대응 조직, 연락망, 백업, SIEM, IDS/IPS, WAF 이벤트로 사고 징후를 확인한다.
침해사고 답안은 탐지부터 복구까지의 순서, 증거 보존, 신고·통지 검토, 재발 방지 대책을 함께 써야 한다.
대응 조직, 연락망, 백업, SIEM, IDS/IPS, WAF 이벤트로 사고 징후를 확인한다.
피해 확산을 막되 원본 로그와 시스템 상태를 가능한 한 보존한다.
로그, 메모리, 디스크 이미지, 악성 파일, 패킷을 수집하고 무결성을 검증한다.
공격 경로, 악용 취약점, 사용 계정, 영향 시스템, 유출 데이터를 확인한다.
악성 요소와 취약점을 제거한 뒤 신뢰 가능한 백업이나 재설치로 정상화한다.
사고 개요, 원인, 조치, 증거, 신고·통지 검토, 개선 계획을 보고서에 남긴다.