대응 시뮬레이터
사고 지휘
SOC 분석가들은 해외 IP의 비정상적인 VPN 로그인 급증을 탐지한 뒤 공유 드라이브 전반에서 파일이 급격히 변경되는 것을 확인합니다.
곧이어, 헬프 데스크에 랜섬웨어 노트일 가능성이 높은 “akira_readme.txt”라는 이름의 수상한 파일이 있다는 보고가 접수됩니다.
정답
백업 데이터에서 의심스러운 변경 비율을 검증합니다. 모든 Cohesity 클러스터에서 랜섬 노트를 검색합니다. IOC를 SIEM에 보내 더 광범위한 위협 탐지를 수행합니다.
오답
문제 “해결”을 위해 영향을 받은 서버를 재부팅하는 것은 중요한 증거를 인멸하고 실행 중인 멀웨어 탐지를 지연시킬 수 있습니다.
중립 답안
의사소통도 중요하지만 조기에 위협을 입증하고 범위를 설정하는 것이 공격자보다 한발 앞서 나가는 데 도움이 됩니다.
Cohesity 데이터 클라우드의 AI 기반 이상 탐지 알림은 해당 알림이 오탐이 아님을 보여줍니다.
위기 관리 프로토콜을 가동하고, 이사회에 보고하고, 보도 자료를 준비하고 대응 자원 조직을 시작합니다.
SOC 분석가들은 해외 IP의 비정상적인 VPN 로그인 급증을 탐지한 뒤 공유 드라이브 전반에서 파일이 급격히 변경되는 것을 확인합니다.
곧이어, 헬프 데스크에 랜섬웨어 노트일 가능성이 높은 “akira_readme.txt”라는 이름의 수상한 파일이 있다는 보고가 접수됩니다.
조치: 해당 사고를 어떻게 확인하시겠습니까?
정답
Cohesity 이상 탐지 알림 검토
백업 데이터에서 의심스러운 변경 비율을 검증합니다. 모든 Cohesity 클러스터에서 랜섬 노트를 검색합니다. IOC를 SIEM에 보내 더 광범위한 위협 탐지를 수행합니다.
SOC 분석가들은 해외 IP의 비정상적인 VPN 로그인 급증을 탐지한 뒤 공유 드라이브 전반에서 파일이 급격히 변경되는 것을 확인합니다.
곧이어, 헬프 데스크에 랜섬웨어 노트일 가능성이 높은 “akira_readme.txt”라는 이름의 수상한 파일이 있다는 보고가 접수됩니다.
조치: 해당 사고를 어떻게 확인하시겠습니까?
오답
Cohesity 이상 탐지 알림 검토
백업 데이터에서 의심스러운 변경 비율을 검증합니다. 모든 Cohesity 클러스터에서 랜섬 노트를 검색합니다. IOC를 SIEM에 보내 더 광범위한 위협 탐지를 수행합니다.
SOC 분석가들은 해외 IP의 비정상적인 VPN 로그인 급증을 탐지한 뒤 공유 드라이브 전반에서 파일이 급격히 변경되는 것을 확인합니다.
곧이어, 헬프 데스크에 랜섬웨어 노트일 가능성이 높은 “akira_readme.txt”라는 이름의 수상한 파일이 있다는 보고가 접수됩니다.
조치: 해당 사고를 어떻게 확인하시겠습니까?
중립
Cohesity 이상 탐지 알림 검토
백업 데이터에서 의심스러운 변경 비율을 검증합니다. 모든 Cohesity 클러스터에서 랜섬 노트를 검색합니다. IOC를 SIEM에 보내 더 광범위한 위협 탐지를 수행합니다.
차단
사고가 발생함에 따라 이제 여러분의 우선순위는 공격자의 움직임을 막고 포렌식 증거를 보존하는 것으로 바뀝니다.
조사 결과, 공격자는 MFA 없이 VPN을 통해 침입했습니다. 엔드포인트 텔레메트리에서 AnyDesk의 외부 호스트 비코닝을 포착했으며, 이는 원격 제어로 새 도메인 관리자 계정 "itadm"이 확인되었습니다.
위협은 차단되었지만 대응 작업이 지연될 수 있습니다.
오답
그 조치로 인해 소중한 포렌식 증거가 인멸되었으며 차단이 완료되기 전에 공격자에게 이를 알릴 수 있습니다.
정답
공격을 파악하고 향후 공격 방지를 위한 적절한 복구 조치를 수립하기 위해 신속히 클린룸을 구축합니다.
중립 답안
비밀번호 변경은 공격자를 지연시킬 뿐, 다른 지속성 메커니즘을 해결하거나 중요한 증거를 보존하지는 못합니다.
Cohesity CERT에 참여하여 백업 환경을 고정하고 로그 및 데이터 수집을 지원하십시오. CERT는 주요 IR 팀들과의 파트너십을 통해 협력, 정보 공유, 안전한 복구를 가속화합니다.
Cohesity 클린룸 솔루션은 조사 및 복구 조치에 필수적인 중요 보안 도구 및 인프라를 복원할 수 있도록 유연하고 안전한 공간을 제공합니다.
사고가 발생함에 따라 이제 여러분의 우선순위는 공격자의 움직임을 막고 포렌식 증거를 보존하는 것으로 바뀝니다.
조사 결과, 공격자는 MFA 없이 VPN을 통해 침입했습니다. 엔드포인트 텔레메트리에서 AnyDesk의 외부 호스트 비코닝을 포착했으며, 이는 원격 제어로 새 도메인 관리자 계정 "itadm"이 확인되었습니다.
위협은 차단되었지만 대응 작업이 지연될 수 있습니다.
조사 및 완화 조치를 어떻게 시작하시겠습니까?
정답
격리된 환경 구축
공격을 파악하고 향후 공격 방지를 위한 적절한 복구 조치를 수립하기 위해 신속히 클린룸을 구축합니다.
사고가 발생함에 따라 이제 여러분의 우선순위는 공격자의 움직임을 막고 포렌식 증거를 보존하는 것으로 바뀝니다.
조사 결과, 공격자는 MFA 없이 VPN을 통해 침입했습니다. 엔드포인트 텔레메트리에서 AnyDesk의 외부 호스트 비코닝을 포착했으며, 이는 원격 제어로 새 도메인 관리자 계정 "itadm"이 확인되었습니다.
위협은 차단되었지만 대응 작업이 지연될 수 있습니다.
조사 및 완화 조치를 어떻게 시작하시겠습니까?
오답
격리된 환경 구축
공격을 파악하고 향후 공격 방지를 위한 적절한 복구 조치를 수립하기 위해 신속히 클린룸을 구축합니다.
사고가 발생함에 따라 이제 여러분의 우선순위는 공격자의 움직임을 막고 포렌식 증거를 보존하는 것으로 바뀝니다.
조사 결과, 공격자는 MFA 없이 VPN을 통해 침입했습니다. 엔드포인트 텔레메트리에서 AnyDesk의 외부 호스트 비코닝을 포착했으며, 이는 원격 제어로 새 도메인 관리자 계정 "itadm"이 확인되었습니다.
위협은 차단되었지만 대응 작업이 지연될 수 있습니다.
조사 및 완화 조치를 어떻게 시작하시겠습니까?
중립
격리된 환경 구축
공격을 파악하고 향후 공격 방지를 위한 적절한 복구 조치를 수립하기 위해 신속히 클린룸을 구축합니다.
근절
조사가 심화됩니다. 분석 결과, 윈도우 메모리와 AD 서비스 계정에서 탈취된 인증 정보로 확인됐으며, 이는 고도화된 인증 정보 탈취의 징후입니다. 또한 공격자는 숨어있기 위해 안티바이러스 도구를 비활성화시키고 Rclone과 WinSCP를 사용하여 데이터를 유출했습니다.
공격자의 흔적이 깊이 남아있는 만큼 이제 이를 완전히 뿌리 뽑을 때입니다.
정답
인증 정보과 토큰을 교체하고, 무단 원격 액세스를 제거하고, 마운트된 스냅샷을 안전할 때까지 반복해서 스캔하고 정상적인 지점을 선택합니다.
오답
안전한 상태임을 확인하기 전에 운영 환경을 재개하면 공격자가 다시 침투하거나 중요 시스템이 재감염될 수 있습니다.
중립 답안
AV 재설치는 알려진 위협을 탐지할 수 있지만 때로는 숨겨진 지속성이나 인증 정보 남용을 놓치기도 합니다.
엄선된 위협 인텔리전스, 해시 기반 탐지, 방대한 YARA 규칙 라이브러리를 활용해 Cohesity 스냅샷을 스캔하여 숨겨진 멀웨어를 보다 빠르게 탐지합니다.
조사가 심화됩니다. 분석 결과, 윈도우 메모리와 AD 서비스 계정에서 탈취된 인증 정보로 확인됐으며, 이는 고도화된 인증 정보 탈취의 징후입니다. 또한 공격자는 숨어있기 위해 안티바이러스 도구를 비활성화시키고 Rclone과 WinSCP를 사용하여 데이터를 유출했습니다.
공격자의 흔적이 깊이 남아있는 만큼 이제 이를 완전히 뿌리 뽑을 때입니다.
공격자의 지속성을 어떻게 제거하고 안전한 복구 지점을 검증하시겠습니까?
정답
인증 정보/토큰 교체 및 지속성 탐지
인증 정보과 토큰을 교체하고, 무단 원격 액세스를 제거하고, 마운트된 스냅샷을 안전할 때까지 반복해서 스캔하고 정상적인 지점을 선택합니다.
조사가 심화됩니다. 분석 결과, 윈도우 메모리와 AD 서비스 계정에서 탈취된 인증 정보로 확인됐으며, 이는 고도화된 인증 정보 탈취의 징후입니다. 또한 공격자는 숨어있기 위해 안티바이러스 도구를 비활성화시키고 Rclone과 WinSCP를 사용하여 데이터를 유출했습니다.
공격자의 흔적이 깊이 남아있는 만큼 이제 이를 완전히 뿌리 뽑을 때입니다.
공격자의 지속성을 어떻게 제거하고 안전한 복구 지점을 검증하시겠습니까?
오답
인증 정보/토큰 교체 및 지속성 탐지
인증 정보과 토큰을 교체하고, 무단 원격 액세스를 제거하고, 마운트된 스냅샷을 안전할 때까지 반복해서 스캔하고 정상적인 지점을 선택합니다.
조사가 심화됩니다. 분석 결과, 윈도우 메모리와 AD 서비스 계정에서 탈취된 인증 정보로 확인됐으며, 이는 고도화된 인증 정보 탈취의 징후입니다. 또한 공격자는 숨어있기 위해 안티바이러스 도구를 비활성화시키고 Rclone과 WinSCP를 사용하여 데이터를 유출했습니다.
공격자의 흔적이 깊이 남아있는 만큼 이제 이를 완전히 뿌리 뽑을 때입니다.
공격자의 지속성을 어떻게 제거하고 안전한 복구 지점을 검증하시겠습니까?
중립
인증 정보/토큰 교체 및 지속성 탐지
인증 정보과 토큰을 교체하고, 무단 원격 액세스를 제거하고, 마운트된 스냅샷을 안전할 때까지 반복해서 스캔하고 정상적인 지점을 선택합니다.
복구
운영 환경 시스템이 중단되었습니다. 경영진은 비즈니스 영향을 최소화하기 위해 7시간 이내에 ERP와 공유 파일 서비스를 복구할 것을 요구합니다.
여러분은 공격자가 다시 침투하지 못하도록 신속하면서도 안전하게 복구해야 합니다.
정답
단계별 전환으로 검증된 스냅샷에서 중요한 앱을 복구합니다. 운영을 재개하기 전에 멀웨어 스캔과 스모크 테스트로 검증합니다. 필요한 경우 보관된 불변 백업으로 되돌립니다.
오답
그 결정은 역효과를 냅니다. 비용을 지불한다고 해서 데이터 무결성이 보장는 것은 아니며, 이는 정책이나 법률의 위반에 해당할 수 있습니다.
중립 답안
검증 없는 전체 복구는 멀웨어를 다시 침투시키고 가동 중단 시간을 연장할 수 있습니다.
기본 백업이 손상되거나 재해로 손실되더라도 불변 데이터 복사본을 사용하여 확실하게 복구합니다.
운영 환경 시스템이 중단되었습니다. 경영진은 비즈니스 영향을 최소화하기 위해 7시간 이내에 ERP와 공유 파일 서비스를 복구할 것을 요구합니다.
여러분은 공격자가 다시 침투하지 못하도록 신속하면서도 안전하게 복구해야 합니다.
재감염 위험 없이 중요 비즈니스 데이터와 서비스를 어떻게 복구하시겠습니까?
정답
단계별 복구 및 데이터 무결정 검증
단계별 전환으로 검증된 스냅샷에서 중요한 앱을 복구합니다. 운영을 재개하기 전에 멀웨어 스캔과 스모크 테스트로 검증합니다. 필요한 경우 보관된 불변 백업으로 되돌립니다.
운영 환경 시스템이 중단되었습니다. 경영진은 비즈니스 영향을 최소화하기 위해 7시간 이내에 ERP와 공유 파일 서비스를 복구할 것을 요구합니다.
여러분은 공격자가 다시 침투하지 못하도록 신속하면서도 안전하게 복구해야 합니다.
재감염 위험 없이 중요 비즈니스 데이터와 서비스를 어떻게 복구하시겠습니까?
오답
단계별 복구 및 데이터 무결정 검증
단계별 전환으로 검증된 스냅샷에서 중요한 앱을 복구합니다. 운영을 재개하기 전에 멀웨어 스캔과 스모크 테스트로 검증합니다. 필요한 경우 보관된 불변 백업으로 되돌립니다.
운영 환경 시스템이 중단되었습니다. 경영진은 비즈니스 영향을 최소화하기 위해 7시간 이내에 ERP와 공유 파일 서비스를 복구할 것을 요구합니다.
여러분은 공격자가 다시 침투하지 못하도록 신속하면서도 안전하게 복구해야 합니다.
재감염 위험 없이 중요 비즈니스 데이터와 서비스를 어떻게 복구하시겠습니까?
중립
단계별 복구 및 데이터 무결정 검증
단계별 전환으로 검증된 스냅샷에서 중요한 앱을 복구합니다. 운영을 재개하기 전에 멀웨어 스캔과 스모크 테스트로 검증합니다. 필요한 경우 보관된 불변 백업으로 되돌립니다.
학습한 교훈
이중 갈취 시도가 확인됐습니다. 공격자들은 랜섬 요구를 수용하지 않으면 탈취한 데이터를 Tor 사이트에 유출하겠다고 협박했습니다. 차단 조치와 단계별 보안 복구 프로세스 덕분에 시스템은 비용 지불 없이 성공적으로 복구했으며, 해당 사고는 종료됐습니다.
여러분의 팀이 어떻게 대응했는지 평가하고 차후를 대비해 방어 체계를 강화해 봅시다.
정답
복구 계획을 업데이트하고 클린룸 훔련을 실시하여 배운 내용을 강화합니다. 포렌식 증거를 보존하여 향후 방어를 위한 정보로 활용하고 액세스 취약점을 해소합니다.
오답
향후 방어와 규정준수 보고를 위한 정보로 활용할 수 있는 소중한 포렌식 증거를 방금 인멸했습니다. 모든 사고 후에 모든 증거를 보존합니다.
중립 답안
교훈을 전달하는 것은 좋지만, 개선을 미루면 같은 실수를 반복할 위험이 있습니다.
멀웨어 스캔 및 위협 탐지와 같은 주요 단계를 통합한 청사진을 통해 복구 전략을 연습하고 검증하며 개선합니다.
전문가 주도 평가와 맞춤형 실행 계획을 통해 오늘날 가장 고도화된 공격에 한발 앞서 대응할 수 있도록 지원합니다.
이중 갈취 시도가 확인됐습니다. 공격자들은 랜섬 요구를 수용하지 않으면 탈취한 데이터를 Tor 사이트에 유출하겠다고 협박했습니다. 차단 조치와 단계별 보안 복구 프로세스 덕분에 시스템은 비용 지불 없이 성공적으로 복구했으며, 해당 사고는 종료됐습니다.
여러분의 팀이 어떻게 대응했는지 평가하고 차후를 대비해 방어 체계를 강화해 봅시다.
사후 검토에서 강조된 사항은 무엇입니까?
정답
복구 런북 업데이트 및 클린룸 훈련 일정 계획
복구 계획을 업데이트하고 클린룸 훔련을 실시하여 배운 내용을 강화합니다. 포렌식 증거를 보존하여 향후 방어를 위한 정보로 활용하고 액세스 취약점을 해소합니다.
이중 갈취 시도가 확인됐습니다. 공격자들은 랜섬 요구를 수용하지 않으면 탈취한 데이터를 Tor 사이트에 유출하겠다고 협박했습니다. 차단 조치와 단계별 보안 복구 프로세스 덕분에 시스템은 비용 지불 없이 성공적으로 복구했으며, 해당 사고는 종료됐습니다.
여러분의 팀이 어떻게 대응했는지 평가하고 차후를 대비해 방어 체계를 강화해 봅시다.
사후 검토에서 강조된 사항은 무엇입니까?
오답
복구 런북 업데이트 및 클린룸 훈련 일정 계획
복구 계획을 업데이트하고 클린룸 훔련을 실시하여 배운 내용을 강화합니다. 포렌식 증거를 보존하여 향후 방어를 위한 정보로 활용하고 액세스 취약점을 해소합니다.
이중 갈취 시도가 확인됐습니다. 공격자들은 랜섬 요구를 수용하지 않으면 탈취한 데이터를 Tor 사이트에 유출하겠다고 협박했습니다. 차단 조치와 단계별 보안 복구 프로세스 덕분에 시스템은 비용 지불 없이 성공적으로 복구했으며, 해당 사고는 종료됐습니다.
여러분의 팀이 어떻게 대응했는지 평가하고 차후를 대비해 방어 체계를 강화해 봅시다.
사후 검토에서 강조된 사항은 무엇입니까?
중립
복구 런북 업데이트 및 클린룸 훈련 일정 계획
복구 계획을 업데이트하고 클린룸 훔련을 실시하여 배운 내용을 강화합니다. 포렌식 증거를 보존하여 향후 방어를 위한 정보로 활용하고 액세스 취약점을 해소합니다.
