• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

Mandiant Intelligent Response 1.0 2008.06.23

[사고 대응]

 

사고 대응은 여전히 오류와 비효율성으로 가득 찬 매우 수동적인 프로세스이다. 이에 사고 대응 서비스 분야에서 신뢰받고 있는 Mandiant가 시간 소모적인 업무의 대부분을 자동화해주는 어플라이언스 Mandiant Intelligent Response(MIR)를 제작했다.

 

설치/설정      B

MIR는 의심스러운 기계의 에이전트로부터 정보를 수집하고 저장하기 위한 컨트롤러 어플라이언스를 지닌 에이전트 기반 클라이언트·서버 아키텍처다(현재는 윈도우용. nix는 예정). 관리 콘솔은 증거 수집에서부터 분석 및 검사에 이르기까지 사고 관리를 위한 주요한 인터페이스다.

문서를 이해하기 쉽고 각각의 단계를 밟아나가더라도 어플라이언스를 설정하는 것은 쉽지 않다. 설치를 위해서는 SSL 증명서의 생성과 익스포팅을 포함하는 에이전트 인스톨레이션 세트의 생성이 필요하다. 또한 에이전트가 초기 등록 동안 컨트롤러를 찾기 위해 사용하는 디스커버리 파일이 올바른 IP 주소를 갖고 있는지 확인해야만 한다.

 

사용 편의성/효율성    B+

IR 팀은 가능한 빠르게 작동중인 프로세스, 네트워크 포트, 의심스러운 파일, 메모리 및 디스크 이미지와 같은 중요한 정보를 가능한 빨리 수집하는 까다로운 과제와 대면하고 있다. MIR은 증거의 통합은 유지하면서 이러한 과정을 자동화한다.

데이터 수집 감사를 작동시키기 위해 사용자는 타겟 호스트를 자산 리스트로부터 창으로 드래그 앤 드랍하고 실행할 감사 모듈을 선택하여 새로운 감사 스크립트를 생성한다.

결과 보기(results viewer) 창은 해당 잡의 전반적인 프로세스와 결과 파일을 보여준다. 탭 브라우징은 잡 설정과 결과 보기를 위한 다중 창을 더욱 쉽게 열 수 있도록 해준다.

선택된 모듈과 사용 가능한 전력에 따라 감사 작업은 몇 분에서부터 한 시간 이상에 이르기까지 시간이 소요될 수 있다. 사용자는 타임 스큐(time skew : 시간 왜곡), 타임 라인, 문서 차이 및 문서 교차 등 4개의 분석들 중 하나를 실행할 수 있다.

개별 레코드들은 향후에 결과를 다시 검색할 필요 없이 참조하기 위해 맞춤 문자열로 지정할 수 있다. IR 팀은 결과나 전체 문서를 검색하기 위한 링크를 포함할 수 있는 노트를 추가할 수 있는 기능에 만족스러워 할 것이다. 

MIR은 공개 포맷, 그리고 오픈소스 포렌직 툴과의 쉬운 통합의 기능을 특징으로 한다. 예를 들어 디스크와 메모리 이미지는 분석을 위해 표준 포맷으로 익스포트 될 수 있다. 감사와 분석 문서는 쉽게 이해할 수 있는 XML 스키마로 저장된다.

MIR 1.0이 자동화 사고 대응으로의 거대한 첫 발을 내딛고 있다 할지라도 유용성이 적고 최초 발매의 전형적인 운영 문제들이 존재한다. 예를 들어 감사를 위해 각각의 호스트를 드래그 앤 드랍해야만 하며 같은 호스트에서 감사를 두 번 시행하려 할 때 우연한 중복 호스트 엔트리에 대한 경고가 나타나지 않는다. 에러와 경고 메시지들은 특정한 마이크로소프트 패치와의 충돌에 의해 발생한다.

 

리포팅  B+

MIR은 디지털 증거의 일련의 보호를 위해 용인되는 포맷으로 여겨지는 Advanced Forensic Format(AFF)에 증거를 저장한다.

컨트롤러는 빠르고 정확한 검색을 위해 공통 단어, 문장 및 통상적인 표현을 허용하는 매우 잘 설계된 검색 기능으로 감사, 케이스 노트(case notes), 대상 메타데이터를 색인 한다.

케이스 노트는 호스트 감사, 분석 결과 등을 빠르게 참조할 수 있게 해주어 노트 획득, 리포트 작성, 저장된 정보로의 링크하기를 위해 사용될 수 있다. 그것은 XML을 포함한 다중 포맷으로 익스포트 될 수 있다.

 

총평

다소의 초기 발매 결점에도 불구하고 Mandiant는 사고 대응의 필요성을 처리하기 위해 고군분투하고 있는 대기업을 위한 유용한 툴을 만들었다.


테스트 방법 : 테스트 실험실에서 몇몇 윈도우 XP와 윈도우 2003 컴퓨터로 MIR 1.0을 평가했다. 테스트는 로컬 포착 모드뿐만 아니라 네트워크 기반 포착까지 포함했다.

<리뷰어·포램 메타(Phoram Mehta)>

 

[정보보호21c (info@boannews.com)]


<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>