클라우드 침해 대응 프로세스

Cloud Cyber Incident Response Process

  일반적인 Local 혹은 IDC 내에 구축된 IT 인프라를 위한 침해 대응 프로세스는 잘 갖추어져 있는 경우가 많다. 오랜 기간의 경험에서 만들어진 많은 자료를 쉽게 구할수 있고 또한 이를 적용하면 다양한 케이스에 대한 침해 대응 프로세스를 만들기 쉽다.

  이제 클라우드에 이를 적용한다고 생각해 보자. 클라우드라고 틀린건 없을 것이다. 서비스를 하기 위한 서버(VM, Docker etc)가 있을 것이고 네트워크 경로를 라우팅 하기 위한 인프라나 플렛폼이 존재 할 것이다. 클라우드 서비스를 제공하는 회사의 영업분과 회의를 한적이 있었다. 그 때 그 담당자 분은 "기존 환경과 동일하기 때문에 동일하게 보안을 적용하면 됩니다." 라는 말을 하는것을 들은 적이 있다. 정말 똑같은 정책이나 기술만으로 커버가 가능할까라는 질문에는 많은 부분에서 힘들다는 생각이 든다. 

  그렇다면 실질적으로 어떤것이 틀릴수 있을까를 한번 짚어 보자.

1. On Premise VS Cloud

  

  먼저 두개의 차이를 알기 전에 Cloud 상에서 발생할 수 있는 가장 큰 위협이라고 생각되는 12가지를 나열해 보다.

1. Data Breaches 

2. Weak Identity, Credential and Access Management 

3. Insecure APIs 

4. System and Application Vulnerabilities 

5. Account Hijacking 

6. Malicious Insiders 

7. Advanced Persistent Threats (APTs) 

8. Data Loss 

9. Insufficient Due Diligence 

10. Abuse and Nefarious Use of Cloud Services 

11. Denial of Service 

12. Shared Technology Issues

CSA (Cloud Security Alliance) The Treacherous 12   

  

AWS, Azure, GCP 상에서 보안 사고 발생시 어떻게 사고가 난 Instance를 격리 시킬 것인가 ?

% 본 글은 특정 단체 혹은 기업의 의사를 대변하지 않는 순수한 개인의 의견입니다.

---

참고 자료

Nist 침해대응 가이드

https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf

아마존 침해 대응 가이드

https://d1.awsstatic.com/whitepapers/aws_security_incident_response.pdf

Azure 침해 대응 가이드

https://gallery.technet.microsoft.com/Azure-Security-Response-in-dd18c678

TechNet Microsoft Azure Security Response in the Cloud

GCP 데이터 이슈 대응 절차

https://cloud.google.com/security/incident-response

데이터 이슈 대응 절차 | 문서 | Google Cloud

https://cloud.gov/docs/ops/security-ir/

cloud.gov

CSA의 Cloud상의 12가지 위협들

https://cloudsecurityalliance.org/artifacts/the-treacherous-twelve-cloud-computing-top-threats-in-2016/

‘The Treacherous Twelve’ Cloud Computing Top | Cloud Security Alliance

 

12가지 위협들의 실제적인 사고 사례

https://downloads.cloudsecurityalliance.org/assets/research/top-threats/top-threats-to-cloud-computing-deep-dive.pdf