사이버 보안 사고 대응 계획을 만드는 방법: 단계별 가이드
게시 됨: 2022-05-07사이버 보안 사고 대응 계획으로 데이터 침해를 관리하고 손실을 완화하십시오.
사이버 공격을 처리하는 데 드는 비용 증가는 중소기업(SMB)에 심각한 타격을 줄 수 있습니다. 특히 올바른 탐지 및 복구 계획이 없는 경우에는 더욱 그렇습니다.
Gartner 조사에 따르면 사이버 물리 시스템(CPS) 공격이 기업에 미치는 재정적 영향은 2023년까지 500억 달러를 넘어설 것으로 예상됩니다. 이 비용에는 보험, 소송, 보상, 규제 벌금 및 평판 손실이 포함됩니다. Gartner는 또한 2025년까지 최고 경영자(CEO)의 75%가 CPS 사고에 대해 개인적으로 책임을 지게 될 것이라고 예측합니다.
이를 위해 사이버 보안 사고 대응 계획을 수립하면 중소기업이 시스템을 정확하게 모니터링하고 보안 사고를 감지하며 손실을 완화하기 위한 예방 또는 복구 방법을 구현하는 데 도움이 됩니다.
이 기사에서는 사이버 보안 사고 대응 계획을 5단계로 작성하는 방법을 설명합니다. 그러나 세부 사항에 들어가기 전에 사이버 사고 대응 계획이 무엇이며 소규모 비즈니스를 위해 준비해야 하는 이유를 이해하는 것부터 시작하겠습니다.
사이버 보안 사고 대응 계획이란 무엇입니까?
사이버 보안 사고 대응 계획은 기업이 사이버 공격을 빠르고 효율적으로 감지하고, 공격에 대응하여 영향을 받는 시스템이나 네트워크를 격리하고, 결과적으로 손실을 복구하는 데 도움이 되는 일련의 문서화된 지침입니다.
사이버 공격은 기능 전반에 걸쳐 조직에 영향을 줄 수 있으므로 설계하는 계획은 인사, 재무, 고객 서비스, 법률, 공급망, 직원 커뮤니케이션 및 비즈니스 운영을 포함한 모든 기능과 부서를 고려해야 합니다.
다음은 사이버 보안 사고 대응 프로세스가 있는 기업과 없는 기업 간의 간략한 비교입니다. 둘 다 동일한 공격에 의해 손상되지만 비즈니스 B는 적절한 계획으로 인해 영향을 줄일 수 있습니다.
사업 A (CIRP가 없음) | 비즈니스 B (CIRP 보유) |
|---|---|
보안 사고를 감지했지만 대응 방법을 모릅니다. | 유형과 함께 보안 사고를 감지합니다. |
신고를 위한 세부 보고서를 준비하는 데 몇 시간이 걸립니다. | 정보보안 최고책임자 및 사고대응 전문가와 확인 후 신속하게 사고를 선언합니다. |
사고 식별 및 선언에 시간이 걸렸기 때문에 보안 침해는 초기에 영향을 받은 시스템 외에 다른 비즈니스 프로세스로 확산되었습니다. | 영향을 받는 시스템, 사용자 및 개체를 나머지 비즈니스 프로세스에서 즉시 격리합니다. |
법무팀에 대한 증거 수집 및 복구에 대한 조언을 제공하는 법의학 파트너가 없습니다. | 포렌식 파트너를 호출하여 공격의 증거와 복구에 대한 조언을 수집합니다. |
증거불충분으로 복구가 되지 않아 손실이 발생했습니다. | 적시에 복구하여 비즈니스를 손실에서 구했습니다. |
1단계: 행동 계획 수립
행동 계획을 수립하는 것은 전체 사고 대응 계획 프로세스의 핵심입니다. 계획 문서에는 다음 요소가 포함되어야 합니다.
사명 선언문
사명 선언문은 사고 대응 계획 프로세스의 목적을 명확하게 정의하여 귀하와 기타 이해 관계자가 수행 중인 작업의 범위를 이해할 수 있도록 합니다. 계획 프로세스에 관련된 각 이해 관계자는 보안 및 위험 전문가가 아닐 수 있으므로 용어 및 정의가 설명된 사명 선언문은 동일한 페이지를 유지하고 필요할 때 중요한 결정을 내리는 데 도움이 됩니다.
다음은 사명 선언문의 몇 가지 예입니다.
- 사이버 보안 위협으로부터 방어
- 사고 대응 팀 구축
- 사이버 공격과 그 유형을 조사하고 비즈니스에 미치는 영향을 선언합니다.
- 공격의 증거를 수집하고 법 집행 기관과 협력하여 법적 규정이 영향을 받는지 확인합니다.
정의된 역할 및 책임
이해 관계자의 역할과 책임을 명확하게 정의하면 계획 프로세스가 매우 유망해집니다. 모든 사람이 작업 방향을 갖고 혼란이 없을 것입니다. 동인, 책임, 협의 및 정보(DACI) 차트를 생성하여 역할과 책임을 정의할 수 있습니다.
DACI 차트(RACI 차트라고도 함)는 어떤 이해관계자가 어떤 단계에 참여하고 무엇을 해야 하는지를 정의합니다. 각 이해 관계자가 수행하는 기능적 역할을 시각적으로 표현한 것입니다. 다음은 시작하기 위한 무료 DACI 템플릿입니다.
D – 드라이버 | 작업을 주도하는 개인(예: CISO) |
|---|---|
A – 책임 있는 | 작업의 성공을 책임지는 개인(예: 프로젝트 관리자) |
C – 컨설팅 | 정보 또는 확인을 위해 상담이 필요한 개인(예: 주제 전문가)  |
나 – 정보 | 작업 진행 상황 및 업데이트(예: 리더십)에 대한 정보를 받아야 하는 개인. |
2단계: 계획을 지원하는 리소스 수집
계획을 완료했으면 다음 단계는 계획을 지원하는 도구와 리소스를 수집하는 것입니다. 예를 들어 데이터 유출을 식별한 경우 비즈니스에 중요한 데이터가 무단 사용자에 의해 도난, 제거 또는 이동되는 데이터 보안 위반입니다. 잠재적인 위험으로 데이터 손실 방지 소프트웨어와 같은 도구가 있어야 합니다.
올바른 리소스를 갖추었는지 확인하기 위한 몇 가지 필수 사항은 다음과 같습니다.
보안 모니터링 사용 사례
보안 모니터링은 계획을 적시에 구현하고 사고를 정확하게 감지하는 기반을 형성하므로 프로세스의 중요한 단계가 됩니다. 이전에 비즈니스 내에서 사용된 사고 모니터링 방법의 실제 예인 사용 사례를 연구하고 현재 모니터링 프로세스에서 입증된 방법을 구현하면 위험 허용 범위를 높일 뿐만 아니라 대응 목표를 계획하는 데 도움이 됩니다.
보안 문제 감지
비즈니스 기능 전반에 걸쳐 보안 문제를 감지하고 수정하는 데 적합한 리소스를 찾는 것은 사용 사례를 보유하는 것만큼 중요합니다. 사고 관리 소프트웨어를 사용하여 데이터 보안 침해에서 시스템 오작동에 이르기까지 다양한 IT 관련 사고를 기록, 보고하고 우선 순위를 지정할 수 있습니다. 소프트웨어는 IT 담당자에게 티켓을 할당하고 문제가 발생하는 즉시 이해 관계자에게 알림을 보내 가동 중지 시간을 최소화합니다.
3단계: 모든 것을 합친다
다음 단계는 자원을 계획하고 수집하는 데 있어 지금까지 수행한 모든 힘든 작업을 통합하는 것입니다. 이 단계에서 대부분의 노력은 수집된 데이터의 범위를 지정하고 이해하고 준비된 실행 계획의 여러 단계와 정렬하는 데 사용됩니다. 목표는 보안 사고 대응 계획 구축을 시작할 팀의 준비 상태를 확인하는 것입니다.
4단계: 빌드 프로세스 실행
모든 것이 준비되면 사이버 보안 사고 대응 계획 구축을 시작할 준비가 된 것입니다. 식별된 계획과 리소스가 사고 대응 팀 구성원 및 기타 이해 관계자에게 잘 전달되었는지 확인합니다. 이렇게 하면 보안 사고의 영향을 줄이는 데 도움이 됩니다.
5단계: 배우고, 최적화하고, 즉흥적으로 수행
사이버 보안 사고 대응 계획을 수립했으므로 이제 전체 구축 프로세스를 분석하고, 실수와 성공을 모두 포함하는 학습 내용을 문서화하고, 이를 사용하여 구축 프로세스를 더욱 최적화하고 개선할 차례입니다. 최적화는 다른 리소스 집합을 사용하는 것부터 계획 수립 프로세스에 추가 팀 구성원을 참여시키는 것까지 무엇이든 될 수 있습니다. 그러나 모든 것은 사이버 보안 사고 대응 계획이 어떻게 나왔느냐에 달려 있습니다.
최적화에는 프로세스를 더욱 미세하게 조정하고 팀 효율성을 극대화하기 위한 일련의 학습 및 교육 연습이 수반될 수 있습니다.
사이버 보안 사고 대응 계획을 수립하는 것이 최고의 방어 메커니즘입니다.
CIRP가 있으면 보안 팀이 사고에 능동적이고 균일하게 대응하여 사고 대응 능력을 향상시킬 수 있습니다. 작업 흐름을 결정하는 데 필요한 리소스, 도구 및 실행 계획만 있으면 됩니다.
그러니 지금 바로 사이버 보안 사고 대응 계획을 세우십시오!
사이버 보안에 대해 더 알고 싶으십니까? 다음 추가 리소스를 확인하세요.
- 최고의 사이버 보안 소프트웨어 도구
- 중소기업 사이버 보안을 개선하기 위한 4가지 전문가 팁
- 사이버 보안으로 비즈니스를 성장시키는 방법은 무엇입니까?
- 월드 와이드 웹 전쟁에 대비하기 위한 11가지 사이버 보안 인증
- 사이버 공격의 7가지 일반적인 유형