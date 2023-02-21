디지털 포렌식과 인시던트 대응이 별도로 수행되면 서로 간섭을 일으킬 수 있습니다. 인시던트 대응자는 네트워크에서 위협을 제거하는 동안 증거를 변경하거나 파기할 수 있으며 포렌식 조사관은 증거를 검색하는 동안 위협 해결이 지연될 수 있습니다. 팀 간에 정보가 원활하게 전달되지 않아 모든 사람의 업무 효율이 떨어질 수 있습니다.

DFIR은 이 두 분야를 한 팀이 수행하는 단일 프로세스로 통합합니다. 이를 통해 다음과 같은 두 가지 중요한 이점을 얻을 수 있습니다.

포렌식 데이터 수집은 위협 완화 작업과 함께 이루어집니다. DFIR 프로세스 중에 인시던트 대응자는 포렌식 기술을 사용하여 위협을 억제하고 근절하는 동시에 디지털 증거를 수집하고 보존합니다. 이를 통해 관리 연속성을 준수하고 인시던트 대응 노력으로 인해 귀중한 증거가 변경되거나 파괴되지 않도록 할 수 있습니다.

인시던트 후 검토에는 디지털 증거 검토가 포함됩니다. DFIR은 디지털 증거를 사용하여 보안 인시던트를 심층적으로 조사합니다. DFIR 팀은 인시던트를 처음부터 끝까지 재구성하기 위해 수집한 증거를 검토하고 분석합니다. DFIR 프로세스는 무슨 일이 일어났는지, 어떻게 발생했는지, 전체 피해 규모 및 향후 유사한 공격을 피할 수 있는 방법을 자세히 설명하는 보고서로 끝이 납니다.

그 결과 다음과 같은 이점이 있습니다.