사고 및 누출 대응
1) 목적, 원칙 및 범위
목표는 피해 및 법적 위험을 줄이고 운영의 연속성과 보안/규정 준수 사고의 경우 조치의 가능성을 보장하는 것입니다.
원칙: "신속하게 → 정확하게 확인 → 투명하게 문서화 → 합법적으로 통지 → 반복을 방지합니다".
적용 범위: 사이버 사건 (DDoS, ATO, 해킹, 취약점), PII/결제 데이터 유출, AML/KYC/제재 위반, 공급자 실패 (KYC/PSP), 광고/책임 게임 (RG) 사건, 파트너 손상.
2) 심각도 분류 및 트리거
3) SLA 에스컬레이션 및 "사고 교량"
시작: High/Critical은 전쟁 실 (채팅/호출) 을 생성하고 사건 사령관 (IC) 을 할당합니다.
SLA: 정보 - n/a; 낮음-24 시간; 중간 - 4); 높음-1 시간; 중요-15 분
교량 역할: IC, 보안 책임자, SRE/Ops, 준수 (법률 부서 IC), 법률/DPO, 지불/FRM, 지원/VIP, PR/Comms, 데이터/법의학.
4) 응답 프로세스 (SANS/NIST 적응 스택)
1. 준비: 런북, 연락처 목록, 백업 제공 업체, 테스트 경고, "기본 닫기" 액세스.
2. 식별: SIEM/SOAR 상관 관계, 사기 방지 규칙, KRI 신호; 사실/볼륨 확인.
3. 격리: 세분화, 취약한 피처/엔드 포인트 비활성화, 지리 제약, 피처 플래그, 시간 제한/보유.
4. 제거 (근절): 패치/키 회전, 계정/장치 블록, 악성 아티팩트 청소, 이미지 재 조립.
5. 복구: 무결성 검증, 점진적인 트래픽 포함 (카나리아 풀), 회귀 모니터링.
6. 사후 사건: 사후 사후 72 시간, CAPA 계획, 업데이트 정책/임계 값/모델.
5) 법적 통지 및 외부 커뮤니케이션
- 데이터 감시 (DPA): 확인 된 PII 누출 → 알림 (사고 설명, 데이터 범주, 측정, DPO 연락처).
- 도박 규제 기관: 플레이어/보고에 영향을 미치는 RG/광고 규칙/실패에 대한 대규모 위반.
- 은행/PSP: 의심스러운 활동/SAR 사례, 대규모 차지, 지불 흐름 손상.
- 사용자: 데이터 유출/높은 피해 위험; 문자 템플릿 및 FAQ.
- 파트너/공급 업체: 사고 또는 일반적인 흐름/데이터에 영향을 미칩니다.
Comm 규칙: 단일 스피커, 추측이없는 사실, 명확한 동작/권장 사항, 모든 버전의 메시지 및 답변 저장.
6) 법의학 및 "양육권 체인" (양육권 체인)
누가/언제/무엇을 수집했는지 기록; WORM/수정 불가능한 스토리지를 사용하십시오.
해싱을 통해 아티팩트를 내보내는 볼륨/로그 스냅 샷 (Ś-256).
중복을 통해 작업하는 읽기 전용 액세스.
모든 명령/단계를 문서화합니다. 타임 라인을 저장하십시오.
아티팩트를 제 3 자에게 전송하는 조건에서 Legal/DPO에 동의하십시오.
7) 통제 된 통신 (내부/외부)
Do: 간결하고 사실적이며 IC/Legal에 동의 함; 다음 업데이트 슬롯 지정 (예: 60 분마다).
하지 말아야 할 것: 사실, PII 공개, 혐의, 마감일 약속이 확인되지 않은 가설.
- 무슨 일이 있었나요 ?/심각성/영향 영역/측정/다음 단계/다음 업데이트...
8) 전형적인 도메인 플레이 북 '및
A) PII 누출 (응용 프로그램/백엔드/공급 업체)
1. 브리지는 15 분 → 의심스러운 엔드 포인트/키를 동결시켜 데이터 액세스에 대한 감사를 증가시킵니다.
2. 속도: PII, 타임 라인의 소스/볼륨/유형을 결정하십시오.
3. 조치: 비밀의 전환, 수정, 권리 개정, 공급 업체의 격리.
4. 알림: DPA/레귤레이터/사용자/파트너 (필요에 따라).
5. 플레이어 지원: FAQ, 지원 채널, 권장 사항 (암호 변경/사기).
6. 사후 및 CAPA.
B) 플레이어 계정 타협 (ATO/자격 증명 채우기)
1. ATO 신호의 스파이크 → 임시 출력 블록 인 속도 제한/2FA- 시행/WebAuthn을 증폭시킵니다.
2. 장치/IP 클러스터링, 영향을받는 사람에게 알림 전송, 토큰 재설정.
3. 필요한 경우 금융 거래를 확인하십시오.
C) CUS 거부/제재 제공 업체
1. 공급자를 대체하고 빠른 출력을 제한하며 VIP의 수동 흐름으로 전환하십시오.
2. 지원 및 VIP 관리자를위한 Comm; 강화 중-규제 기관/은행에 알리기 (수표에 영향을 미치는 경우).
D) PSP/결제 사고 (차지 백/타협)
1. 엄격한 3DS/AVS, 드롭 제한 및 속도 규칙 사용; 위험 그룹을 보유하십시
2. PSP/은행에 알리기; 세탁의 징후가있는-EDD/SAR.
3. 트래픽을 복구 및 감사하지 않았습니다
E) DDoS/사용 불가
1. WAF/geo-cutting/scrubing 활성화; "서리" 릴리스.
2. 지역의 카나리아 포함, SLO 제어; 탄력성에 대한 사후 부검.
9) 도구 및 아티팩트
SIEM/SOAR, IDS/IPS, WAF, EDR, DLP, 비밀 관리자, 금고 교체, 사기 방지 이상 감지, 사고 등록, 알림 템플릿.
아티팩트: 사고 등록, 브리지 프로토콜 (타임 라인), 법의학 보고서, 알림 패키지 (규제/사용자/은행), 사후, CAPA 추적기.
10) 측정 및 대상
MTTD (감지 시간), MTTC (격리 전), MTTR (복구 전).
근본 원인이있는 사고의% 90% 이상.
CAPA 완료율은 95% 이상입니다.
같은 이유로 반복되는 사건의 비율은 5% 입니다.
SLA에서 사건의 비율이 마감되었습니다: 중간 이하 90%, 높음 95%, 중요 이하 99%.
11) RACI (확대)
사건 사령관 (Ops/Sec): 관리, 의사 결정, 타임 라인을위한 A.
보안 책임자 (R): 기술. 분석, 법의학, 격리/박멸.
준수/DPO (적법성 R/A): 누출 자격, 알림, 메일 링리스트.
법률 (C): 법적 평가, 계약/계약, 서신 문구.
SRE/Engineering (R): 수정, 풀백, 안정성.
지불/FRM (R): 보유, 사기 방지 임계 값, PSP/뱅크와의 상호 작용.
PR/Comms (R): 외부 메시지, 지원을위한 Q&A.
지원/VIP (I/C): 플레이어와의 커뮤니케이션 전면.
12) 템플릿 (최소 세트)
12. 사건 카드 1 개 (등록)
ID· 발견 시간· 클래스/심각도· 영향 (시스템/데이터/관할권)· IC· 기술/비즈니스 소유자· 첫 번째 측정· 볼륨/손상 평가· 알림 (~/언제)· 아티팩트에 대한 링크· 상태/CAPA/마감일.
12. 2 사용자에게 알림 (짜기)
무슨 일이 있었는지; 영향을받은 데이터; 우리가 한 일; 우리가 당신에게 추천하는 것; 연락처 정보; 정책 참조/FAQ.
12. 3 사후 (구조)
사실/타임 라인· 영향· 근본 원인 (5 Whys)· 효과/작동하지 않는 것· CAPA (소유자/마감일)· N 주 후 효과 점검.
13) 운영 및 규정 준수와의 통합
CAB/Change: 위험한 변경-기능 플래그/카나리아를 통해서만; 각 릴리스에는 롤백 계획이 있습니다.
데이터 및보고: 사고의 대시 보드의 자동 조립; KRI와의 통신 (제재/PEP, KYC, CBR, ATO).
위험: 위험 매트릭스 및 레지스터 업데이트, 각 주요 사건 후 임계 값 보정.
14) 운동과 준비
분기당 한 번 테이블 탑 (PII 누출, KYC 고장, ATO 파, PSP 사고).
빨강/파랑/보라색 팀 점검; 공급 업체 및 PSP와의 공동 연습.
준비 KPI: 교육을 마친 직원의 비율; 운동의 성공; 평균 "브리지 리프트" 시간.
15) 구현 로드맵
1-2 주: 역할/연락처, 템플릿, 백업 제공 업체 업데이트.
3-4 주: SOAR 플레이 북, 브리지 채널, 테스트 알림, WORM 아카이브.
2 개월 이상: 정기적 인 연습, 감사 기록, 사건보고 자동화.
TL; DR
준비 상태 = 사전 합의 된 역할 및 임계 값 + 빠른 교량 + 하드 격리 + 증거 체인 + 필수 사후 모템 및 CAPA를 사용한 합법적이고시기 적절한 알림 + 법의학. 이것은 피해를 최소화하고 페널티 위험을 줄이며 플레이어와 파트너의 신뢰를 강화합니다.