소학회/기술스터디

[Plainbit]2023년 마그넷 DFIR 현황 보고서

도아돵 2023. 10. 5. 09:44

마그넷에서 "2023 State of Enterprise DFIR"이라는 이름으로 기업의 DFIR 현황과 관련한 보고서를 공개했다.

*해당 보고서는 북미, 유럽, 중동, 아프리카의 기업 DFIR 전문가(500명 이상)를 대상으로 실시한 설문조사 결과*

 

#1. KEY INSIGHTS - 사고 대응에서 디지털 포렌식이 더 중요해지고 있다.

 

고대응에 디지털 포렌식이 활용되면서 데드박스 포렌식으로 전체 데이터를 수집하지 않고 심층분석이 가능한 동적인 형태로 원격에서 데이터를 선별 수집하는 방식이 요구되었고 많은 조직에서 심층 분석 기술에 투자를 늘려왔다

<근본원인 식별시간>

 

근본 원인의 분석을 통해 발견된 격차를 식별하고 좁히게 되면 공격자가 더 이상 동일한 취약점을 다시 악용할 수 없기 때문에 전체 공격 표면을 줄이는 것과 동시에 침해사고 발생 비율도 점진적으로 줄일 수 있다.

 

DFIR 조직이 가장 많이 접하는 사고 유형 데이터 유출/IP 도난, BEC, 내부 부정
피해자에게 가장 큰 영향을 미치는 사고 유형 랜섬웨어, 데이터 유출/IP 도난, 내부 부정, BEC

조직의 보안 사고는 직접적인 비용을 유발하는데 IBM의 데이터 유출 비용 보고서에서는 다음의 4가지 활동의 비용을 강조한다.

  • (1) 탐지 및 에스컬레이션 
  • (2) 통지
  • (3) 사고 후 대응 
  • (4) 비즈니스 손실 

현재는 제로데이 익스플로잇이 수만 개의 조직에 영향을 미치고 있다. 게다가 공격자들의 침입을 탐지, 차단, 조사하는 것을 더 어렵게 하는 TTP가 계속 발견되고 있다.

                                         ex) 도난 당한 인증 정보의 사용이 급증+ 시스템을 표적으로 삼거나 활용하는 공격증가

#2. KEY INSIGHTS - 자동화는 사치가 아닌 필수이다.

데이터의 양이 계속 증가하고 DFIR 전문가가 더 많은 조사에 투입될 것이므로 조직은 자동화 도구에 투자해 전문가가 보조를 맞출 수 있도록 지원해야 한다는 것이 모든 응답자의 공통된 의견이었다

-> 경고/조사 피로가 실제 문제라는 응답이 매우 높았으며, 응답자의 30% 이상이 DFIR 전문가를 모집하고 채용하는 것이 주요 과제임을 , 27%는 신입 직원을 온보딩하는 것이 어렵다는 것에 강력히 동의했다.

전문화된 교육 프로그램을 마친 신규 졸업생이 그 공백을 메우기까지는 수년이 걸릴 것이며 전세계적으로, 현재 사이버 보안 전문가가 부족하다는 것은 널리 알려진 사실이다.

자동화는 인력 문제를 해결하는 데에 도움을 줄 수 있으며

->투자할만한 가치 있는 자동화 대상에 대한 응답은원격 수집, 트리아지, 증거 처리, 문서화 및 요약 보고, 증거 분석, 로컬 수집 순으로 나타 났다.

 

#3. KEY INSIGHTS - 그 어느 때보다 DFIR 리더십이 중요해졌다.

 

현재 기업의 디지털 포렌식 분야가 빠르게 진화하고 있고 DFIR 실무자들이 사고 대응에 기여하는 것 자체가 사이버 보안에서 필수적인 것으로 간주되면서 많은 주목을 받고 있으며, 정 보에 입각한 결단력 있는 리더십은 조직의 목표를 달성하고 의무 이행 여부를 결정하는데 중요한 역할을 한다.

 

오늘날 DFIR 리더가 갖추어야 할 덕목

  • (1) 조직은 디지털 포렌식의 역할을 명시하는 효과적인 사고 대응 계획이 필요하다. 동시에 리더는 DFIR 실무자가 자신의 역할을 수행하는데 필요한 리소스와 권한을 갖추도록 지원해야 한다.
  • (2) 규제 의무는 끊임없이 진화함에 따라 DFIR 전문가들은 이를 따라잡기 위해 고군분투하고 있다. 규제 리스크를 관리하기 위해 리더는 DFIR 팀의 규정을 해석하는 데 필요한 시간을 확보해주거나 법률 고문과 같은 전문가의 해석에 접근할 수 있도록 지원해야 한다.
  • (3) 써드파티 포렌식 서비스 제공업체(FSP)는 조직의 역량을 확장하고 공정하는 검토를 제공하는 등 다양한 요구 사항을 충족할 수 있기 때문에 리더는 FSP를 이용해 단기적인 요구 사항을 해결하는 동시에 장기적인 내부 역량에 투자해 균형을 유지해야 한다.

 

#결론

: DFIR 접근 방식을 강화하기 위해 활용할 수 있는 인사이트는 다음과 같다

  1. 속도, 정확성, 완전성을 우선시하는 DFIR 솔루션에 투자하자.
  2. 포렌식 자동화를 도입해 업무 피로감을 줄이자.
  3. 포렌식 전문가가 활성 이벤트에 대응해 IR 플레이북을 만들수 있도록 지원
  4. DFIR 팀이 조직의 규제 의무를 이해하도록 지원
  5. 서비스 제공업체에 의존하지만 미래의 계획이 있어야 함

2023년 마그넷 DFIR 현황 보고서 (plainbit.co.kr)

*해당 글을 참고하여 요약하였습니다

'소학회 > 기술스터디' 카테고리의 다른 글

[삼성SDS] 인터넷 보안 강화를 위한 암호화 트래픽 가시성 확보 - Zscaler의 SSL Inspection  (0) 2023.11.10
[plainbit]스위퍼 봇(Sweeper Bot)  (0) 2023.11.07
[보안뉴스]_[추석 보안대작전-3] 연휴 때 많이 사용하는 배달앱 6곳의 개인정보보호 방침  (1) 2023.10.02
[보안뉴스]구글이 만든 새 최상위 도메인 이름, 보안 업계 비판의 소리 점점 커져..  (0) 2023.05.29
[보안뉴스]북한의 해킹 공격 여부를 둘러싼 선관위의 입장, ‘논란’ 커졌다  (0) 2023.05.18

'소학회/기술스터디'의 다른글

  • 현재글[Plainbit]2023년 마그넷 DFIR 현황 보고서

관련글

티스토리툴바