본문 바로가기

Work & Study/Audit

(4)
Sysmon - Windows Sysinternals : 시스템 모니터링 도구 Sysmon 소개 Sysmon은 MS사의 Sysinternals suite에 포함된 시스템 모니터링 툴이다. 설치를 하게되면 시스템에 상주하며 작업들을 모니터링하고 windows 이벤트로그에 기록을 저장하게 된다. 프로세스 생성이나 네트워크 연결, 파일 생성 시간 변경 등 기본적인 이벤트로그에 비하여 좀 더 자세한 정보를 제공한다. 수집된 결과를 자동으로 분석하여 결과를 제공하지는 않지만 이벤트뷰어나 별도의 SIEM 에이전트를 사용해 수집된 정보를 직접 분석하여 시스템에서 일어난 악성행위나 비정상적인 활동 등을 파악 할 수 있다. Sysmon 주요기능 / 옵션 Sysmon은 커맨드라인 기반으로 실행 시킬 수 있으며, 사용법은 아래와 같다. 설치를 할 때에는 자동으로 EULA를 수락하도록 -accepteu..
ATT&CK for Enterprise 소개 (feat. Cyber Kill Chain) ATT&CK for Enterprise는 기업의 네트워크 내에서 공격자가 침입시도를 할 때 발생하는 행위들을 설명하기 위한 공격 모델링 프레임워크이다. 이 모델은 공격자의 행동을 구체적으로 설명하기 위해 사용될 수 있다. 또한 방어자의 지식을 향상시키고, 사이버 위협 발생시 공격자들이 내부 네트워크에서 타겟에 접근하고 공격을 실행하는데 사용하는 전술, 기술, 절차(TTPs : Tatics, Techniques, Procedures)를 상세히 기술함으로써 네트워크 방어 우선순위를 정하는 데 도움이 된다. ATT&CK for Enterprise는 MITRE의 연구를 통해 수집된 사이버 공격에 대한 정보와 침투 테스트와 레드팀 구성과 같은 여러 분야의 정보를 통합하여 공격자들이 네트워크 침입시 나타나는 특징들..
NIST CSF(Cyber Security Framework) 개요 NIST Cyber Security Framework 일반적으로 NIST 사이버보안 프레임워크(CSF)라고 불리는 중요 인프라 시스템의 사이버보안 부문 강화를 위한 프레임워크는 민간 조직들이 사이버 사고를 예방, 탐지 및 대응할 수 있는 능력을 평가하고 향상시킬 수 있게 해준다. 버전 1.1은 미국 국립표준기술원(NIST)이 2018년 4월 발간한 것으로 여러 산업군에서 빠르게 사용되고 있다. NIST CSF는 사이버보안 활동을 지도하고, 사이버보안을 조직의 위험 관리 프로세스의 일부로 관리한다. 많은 조직들이 사이버 보안 위험을 관리하기 위해 이 프레임워크를 도입하고 있다. 2019년 SANS OT/ICS 사이버보안 조사에 따르면 NIST CSF는 현재 가장많이 사용되고 있는 프레임워크다. The 3 ..
금융보안 거버넌스 가이드와 전자금융감독규정 5.5.7 규정 일몰 5.5.7 규정 일몰 (2020.01.01) 2019년 12월 금융보안원은 "금융보안 거버넌스 가이드"에 2020년 1월 1일 부로 5.5.7 규정이 일몰 됐음을 밝혔다. 5.5.7 규정은 전자금융감독규정 제8조(인력, 조직 및 예산) 2항에 해당하는 내용이다. 2011년에 발생한 농협과 현대캐피탈 침해사고 이후 금융회사들의 IT 및 정보보안 인력과 예산 강화를 위한 제도였다. 총 임직원수의 5% 이상의 정보기술부문 인력, 정보기술부문 인력의 5% 이상의 정보보호인력을 채용해야 하며, 정보기술부문 예산의 7% 이상을 정보보호 예산으로 책정해야 된다는 내용이다. 표면적으로는 권고사항이었지만 전자금융감독규정에 있음으로써 준수하지 않을 경우 과태료 부과가 가능했다. 하지만 1월 1일 자로 일몰 됨에 따라 준수..