포인트 1: 보안 장치 가로채기
현재 대부분의 기업은 정보 보안을 매우 중요하게 생각하지만, 공격 및 방어 훈련 초기에는 대부분의 공격자가 스캐닝 도구를 사용하여 자산을 수집합니다. 정보, 공격 경보 횟수가 크게 증가하고 해당 방어 인력이 모든 공격 경보를 하나씩 처리할 수 없게 됩니다. 따라서 각 기업에서는 방화벽, 웹 애플리케이션 보호 시스템, 침입 방지 시스템 등과 같은 차단 기능을 갖춘 보안 장비를 배포하여 호환성 테스트를 수행하고 훈련 전에 경보 차단 전략을 최적화하여 처리 효율성을 향상시켜야 합니다.
포인트 2: 공격 소스 차단
공격 및 방어 훈련 전 위협 소스 IP와 악성 도메인 이름을 수집 및 차단한 후 보안 장비의 고위험 경보 IP를 수집해야 한다. 훈련 중에 차단해야 합니다. 차단하면 경보 횟수가 더욱 줄어들고 방어자의 모니터링 에너지 소비가 방지되며 실제 공격에 대한 연구 및 분석에 집중됩니다.
포인트 3: 비상 대응 및 추적성
공격 및 방어 훈련 중에 호스트가 권한을 장악하면 방어자의 위치가 무너집니다. 따라서 비정상 트래픽 및 경보 정보를 실시간으로 모니터링하고, 손상된 호스트나 성공적인 공격을 받은 시스템에 대한 대응 및 처리 프로세스(탐지 단계, 시스템 격리, 문제 위치 파악, 조사 및 증거 수집, 트로이 목마 제거, 호스트)를 신속하게 시작해야 합니다. 수리 및 복구. 비상대응 과정에서 수집된 증거를 기반으로 위협 인텔리전스, 허니팟 등의 툴, 소셜엔지니어링 등의 수단을 결합해 소스를 추적함으로써 효과적으로 방어자에게 포인트를 추가한다.
포인트 4: 취약점 복구
보안 모니터링 담당자가 취약점으로 인한 공격을 발견하면 문제가 더 이상 확대되지 않도록 즉시 취약점을 복구해야 합니다. 취약점 복구의 주요 프로세스는 공격 IP 및 비정상 요청 IP 차단, 공격 트래픽 데이터 모니터링, 취약점 복구 계획 수립, 계획 타당성 평가 및 테스트, 취약점 복구 완료 등이다.
포인트 5: 패치 복구
패치 복구도 방어 효과의 중요한 부분입니다. 훈련 전에 시스템과 애플리케이션 패치를 복구하더라도 '고위험'이 발생할 수 있습니다. 0day 취약점' 또는 '공식 패치' 중에도 여전히 발생합니다. 방어자는 프로덕션 시스템의 안정성과 보안성을 확보해야 하기 때문에 버전이 제때 업데이트되지 못하는 문제가 있으며, 공격자는 이전 버전의 취약점을 악용하여 공격할 수도 있다. 따라서 이러한 유형의 문제를 평가, 테스트 및 수리하고 이러한 유형의 시스템에 대한 비상 계획을 개선하기 위해 훈련 중에 보안 전문가 그룹을 구성해야 합니다.