통합 Windows-Linux Enterprise 사고 대응

오늘날의 위협 행위자 및 침입 시나리오에 대응하는 데 도움이 되는 기본적인 조사 기법을 교육하기 위해 마련된 집중 과정입니다.

이 강좌는 표적 공격의 단계들, 주요 증거의 출처, 이를 분석하는 포렌식 분석 노하우를 강조하는 일련의 실제 체험 랩으로 구성됩니다. 학생들은 시스템에서 신속한 선별을 수행하여 보안 침해 여부를 결정하고, 초기 공격 벡터에 대한 증거를 찾아내고, 지속성 메커니즘을 인지하고, 침해 지표를 개발하여 사고에 대해 추가로 조사하는 등의 작업을 수행하게 됩니다.

이 강좌를 이수한 학습자는 다음을 수행할 수 있습니다.

• 위협 환경, 표적 공격 수명 주기, 다양한 공격자가 사용하는 초기 공격 벡터 및 사고 대응 프로세스의 단계 등을 포함한 사고 대응 프로세스 설명
• 시스템 분류를 수행하여 사고 발생 시 기업 전반에 걸쳐 일어난 일에 대한 주요 질문에 답변
• 습득한 지식을 적용하여, 보안 침해의 징후를 찾기 위해 Windows 환경(메타데이터, 레지스트리, 이벤트 로그, 서비스, 지속성 메커니즘, 실행 아티팩트 포함)을 선제적으로 조사
• EXT3/EXT4 파일 시스템, syslog, 감사 로그, 메모리, VPN 및 웹 셸을 포함하여 보안 침해된 Linux 시스템을 조사하고 분석하기 위한 중요한 증거 소스를 식별하고 사용
• Oracle, MySQL, PostgreSQL, Apache, nginx 등 데이터베이스 및 웹 서버의 일반적인 Linux 애플리케이션 감사
• 공격자가 크리덴셜, 로그인, 원격 명령 실행, 셸 아티팩트 등의 데이터 사용을 통해 보안 침해된 Linux 환경에서 다른 시스템으로 이동할 수 있는 방법 파악
• 웹 로그를 분석하여 난독화 및 인코딩 방법을 비롯한 일반적인 공격자 기술을 인식하고 해석
• 진행 중인 조사 및 이슈와 관련된 정보를 관리하고 효과적으로 기록
• 기업 조사에서 해결 단계의 역할 이해
• 효과적인 조사를 지원하는 일반적인 구성 매개변수와 기록된 이벤트를 식별하여 로깅 가시성을 개선하고 증거의 변조를 방지하며 공격 표면을 줄이기
• 위협 인텔리전스, 이상 감지, 알려진 공격자의 전술, 기법, 절차(TTP)를 사용하여 위협을 헌팅하는 방법 이해

이 과정은 보안 운영, 사고 대응, 포렌식 분석, 네트워크 트래픽 분석, 로그 분석, 보안 평가 및 침투 시험, 또는 보안 아키텍처 및 시스템 관리 업무 수행에 대한 어느 정도의 배경 지식이 있는 학생들을 대상으로 합니다. 또한 CIRT/사고 대응팀을 관리하는 담당자나 포렌식 분석 및 기타 조사 작업의 감독 역할을 맡은 담당자에게도 적합합니다.

오프라인

5일(대면 전달)

학생들은 다음 사양을 충족하는 노트북을 지참해야 합니다.

• VMware가 설치된 노트북(VMware 플레이어가 요구사항을 충족함)
• 사양: Windows 7 이상 또는 MacOS 10.11 이상
• 16GB 이상의 메모리
• Core i7+ CPU
• 25GB 이상의 HDD 여유 공간