* 감지

감지란 실제로 공격에 의한 피해가 발생했다는 것을 여러 가지 단서로부터 검출하여 아는 것을 말한다.

감지는 조직이 직접 수행하는 경우도 있는가 하면 외부로부터 보고나 정보를 제공받아 이를 계기로 수행하는 경우도 있다.

인시던트가 발생하기 않도록 하는 것을 ‘억제, 예방’ 이라고 하는데, 인시던트의 발생을 완전히 막는 것을 불가능하다.

그래서 보안 대책에서는 인시던트 발생을 억제 및 예방하면서도, 만일에 발생한 경우는 발생부터 감지까지의 시간을 가능한 한 단축시켜, 초동 대응을 신속하게 처리하는 것이 보안 대책의 초점이 된다.

* 초동 대응

초동대응의 내용은 여러 가지가 있지만, 원인을 가능한 한 정확하게 특정하고, 피해를 최소한으로 하기 위해서는 정확하고 신속한 초동 대응이 필요하다.

초동 대응이 완료된 후에는 시스템을 인시던트가 발생하기 전의 상태로 되돌릴 필요가 있다.

이 때 인시던트의 재발 방지책도 함께 실시할 필요가 있다.

그리고 마지막으로 인시던트의 발생 기록의 작성을 포함한 사후 처리를 해야 한다.