도서 소개

디지털 포렌식을 사이버 보안 사고에 대한 전반적인 대응과 통합하는 방법을 이해하는 것은 공격으로부터 조직의 인프라를 보호하는 데 중요하다. 개정판에서는 사이버 사고 관리, 메모리 및 로그 분석, 위협 사냥 등 다양하고 실용적인 예를 추가하고, 보안 및 사고 조사에 관련된 중요한 이벤트 유형을 부록으로 추가해 최첨단 디지털 포렌식 활동 및 사고 대응을 수행하는 데 필요한 정보를 제공한다. 더불어 각 장을 마칠 때마다 핵심적인 사항의 이해를 돕는 문제와 더 읽어볼 거리는 이 책을 강의용으로 활용하는 데에도 유용할 것이다.

  출판사 리뷰

★ 요약 ★

디지털 포렌식을 사이버 보안 사고에 대한 전반적인 대응과 통합하는 방법을 이해하는 것은 공격으로부터 조직의 인프라를 보호하는 데 중요하다. 개정판에서는 사이버 사고 관리, 메모리 및 로그 분석, 위협 사냥 등 다양하고 실용적인 예를 추가하고, 보안 및 사고 조사에 관련된 중요한 이벤트 유형을 부록으로 추가해 최첨단 디지털 포렌식 활동 및 사고 대응을 수행하는 데 필요한 정보를 제공한다. 더불어 각 장을 마칠 때마다 핵심적인 사항의 이해를 돕는 문제와 더 읽어볼 거리는 이 책을 강의용으로 활용하는 데에도 유용할 것이다.
사고 대응과 디지털 포렌식의 기초를 다진 후, 사고 대응 절차, 포렌식 원칙, 사고 관리와 같은 기본 요소를 살펴보는 것으로부터 시작한다. 보안 사고에 대한 중요성을 이해하는 것에서부터 보안 사고에 신속하고 효과적으로 대응하는 데 도움이 되는 유용한 사례를 통해 안내한다. 그 다음, 증거 수집과 휘발성 메모리 조사부터 하드 드라이브 조사와 네트워크 기반 증거에 이르기까지 디지털 포렌식 기술을 익히게 된다. 이를 통해 위협 인텔리전스가 사고 대응 절차에서 어떤 역할을 하는지 알게 될 것이다. 또한 분석 결과를 문서화하는 사고 대응 보고서를 작성 방법도 배우게 된다. 마지막으로, 다양한 사고 대응 활동 외에도 악성코드 분석을 다루고 위협 사냥에서 디지털 포렌식 기술을 능동적으로 사용할 수 있는 방법을 보여준다. 이 책을 다 읽고 나면 조직에서 원치 않는 보안 침해 및 사고를 효과적으로 조사하고 보고하는 방법을 알게 될 것이다.

★ 이 책에서 다루는 내용 ★

■ 조직 내에서 사고 대응 기능의 구축 및 배치
■ 적절한 증거 수집 및 처리 절차 수행
■ 수집된 증거 분석 및 보안 사고의 근본 원인 파악
■ 메모리 및 로그 분석
■ 디지털 포렌식 기법과 절차를 전반적인 사고 대응 절차에 통합
■ 다양한 위협 사냥 기법
■ 분석의 주요 결과를 문서화하는 효과적인 사고 보고서 작성

★ 이 책의 대상 독자 ★

정보 보호 전문가, 디지털 포렌식 실무자, 소프트웨어 애플리케이션 및 기본 명령행 사용에 대한 지식과 경험이 있는 독자를 대상으로 한다. 또한 조직 내에서 사고 대응, 디지털 포렌식, 위협 사냥 임무를 처음 접하는 정보 보호 전문가에게 도움이 될 것이다.

★ 이 책의 구성 ★

1장, '사고 대응의 이해'에서는 사고 대응의 절차와 기업 내부적으로 사고 대응에 대한 프레임워크를 수립하는 방법을 다룬다. 이 프레임워크를 통해 사고의 근본 원인을 구체적이며 체계적으로 조사할 수 있고, 사고를 억제하고 충격을 줄일 수 있으며, 피해를 복구해 기업을 평시의 상태로 되돌릴 수 있다.
2장, '사이버 사고 관리'에서는 사고 대응을 위한 전략적 구성 개념을 제공하는 사고 관리 프레임 워크를 논하며, 사고 관리 방법의 가이드를 제시한다. 사고 에스컬레이션, 사고 워룸(war room)의 구성, 위기 커뮤니케이션, 조직을 평시로 되돌리기 위한 기법 등과 같은 전략적 수준의 이슈를 다룬다.
3장, '디지털 포렌식 기본 원리'에서는 디지털 포렌식의 기초를 배운다. 디지털 포렌식의 주요 역사와 과학 수사의 기본 요소, 디지털 포렌식 기법과 사고 대응 프레임워크의 통합 방법을 다룬다.
4장, '네트워크 증거 수집'에서는 네트워크 기반 증거의 획득에 중점을 둔다. 방화벽, 라우터, 스위치, 프록시 서버, 그 밖의 네트워크 레이어 장비와 같은 네트워크 장비의 로그 파일들을 다룬다. 그 밖에 패킷 캡처와 같은 증거 유형도 탐색해본다.
5장, '호스트 기반 증거 확보'에서는 손상된 호스트가 많은 경우 직접적으로 또는 네트워크의 다른 영역에 대한 피벗 포인트로써 공격의 대상이 된다는 점을 설명한다. 이러한 시스템들의 증거는 사고의 근본 원인을 파악하는 핵심이다. 휘발성 메모리, 로그 파일, 기타 관련 증거를 캡처하는 데 사용되는 도구와 기법을 중점적으로 다룬다.
6장, '포렌식 이미징'에서는 손상된 시스템의 물리적 디스크 드라이브가 중요한 증거 소스가 된다는 점을 설명한다. 이 증거가 손상되지 않게 하려면 증거를 적절하게 확보해야 한다. 이 장에서는 의심스러운 하드 디스크 드라이브(HDD)를 올바르게 이미징하는 방법에 집중한다.
7장, '네트워크 증거 분석'에서는 tcpdump, Wireshark, Moloch와 같은 오픈소스 도구를 사용하는 방법을 알아본다. 명령 및 제어 채널이나 데이터 추출을 식별하기 위한 네트워크 증거 분석 가이드를 제시한다. 이러한 증거는 네트워크 프록시나 방화벽 로그, 패킷 캡처와 같은 다른 네트워크 증거와 깊이 연관된다.
8장, '시스템 메모리 분석'에서는 산업 표준 도구들을 활용해 시스템 메모리 안에 포함된 악성 활동들을 식별하는 다양한 방법을 살펴본다. 악성 프로세스, 네트워크 연결, 감염된 시스템에서 실행되는 악성 코드와 관련된 지표들의 식별 방법을 소개한다.
9장, '시스템 스토리지 분석'에서는 앞서 이미징한 HDD로부터 증거를 추출하는 데 사용할 수 있는 도구와 기법을 소개한다. 시스템 스토리지를 검사하는 데 사용할 수 있는 방법들을 다루지만, 9장에서는 특정 측면만 중점적으로 다룬다.
10장, '로그 파일 분석'에서는 정당한 동작과 적대적인 동작 중에 생성되는 다양한 윈도우 OS 로그를 탐색한다. 오픈소스 도구를 사용해 로그 파일을 분석함으로써 보안, 시스템 또는 애플리케이션 이벤트 로그를 검사하고, 잠재적인 침해 지표를 식별하는 방법을 알아본다.
11장, '사고 보고서 작성'에서는 조사 자체만큼 중요한, 사고 대응자의 조치와 분석을 캡처한 서면 문서의 작성을 논한다. 잠재적인 법인을 포함해 주요 내부 및 외부의 이해관계자를 대상으로 한 보고서 작성에 초점을 둔다. 법정에서의 철저한 검토에 부합하는 보고서를 준비하는 것이 최종 목표다.
12장, '악성 코드 분석'에서는 악성 코드를 검사할 때 배포되는 도구 및 기법을 개관한다. 여기에서는 주요 지표를 식별하는 정적 분석 기법과 악성 코드의 동작을 탐색하는 동적 분석을 다룬다.
13장, '위협 인텔리전스 활용'에서는 위협 인텔리전스가 적대적인 전술, 기법, 절차의 광범위한 내용에 대한 세부 정보를 제공함에 따라 사고 대응에서 점점 더 중요해지고 있다는 점을 설명한다. 더불어 위협 인텔리전스를 이해하고 이를 사고 대응 절차에 적용하는 방법을 다룬다
14장, '위협 사냥'에서는 디지털 포렌식 도구 및 기법을 위협 인텔리전스와 통합해 네트워크가 침해됐는지 확인하는 방법을 소개한다. 또한 위협 사냥 가설 및 사냥을 위한 지표의 작성을 통해서 위협 사냥의 방법과 함께 위협 인텔리전스가 어떻게 사냥을 촉진할 수 있는지 알아본다.
15장, '부록'에서는 보안 및 사고 조사에 관련된 가장 중요한 이벤트가 포함돼 있으며 이는 참고용으로 제공됐다. IT 및 보안 전문가들이 활용할 수 있는 상당한 수의 Windows Event Log의 유형을 제시했다.

  작가 소개

지은이 : 제라드 요한센
침투 테스트, 취약성 관리, 위협 평가 모델링, 사고 대응 분야에서 15년 이상의 경험을 가진 정보 보안 전문가다. 사이버 범죄 수사관으로 정보 보안 직종에 입문했고, 의료 및 금융 분야의 고객과 조직을 대상으로 컨설턴트와 보안 분석가로 일하면서 경험을 쌓았다. 노위치 대학교(Norwich University) 정보 보호 석사 학위를 받았고, 공인 정보 시스템 보안 전문가(CISSP) 자격을 취득했다. 현재는 사고 탐지, 대응, 위협 인텔리전스 통합에 주력하는 대형 기술 회사에서 고위급 사고 대응 컨설턴트로 일하고 있다.

  목차

1부. 사고 대응과 디지털 포렌식 기초
1장. 사고 대응의 이해
__사고 대응 절차
____디지털 포렌식의 역할
__사고 대응 프레임워크
____사고 대응 헌장
____컴퓨터 보안 사고 대응팀
______CSIRT 핵심팀
______기술 지원 인력
______조직 지원 인력
______외부 리소스
__사고 대응 계획
____사고 분류
__사고 대응 플레이북
____단계적 확대 절차
__사고 대응 프레임워크 테스트
__요약
__문제
__더 읽어볼 거리

2장. 사이버 사고 관리
__사고 대응팀 참여시키기
____CSIRT 모델
______SOC 에스컬레이션
______SOC와 CSIRT의 연합
______CSIRT 융합 센터
____워룸
____의사소통
____직원 교대
__위기 커뮤니케이션 통합
____내부 커뮤니케이션
____외부 커뮤니케이션
____공시
__사고 조사
__봉쇄 전략 통합
__정상으로 복귀 - 근절 및 복구
____근절 전략
____복구 전략
__요약
__질문
__더 읽어 볼 거리

3장. 디지털 포렌식 기본 원리
__법적 측면
____법률 및 규정
______증거 규칙
__디지털 포렌식 기본 원리
____연혁
____디지털 포렌식 절차
______식별
______보존
______수집
________적절한 증거의 취급
________관리 연속성
______조사
______분석
______제출
____디지털 포렌식 연구실
______물리적 보안
______도구
________하드웨어
________소프트웨어
________리눅스 포렌식 도구
________점프 키트
__요약
__질문
__더 읽어 볼 거리

2부. 증거 수집
4장. 네트워크 증거 수집
__네트워크 증거 개관
____준비
____네트워크 다이어그램
____구성
__방화벽과 프록시 로그
____방화벽
____웹 프록시 서버
__NetFlow
__패킷 캡처
____tcpdump
____WinPcap 및 RawCap
__Wireshark
__증거 수집
__요약
__질문
__더 읽어 볼 거리

5장. 호스트 기반 증거 확보
__준비
__휘발성 순위
__증거 확보
____증거 수집 절차
__휘발성 메모리 확보
____로컬 확보
______FTK Imager
______WinPmem
______RAM Capturer
____원격 획득
______WinPmem
______가상머신
__비휘발성 증거 확보
____CyLR.exe
____암호화 확인
__요약
__질문
__더 읽어 볼 거리

6장. 포렌식 이미징 이해
__포렌식 이미징 이해
__이미징 도구
__스테이지 드라이브 준비하기
__Digital
__쓰기 방지 장치의 사용
__이미징 기법
____데드 이미징
______FTK Imager로 이미징하기
____라이브 이미징
____원격 메모리 획득
______WinPmem
______F-Response
____가상머신
______리눅스 이미징
__요약
__질문
__더 읽어 볼 거리

3부. 증거 분석
7장. 네트워크 증거 분석
__네트워크 증거의 개요
__방화벽 및 프록시 로그 분석
____DNS 블랙리스트
____SIEM 도구들
____Elastic Stack
__NetFlow 분석
__패킷 캡처 분석
____명령행 도구
____Moloch
____Wireshark
__요약
__질문
__더 읽어 볼 거리

8장. 시스템 메모리 분석
__메모리 분석 개요
__메모리 분석 방법론
____SANS 6 단계 방법론
____네트워크 연결 방법론
____메모리 분석 도구
__Redline 메모리 분석
____Redline 분석 프로세스
____Redline 프로세스 분석
__Volatility 메모리 분석
____Volatility 설치
____Volatility 다루기
____Volatility 이미지 정보
____Volatility 프로세스 분석
______프로세스 목록
______프로세스 검사
______프로세스 트리
______DLL 리스트
______handles 플러그인
______LDR 모듈
______프로세스 xview
____Volatility 네트워크 분석
______connscan
____Volatility 증거 추출
______메모리 덤프
______DLL 파일 덤프
______실행 파일 덤프
__Strings 메모리 분석
____Strings 설치
____IP 주소 검색
____HTTP 검색
__요약
__질문
__더 읽어 볼 거리

9장. 시스템 스토리지 분석
__포렌식 플랫폼
__Autopsy
____Autopsy 설치
____Case 열기
____Autopsy 탐색
____Case 조사
______웹 아티팩트
______이메일
______연결 장치
______삭제 파일
______키워드 검색
______타임라인 분석
__MFT 분석
__레지스트리 분석
__요약
__질문
__더 읽어 볼 거리

10장. 로그 파일 분석
__로그 및 로그 관리
__이벤트 관리 시스템의 작업
____Security Onion
____Elastic Stack
__윈도우 로그의 이해
__윈도우 이벤트 로그 분석
____획득
____선별
____분석
______Event Log Explorer
______Skadi 로그 분석
__요약
__질문
__더 읽어 볼 거리

11장. 사고 보고서 작성
__문서 작성 개요
____문서 작성 대상
____문서 작성 유형
____출처
____독자
__사고 추적
____신속 사고 대응
__서면 보고
____핵심 요약
____사고 보고서
____포렌식 보고서
__요약
__질문
__더 읽어 볼 거리

4부. 전문 주제
12장. 사고 대응을 위한 악성 코드 분석
__악성 코드 분류
__악성 코드 분석 개요
____정적 분석
____동적 분석
__악성 코드 분석
____정적 분석
______ClamAV
______Pestudio
______REMnux
______YARA
__동적 분석
____악성 코드 샌드박스
____Process Explorer
______Process Spawn Control
____Cuckoo Sandbox
__요약
__질문
__더 읽어 볼 거리

13장. 위협 인텔리전스 활용
__위협 인텔리전스 이해
____위협 인텔리전스 유형
____고통의 피라미드
__위협 인텔리전스 방법론
____위협 인텔리전스 지휘
______킬 체인
______다이아몬드 모델
__위협 인텔리전스 소스
____내부 개발 소스
____상업적 소스
____오픈소스
__위협 인텔리전스 플랫폼
____MISP 위협 공유
__위협 인텔리전스의 사용
____예방적 위협 인텔리전스
____사후적 위협 인텔리전스
______Autopsy
______Redline에 IOCs 추가
______Yara와 Loki
__요약
__질문
__더 읽어 볼 거리

14장. 위협 사냥
__위협 사냥 성숙도 모델
__위협 사냥 주기
____이벤트 착수
____작업 가설 생성
____위협 인텔리전스 활용
____포렌식 기법 적용
____새로운 지표 식별
____기존 가설 강화
__MITRE ATT&CK
__위협 사냥 계획
__위협 사냥 보고
__요약
__질문
__더 읽어 볼 거리

  회원리뷰