IBM 보안솔루션 리질리언트_정보보호 침해사고 대응 플랫폼

리질리언트 시스템
정보보호 침해사z 대응 플랫폼
IBM 보안사업부
(0'-년 .월

4gOXNK
• <5M 리질리언트 시스템
• 정보보호 침해사z 대응 지침
• 정보보호 침해사z 대응 플랫폼

) <5M DOMurStc
4LYut COsSVSOXt
Our Mission
리질리언트는 사이버공v에 대한 대응 능력을 n화시키z 핵심 비지니스 보호를 목적으로
합니다.
What We Do
우리는 조직의 정보보호 침해사z 대응에 필요한 업무 협업 채널| 정보보호 사z대응
프로세스를 제공 합니다. 우리의 플랫폼은 좀더 효|적이z 지능적으로 시l을 단축해
사z 대응을 수행 할 수 있습니다.

* <5M DOMurStc
사이버 공격 사전 예방:
자산 관리
<5M 리질리언트 시스템
• 악성코드 및 익스플로잇
• 엔드포인트 패치 관리
• 취약점 관리 자동화
신속한 사고 대응: 기업 피해 최소화
• 정보보호 사z대응• 글로벌 표준 프로세스 적용
실시간 공격 탐지: 고도화된
상관분석 역량
• 전체 행위 관점의 공v 식별
• 인지보안/인공지능 활용
• 위험 우선 순위 식별 자동화
RESPOND

5 <5M DOMurStc
DOMurStc ApOrKtSYXs KXN COspYXsO BVKtPYrW(DAC
DOMurStc ApOrKtSYXs KXN <XMSNOXt COspYXsO DOrvSMOs
<XMSNOXt COspYXsO
8XNpYSXt KXN
@OtaYrU BrYtOMtSYX
GuVXOrKLSVStc KXN
BKtMR MKXKgOWOXt
FsOr 5ORKvSYr
4XKVctSMs
DOMurStc <XtOVVSgOXMO KXN 4XKVctSMs
D86FC<EY AB8C4E<A@D 4@7 C8DBA@D8
68A 6<DAHC <E>8:4>
<7D e @<BD e 4G e 7>B e 9H e 75s e 4pps e h
사전 예방, 실시간 탐지, 사고 대응에 이르는 정보보호 업무
자동화, 지능화, 협업 기반 플랫폼 역량 요구
• IBM BigFix
엔드포인트 패치관리 및 취약점 관리
• IBM Security Network Protection
차세대 네트워크 침입방지 시스템
• IBM QRadar Security Intelligence
보안 인텔리전스 플랫폼
• IBM Resilient Incident Response Platform
정보보안 침해사z 대응 플랫폼
• IBM X-Force Exchange
클라우드 ©반 보안 위협 인텔리전스 플랫폼
• IBM Security Services
보안 서비스 제공0 구축/운영/컨설팅

, <5M DOMurStc
•“If you’re going to invest in one
thing, it should be incident
response.”
–KOcXYtO KNNrOss,
:KrtXOr HYrVNaSNO DOMurStc DuWWSt

. <5M DOMurStc
1. 정보보호 침해사고 대응 시간 단축
- <5M의 x우 평균 (0일 정도의 대응 종료 소요 시l이 5일
미만으로 단축 되었습니다.
2. 자동화 및 국제 표준 프로세스 내장
3. 보안팀 대응 역량 업그레이드

/ <5M DOMurStc
사전 예방 실시l 탐지 침해 대응
4BE 공v 차단/취약점 관리 z위험 이슈 식별, 보안
인텔리전스를 활용한 이상 m시
정보보호 표준 대응 절차 및
조직 특성 적용
정보보호 대응 업무 자동화
• 정보보호 대응지침 이행
• ©업표준 대응지침 이행
글로벌 표준 프로세스 제공
• 산업 표준 워크 플로우
• DAB*, @<DE**, D4@D 외
정보보호 업무 형상 관리
• 진척 관리, 이행 점s
• 사z 대응 타임 테이블
*DAB(DtKXNKrN ApOrKtSXg BrYMONurO
**@<DE(@KtSYXKV <XstStutO YP DtKXNKrNs KXN EOMRXYVYgc

정보보호 침해사고 대응지침

'' <5M DOMurStc
정보보호 침해사z 대응지침
정보보호 침해사고 대응지침 - 국가법령정보센터
제1장 총칙
제1조(목적) 본 지침은 정보보호 침해사z에 의해 중요자료 유출 및 정보자산의 손실, 절도, 파괴
등으로 정상적인 업무수행에 지장을 초래하는 사z 발생 시 신속하게 대응하고, 그 과정을 기록
관리함으로써 정보보호 침해사z에 효|적으로 대응하는 t을 목적으로 한다.
…중략…
제4장 정보보호 침해사고 대응
제16조(관련 자료의 보존) 정보보호 침해사z 접수 후 정보시스템별 담당자는 침해사z 유형별로 다음
k 호의 절차에 따라 관련 자료를 보존 한다
'. 정보보안담당자는 보안사고 처리에 관련된 모든 활동 및 정보를 기록하여 보관한다.
(. 보안사z 대응활동| 관련하여 생성된 문서는 비인j자의 접근을 제한하며, 열람 및 사용은
정보보안담당관의 승인을 득하여야 한다.

'( <5M DOMurStc
순 서 대응 조치
침해g유출사z 발생
i침해g유출사z 발생 징후 입수 및 정보수집
i침해g유출사z 진행에 따라 대응절차 준비
정보수집 / 침해g유출사z대응
i침해g유출사z의 종류 및 정도에 따라 대응방법 선택
io별취재 등 언론 대응은 홍보팀으로 이관
i유출x로 추적 및 로그분석
사후 대응 활동
i침해g유출사z 상황 종료 후 이미지 회복 활동 전o
i침해g유출사z대응 내용을 침해g유출사z의식 교육 활용
개인정보 침해·유출사고 신고 개인정보 침해·유출사고 보고 개인정보 침해·유출사고 통지

') <5M DOMurStc
1수행 업무2
• 침해사z 유형 분류
• 침해사z 대응 절차 정의
• 비상 연락망 정의
• 업무 수행 내역 ©록

'* <5M DOMurStc
담당자 수행 업무 진행사항
정보보안담당 o인정보 침해g유출사z 발생에 따른 정보 수집
대외언론담당
사z 발생에 따른 o별취재 등 언론대응(홍보 관련 부서 협조
- 대 zp 사|문 발표 등
법무담당 사z 발생에 따른 법리 s토
대외언론담당 대응방안 취합 및 대책반 구성go최 준비
정보보안담당 위험 상황 전사 공유(전 부서 협조
정보보안책임자 대응방안 s토, 대응방침 w정
Good Poor
침해g유출사z 대응 업무분장

'5 <5M DOMurStc
공v 유형별 대응 체y 세분화
1수행 업무2
• 공v 유형 분류
• 대응 절차 정의
• 보z 체y 정의

정보보호 침해사고 대응 이슈

'- <5M DOMurStc
• 전문 역량 차이
정보보호 침해사z 대응 이슈

'. <5M DOMurStc
• 프로세스 혼선

'/ <5M DOMurStc
• 프로세스 혼선
• 법규 적용 및 이행

(0 <5M DOMurStc
순 서 대응 조치
침해g유출사z 발생
i침해g유출사z 발생 징후 입수 및 정보수집
i침해g유출사z 진행에 따라 대응절차 준비
정보수집 / 침해g유출사z대응
i침해g유출사z의 종류 및 정도에 따라 대응방법 선택
io별취재 등 언론 대응은 공단 홍보팀으로 이관
i유출x로 추적 및 로그분석
사후 대응 및
재활활동
i침해g유출사z 상황 종료 후 공단 이미지 재활을 위한 BC활동 전o
i침해g유출사z대응 내용을 교재화하여 임직원 침해g유출사z의식 교육 활용
전문 역량 차이 프로세스 혼선 법규 적용 및 이행
• ©술 이해
• 업무 프로세스 이해
• 업무 협업 채널 미정의
• 연락망 부재
• 정보보호 사z대응 규정 이행
• 정보보호 사z대응 형상 관리

(' <5M DOMurStc
• 정보보호 사고대응 통합 플랫폼
– 사람| 프로세스, ©술을 통합하z 자원 활용을
최적화
– 정보보호 대응팀에u 자동화된 대응 액션을
부여해 표준화된 프로세스 적용
– 정보보호 대응 진척관리, 보안 인텔리전스 확보,
맞춤형 프로세스 적용
– 정보보호 규정 준수 사항 적용

(( <5M DOMurStc
업무 프로세스 정의
Ÿ 침해 유형별 업무프로세스(BRKsOs 및 태스크(EKsUs ©본 제공
Ÿ 침해 관련 유형별 변동 사항 자동 업·이트
Ÿ 사용자 업무프로세스(BRKsOs 정의
Ÿ 사용자 태스크(EKsUs 정의
침해대응 정보 수집
Ÿ 침해대응요원 대응 j이드, 조r별 대응 항목 표©
Ÿ 정보 유출 관련 항목 정의(민m정보, 카드정보, 금융정보 등
Ÿ 타임라인 관리
Ÿ 포렌식, 사z 관련 근q 정보 수집
태스크 관리
Ÿ 사이버 보안 사z 유형별 체크리스트(EKsUs 자동 정의 및 할당
Ÿ 진척사항 관리, EY NY 이행 점s, 대응 이력 조회
Ÿ 처리 담당 지정 및 마m 시한 정의
Ÿ 자동화 액션 정의(예, 방화벽 차단, 4B< 연동 등
산업 규정 준수
Ÿ 산업 규정(COguVKtYrs 항목 정보 제공(예, B6<, H<BB4, 966 등
Ÿ 정보 유출 관련 ·이터 타입 유형 정의
Ÿ 글로벌 표준 정보보호 규정 자동 적용

() <5M DOMurStc
업무 프로세스 정의
Ÿ 침해 유형별 업무프로세스(BRKsOs 및 태스크(EKsUs ©본 제공
Ÿ 침해 관련 유형별 변동 사항 자동 업·이트
Ÿ 사용자 업무프로세스(BRKsOs 정의
Ÿ 사용자 태스크(EKsUs 정의
산업 규정 준수
Ÿ 산업 규정(COguVKtYrs 항목 정보 제공(예, B6<, H<BB4, 966 등
Ÿ 정보 유출 관련 ·이터 타입 유형 정의
Ÿ 지역별 사법 조항(FD 연방 정부
정보보호 침해사고 대응 플랫폼

(* <5M DOMurStc
태스크 관리
Ÿ 사이버 보안 사z 유형별 체크리스트(EKsUs 자동 정의 및 할당
Ÿ 진척사항 관리, EY NY 이행 점s, 대응 이력 조회
Ÿ 처리 담당 지정 및 마m 시한 정의
Ÿ 자동화 액션 정의(예, 방화벽 차단, 4B< 연동 등
침해대응 정보 수집
Ÿ 침해대응요원 대응 j이드, 조r별 대응 항목 표©
Ÿ 정보 유출 관련 항목 정의(민m정보, 카드정보, 금융정보 등
Ÿ 타임라인 관리
Ÿ 포렌식, 사z 관련 근q 정보 수집
정보보호 침해사고 대응 플랫폼

(5 <5M DOMurStc
:
:
App Logs
F/W Logs
DHCP Logs
티켓 생성/사고 감지
AUTOMATIC
ENRICHMENT
인텔리전스0
취약점관리
7@D분석:
MANUALLY
INVOKED
ENRICHMENT
엔드
포인트0
4BE대응0
웹u이트웨이0
액션 모듈
RESILIENT’S 정보보호
침해사고 대응 플랫폼
MANUALLY
INVOKED
REMEDIATION
IT 헬프데스크:
포렌식:
계정관리

(, <5M DOMurStc
COsSVSOXt SXMSNOXt rOspYXsO pVKtPYrW
개인정보 모듈
(PRIVACY MODULE)
► 글로벌 침해대응 규정
► 산업 의무 조항(Contractual
obligations)
► SOPs(Standard Operating
Procedure)
► 개인정보 보호 대응
시큐리티 모듈
(SECURITY MODULE)
► 산업 표준 워크 플로우 제공 (NIST,
SANS 외)
► Threat intelligence 피드제공
► SOPs(Standard Operating Procedure)
► 침해대응 유즈 케이스
액션 모듈
(ACTION MODULE)
► 자동화 업무 지원(3rd
파티 연동)
► 침해대응 상세 정보 확보
► 포렌식 정보 확보

(- <5M DOMurStc
침해대응 활동 내역

(. <5M DOMurStc
침해 유형별 표준 수행 리스트 제공

(/ <5M DOMurStc
사용자 정의 대응 j이드 설정

)' <5M DOMurStc
o인정보 보호 규정 j이드

)( <5M DOMurStc
COsSVSOXt <CB APPOrSXg

)) <5M DOMurStc
9OKturO 5rOKUNYaX Lc APPOrSXg

), <5M DOMurStc
구축에 필요한 하드웨어/소프트웨어
• AX-prOWSsO 딜리버리는 한 o의 AG4파일 형태의 GSrtuKV 4ppVSKXMO로 공급되며, GMHKrO 8DIS
v*.b이상에서 구동 됨
• 최소 메모리 . :5, '00 :5의 디스크 저장공l, 7uKV 6YrO (.( :Hd 이상
• H4와 >5는 GMHKrO의 j상화 ©술을 이용하여 구현됨(사용하는 GMHKrO 8DIS 라이선스에 의존

)- <5M DOMurStc
“This is the decade of
response...sophisticated
robust, resilient.”
-Bruce Schneier, CTO,
Resilient Systems
“This is the decade of
response…sophisticated,
robust, and resilient.”
-Bruce Schneier, CTO,
Resilient

). <5M DOMurStc
:VYLKV MustYWOrs

)/ <5M DOMurStc
KYrOK MustYWOrs

f 6YpcrSgRt <5M 6YrpYrKtSYX (0',. 4VV rSgRts rOsOrvON. ERO SXPYrWKtSYX MYXtKSXON SX tROsO WKtOrSKVs Ss prYvSNON PYr SXPYrWKtSYXKV purpYsOs YXVc, KXN Ss prYvSNON 4D <D aStRYut aKrrKXtc YP KXc
USXN, ObprOss Yr SWpVSON. 4Xc stKtOWOXt YP NSrOMtSYX rOprOsOXts <5M's MurrOXt SXtOXt, Ss suLTOMt tY MRKXgO Yr aStRNrKaKV, KXN rOprOsOXt YXVc gYKVs KXN YLTOMtSvOs. <5M, tRO <5M VYgY, KXN YtROr
<5M prYNuMts KXN sOrvSMOs KrO trKNOWKrUs YP tRO <XtOrXKtSYXKV 5usSXOss MKMRSXOs 6YrpYrKtSYX, SX tRO FXStON DtKtOs, YtROr MYuXtrSOs Yr LYtR. AtROr MYWpKXc, prYNuMt, Yr sOrvSMO XKWOs WKc LO
trKNOWKrUs Yr sOrvSMO WKrUs YP YtROrs.
DtKtOWOXt YP :YYN DOMurStc BrKMtSMOs0 <E scstOW sOMurStc SXvYVvOs prYtOMtSXg scstOWs KXN SXPYrWKtSYX tRrYugR prOvOXtSYX, NOtOMtSYX KXN rOspYXsO tY SWprYpOr KMMOss PrYW aStRSX KXN YutsSNO
cYur OXtOrprSsO. <WprYpOr KMMOss MKX rOsuVt SX SXPYrWKtSYX LOSXg KVtOrON, NOstrYcON, WSsKpprYprSKtON Yr WSsusON Yr MKX rOsuVt SX NKWKgO tY Yr WSsusO YP cYur scstOWs, SXMVuNSXg PYr usO SX
KttKMUs YX YtROrs. @Y <E scstOW Yr prYNuMt sRYuVN LO MYXsSNOrON MYWpVOtOVc sOMurO KXN XY sSXgVO prYNuMt, sOrvSMO Yr sOMurStc WOKsurO MKX LO MYWpVOtOVc OPPOMtSvO SX prOvOXtSXg SWprYpOr usO
Yr KMMOss. <5M scstOWs, prYNuMts KXN sOrvSMOs KrO NOsSgXON tY LO pKrt YP K VKaPuV, MYWprOROXsSvO sOMurStc KpprYKMR, aRSMR aSVV XOMOssKrSVc SXvYVvO KNNStSYXKV YpOrKtSYXKV prYMONurOs, KXN WKc
rOquSrO YtROr scstOWs, prYNuMts Yr sOrvSMOs tY LO WYst OPPOMtSvO. <5M NYOs XYt aKrrKXt tRKt KXc scstOWs, prYNuMts Yr sOrvSMOs KrO SWWuXO PrYW, Yr aSVV WKUO cYur OXtOrprSsO SWWuXO PrYW, tRO
WKVSMSYus Yr SVVOgKV MYXNuMt YP KXc pKrtc.
SLW.MYW/sOMurStc
sOMurStcSXtOVVSgOXMO.MYW
bPYrMO.SLWMVYuN.MYW
3SLWsOMurStc
cYutuLO/usOr/SLWsOMurStcsYVutSYXs
9A>>AH FD A@0
감사합니다

IBM 보안솔루션 리질리언트_정보보호 침해사고 대응 플랫폼

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to IBM 보안솔루션 리질리언트_정보보호 침해사고 대응 플랫폼

Similar to IBM 보안솔루션 리질리언트_정보보호 침해사고 대응 플랫폼 (20)

More from 은옥 조

More from 은옥 조 (13)

IBM 보안솔루션 리질리언트_정보보호 침해사고 대응 플랫폼