심입니다. 이 문서의 [준비](preparation.md) 섹션을 참조하세요.

 평균 대응 시간이 길수록 팀이 대응 방법에 대한 교육을 제대로 받았는지 확인하여 대응 프로세스가 효과적으로 문서화되고 활용되고 있는지 확인해야 할 필요성이 커집니다. 평균 대응 시간이 짧을수록 팀이 식별된 알림에 대한 적절한 대응을 파악하고 안전한 운영으로 돌아가는 여정을 시작하는 데 필요한 대응 조치를 더 잘 수행할 수 있습니다.

# 평균 격리 시간
<a name="mean-time-to-contain"></a>

 *평균 격리 시간*은 가능한 보안 인시던트를 격리하는 데 걸리는 평균 시간입니다. 구체적으로는 보안 인시던트의 최초 알림 또는 발견부터 공격자나 손상된 시스템이 추가적인 피해를 입지 않도록 효과적으로 대응 조치를 완료할 때까지의 시간을 의미합니다.

 이 지표를 사용하여 팀이 가능한 보안 인시던트를 얼마나 잘 완화하거나 격리할 수 있는지 추적할 수 있습니다. 가능한 보안 인시던트를 빠르고 효과적으로 격리할 수 없는 경우 추가 침해 가능성에 대한 영향, 범위 및 노출이 증가합니다.

 평균 대응 시간이 길어질수록 발생하는 보안 인시던트를 신속하고 효과적으로 완화하고 격리하기 위한 지식과 역량을 모두 구축해야 할 필요성이 커집니다. 평균 격리 시간이 짧을수록 팀이 식별된 위협을 완화하고 격리하는 데 필요한 조치를 더 잘 이해하고 적용하여 비즈니스에 미치는 영향, 범위 및 위험을 줄일 수 있습니다.

# 평균 복구 시간
<a name="mean-time-to-recover"></a>

 *평균 복구 시간*은 보안 인시던트로부터 안전하게 운영할 수 있도록 완전히 복귀하는 데 걸리는 평균 시간입니다. 구체적으로는 보안 인시던트의 최초 알림 또는 발견 시점부터 인시던트의 영향을 받지 않고 비즈니스가 정상적으로 안전하게 운영될 때까지의 시간을 의미합니다.

 이 지표를 사용하여 보안 인시던트 발생 후 팀이 시스템, 계정 및 환경을 안전한 운영 상태로 되돌리는 데 얼마나 효과적인지 추적할 수 있습니다. 안전한 운영으로 신속하고 효과적으로 복귀하지 못하면 보안에 영향을 미칠 뿐만 아니라 비즈니스와 운영에 미치는 영향과 비용도 증가할 수 있습니다.

 평균 복구 시간이 길수록 보안 인시던트가 운영 및 비즈니스에 미치는 영향을 최소화하기 위해 팀과 환경에 적절한 메커니즘(예: 장애 조치 프로세스 및 깨끗한 시스템을 안전하게 재배포하기 위한 CI/CD 파이프라인)을 준비해야 할 필요성이 커집니다. 평균 복구 시간이 짧을수록 팀은 보안 인시던트가 운영 및 비즈니스에 미치는 영향을 최소화하는 데 더 효과적으로 대응할 수 있습니다.

# 공격자 체류 시간
<a name="attacker-dwell-time"></a>

 *공격자 체류 시간*은 권한이 없는 사용자가 시스템 또는 환경에 액세스할 수 있는 평균 시간입니다. 이 기간은 공격자가 시스템 또는 환경에 처음 액세스한 시점부터 시작하여 최초 알림 또는 발견 시점보다 빠를 수 있다는 점을 제외하면 평균 격리 시간과 유사합니다.

 이 지표를 사용하여 공격자 또는 위협이 환경에 영향을 미치는 시간, 액세스 및 기회를 줄이기 위해 시스템과 메커니즘이 모두 얼마나 잘 작동하는지 추적할 수 있습니다. 공격자 체류 시간을 줄이는 것이 팀과 비즈니스의 최우선 과제여야 합니다.

 공격자의 체류 시간이 길수록 인시던트 대응 프로세스에서 개선이 필요한 부분을 파악하여 팀이 환경에서 위협이나 공격의 영향과 범위를 최소화할 수 있는 능력을 확보해야 할 필요성이 커집니다. 공격자의 체류 시간이 짧을수록 팀은 위협이나 공격자가 사용자 환경 내에 머무는 시간과 기회를 최소화하여 궁극적으로 운영과 비즈니스에 미치는 위험과 영향을 줄일 수 있습니다.

# 지표 요약
<a name="metrics-summary"></a>

 인시던트 대응을 위한 지표를 설정하고 추적하면 인시던트 대응 기능을 효과적으로 측정, 평가 및 개선할 수 있습니다. 이를 달성하기 위해 이 섹션에서 강조한 몇 가지 일반적인 인시던트 대응 지표가 있습니다. 표 5에는 이러한 지표가 요약되어 있습니다.

* 표 5 - 인시던트 대응 지표*


|  지표  |  설명  | 
| --- | --- | 
|  평균 탐지 시간  |  가능한 보안 인시던트를 발견하는 데 걸리는 평균 시간  | 
|  평균 승인 시간  |  가능한 보안 인시던트를 승인하고 우선순위를 지정하는 데 걸리는 평균 시간  | 
|  평균 대응 시간  |  가능한 보안 인시던트에 대한 초기 대응을 시작하는 데 걸리는 평균 시간  | 
|  평균 격리 시간  |  가능한 보안 인시던트를 격리하는 데 걸리는 평균 시간  | 
|  평균 복구 시간  |  가능한 보안 인시던트로부터 안전한 운영을 위해 완전히 복귀하는 데 걸리는 평균 시간  | 
|  공격자 체류 시간  |  공격자가 시스템 또는 환경에 액세스할 수 있는 평균 시간  | 

# 손상의 표시자(IOC) 사용
<a name="use-indicators-of-compromise"></a>

 *손상 지표*(IOC)는 네트워크, 시스템 또는 환경에서 관찰된 아티팩트로, 높은 수준의 신뢰도로 악의적인 활동이나 보안 인시던트를 식별할 수 있습니다. IOC는 IP 주소, 도메인, TCP 플래그 또는 페이로드와 같은 네트워크 수준 아티팩트, 실행 파일, 파일 이름 및 해시, 로그 파일 항목 또는 레지스트리 항목과 같은 시스템 또는 호스트 수준 아티팩트 등의 다양한 형태로 존재할 수 있습니다. 또한 특정 위협, 공격 또는 공격자의 방법론을 나타낼 수 있는 특정 항목 또는 아티팩트(특정 파일 또는 파일 및 레지스트리 항목 세트)의 존재, 특정 순서로 수행되는 작업(특정 IP에서 시스템에 로그인한 후 특정 비정상적인 명령이 이어지는 경우) 또는 네트워크 활동(특정 도메인을 오가는 비정상적인 인바운드 또는 아웃바운드 트래픽) 등의 항목 또는 활동의 조합일 수도 있습니다.

 인시던트 대응 프로그램을 반복적으로 개선하기 위해 노력할 때 탐지 및 알림을 지속적으로 구축 및 개선하고 조사의 속도와 효율성을 개선하기 위한 메커니즘으로 IOC를 수집, 관리 및 활용하는 프레임워크를 구현해야 합니다. 먼저 인시던트 대응 프로세스의 분석 및 조사 단계에 IOC의 수집 및 관리를 통합하는 것부터 시작할 수 있습니다. 프로세스의 표준 부분으로 IOC를 선제적으로 식별, 수집, 저장하면 보다 포괄적인 위협 인텔리전스 프로그램의 일환으로 데이터 리포지토리를 구축하여 기존 탐지와 알림을 개선하고, 추가 탐지 및 알림을 구축하고, 이전에 아티팩트가 발견된 위치와 시간을 식별하고, 이전에 일치하는 IOC와 관련된 조사를 수행한 방법에 대한 문서를 작성하고 참조하는 데 사용할 수 있습니다.

# 지속적인 교육 및 훈련
<a name="continuous-education-and-training"></a>

 교육과 훈련은 진화하고 지속적인 노력이므로 목적을 가지고 추진하고 유지해야 합니다. 팀이 진화하는 기술 상태 및 위협 환경에 상응하는 인식, 지식 및 역량을 유지하고 있는지 확인하는 다양한 메커니즘이 있습니다.

 한 가지 메커니즘은 팀의 목표와 운영의 표준으로 평생 교육을 도입하는 것입니다. 준비 섹션에서 언급한 대로, 인시던트 대응 담당자와 이해관계자는 AWS 내에서 발생하는 인시던트를 탐지하고 대응하고 조사하는 방법에 대한 효과적인 교육을 받아야 합니다. 하지만 교육은 ‘한 번으로 끝나는 것’이 아닙니다. 팀이 대응의 효과성과 효율성을 개선하는 데 활용할 수 있는 최신 기술 발전, 업데이트 및 개선 사항과 조사 및 분석을 개선하는 데 활용할 수 있는 데이터 추가 사항이나 업데이트 사항에 대한 인식을 유지하고 있는지 확인하기 위해 지속적으로 교육을 실시해야 합니다.

 또 다른 메커니즘은 시뮬레이션이 정기적으로(예: 분기별) 수행되고 비즈니스의 특정 성과에 초점을 두고 있는지 확인하는 것입니다. 이 문서의 [정기 시뮬레이션 실행](run-regular-simulations.md) 섹션을 참조하세요.

 초기 테이블탑 연습을 실시하는 것은 개선을 위한 초기 기준을 생성하는 훌륭한 방법이지만, 지속적인 개선과 현재 운영 상태를 정확하게 반영하는 최신 정보를 유지하려면 지속적인 테스트가 중요합니다. 최신의 가장 중요한 보안 상황과 가장 중요하거나 새로운 대응 역량을 테스트하고, 이를 통해 파악한 내용을 교육, 운영, 프로세스/절차에 통합하면 대응 프로세스와 프로그램 전체를 지속적으로 개선할 수 있습니다.