Microsoft PowerPoint - 강연회자료_CERT_0612

Similar documents
CSO/CPO


암호내지

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

2006_8_14 (8_17 updated) ms ¿ú(wgareg.exe) ºÐ¼® º¸°í¼�.hwp

SW

1 SW

untitled

취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환

untitled

<30352D30312D3120BFB5B9AEB0E8BEE0C0C720C0CCC7D82E687770>

歯mp3사용설명서


untitled

COVER.HWP

이슈분석 2000 Vol.1

가볍게읽는-내지-1-2

kbs_thesis.hwp


한눈에-아세안 내지-1

untitled

PowerPoint 프레젠테이션

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks

PowerPoint 프레젠테이션

< FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

고객 사례 | Enterprise Threat Protector | Akamai

ㅇ악성코드 분석

I (34 ) 1. (10 ) 1-1. (2 ) 1-2. (1 ) 1-3. (2 ) 1-4. (2 ) 1-5. (1 ) 1-6. (2 ) 2. (8 ) 2-1. (3 ) 2-2. (5 ) 3. (3 ) 3-1. (1 ) 3-2. (2 ) 4. (6 ) 4-1. (2 )

*2008년1월호진짜

개인정보처리방침_성동청소년수련관.hwp

SK커뮤니케이션즈 보안컨설팅 추가 제안 사항

<4D F736F F F696E74202D D203120C3D6B1D920C1A4BAB8BAB8C8A320C0A7C7F9B0FA20C4A7C7D8BBE7B0ED20B5BFC7E220B1E8C8ABBCAE202E707

98 자료 개발 집필 지침

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

Microsoft Word - SKINFOSEC-CHR-026- Mass SQL Injection 탐지 우회분석 보고서.doc

당신의 AD 는안녕하십니까? AD(Active Directory) 관리자계정탈취를통한기업내부망장악사례와대응방안 본사고노트의전부나일부를인용시반드시 [ 자료 : 한국인터넷진흥원 ] 을명시하여주시기바랍니다.

슬라이드 1


ActFax 4.31 Local Privilege Escalation Exploit

개인정보보호담당자 란개인정보책임자가업무를수행함에있어보조적인역할을하는자를말하며개인정보보호책임자가일정요건의자격을갖춘이를지정한다 개인정보취급자 란개인정보처리자의지휘 감독을받아개인정보를처리하는업무를담당하는자로서직접개인정보에관한업무를담당하는자와그밖에업무상필요에의해개인정보에접근하

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환

92302 대한무역투자진흥공사 대한무역투자진흥공사

좀비PC

- 전화로고객의소리수집 04. 개인정보의보유및이용기간회사가수집한이용자의개인정보는아래에명시한기간동안처리및보유후파기합니다. ㆍ비공개게시판, 고객상담전화를통해수집한문의자정보 - 보유기간 : 문의후 5 년 - 보유근거 : 회사내부방침ㆍ이용기간 원칙적으로, 개인정보수집및이용목적

< C617720BBF3B4E3BBE7B7CAC1FD20C1A632B1C72E687770>

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University

ePapyrus PDF Document

<B1B9C8B8C0D4B9FDC1B6BBE7C3B3BAB85F BB0DCBFEFC8A35B315D2E706466>

1

대한주택보증 ( 주 ) 대한주택보증

Microsoft PowerPoint ISS_ ( , , v2.1).ppt

** 5 개이발생한주요소프트웨어별취약점세 EDB 번호취약점종류공격난이도공격위험도취약점이름소프트웨어이름

<31305FBEC6C0CCC5DB2E687770>

< F33BFF920C0CEC5CDB3DD20C4A7C7D8BBE7B0ED20B5BFC7E220B9D720BAD0BCAEBFF9BAB828C3D6C1BEBABB292E687770>

I. 서론 FOCUS 한국인터넷진흥원(KISA) 인터넷침해대응센터(KrCERT)는 다양한 방법으로 해킹사고를 탐지하고 있다. 인터넷침해대응센터 자체적으로 보유하고 있는 탐지체계 뿐만 아니라 시스템 담당자들이 직접 신고하는 신고체계 또한 해킹사고 탐지에 있어 중요한 역할

제목을 입력하세요

저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할

대림코퍼레이션은 ( 이하 ' 회사 ' 라칭함 ) 개인정보보호법, 정보통신망이용촉진및정보보호에관한법률 을준수하고있으며, 정보주체의개인정보보호및권익을보호하고개인정보와관련한정보주체의고충을원활하게처리할수있도록다음과같은개인정보처리방침을제정하고이를준수하고있습니다. 회사의 " 개인

정치사적

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10


국가건설기준 설계기준 Korean Design Standard KDS : 2016 쌓기 깎기설계기준 2016 년 6 월 30 일제정

항목

NTP 서버보안가이드 침해사고분석단취약점점검팀 김정호선임연구원 ( ) 본보고서의전부나일부를인용시, 반드시 [ 자료 : 한국인터넷진흥원 (KISA)] 를명시하여주시기바랍니다

목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응

저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할

Ⅱ 평가방법 ( 평가등급 ) ( 등급산정기준 ) ( 계량평가 ) ( 비계량평가 ) ( 평가대상회사 ) 평가대상회사 ( 가나다順 ) 구분 개수 회사명 은행 13 경남, 광주, 국민, 기업, 농협, 대구, 부산, 수협, 신한, 우리, 한국씨티, KEB하나, SC제일 카드

#WI DNS DDoS 공격악성코드분석


israel-내지-1-4

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

PowerPoint 프레젠테이션

[ 정보통신서비스제공자등을위한 ] 개인정보유출대응매뉴얼

07. 개인정보의파기에관한사항 1. 1 파기절차 o - 수집한개인정보는정보주체의탈퇴또는삭제요청이있을시별도의 DB 또는 DB 내별도의테이블로옮겨져 ( 종이의경우별도의서류함 ) 보유기간동안저장된후파기됩니다. o - 동개인정보는법률에의한경우가아니고서는보유되는이외의다른목적으로

< F5320B4EBC0C0C0E5BAF1BFA120B4EBC7D120BAB8BEC8B1E2B4C920B0A1C0CCB5E528C3D6C1BE292E687770>

월간 CONTENTS 3 EXPERT COLUMN 영화 점퍼 와 트로이목마 4 SPECIAL REPORT 패치 관리의 한계와 AhnLab Patch Management 핵심은 패치 관리, 왜? 8 HOT ISSUE 2016년에 챙겨봐야 할 개인정보보호

Microsoft Word - windows server 2003 수동설치_non pro support_.doc

해양수산관서 언 론 지방해양안전심판원 해양안전심판관리시스템입력 통계생성 대외제공 자체인지

*****

목 차 Ⅰ. 사업개요 5 1. 사업배경및목적 5 2. 사업내용 8 Ⅱ. 국내목재산업트렌드분석및미래시장예측 9 1. 국내외산업동향 9 2. 국내목재산업트렌드분석및미래시장예측 목재제품의종류 국내목재산업현황 목재산업트렌드분석및미래시

°£È£ 1~8 1È£š

?.? -? - * : (),, ( 15 ) ( 25 ) : - : ( ) ( ) kW. 2,000kW. 2,000kW 84, , , , : 1,

2 Core Issues 안전한인터넷세상 을만들기위해노력합니다. 01 개방성 02 참여와소통 03 공정성과중립성 04 고객정보보호 05 이용자권리및보호 06 기업문화 07 제주본사이전 08 사회공헌 비교적안전지대라고알려진방송사및금융사의서비스중단및정보유출에서알수있듯이더이

ITFGc03ÖÁ¾š


1

*통신1704_01-도비라및목차1~11

Regulation on Approval of Consumer Chemical Products subject to Safety Check without promulgated Safety Standard.hwp

<4D F736F F F696E74202D C205BC1A4C1F8BFED5D20BCF6C1D8C1F8B4DC20BCF8C8B8B1B3C0B0C0DAB7E1202E707074>

4 각기관의정보보안담당자는소속기관의정보보안업무를수행할책임이있다. 제4조 ( 정보보안조직의구성 ) 1 정보보안조직은정보보안담당관, 정보보안담당자, 시스템관리자로구성한다. 2 정보보안담당관은정보통신처장이겸한다. 3 정보보안담당자와시스템관리자는정보보안담당관이임명한다. 4 정

Windows 10 General Announcement v1.0-KO


FT (000)

Windows 8에서 BioStar 1 설치하기

1. 상수도사업본부 개인정보 처리방침(내용_ ).hwp

[11하예타] 교외선 인쇄본_ver3.hwp

행정학석사학위논문 공공기관기관장의전문성이 조직의성과에미치는영향 년 월 서울대학교행정대학원 행정학과행정학전공 유진아

5th-KOR-SANGFOR NGAF(CC)

버퍼오버플로우-왕기초편 10. 메모리를 Hex dump 뜨기 앞서우리는버퍼오버플로우로인해리턴어드레스 (return address) 가변조될수있음을알았습니다. 이제곧리턴어드레스를원하는값으로변경하는실습을해볼것인데요, 그전에앞서, 메모리에저장된값들을살펴보는방법에대해배워보겠습

Transcription:

중소기업침해사고대응팀 SMB-CERT 구축 한국정보보호진흥원정보보호관리체계 (ISMS) 전문심사원 서울디지털대학교 (SDU) 인터넷정보보호교수 문승주, ryanmoon@eduwiz.co.kr

목 차 I II III IV V 정보보호피해현황정보보호인식 (Awareness) 상담및신고기관침해사고대응및절차 CERT 구축 1

정보보호피해통계현황 정보보호피해현황 해킹수법별 구성설정요류 (76%) 사람에의한실수 E-Mail 및악성프로그램에의한해킹 23% 버퍼오버플로우취약점정보수집 0% 28% S/W 보안오류 0% 악성프로그램 21% 기타 0% 구성설정오류 27% 구성설정오류 E-mail 관련악성프로그램취약점정보수집 S/W 보안오류버퍼오버플로우기타 E-mail 관련 21% 악성프로그램기타2% 0% 취약점정보수집 2% 구성설정오류 E-mail 관련악성프로그램취약점정보수집기타 구성설정오류 75% 2003 년 (~8 월 ) E-mail 관련 24% 2003 년 (~8 월 ) 2004 년 2005 년 2

정보보호피해통계현황 정보보호피해현황 해킹대상별 기업 (49%), 개인 (32%) 개인을통한기업해킹 기업 4% 대학 2% 비영리 1% 네트워크 0% 연구소 0% 기업대학비영리연구소네트워크기타 ( 개인 ) 연구소 0% 네트워크 8% 기타 ( 개인 ) 32% 기업 49% 기업대학비영리연구소네트워크기타 ( 개인 ) 기타 ( 개인 ) 93% 비영리 8% 대학 3% 2004 년 2005 년 3

정보보호사건 / 사고, 누가일으키는가? 내부 외부 75% 25% 위험도파급도발생비율 인가자비인가자인가자비인가자 58% 17% 15% 10% 전문가전문가 비전문가비전문가 전문가전문가 비전문가비전문가 전문가전문가 비전문가비전문가 전문가전문가 비전문가비전문가 정보보호정책보완필요 내부의정보보호시스템정기점검필요 내부의사용자이상패턴진단필요 물리적정보보호체계필요 출입통제, 카드키, 경비체계도입 인증절차및접근제어강화 방화벽, 침입탐지시스템도입을통한정보보호강화 라우터등에서접근통제 4

전담상담, 신고및수사기관 상담, 신고및수사는정보통신부산하기관또는수사기관에요청 한국정보보호진흥원 http://www.boho.or.kr 118 상담 / 신고지원 사이버테러대응센터 http://www.ctrc.go.kr 02) 3939-112 사이버범죄신고 5

침해사고대응 침해사고대응절차 사고탐지 초기분석 사고대응전략수립 상세분석 모니터링 사고대응및복구 보고및피드백 6

침해사고대응절차 사고탐지 내부직원으로부터의보고 외부기관으로부터의항의메일 다른사고대응팀으로부터의통보 보안시스템으로부터의로그또는경보 7

침해사고대응절차 사고탐지 - 사건 관리적측면의사건 항의메일, 전화, 팩스등 기술적측면의사건 침입탐지시스템의경고또는로그 백신에의한악성프로그램탐지 침입탐지시스템에서의비정상적인로그패턴 알지못하는새로운계정생성 반복적인로그인실패로그 etc 8

침해사고대응절차 초기분석및사고대응전략수립 라이브시스템분석 현재 N/W 에연결되어있는피해시스템을분석 장점 : 현재시스템상태및로그를분석가능 단점 : 공격자가알아차릴수있다 When? 피해시스템을대체할백업시스템이없는경우 빠른사고분석및대응을해야하는경우 공격자또는공격시스템에대한지속적인모니터링이필요한경우 피해여부가확실치않은경우의분석 특별히격리분석을필요로하지않는경우 9

침해사고대응절차 초기분석및사고대응전략수립 격리분석 피해시스템을 N/W 와완전히분류 공격흔적을보존하기위해디스크이미지생성, 복사 부팅가능용 CD 의활용 When? 공격의피해가계속확산될경우 여분의시스템이있어계속분석을원할때 라이브시스템분석이후해당파일시스템을상세분석하고싶을때 공격흔적보존을위한피해시스템을훼손치말아야할때 10

침해사고대응절차 상세분석 사고발생원인및공격방법 사고발생시간 사고발생범위 피해범위 공격자출처 공격목적 사고복구를위한긴급조치와장기조치방법 11

CERT 의일반적인실수들 조급해하지않는다. 가능한많은침입흔적을있는그대로보존한다. 많은관리자들은다음과같은실수를자주한다. 분석전미리보안패치를한다. 분석과정에서수집된데이터를피해시스템에저장한다. 해킹과관련된파일을삭제한다. 해킹과관련된프로세스를종료시킨다. 분석하는모든과정을기록한다. 분석방법, 분석시간그리고해당분석을한이유등가능한모든내용을적는것이좋다. 각침입흔적에대한설명과발견된위치, 시간등을기록하고보존한다. 시스템로그, 침입차단시스템및침입탐지시스템의로그 분석과정에서생성된기록들 피해시스템에서발견된파일 해당사고와관련되어다른사이트에서발견된흔적들 사고와직접적으로관련되지않은사람에게관련정보를공개하지않는다. 12

침해사고대응절차 모니터링, 사고대응및복구 모니터링 공격자또는공격프로그램에대한지속적인모니터링 공격자가눈치채지못하도록하는것이중요 네트워크, 시스템모니터링 사고대응및복구 취약성제거 피해시스템복구 관련자통보 13

침해사고대응절차 보고및피드백 취약점은제거되었고정상적인서비스운영에필요한데이너타파일이 복구되었는가? 사고와관련된모든담당자에게사고분석결과가통지되었는가? 사고분석결과가문서화되었는가? 사고와관련된모든로그파일과분석기록, 침입흔적을안전하게저 장하였는가? 향후유사한사고를예방하고탐지하기위한조치가취해졌는가? 사고분석결과가현재의보안정책또는보안대책에피드백되었는 가? 14

분석실무 피해시스템분석절차 분석준비 초기분석 사고대응전략수립 상세분석 알려진공격방법분석, 변조된파일분석 타임라인분석, 삭제된파일분석, LKM Rootkit 분석 로그파일분석 해킹프로그램분석 15

분석실무 초기분석및분석방법 초기분석 시스템환경정보, 프로세스정보, 네트워크상태정보, 열려진모든파일, 로그인사용자정보, 주요설정파일 /proc 파일시스템, 로그파일, 파일시간속성정보, md5sum, 피해시스템스캐닝 분석방법 라이브파일시스템분석 복사본분석 분석전용부팅매체를이용한분석 알려진공격방법분석 변조된파일분석, MAC time 분석, LKM 분석 16

분석실무 초기분석및분석방법 로그흔적의종류 로그파일전체가삭제된경우 공격자는로그파일의전체또는눈에보일정도로삭제한다. 단지호기심으로공격했으며지속적으로사용하지않을가능성이크다. 혹은로그파일을다룰줄모르는초보공격자일수있다. 공격흔적인너무많은경우 무수히많은스캔공격이나침입흔적을발견하게된다. 추적하고있는공격대상이없어지는것과같은상황이다. 이런시스템은다른공격자들에게이미알려져있을가능성이크다. 공격흔적이없는경우 침해사고를당한것은확실한데어디에도흔적은없다. 피해시스템이지속적으로공격에사용되었을가능성이크다. 17

분석실무 피해시스템분석도구 The Coroner s Toolkit (TCT) http://porcupine.org/forensics/ Sleuthkit / Autospy http://www.sleuthkit.org/index.php Chkrootkit http://www.chkrootkit.org 분석전용부팅매체 F.I.R.E (Forensic and Incident Response Environment) http://fire.dmzs.com/ Penguin Sleuth Kit http://www.linux-forensics.com/download.html Snarl http://snarl.eecue.com/articles/ 18

분석실무 사고대응및복구 초기대응조치 초기분석결과에따라긴급대응을하거나대응방향을설정 피해범위파악 피해시스템이외의추가적인피해확인 피해시스템복구 피해시스템의복구와사이트전반에걸친보안대책마련 공격사이트대응 공격사이트및다른피해사이트에해당사실통보 분석보고서 사고노트작성및배포를통해차후비슷한유형의사고방지 19

분석보고서 문서화 예시 (1) 사고노트의내용예시 개요 공격대상및영향 사고설명 피해시스템확인방법 대책 참고자료 20

분석보고서 문서화 예시 (2) 상세사고분석보고서내용예시 개요 초기분석결과 상세분석결과 피해시스템복구및대응방법 의견 참고자료 21

CERT 구성 구성개요 목적및업무범위정의 : 서비스대상및범위선정 공지및연락처확립 홈페이지, E-Mail, 도메인이름 /IP 주소등록 인력구성및체계수립 조직내에서의사고대응팀체계 대외관계에서의사고대응팀체계 제공서비스정의 해킹사고 / 취약성공지및경고 사고처리서비스 취약성관리서비스 장비및소프트웨어확립 22

CERT 구성 SMB-CERT 제언 경영진의정보보호전담인력및팀구성에대한인식 정보보호전담인력및팀구성 Small 기업 : 전담인력 1 명이상 (IT 조직및관련조직의실무자급 ) Medium 기업 : 2 명이상으로구성된전담팀 ( 실무자및책임급 ) 구성 침해사고대응을위한체계구축 침해사고인지 : 정보보호실무자 책임자 경영진 침해사고자체분석및외부상담 / 신고여부파악 자체분석결과문서화및외부기관에관련사고조치에대한협조요청 민간대응을원하는경우는한국정보보호진흥원 (KISA) 협조요청 법적대응을원하는경우는사이버테러대응센터또는 NCSC 협조요청 사고결과및향후대응을위한 CERT 보고서 작성및종결 23

사이버세상, 안전하고깨끗하게... 24

2024 © docsplayer.org 개인정보보호 | 약관 | 지원