장바구니 담기 close

장바구니에 상품을 담았습니다.

장바구니로 계속쇼핑하기
디지털 포렌식과 사고 대응 2/e
미리보기

디지털 포렌식과 사고 대응 2/e

  • 제라드요한센
  • |
  • 에이콘출판
  • |
  • 2021-08-31 출간
  • |
  • 500페이지
  • |
  • 188 X 235 X 29 mm
  • |
  • ISBN 9791161755557
판매가

40,000원

즉시할인가

36,000

배송비

무료배송

(제주/도서산간 배송 추가비용:3,000원)

추가상품
상품선택
독서대 7,900원 독서대 선택안함 0원
수량
+ -
총주문금액
36,000
장바구니 구매하기

※ 스프링제본 상품은 반품/교환/환불이 불가능하므로 신중하게 선택하여 주시기 바랍니다.

북스크린영상으로 만나보는 한 권의 책 이야기

출판사서평




★ 이 책에서 다루는 내용 ★
■ 조직 내에서 사고 대응 기능의 구축 및 배치
■ 적절한 증거 수집 및 처리 절차 수행
■ 수집된 증거 분석 및 보안 사고의 근본 원인 파악
■ 메모리 및 로그 분석
■ 디지털 포렌식 기법과 절차를 전반적인 사고 대응 절차에 통합
■ 다양한 위협 사냥 기법
■ 분석의 주요 결과를 문서화하는 효과적인 사고 보고서 작성

★ 이 책의 대상 독자 ★
정보 보호 전문가, 디지털 포렌식 실무자, 소프트웨어 애플리케이션 및 기본 명령행 사용에 대한 지식과 경험이 있는 독자를 대상으로 한다. 또한 조직 내에서 사고 대응, 디지털 포렌식, 위협 사냥 임무를 처음 접하는 정보 보호 전문가에게 도움이 될 것이다.

★ 이 책의 구성 ★
1장, ‘사고 대응의 이해’에서는 사고 대응의 절차와 기업 내부적으로 사고 대응에 대한 프레임워크를 수립하는 방법을 다룬다. 이 프레임워크를 통해 사고의 근본 원인을 구체적이며 체계적으로 조사할 수 있고, 사고를 억제하고 충격을 줄일 수 있으며, 피해를 복구해 기업을 평시의 상태로 되돌릴 수 있다.
2장, ‘사이버 사고 관리’에서는 사고 대응을 위한 전략적 구성 개념을 제공하는 사고 관리 프레임 워크를 논하며, 사고 관리 방법의 가이드를 제시한다. 사고 에스컬레이션, 사고 워룸(war room)의 구성, 위기 커뮤니케이션, 조직을 평시로 되돌리기 위한 기법 등과 같은 전략적 수준의 이슈를 다룬다.
3장, ‘디지털 포렌식 기본 원리’에서는 디지털 포렌식의 기초를 배운다. 디지털 포렌식의 주요 역사와 과학 수사의 기본 요소, 디지털 포렌식 기법과 사고 대응 프레임워크의 통합 방법을 다룬다.
4장, ‘네트워크 증거 수집’에서는 네트워크 기반 증거의 획득에 중점을 둔다. 방화벽, 라우터, 스위치, 프록시 서버, 그 밖의 네트워크 레이어 장비와 같은 네트워크 장비의 로그 파일들을 다룬다. 그 밖에 패킷 캡처와 같은 증거 유형도 탐색해본다.
5장, ‘호스트 기반 증거 확보’에서는 손상된 호스트가 많은 경우 직접적으로 또는 네트워크의 다른 영역에 대한 피벗 포인트로써 공격의 대상이 된다는 점을 설명한다. 이러한 시스템들의 증거는 사고의 근본 원인을 파악하는 핵심이다. 휘발성 메모리, 로그 파일, 기타 관련 증거를 캡처하는 데 사용되는 도구와 기법을 중점적으로 다룬다.
6장, ‘포렌식 이미징’에서는 손상된 시스템의 물리적 디스크 드라이브가 중요한 증거 소스가 된다는 점을 설명한다. 이 증거가 손상되지 않게 하려면 증거를 적절하게 확보해야 한다. 이 장에서는 의심스러운 하드 디스크 드라이브(HDD)를 올바르게 이미징하는 방법에 집중한다.
7장, ‘네트워크 증거 분석’에서는 tcpdump, Wireshark, Moloch와 같은 오픈소스 도구를 사용하는 방법을 알아본다. 명령 및 제어 채널이나 데이터 추출을 식별하기 위한 네트워크 증거 분석 가이드를 제시한다. 이러한 증거는 네트워크 프록시나 방화벽 로그, 패킷 캡처와 같은 다른 네트워크 증거와 깊이 연관된다.
8장, ‘시스템 메모리 분석’에서는 산업 표준 도구들을 활용해 시스템 메모리 안에 포함된 악성 활동들을 식별하는 다양한 방법을 살펴본다. 악성 프로세스, 네트워크 연결, 감염된 시스템에서 실행되는 악성 코드와 관련된 지표들의 식별 방법을 소개한다.
9장, ‘시스템 스토리지 분석’에서는 앞서 이미징한 HDD로부터 증거를 추출하는 데 사용할 수 있는 도구와 기법을 소개한다. 시스템 스토리지를 검사하는 데 사용할 수 있는 방법들을 다루지만, 9장에서는 특정 측면만 중점적으로 다룬다.
10장, ‘로그 파일 분석’에서는 정당한 동작과 적대적인 동작 중에 생성되는 다양한 윈도우 OS 로그를 탐색한다. 오픈소스 도구를 사용해 로그 파일을 분석함으로써 보안, 시스템 또는 애플리케이션 이벤트 로그를 검사하고, 잠재적인 침해 지표를 식별하는 방법을 알아본다.
11장, ‘사고 보고서 작성’에서는 조사 자체만큼 중요한, 사고 대응자의 조치와 분석을 캡처한 서면 문서의 작성을 논한다. 잠재적인 법인을 포함해 주요 내부 및 외부의 이해관계자를 대상으로 한 보고서 작성에 초점을 둔다. 법정에서의 철저한 검토에 부합하는 보고서를 준비하는 것이 최종 목표다.
12장, ‘악성 코드 분석’에서는 악성 코드를 검사할 때 배포되는 도구 및 기법을 개관한다. 여기에서는 주요 지표를 식별하는 정적 분석 기법과 악성 코드의 동작을 탐색하는 동적 분석을 다룬다.
13장, ‘위협 인텔리전스 활용’에서는 위협 인텔리전스가 적대적인 전술, 기법, 절차의 광범위한 내용에 대한 세부 정보를 제공함에 따라 사고 대응에서 점점 더 중요해지고 있다는 점을 설명한다. 더불어 위협 인텔리전스를 이해하고 이를 사고 대응 절차에 적용하는 방법을 다룬다
14장, ‘위협 사냥’에서는 디지털 포렌식 도구 및 기법을 위협 인텔리전스와 통합해 네트워크가 침해됐는지 확인하는 방법을 소개한다. 또한 위협 사냥 가설 및 사냥을 위한 지표의 작성을 통해서 위협 사냥의 방법과 함께 위협 인텔리전스가 어떻게 사냥을 촉진할 수 있는지 알아본다.
15장, ‘부록’에서는 보안 및 사고 조사에 관련된 가장 중요한 이벤트가 포함돼 있으며 이는 참고용으로 제공됐다. IT 및 보안 전문가들이 활용할 수 있는 상당한 수의 Windows Event Log의 유형을 제시했다.

★ 옮긴이의 말 ★
오늘날 사이버 공격 기법은 인터넷 환경 및 IT 기술의 발달과 더불어 매우 정교하고 빠른 속도로 진화해 우리를 교묘히 괴롭히고 있다. 마치 세렝게티 초원의 배고픈 사자처럼 타깃을 꾸준히 감시하고 은밀하게 침투하며 공격시점을 엿보는 APT 형태의 사이버 공격은 결국 전산망을 마비시키거나 정보 탈취를 통해 해당 조직을 위기 상황으로 몰아넣는다. 이와 같은 사이버 공격에 있어서 사고 대응의 성공 여부를 판가름하는 척도는 크게 두 가지로 압축된다. 먼저 얼마나 빨리 이상징후를 탐지할 수 있는가? 그리고 탐지된 위협에 대해 얼마나 신속하게 조치하는가? 이러한 일련의 사고 대응의 성공 확률을 높여줄 열쇠는 바로 사고 대응 팀의 경험과 지식에 기반한 통찰력과 열정에 있다고 해도 과언이 아니다. 이는 ‘아는 만큼 보이고 보이는 만큼 느낀다’는 말이 실감되는 이유다.
이번 개정판을 준비하던 시기는 랜섬웨어의 시대라 할 정도로 세계 곳곳에서 표적형 랜섬웨어가 폭발적으로 기승을 부려 대규모 피해가 발생했다는 뉴스가 자주 보도됐다. 과거 스팸메일로 악성 코드를 무차별 살포하던 때와 달리 정교한 방법과 고도의 코드를 사용해 장기적으로 표적을 공격하는 양상을 보이고 있다. 잘 알려진 글로벌 보안업체가 제공하는 보안솔루션에서 제로데이 취약점이 발견됐고, 취약점이 발견되기 전에 이미 악용돼 피해가 발생했다는 것은 시사하는 바가 크다. 개정판에서 추가된 사이버 사고 관리, 메모리 및 로그 분석, 위협 사냥 등 다양하고 실용적인 예는 시의적절하게 디지털 포렌식 활동 및 사고 대응을 수행하는 데 필요한 정보를 제공한다. 더불어 각 장을 마칠 때마다 핵심적인 사항의 이해를 돕는 문제와 더 읽어볼 거리가 제공돼 교육용으로 활용하기에도 좋다.
이 책의 저자는 『손자병법』의 손무가 강조했던 ‘지피지기(知彼知己)’ 사상의 전략적 개념을 언급하며, 이것이 사이버 침해사고에서도 상통될 수 있음을 필력하고 있다. 『손자병법』 제6편에 보면 다음과 같은 말이 있다.
“선전자, 치인이불치어인(善戰者, 致人而不致於人)”
적보다 먼저 전쟁터에 도착해 적을 기다리는 군대는 편안하고, 적보다 늦게 전쟁터에 도착해 갑자기 전투에 투입되는 군대는 좋은 거점을 놓쳐 피동적으로 적에게 끌려간다는 말이다. 이것은 사이버 공격에 대응하는 우리의 자세가 어떠해야 하는지를 되새기게 한다. 보이지 않는 적의 공격에 대한 철저한 준비의 자세는 아무리 강조해도 지나치지 않다. 이 책의 저자 역시 ‘준비에 실패하는 것은 실패를 준비하는 것’이라는 벤자민 프랭클린의 말을 인용하며 사이버 공격에 대비한 철저한 준비를 다시 한 번 강조하고 있다. 손무는 ‘전쟁에서 승리는 인위적으로 만드는 것’이라고 했다. 따라서 독자들이 칼이나 총이 아닌 최신 해킹 기술과 도구를 무기로 사용하는 사이버 공격의 대응 전략을 터득하게 되길 바란다.
사이버 공격의 위험을 완전히 제거하는 것은 불가능하다. 다만 체계적이고 효율적인 방법으로 침해사고에 대응하는 능력을 적절하게 갖춘다면 잠재적인 사이버 공격의 피해를 줄이고 관련된 피해를 신속히 복구함으로써 조직의 위험을 최소화할 수 있을 것이다. 근본적인 사고 원인의 분석을 통해 사고 대응 계획을 개선하는 과정을 거친다면 향후 유사한 사고가 발생할 위험을 줄일 수 있을 것이다. 또한 이 책에서 제시된 문서화의 과정을 올바르게 수행한다면 만일 사고가 법정에서 다뤄지더라도 증거가 누락되는 일은 쉽게 일어나지 않을 것이다.
더불어 사고 대응 분석자는 이와 관련한 법적 절차와 판례의 동향을 숙지해야 한다. 최근 대법원은 형사절차상 전자적 정보의 수집과 분석에 관한 새로운 판례를 많이 내어 놓고 있으며, 전자적 정보의 수집과 분석 과정, 증거 능력의 인정에 관해 엄격한 입장을 취하고 있다. 민사소송에서는 자유심증주의를 채택하고 있어 원칙적으로 증거 수집 방법이나 증거 능력의 제한은 없으나 객관적 증명의 개연성과 법관의 주관적인 확신이 있을 것을 요구하고 있다. 따라서 관련 법규와 최근 판례의 동향을 분석해 디지털 포렌식 역량을 쌓아간다면 조직의 정보보호 전략의 수립 및 사고 대응 시 과학적 조사 기술의 타당성 증명에 있어서 자신감을 얻게 될 것이다.
사이버 전쟁에서 ‘전략’과 ‘전술’은 사고 대응의 중요한 요소다. 이 책은 이러한 전략과 전술에 대한 저자의 경험과 내공이 묻어난다. 이에 독자들은 각 장의 세심한 구성과 실제의 예시들을 따라가며 비교적 쉽게 사고 대응의 흐름을 이해할 수 있을 것이다. 이 책이 사이버 보안 전문가에게는 사고 대응 역량을 향상시키고, 디지털 포렌식 입문자에게는 이 분야의 체계적인 소양을 기르기 위한 더 없이 훌륭한 셰르파(Sherpa)가 되리라 생각한다.


목차


1부. 사고 대응과 디지털 포렌식 기초
1장. 사고 대응의 이해
__사고 대응 절차
____디지털 포렌식의 역할
__사고 대응 프레임워크
____사고 대응 헌장
____컴퓨터 보안 사고 대응팀
______CSIRT 핵심팀
______기술 지원 인력
______조직 지원 인력
______외부 리소스
__사고 대응 계획
____사고 분류
__사고 대응 플레이북
____단계적 확대 절차
__사고 대응 프레임워크 테스트
__요약
__문제
__더 읽어볼 거리

2장. 사이버 사고 관리
__사고 대응팀 참여시키기
____CSIRT 모델
______SOC 에스컬레이션
______SOC와 CSIRT의 연합
______CSIRT 융합 센터
____워룸
____의사소통
____직원 교대
__위기 커뮤니케이션 통합
____내부 커뮤니케이션
____외부 커뮤니케이션
____공시
__사고 조사
__봉쇄 전략 통합
__정상으로 복귀 - 근절 및 복구
____근절 전략
____복구 전략
__요약
__질문
__더 읽어 볼 거리

3장. 디지털 포렌식 기본 원리
__법적 측면
____법률 및 규정
______증거 규칙
__디지털 포렌식 기본 원리
____연혁
____디지털 포렌식 절차
______식별
______보존
______수집
________적절한 증거의 취급
________관리 연속성
______조사
______분석
______제출
____디지털 포렌식 연구실
______물리적 보안
______도구
________하드웨어
________소프트웨어
________리눅스 포렌식 도구
________점프 키트
__요약
__질문
__더 읽어 볼 거리

2부. 증거 수집
4장. 네트워크 증거 수집
__네트워크 증거 개관
____준비
____네트워크 다이어그램
____구성
__방화벽과 프록시 로그
____방화벽
____웹 프록시 서버
__NetFlow
__패킷 캡처
____tcpdump
____WinPcap 및 RawCap
__Wireshark
__증거 수집
__요약
__질문
__더 읽어 볼 거리

5장. 호스트 기반 증거 확보
__준비
__휘발성 순위
__증거 확보
____증거 수집 절차
__휘발성 메모리 확보
____로컬 확보
______FTK Imager
______WinPmem
______RAM Capturer
____원격 획득
______WinPmem
______가상머신
__비휘발성 증거 확보
____CyLR.exe
____암호화 확인
__요약
__질문
__더 읽어 볼 거리

6장. 포렌식 이미징 이해
__포렌식 이미징 이해
__이미징 도구
__스테이지 드라이브 준비하기
__Digital
__쓰기 방지 장치의 사용
__이미징 기법
____데드 이미징
______FTK Imager로 이미징하기
____라이브 이미징
____원격 메모리 획득
______WinPmem
______F-Response
____가상머신
______리눅스 이미징
__요약
__질문
__더 읽어 볼 거리

3부. 증거 분석
7장. 네트워크 증거 분석
__네트워크 증거의 개요
__방화벽 및 프록시 로그 분석
____DNS 블랙리스트
____SIEM 도구들
____Elastic Stack
__NetFlow 분석
__패킷 캡처 분석
____명령행 도구
____Moloch
____Wireshark
__요약
__질문
__더 읽어 볼 거리

8장. 시스템 메모리 분석
__메모리 분석 개요
__메모리 분석 방법론
____SANS 6 단계 방법론
____네트워크 연결 방법론
____메모리 분석 도구
__Redline 메모리 분석
____Redline 분석 프로세스
____Redline 프로세스 분석
__Volatility 메모리 분석
____Volatility 설치
____Volatility 다루기
____Volatility 이미지 정보
____Volatility 프로세스 분석
______프로세스 목록
______프로세스 검사
______프로세스 트리
______DLL 리스트
______handles 플러그인
______LDR 모듈
______프로세스 xview
____Volatility 네트워크 분석
______connscan
____Volatility 증거 추출
______메모리 덤프
______DLL 파일 덤프
______실행 파일 덤프
__Strings 메모리 분석
____Strings 설치
____IP 주소 검색
____HTTP 검색
__요약
__질문
__더 읽어 볼 거리

9장. 시스템 스토리지 분석
__포렌식 플랫폼
__Autopsy
____Autopsy 설치
____Case 열기
____Autopsy 탐색
____Case 조사
______웹 아티팩트
______이메일
______연결 장치
______삭제 파일
______키워드 검색
______타임라인 분석
__MFT 분석
__레지스트리 분석
__요약
__질문
__더 읽어 볼 거리

10장. 로그 파일 분석
__로그 및 로그 관리
__이벤트 관리 시스템의 작업
____Security Onion
____Elastic Stack
__윈도우 로그의 이해
__윈도우 이벤트 로그 분석
____획득
____선별
____분석
______Event Log Explorer
______Skadi 로그 분석
__요약
__질문
__더 읽어 볼 거리

11장. 사고 보고서 작성
__문서 작성 개요
____문서 작성 대상
____문서 작성 유형
____출처
____독자
__사고 추적
____신속 사고 대응
__서면 보고
____핵심 요약
____사고 보고서
____포렌식 보고서
__요약
__질문
__더 읽어 볼 거리

4부. 전문 주제
12장. 사고 대응을 위한 악성 코드 분석
__악성 코드 분류
__악성 코드 분석 개요
____정적 분석
____동적 분석
__악성 코드 분석
____정적 분석
______ClamAV
______Pestudio
______REMnux
______YARA
__동적 분석
____악성 코드 샌드박스
____Process Explorer
______Process Spawn Control
____Cuckoo Sandbox
__요약
__질문
__더 읽어 볼 거리


13장. 위협 인텔리전스 활용
__위협 인텔리전스 이해
____위협 인텔리전스 유형
____고통의 피라미드
__위협 인텔리전스 방법론
____위협 인텔리전스 지휘
______킬 체인
______다이아몬드 모델
__위협 인텔리전스 소스
____내부 개발 소스
____상업적 소스
____오픈소스
__위협 인텔리전스 플랫폼
____MISP 위협 공유
__위협 인텔리전스의 사용
____예방적 위협 인텔리전스
____사후적 위협 인텔리전스
______Autopsy
______Redline에 IOCs 추가
______Yara와 Loki
__요약
__질문
__더 읽어 볼 거리

14장. 위협 사냥
__위협 사냥 성숙도 모델
__위협 사냥 주기
____이벤트 착수
____작업 가설 생성
____위협 인텔리전스 활용
____포렌식 기법 적용
____새로운 지표 식별
____기존 가설 강화
__MITRE ATT&CK
__위협 사냥 계획
__위협 사냥 보고
__요약
__질문
__더 읽어 볼 거리
추천포스트

교환 및 환불안내

도서교환 및 환불
  • ㆍ배송기간은 평일 기준 1~3일 정도 소요됩니다.(스프링 분철은 1일 정도 시간이 더 소요됩니다.)
  • ㆍ상품불량 및 오배송등의 이유로 반품하실 경우, 반품배송비는 무료입니다.
  • ㆍ고객님의 변심에 의한 반품,환불,교환시 택배비는 본인 부담입니다.
  • ㆍ상담원과의 상담없이 교환 및 반품으로 반송된 물품은 책임지지 않습니다.
  • ㆍ이미 발송된 상품의 취소 및 반품, 교환요청시 배송비가 발생할 수 있습니다.
  • ㆍ반품신청시 반송된 상품의 수령후 환불처리됩니다.(카드사 사정에 따라 카드취소는 시일이 3~5일이 소요될 수 있습니다.)
  • ㆍ주문하신 상품의 반품,교환은 상품수령일로 부터 7일이내에 신청하실 수 있습니다.
  • ㆍ상품이 훼손된 경우 반품 및 교환,환불이 불가능합니다.
  • ㆍ반품/교환시 고객님 귀책사유로 인해 수거가 지연될 경우에는 반품이 제한될 수 있습니다.
  • ㆍ스프링제본 상품은 교환 및 환불이 불가능 합니다.
  • ㆍ군부대(사서함) 및 해외배송은 불가능합니다.
  • ㆍ오후 3시 이후 상담원과 통화되지 않은 취소건에 대해서는 고객 반품비용이 발생할 수 있습니다.
반품안내
  • 마이페이지 > 나의상담 > 1 : 1 문의하기 게시판 또는 고객센터 1800-7327
교환/반품주소
  • 경기도 파주시 문발로 211 1층 / (주)북채널 / 전화 : 1800-7327
  • 택배안내 : CJ대한통운(1588-1255)
  • 고객님 변심으로 인한 교환 또는 반품시 왕복 배송비 5,000원을 부담하셔야 하며, 제품 불량 또는 오 배송시에는 전액을 당사에서부담 합니다.