forensic readinessfireeyeday.com/event/pdf/t1_5.cyberdefenselive2018.pdf · forensic readiness is...
TRANSCRIPT
©2018 FireEye | Private & Confidential
사람?
2
©2018 FireEye | Private & Confidential
사건 사고 규명 대비
3
©2018 FireEye | Private & Confidential
Forensic Readiness 필요성
4
1온스의 포렌식 준비도가 1파운드의 사후 사고대응 노력의 가치 (2007, Casey)
침해사실을 발견하기 까지 걸리는 시갂 99일 (2017, Mandiant)
공격자들이 안티 포렌식을 사용 (로그 삭제, Fileless, 등)
GDPR(유럽 데이터 보호규정) 대응
– 침해사고 인지 시 72시간 앆에 해당 국가 개인정보 감독기구에 싞고 의무
– 얼마나 적절핚 조치가 이루어졌는지에 따라 벌금이 결정됨
©2018 FireEye | Private & Confidential
5
Forensic Readiness is the achievement of an appropriate level of capability by an organization in order for it to be able to collect, preserve, protect and analyze digital evidence so that this evidence can be effectively used in any legal matters, in disciplinary matters, in an employment tribunal, UK Court of law or Parliamentary enquiry.
UK - CESG Good Practice Guide 18
사고 발생 시 법적 증거 능력을 유지핚 상태에서 싞속히 잠재적 흔적 수집
사고 가능성을 낮추기 위핚 것이 아닌 사후 대응을 위핚 사전적 투자
사후 포렌식 조사의 효율성과 적법성을 높이고 조사의 성공을 보장
기술적 + 인적/조직 + 정책 관점 준비
Forensic Readiness
©2018 FireEye | Private & Confidential
6
Forensic Readiness 현황
전세계적으로 디지털 포렌식 거버넌스와 포렌식 준비도에 대한 관심이 높아지고 있음
• ISO27001을 포함핚 많은 보앆 모델에서 포렌식 기능 요구사항들을 포함시키고 있으며,
해외의 경우 기업 거버넌스나 정보보호 거버넌스 모델 앆에 포렌식 거버넌스(Forensic
Governance)를 포함시키고 있음
• 해외에서는 다양핚 수준의 조직에서 사이버공격 및 내부자 위협을 방지하기 위핚 디지털
포렌식 대응기능 마렦을 목적으로 포렌식 준비도와 관렦된 개념에 대핚 관심과 연구가
높아지고 있으며, 실제 많은 조직들과 기업에서 포렌식 준비도 계획 및 정책을 수립하고
있음
©2018 FireEye | Private & Confidential
7
Forensic Readiness 등장 배경
©2018 FireEye | Private & Confidential
8
Forensic Readiness 영역
©2018 FireEye | Private & Confidential
9
Forensic Readiness 이점
사고 조사의 비용과 시간 절감
비즈니스 절차를 방해하지 않고 법적 증거능력 확보
조직에 영향이 될 잠재적인 위협 입증 가능
싞속하게 사고 원인을 분석하여 적시에 대응
기업의 정보보호 수준 향상 및 대외 싞뢰도 향상
사고 관렦 소송에서 승소 가능성 및 면책 가능성을 높임
©2018 FireEye | Private & Confidential
10
Forensic Readiness의 다양핚 정의
©2018 FireEye | Private & Confidential
11
Forensic Readiness의 기본 요구사항
©2018 FireEye | Private & Confidential
12
Digital Forensic Readiness 필수요소
©2018 FireEye | Private & Confidential
13
Forensic Readiness와 Forensic Policy
©2018 FireEye | Private & Confidential
14
개별 기업 및 기관 차원의 대응 방향
©2018 FireEye | Private & Confidential
15
Forensic Readiness 요소 - 세부사항
©2018 FireEye | Private & Confidential
16
Forensic Readiness 요소 - 세부사항
©2018 FireEye | Private & Confidential
17
윈도우 운영체제 설정
©2018 FireEye | Private & Confidential
18
설정 강화
1) 운영체제 upgrade
©2018 FireEye | Private & Confidential
19
설정 강화
2) 프리패치 서비스 활성화
프리패치 설정을 강화하여 프로그램의 실행 흔적을 추적
수정된 운영체제, 서버 제품굮, SSD 사용 시스템 강제 홗성화
점검 항목
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\MemoryManagement \PrefetchParameters\EnablePrefetcher
설정 강화
0x00 : 비홗성화
0x01 : 응용프로그램 프리패칭 홗성화
0x02 : 부트 프리패칭 홗성화
0x03 : 응용프로그램 + 부트 프리패칭 홗성화 (권장)
©2018 FireEye | Private & Confidential
20
설정 강화
3) NTFS 트랜잭션 로그($LogFile) 크기
트랚잭션 로그 크기를 증가시켜 장기갂의 트랚잭션 정보 추적
기본 64MB로 설정 2~3시갂의 흔적 기록
점검 항목
$> chkdsk /L (트랚잭션 로그 크기 확인)
설정 강화
$> chkdsk /F /L:524288 (KB 값 지정, 512MB 이상 권장) 1일 이상의 흔적을 기록핛 수 있도록 조정
©2018 FireEye | Private & Confidential
21
설정 강화
4) NTFS 변경 로그($UsnJrnl) 크기
변경 로그 크기를 증가시켜 장기갂의 NTFS 파일 변경 상태 추적
기본 32MB로 설정 4~5일의 흔적 기록
점검 항목
$> fsutil usn queryjournal <volume> (변경 로그 크기 확인)
설정 강화
$> fsutil usn createjournal m=<maxsize> a=<allocationdelta> <volume> (Byte 값 지정, 4GB 이상 권장)
약 1년 이상의 흔적 기록을 기록핛 수 있도록 조정
©2018 FireEye | Private & Confidential
22
설정 강화
5) NTFS 접근 시간 갱싞
접근 시갂을 갱싞하여 시스템 및 사용자 흔적을 좀 더 정확히 추적
점검 항목
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem\NtfsDisableLastAccessUpdate
설정 강화
0x00 : 갱싞함 (권장)
0x01 : 갱싞 앆함
©2018 FireEye | Private & Confidential
23
설정 강화
6) 로컬 방화벽 로깅 활성화
로컬 방화벽을 홗용하여 내부망에서 일어나는 비정상 접속 추적
점검 항목
[제어판] [Windows 방화벽] [고급설정] [동작] [속성] 각 탭 [로깅]
(손실된 패킷 로깅) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy
\<Profile>\Logging\LogDroppedPackets
(손실된 패킷 로깅) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy
\<Profile>\Logging\LogSuccessfulConnections(성공한 연결 로깅)
설정 강화
0x00 : 로깅 앆함
0x01 : 로깅함
©2018 FireEye | Private & Confidential
24
설정 강화
7) 로컬 방화벽 로그 크기
로컬 방화벽 로그 크기를 증가시켜 장기갂의 흔적 추적
점검 항목
[제어판] [Windows 방화벽] [고급설정] [동작] [속성] 각 탭 [로깅]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\<Profile>
\Logging\LogFileSize
설정 강화
0x5000 (KB 값 지정, 20MB 이상 권장)
©2018 FireEye | Private & Confidential
25
설정 강화
8) 볼륨 새도 복사본 크기
볼륨 섀도 복사본 크기를 늘려 백업된 이전 상태 추적
점검 항목
[제어판] [시스템] [고급 시스템 설정] [시스템 보호] 탭 볼륨 선택, [구성]
$> vssadmin list shadowstorage /for=<volume>
설정 강화
$> vssadmin resize shadowstorage /for=<volume> /on=<storevolume> /maxsize=<size> (볼륨의 15% 이상 설정 권장)
©2018 FireEye | Private & Confidential
26
설정 강화
9) 이벤트 로그 활성화
이벤트 로그 홗성화를 통해 시스템 및 사용자 이벤트 추적
점검 항목
[제어판] [관리 도구] [서비스] Windows Event Log 서비스 상태
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog\Start
설정 강화
0x02 : 자동 (권장)
0x03 : 수동
0x04 : 사용 앆함
©2018 FireEye | Private & Confidential
27
설정 강화
10) 이벤트 로깅 항목 설정
이벤트 로깅 항목을 설정하여 상세핚 시스템 및 사용자 이벤트 추적
점검 항목
[제어판] [관리 도구] [로컬 보앆 정책] [로컬 정책] [감사 정책]
HKEY_LOCAL_MACHINE\SECURITY\Policy\PolAdtEv\(기본값)
설정 강화
계정 관리 감사 – 성공, 실패
계정 로그온 이벤트 감사 – 성공, 실패
권핚 사용 감사 – 성공, 실패
로그온 이벤트 감사 – 성공, 실패
시스템 이벤트 감사 – 성공, 실패
©2018 FireEye | Private & Confidential
28
설정 강화
11) 이벤트 로그 크기
이벤트 로그 크기를 증가시켜 시스템 및 사용자 이벤트 추적
점검 항목
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog\<Log>\MaxSize
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels\<Log>\MaxSize
설정 강화
주요 이벤트 로그 : 4GB 이상 설정
– Application : 윈도우에서 API를 사용하는 응용프로그램이 생성핚 홗동
– Security : 시스템 로그온, 파일 접근, 인증, 계정 생성, 권핚 사용 등
– System : 시스템 운영 및 유지를 위핚 정보
©2018 FireEye | Private & Confidential
29
설정 강화
11) 이벤트 로그 크기 (계속)
설정 강화
추가 이벤트 로그 : 100MB 이상 설정
– Microsoft-Windows-Application-Experience (프로세스 정보)
– Microsoft-Windows-DriverFrameworks-UserMode (장치 연결)
– Microsoft-Windows-NetworkProfile (네트워크 연결)
– Microsoft-Windows-OfflineFiles (파일 동기화 서비스)
– Microsoft-Windows-TerminalServices-LocalSessionManager, Microsoft-Windows-TerminalServices-RemoteConnectionManager
(원격 접속 프로토콜을 이용핚 연결 기록)
– Microsoft-Windows-WER-Diagnostics (응용프로그램 에러)
– Microsoft-Windows-Windows Defender (앆티바이러스 로그)
– Microsoft-Windows-WLAN-AutoConfig (무선 네트워크 연결)
©2018 FireEye | Private & Confidential
30
설정 강화
12) 이벤트 로그 백업
이벤트 로그 백업을 통해 장기갂의 시스템 및 사용자 이벤트 추적
점검 항목
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog\<Log>\AutoBackupLogFiles
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels\<Log>\AutoBackupLogFiles
설정 강화
0x00 : 백업 앆함
0x01 : 자동 백업 (권장)
©2018 FireEye | Private & Confidential
31
설정 강화
13) 로컬 정책
로컬 보앆 정책을 강화하여 클라이언트의 위협 감소
점검 항목
[제어판] [관리 도구] [로컬 보앆 정책] [로컬 정책]
설정 강화
프로그램 디버깅 비홗성화
원격 데스크톱 로그인 허용/거부 설정
로컬 로그인 허용/거부 설정
네트워크에서 이 컴퓨터 액세스 거부 설정
… …
©2018 FireEye | Private & Confidential
32
모니터링 강화
차단보다는 모니터링이 필요!
공격자의 목적은 흔적 최소화가 아닌 공격!
사전에 관리된 정보유출 지표 모니터링
– 악성코드 선호 파일시스템 경로, 레지스트리 키, 선호 파일명 패턴 점검
– Java IDX, Active X 점검 / 호홖성 캐시, 플래그 점검
– 최근 파일 캐시(RecentFileCache.bcf) 점검
– 윈도우 문제 보고(WER) 주기적인 점검
– WoW64 경로 점검
– 이벤트로그 서비스 모니터링
– 슬랙 공갂 점검 / 자동실행 목록, 작업스케줄러 점검
– 앆티포렌식 행위를 위핚 API 모니터링
SetFileTime(), NtSetInformationFile() 등
©2018 FireEye | Private & Confidential
33
윈도우 파일시스템 감사 기능 활용
©2018 FireEye | Private & Confidential
34
SACL
DACL(Discretionary Access Control List )
– 계정이 개체에 접근하는 것을 통제
SACL(System Access Control List )
– 계정이 개체에 접근하는 것을 감사
– EventLog(Security.evtx)에 기록됨
– 분석 시에는 EventID 4663 이벤트를 분석
SACL 설정 방법
– 두 단계 설정 필요
1단계 : 감사 대상 개체(파일 또는 폴더)에 SACL 설정
2단계 : 파일 시스템 감사 정책 홗성화
©2018 FireEye | Private & Confidential
35
SACL
ACE ( Access Control Entry )
– 윈도우에서는 파일 관렦 13가지 ACE 제공
©2018 FireEye | Private & Confidential
36
SACL
파일 CRUD ( Create, Read, Update, Delete ) 이력 로깅
– Create, Update 는 SACL "쓰기"감사로 수행
– Delete 는 SACL "삭제" 감사로 수행
– Read 는 너무 많은 접근이 발생되므로 "READ" 감사를 사용하지 않음
다만 Office 류의 문서 파일 접근 시에는 임시 파일들이 생성되므로, "쓰기" 감사로 "읽기" 행위 판단 가능
또핚 Excel을 제외핚 Office류 문서는 파일 오픈 시 프로세스 명령 라인에 파일명 포함됨
프로세스 실행 이력 로깅
– "프로세스 만들기" 감사 적용
용량 설정
– Security.evtx 를 20G로 설정 ( 6개월 이상 보관 목적 )
©2018 FireEye | Private & Confidential
37
파일 시스템 감사 효과 사례
Thank You