본문 바로가기
SeSAC/보안관제

[SeSAC 성동캠퍼스 1기] 온프레미스와 클라우드 환경의 보안관제 실무 1일차

by zivvon 2023. 12. 26.
목차 접기

온프레미스와 클라우드 환경의 보안관제 실무

[ 보안관제 개요 ]

▶ 보안관제(Security Operations Center, SOC)

: 조직의 정보 기술 (IT)환경에서 보안을 모니터링하고 관리하는 중요한 부서 또는 기능

 

- 주요 역할 : 조직의 정보 시스템과 네트워크를 보호하고, 보안 위협 탐지하며, 대응 및 조치를 취해 보안 사고를 예방·관리

  • 보안 모니터링
  • 사이버 위협 탐지
  • 사고 대응 및 조치
  • 로그 분석 및 보고
  • 보안 교육과 훈련

- 구성 요소

  • 인프라와 도구 : SIEM(Security Information and Event Management) 시스템, 방화벽, 침입 탐지 시스템(IDS), 침입 방지 시스템(IPS), 안티바이러스 소프트웨어, 엔드포인트 보안 솔루션 
  • 인력
  • 정책 및 절차

- 유형

  • 내부 SOC (Internal SOC)
  • 외부 SOC (Managed SOC)
  • 하이브리드 SOC

- 프로세스

 

 

[ 관제 장비 이해 ]

▶ 관제장비 구성 개념도

 

 

▶ 관제장비의 종류 및 범주

구분 솔루션명
네트워크 보안 방화벽(Firewall)
침입탐지시스템(IDS: Intrusion Detection System)
침입방지시스템(IPS: Intrusion Prevention System)
웹 방화벽(Web Application Firewall)
NAC(Network Access Control)
무선 침입 방지 시스템(WIPS: Wireless Intrusion Prevention System)
통합 보안 시스템(UTM: Unified Threat Management)
시스템 보안 스팸 차단 솔루션(Anti-Spam Solution)
보안 운영체제(Secure OS)
컨텐츠/정보유출 방지 보안 솔루션 보안 USB
디지털 저작권 관리(DRM: Digital Right Management)
내부정보유출방지(DLP: Data Loss Prevention)
보안관리 솔루션 전사적 통합보안관리 시스템(ESM: Enterprise Security Management)
위협관리시스템(TMS: Threat Management System)
단말보안 백신/PC방화벽
MDM(Mobile Device Management)/MAM(Mobile Application Management)

 

 

▶ 방화벽(Firewall)

- 네트워크에서 말하는 방화벽은 보안을 높이기 위한 가장 일차적인 방법 (보안에서 방화벽은 가장 기본적인 솔루션)

- 외부의 불법 침입으로부터 내부의 네트워크로의 침입 차단

- 네트워크 계층과 전송계층의 IP/Port 데이터를 기반으로 동작

- 외부로부터 유해정보 유입을 차단하기 위한 정책과 이를 지원하는 솔루션 (HW와 SW로 구분됨)

- 신뢰하지 않는 외부의 무차별적 공격으로부터 내부를 보호한다는 점에서 불길을 막는 방화벽과 비슷한 의미

- 내부 네트워크를 보호하기 위해 외부에서의 불법적인 트래픽 유입을 막고, 허가되고 인증된 트래픽만을 허용하려는 적극적인 방어 대책

 

- 주요 기능

  • 접근 통제 및 인증
  • 로깅 및 감사
  • 데이터 기밀성 보장(암호화) → 보통 VPN의 기능을 이용
  • 보안 정책 구현
  • 주소변환 기능(NAT, Network Address Translation)
  • 대역폭 관리(Bandwidth Control) 기능

 

- 방화벽 설치 및 운영 원칙

  • 모든 트래픽은 반드시 침입차단시스템을 통과해야함
  • 모든 트래픽은 보안 정책에 기반하여 허용/차단되어야 함
  • 침입차단시스템은 직접 공격에 대해 자체 방어 능력이 있어야 함

- 방화벽 운영 2원칙

  • 우선 차단 정책(Default Deny) : 허용하는 것 이외에는 모두 차단! → 가장 일반적으로 사용하는 기본 정책
  • 우선 허용 정책(Default Allow) : 차단하는 것 이외에는 모두 허용

- 접근 통제와 사이트 보안정책을 위한 침입차단시스템 기술

  • 서비스 제어(Service Control)
  • 방향 제어(Direction Control)
  • 사용자 제어(User Control)
  • 행동 제어(Behavior Control)

- 방화벽의 활용 이익

  • 네트워크 출입 구간에서 잠재적 취약점 차단하고 허가되지 않은 사용자의 접근으로부터 보호
  • 보안관련 이벤트에 대한 감사 지점 제공
  • 보안 기능이 없는 다른 인터넷 프로그램들에게 안전한 환경 제공
  • IPSec과 같은 암호 통신을 위한 플랫폼으로 동작 가능

- 방화벽이 하지 못하는 일

  • 방화벽을 통과하지 않는 트래픽은 방어할 수 없음
  • 외부 공격자를 돕는 내부자 또는 악의적인 내부자는 방어할 수 없음
  • 노트북, 스마트폰, 휴대용 저장장치들이 감염된 상태에서 내부망에 연결되는 경우
  • 잘못 설정된 무선 장비와 내부망 장비와의 통신

- 차세대 방화벽(NG Firewall)

  • 어플리케이션 제어 : Application을 구분하고 제어할 수 있는 기능
     → 80포트에서 메신저, 메일 등 여러 프로그램 사용 가능하므로 포트별 제어는 의미 없어짐
     → 토렌트, p2p 트래픽 제어 가능, 우회 차단
     → https 프로토콜 제어
  • 사용자 제어 : 사용자를 인지하여 제어 가능(한 사용자당 여러 IP사용하므로 IP만이 아닌 사용자 정보를 연동함)
     → 사용자 및 그룹에 따른 권한 적용
  • 컨텐츠 제어 : 데이터 페이로드를 분석하여 변화하는 유해 컨텐츠를 제어할 수 있는 기능
     → 바이러스, 악성트래픽, 랜섬웨어, 유해 사이트/내용, 카드정보, URL 필터링

 

▶ IDS(침입탐지시스템, Intrusion Detection System)

- 시스템에 인가되지 않은 행위와 비정상적인 행동을 탐지

- 탐지된 불법행위를 구별해 실시간 침입 탐지

- 정상적인 트래픽 흐름 간섭하지 않고 단지 감시하는 기능 제공

- IDS의 주요 기능 : 보안상의 위협 찾기

 

- IDS 사용 목적

  • 단순 접근제어나 방화벽 등의 침입차단시스템의 탐지 기능 한계
  • 인증된 사용자나 이를 가장한 침입자의 공격 대비
  • 침입 경로의 다양화, 해킹 수법의 고도화에 대한 대비

- IDS 기능

  • 경보 : 침입탐지 시 경보, 이메일 및 SNMP 트랩 발송 등 보안관리자에게 통보
  • 셔닝(Shunning) : 공격자나 의심스러운 호스트의 발신지 IP 주소 및 서비스 포트에 대해 해당 패킷을 차단하도록 지시
  • 사용자 프로그램 실행 : 지정된 이벤트에 따라 특정 사용자 프로그램을 실행할 수 있도록 하는 기능

- 침입탐지 대상/방식에 따른 분류

침입탐지 '대상'에 따른 분류 침입탐지 '방식'에 따른 분류
1. 네트워크 기반 IDS(NIDS)
- 네트워크 패킷을 분석해 침입 탐지
- 별도의 호스트에 설치
- 네트워크 침입 실시간 탐지 가능
⚠️트로이목마 등은 탐지 어려움!		 1. 오용 탐지(Misuse)
- 특정 특징을 시그니처로 정의하고 패턴 매칭을 통해 판단
- 새로운 침입 유형의 탐지 불가능하므로 지속적인 시그니처의 업데이트 필요
2. 호스트 기반 IDS(HIDS)
- 로그 분석과 프로셋 모니터링을 통한 침입 탐지
- 기존 서버에 설치되어 별도의 호스트 불필요
- 네트워크 공격에 대한 실시간 탐지는 어렵지만 트로이목마 등의 탐지가 가능		 2. 비정상 행위 탐지(Anomaly)
- 각종 비정상적인 침입 행동을 통계자료를 기반으로 판단
- 알려지지 않은 공격 기법에 대응 가능
- 공격이 아님에도 공격으로 오인할 가능성 높음

 

 

- NIDS(침입탐지시스템)의 설치 위치

  • 패킷이 라우터로 들어오기 전 : 네트워크에 실행되는 모든 공격을 탐지할 수 있어서, 공격 의도를 가진 패킷을 미연에 파악 가능. But! 너무 많은 공격에 대한 데이터 수집하고, 내부 네트워크로 침입한 공격과 그렇지 못한 공격을 구분하기 어려워 공격에 효율적인 대응이 어려움
  • 라우터 뒤 : 라우터의 패킷 필터링을 거친 뒤의 패킷을 검사. 패킷이 라우터로 들어오기 전보다 더 적은 수의 공격을, 더 강력한 의지를 가진 공격자 탐지 가능
  • 방화벽 뒤 : 방화벽 뒤에서 탐지되는 공격은 네트워크에 직접 영향을 주므로 탐지되는 공격에 대한 정책과 방화벽과의 연동성이 가장 중요한 부분. 내부에서 외부로 향하는 공격도 탐지할 수 있는 곳이므로 내부의 공격자도 어느 정도 탐지 가능. = IDS를 한 대만 설치할 수 있다면 이곳에 설치하기
  • 내부 네트워크 : 내부의 클라이언트를 신뢰할 수 없어 이들에 의한 내부 네트워크 해킹 감시하고자 할 때 설치할 수 있는 곳
  • DMZ : DMZ에 침입방지시스템을 설치하는 것은 매우 능력이 뛰어난 외부 공격자와 내부 공격자에 의한 중요 데이터의 손실이나 서비스의 중단을 막기 위함. 중요 데이터와 자원을 보호하기 위해 침입탐지시스템을 별도로 운영하기도 함

 

 

▶ IPS(침입방지시스템)

- 침입탐지시스템(IDS)과 방화벽(Firewall)의 조합

- 탐지와 차단을 함께 수행하는 실시간 보안 장비

- 침입탐지 기능을 수행하는 모듈이 패킷 하나하나를 검사해 그 패턴 분석한 뒤, 정상적 패킷이 아니면 차단

- OS나 Application 취약점을 능동적으로 사전에 예방

- 비정상적 트래픽 또는 제로데이 어택까지 차단 가능

- 외부에서 내부 네트워크로의 침입 방지

- IDS는 특정 패턴을 기반으로 공격자의 침입 탐지하는 반면 IPS는 공격 탐지를 뛰어넘어 탐지된 공격에 대해 웹 연결을 끊는 등 적극적으로 막아주는 솔루션

 

- IPS의 종류

1. Switch 기반

  • Worm/D(D)oS 등 알려지지 않은 공격 차단에 중심
  • 성능적 측면 강조
  • 알려진 공격 차단 및 대응 기능 미비

2. Firewall 기반

  • 기존 *ACL에 기반한 침입차단 기능에 알려진 Work이나 DoS 공격 탐지 모듈 추가
  • 유해정보차단 측면 강조
  • 알려진 Worm이나 DoS 이외의 공격 차단 및 대응 기능 미비

*ACL(Access Control List) : 허가되지 않은 이용자가 라우터나 네트워크의 특정 자원을 접근하려고 하는 것을 차단

 

3. IDS 기반

  • 기존 IDS를 *In-line mode로 동작하도록 일부 수정
  • 알려진 공격 차단 및 대응 기능 강조
  • 기존의 IDS가 가지는 높은 오탐률 및 관리의 어려움 상존
  • 성능 측면의 한계 보유

*In-line mode : 네트워크 방화벽 구성과 동일하게 모든 트래픽이 해당 보안장비를 거쳐야만 목적지로 전송될 수 있도록 네트워크 구성하는 경우

 

- IPS의 동작

  • 최근에는 IPS에 가상머신을 이용한 악성코드 탐지라는 개념 도입해 적용
  • 가상머신에서 실행된 코드나 키보드 해킹이나 무차별 네트워크 트래픽 생성과 같은 악성코드와 유사한 동작을 보이게 되면 해당 패킷 차단

- IPS의 설치

: 일반적으로 IPS는 방화벽 다음에 설치

= 방화벽이 네트워크 앞부분에서 불필요한 외부 패킷을 한번 걸러주어 IPS가 더 효율적으로 패킷 검사!

 

 

▶방화벽, IDS, IPS의 비교

- 방화벽은 전송 계층과 네트워크 계층의 IP/Port 데이터를 기반으로 동작

- 침입방지시스템은 방화벽이 검사할 수 없는 응용 계층 데이터까지 검사

- 침입탐지시스템과 침입방지시스템 등 네트워크 보안 시스템에서 비정상 트래픽을 탐지하려고 네트워크 패킷의 헤더뿐만 아니라 헤더를 제외한 페이로드에 포함된 데이터까지 심층적으로 분석하는 기술로 DPI(Deep Packet Inspection)를 사용

  방화벽 IDS(침입탐지시스템) IPS(침입방지시스템)
목적 접근통제 및 인가 침입 여부의 감지 침입 이전의 방지
특징 - 수동적 차단
- 내부망 보호		 로그, 시그니처 기반의 패턴 매칭 정책, 규칙 DB기반의 비정상 행위 탐지
장점 - 엄격한 접근 통제
- 인가된 트래픽 허용 (서비스 및 객체에 대한 접근권한 정책을 구체적 규정 가능하여 불필요한 서비스 사용 제한)		 - 실시간 탐지
- 사후 분석 대응 기술 (모든 패킷에 대해 자체 탐지 모듈 지원으로 네트워크 이상 징후 경고)		 - 실시간 즉각 대응
- 세션 기반 탐지 가능 (모든 패킷에 대해 자체 탐지 및 차단 모듈 지원으로 네트워크 보호)
단점 - 내부자 공격 취약
- 네트워크 병목 현상 (IP와 Port 이외의 복합적이고 정교한 공격 탐지 불가)		 변형된 패턴에 대해서는 탐지 어려움 (방화벽과의 연동 방어를 통해 차단 가능함(독립적 차단 제한적)) - 오탐 발생 잦음
- 고가의 장비 (방화벽 고유 기능 지원 불가로 사설 네트워크 구성 불가)

 

 

▶VPN(Virtual Private Network, 가상 사설망)

- 인터넷과 같은 공중 네트워크를 이용해 사설 네트워크 사용할 수 있도록 가상의 네트워크 구성

- 여러 지점에 분산되어 있는 사설망을 하나로 통합하기에 한계가 있기 때문에 공중망 이용해 데이터 전송

ex) 해외여행 가서도 국내 온라인 게임 가능, 회사 내의 서버를 집에서도 보안된 상태로 접근 가능, 원격의 두 지점 간을 내부 네트워크처럼 이용 가능 등

 

▶웹 방화벽(Web Application Fairewall)

- 일반적인 네트워크 방화벽과는 달리 웹 어플리케이션 보안에 특화

- 웹 어플리케이션에 대한 공격 방어와 접근 통제 및 모니터링 수행하는 보안 장비

  • 웹 공격 대응 : SQL Injection, XSS 등
  • 정보 유출방지
  • 부정 로그인 방지
  • 웹사이트 위변조 방지

- 웹 서비스의 취약점을 이용한 공격 탐지/차단

- OWASP top 10을 기반으로 적용된 차단룰을 바탕으로 함

 

- 웹 방화벽의 주요 기능

  • Request 메시지 차단 : 요청 메세지의 URL 단위 탐지 기능 (확장자명으로도 차단 가능)
  • Response 메시지 차단 : 웹서버 내부의 에러나 오류 정보를 탐지하고 차단
  • HTTP 속성값 탐지 : HTTP 메시지의 속성값이 변조된 것ㅇ르 탐지
  • Health Check : 웹방화벽 하단의 웹서비스 이상 유무 확인
  • Bypass : 장애 발생시 Bypass 기능 사용

- 웹 방화벽의 구성

 

 

▶DLP(내부 정보 유출 방지)

- 조직 내부 중요자료가 외부로 빠져나가는 것을 탐지하고 차단하는 솔루션

- 문서보안(내부정보보안)을 목적으로 하는 기술

- 데이터의 흐름 감시해 기업 내부의 중요 정보에 대한 유출 감시/차단

- 기업 내 네트워크와 시스템에 있는 민감한 정보를 규정하고 찾아내어 이를 정의한 이후, 이 정보의 사용과 배포를 통제하는 일련의 과정

- 기밀정보의 범위 : 기업 구성원 정보, 기업 운영 프로세스, 고객과 직원에 대한 신원확인정보, 영업정보, 재무제표, 전략정보, 소스코드 등

- 중요 정보가 어디로 유출이 되며, 누가 유출을 시도하는지 데이터 중심으로 탐지 가능

- 네트워크 DLP : 메일, 메신저, 웹메일, 웹하드, P2P 등 네트워크를 통해 정보가 유출되는 것을 모니터링하고 정책에 따라 통제하는 역할 수행

- 단말 DLP : PC와 같은 단말기에서 USB 등의 이동식 저장매체와 출력물 등을 통해 유출되는 것을 방지하는 역할 수행

 

 

▶DRM(디지털 저작권 관리)

- 디지털 권한 관리의 의미 : 각 문서 단위 권한 제어

- 문서보안(내부정보보안)을 목적으로 디지털 콘텐츠의 저작권을 보호하는 기술

- 암호화 기술 사용해 사용자가 허가한 권한 범위 내에서만 컨텐츠를 사용할 수 있게 통제

- 특정 형태의 문서만 통제하는 게 아니라 MS워드, HWP, TXT, PDF 등 대부분의 파일 통제 가능

- 응용 프로그램에서 문서 작성 후 하드디스크에 저장할 때 커널에 삽입된 DRM 모듈이 이를 암호화하여 기록

- 하드디스크에 저장딘 암호화된 파일을 읽을 때, 자격이 있는지 확인한 후 이를 복호화해 응용 프로그램에 전달해줌

 

 

▶DLP vs DRM

  DLP(Data Loss Prevention) DRM(Digital Rights Management)
기본 동작 방식 데이터 분류 및 흐름 감시 각 문서 단위 권한 제어
적용 개요 데이터 흐름을 감시함으로써 데이터 유출 감시/차단 - 사용 권한 레벨이 사전에 정의됨
- 문서 생성자가 적절한 권한을 부여하며 문서 소멸시까지 따라다님
- 문서는 암호화되어 권한을 지닌 사용자만이 접근 가능
어플리케이션
종속성		 벤더 및 어플리케이션 중립적으로 보다 다양한 컨텐츠 감시/차단 기능 기존 Office Application 업무 환경/작업 방식에 변화를 줌 (MS-Office, Outlook, Adobe PDF 등)
주요 강점 - 사용자에게 투명하게 동작
- 포괄적 보호 (단일 에이전트로 다양한 유출 경로 지원, 다양한 파일 형식 지원)
- 내용 인식, 추적		 - 외부 유출시에도 문서가 계속 보호됨 (암호화)
- 커스터마이즈 기능 (그룹웨어 등)

 

 

▶NAC(Network Access Control)

- NAC 시스템은 과거 IP 관리 시스템에서 발전한 솔루션

- 기본적인 개념은 IP 관리시스템과 거의 같고, 네트워크에 대한 통제를 강화함

분류 주요 기능
접근 제어/인증 - 내부 직원 역할 기반의 접근 제어
- 네트워크의 모든 IP 기반 장치 접근 제어
PC 및 네트워크 장치 통제 (무결성 체크) - 백신 관리
- 패치 관리
- 자산 관리 (비인가 시스템 자동 검출)
해킹, 웜, 유해 트래픽 탐지 및 차단 - 유해 트래픽 탐지 및 차단
- 해킹 행위 차단
- 완벽한 증거 수집 능력

 

- NAC의 주요 기능

1. Zero-day attack의 경감 : NAC 솔루션의 가장 중요한 역할은 *엔드포인트들이 네트워크에 접근했을 때 네트워크 상의 엔드포인트들이 새로 접근한 엔드포인트에 의해 바이러스에 감염되는 것을 막음

*엔드포인트(endpoint) : 노트북, 컴퓨터, 스마트폰 등 네트워크에 접속하는 모든 유무선 단말들

 

2. 정책의 강제화 : NAC 솔루션은 네트워크 관리자들이 어떤 종류의 엔드포인트들이나 사용자들이 네트워크에 허용되는지 방침을 세우고 스위치, 라우터, 네트워크 중간 장비들로 구성된 네트워크에 정책을 강제화할 수 있게 해줌

 

3. 계정 및 접근 관리 : 옛 방식은 IP를 기준으로 통제를 했다면 NAC(네트워크 접근제어)는 IP 기준이 아니라 사용자를 기준으로 네트워크를 통제

 

- NAC 구성

  • NAC의 접근 제어 및 인증 기능은 일반적으로 MAC 주소를 기반으로 수행됨
  • 네트워크에 접속하려는 사용자는 네트워크 접속에 사용할 시스템의 MAC 주소를 IP 관리시스템의 관리자에게 알려줘야함
  • 관리자가 해당 MAC 주소를 NAC에 등록하면 사용자는 비로소 해당 네트워크를 사용할 수 있는 권한을 가짐
  • NAC은 등록된 MAC 주소만 네트워크에 접속할 수 있게 허용
  • 라우터로 구분된 서브 네트워크마다 에이전트 시스템이 설치되어 있어야 함

 

 

▶보안 OS (Secure OS)

- 보안 OS는 운영체제에 내재된 결함으로 인해 발생할 수 있는 각종 해킹으로부터 보호하기 위해 보안 기능이 통합된 보안 안 커널을 추가로 이식한 운영체제

- 컴퓨터 사용자에 대한 식별 및 인증, 강제적 접근 통제, 임의적 접근 통제, 재사용 방지, 침입 탐지 등의 보안 기능 요소를 갖춘 운영 체제

- 주요 핵심 서버에 대한 침입 차단 및 통합 보안 관리

 

 

- 보안 OS (보안 운영체제) 주요 기능

  • 강력한 접근 제어
  • 해킹 방지 기능
  • 상세한 로그 확보 : 시스템 모니터링에 효과적
  • 통합관리 가능 : 다수의 서버를 하나의 관리자 단말에서 종합적으로 관리 가능

 

▶스팸 필터 솔루션

- 스팸 필터 솔루션은 메일 서버 앞단에 위치하여, 프록시 메일 서버로서 동작 (또는 메일서버 내에 sw 형태로 설치)

- SMTP 프로토콜을 이용한 DoS 공격이나 폭탄 메일, 스팸 메일을 차단

- 전송되는 메일의 바이러스 체크

- 내부에서 밖으로 전송되는 메일에 대한 본문 검색 기능을 통해 내부 정보 유출 방지

 

 

- 메일 헤더 필터링

- 제목 필터링

- 본문 필터링

- 첨부파일 필터링

 

 

▶백신/PC 방화벽

- 백신

  • 백신 프로그램은 시스템에 항상 상주하여 바이러스나 웜이 구동하면 이를 실시간으로 제거하는 형태로 운영
  • 바이러스나 웜, 그리고 인터넷으로 유포되는 악성코드까지 탐지하고 제거할 수 있음
  • PC나 단말에 설치되는 가장 기본적이면서 필수적인 보안 솔루션

- PC 방화벽

  • PC 방화벽은 네트워크 상의 웜이나 공격자로부터 PC를 보호하기 위해 사용
  • PC 방화벽은 PC 내부로 유입되는 패킷 뿐만 아니라 나가는 패킷까지 모두 차단하고 사용자에게 해당 네트워크 패킷의 적절성 여부 확인
  • 윈도우의 파일 공유와 같이 취약점에 잘 노출되는 서비스는 기본적으로 차단
  • 윈도우 방화벽에서는 일반적인 방화벽 솔루션과 동일한 방식으로 설정하여 상세하게 통제 가능
  • 인바운드(Inbound) 규칙 : 외부에서 내부로 들어오는 패킷에 대한 규칙
  • 아웃바운드(Outbound) 규칙 : 내부에서 외부로 나가는 패킷에 대한 규칙

 

▶MDM/MAM

- MDM(모바일 단말 관리 : Mobile Device Management)

: 스마트폰이나 태블릿, 휴대용 컴퓨터와 같은 모바일 기기를 관리할 수 있는 기능 제공하는 기술

  • 모바일 기기에 사용자를 등록하여 사용자 인증 후에 해당 기기를 사용할 수 있도록 할 수 있음
  • 특정 서비스를 활성화 시켜 안전하게 모바일 기기를 사용할 수 있는 보안 기능 제공
  • 기기 위치 및 자산 추적과 기기 내의 자료 삭제 등의 기능 제공
  • MDM의 기능은 모바일 기기 전체에 적용되기 때문에 개인의 사생활을 감시하는 프라이버시 문제의 우려 존재

 

- MAM(모바일 어플리케이션 관리 : Mobile Application Management)

  • MDM과 유사한 개념이나, 모바일 기기 전체가 아니라 기기에 설치된 일부 특정 App에만 기업의 보안 정책이 적용
  • 기업의 보안관리자가 업무용 앱만 제어 가능
  • 나머지 앱 사용에 대해서는 사용자의 프라이버시가 보호됨

 

▶SOAR(Security Orchestration, Automation, and Response)

: 보안 운영 및 대응을 향상시키기 위한 자동화 및 조정 기술 제공하는 플랫폼

 

- 자동화 : SOAR 플랫폼은 반복적이고 루틴한 보안 작업 자동화하는데 이는 보안 이벤트의 신속한 처리와 대응 능력 향상시킴

- 오케스트레이션 : SOAR는 여러 보안 도구 및 시스템 간의 통합과 협력을 지원하고, 이를 통해 보안 이벤트에 대한 종합적인 대응을 가능하게 함

- 대응 및 조정 : SOAR는 보안 이벤트에 대한 대응을 조정하고 관리함. 이를 통해 보안 팀은 사건을 신속하게 처리하고 조직의 보안을 유지할 수 있음

- 워크플로우 관리 : SOAR 플랫폼은 보안 이벤트를 처리하는 데 필요한 워크플로우를 정의하고 관리함. 이를 통해 작업의 일관성을 유지하고 분석된 결과에 따라 조치 취함

- 알림 및 보고 : SOAR는 보안 이벤트에 대한 알림 및 보고를 생성하고 관리함. 이는 보안 팀에게 중요한 정보를 전달하고 의사결정을 지원

 

 

▶ESM(Enterprise Security Management)

: 조직의 네트워크와 시스템에서 발생하는 보안 이벤트와 로그를 중앙 집중화하고 분석해 보안 위협 탐지하고 관리하는 솔루션

 

- 로그 관리 : ESM은 다양한 소스에서 로그 데이터를 수집하고 저장함. 이는 보안 이벤트 및 활동의 추적과 분석 가능하게 함

- 이벤트 탐지 : ESM은 로그 데이터를 실시간으로 분석해 비정상적 활동 탐지하고 알림 생성. 이를 통해 보안 위협 신속하게 식별 가능

- 위협 지능 : ESM은 위협 정보와 인공 지능 활용해 고급 위협 탐지하고 대응할 수 있도록 지원

- 보고 및 대시보드 : ESM은 보안 관련 보고서 및 대시보드를 생성해 조직에게 보안 상태를 시각적으로 제공함. 이를 통해 보안 전문가와 조직 리더십은 보안 상태를 모니터링하고 관리 가능

- 정책 및 규정 준수 : ESM은 보안 정책 및 규정을 준수하도록 도와주며, 감사 및 감사 추적 지원

 

✍️ 수업 메모

▶ 로그 분류

1. 네트워크

- 네트워크 장비

  • 스위치
  • 라우터
  • 공유기
  • IOT 장비 등

- 보안 솔루션

  • 방화벽
  • DDOS Shield
  • IDS/IPS
  • WAF
  • DB 접근제어
  • 스팸메일 필터
  • NAC(Network Access Control)

2. 시스템

- 윈도우 : 윈도우 이벤트 로그

  • 어플리케이션
  • 시스템
  • 보안
  • 마이크로소프트 로그 존재 C:\Windows\System32\winevt\Logs
  • Sysmon 로그 : 이벤트 로그를 지원해주는 플러그인 개념으로 응용프로그램 실행 흔적이 상세하게 기록됨

-유닉스 계열 ex) AIX, Linux 등

  • Audit.log : 원격에서 접속 기록
  • Cron.log : 자동실행 기록 로그
  • Message : 시스템 전반에 걸친 로그를 기록 ex) USB 연결 
  • last, w, lastb 등과 관련된 로그 존재 (바이너리 형태이기 때문에 수집 불가) 
  • history : 사용자 커맨드 실행 기록, 각각의 사용자 홈 디렉토리에 생성

3. 애플리케이션(3rd Party) : 제 3자에 의해 제공되는 서비스 계열

- WEB/WAS 

⚠️ 공격자로부터 가장 많이 발생되는 공격 유형 중 하나

⚠️ 윈도우의 IIS 서버는 3rd 개념은 아님

  • WEB : APACHE → access.log, error.log
  • WAS : Tomcat → access.log, error.log

- DB 로그 : SQL 쿼리 로그로 접근 로그가 중요!

- 도커/쿠버네티스 : 프로세스, 컨테이너 생성, 네트워크 등과 관련된 로그들이 존재

- 백신

- EDR 로그

- DLP 로그

 

▶ 사이버 위협 = 공격 유형

1. 네트워크 : 네트워크 트래픽을 통해 이뤄지는 공격 형태 ex) 스니핑, 스푸핑, DoS, DDoS, 스캐닝

 

2. 웹 : SQLi, XSS, CSRF, SSRF, FileUpload, Directory Listing 등

- 자동화된 공격도구를 사용하여 시도

- 자동화된 도구의 식별정보를 많이 알고 있어야 함

- 도구 식별이 빠르게 되면, 해당 도구가 지원되는 기능 범위를 통해 효율성을 향상시킬 수 있음

 

3. 내부자

- 자료 유출 ex) USB, 프린터, 메일, 메신저

 

4. 악성코드

- exe 형태 식별

- 유입되는 경로 : 대부분 이메일 첨부파일로 유입 ex) USB, DM, 불명확한 사이트로부터 직접 다운로드

 

5. 물리 형태 : USB, Cable(충전케이블) 등

 

▶ 방화벽

- 화이트리스트 : deny 정책 선언 후 허용할 IP & port & Service 허용

  • 내부에서 방화벽을 운용할 경우

- 블랙리스트 : 모든 것을 허용해놓고 차단할 것을 추가하는 형태

  • 외부에서 방화벽 운용 (WEB 서버 연결시)

▶ NAT 이해

- IP

  • 공인 IP : 통신사를 통해 임대받는 개별IP (중첩되지 않음), A부터 D클래스 까지 사용가능
     → 회선 1개당 1개의 공인IP부여, 가정집의 경우 1개가 부여됨
     → 고정IP, 유동IP 개념 존재
     → 클래스 대역 
  • 사설 IP : 공인 IP대역에서 사설IP 대역이 존재
     →  누구나 공용으로 쓸 수 있는 대역(중첩)
     → 10.0.0.0 ~ 10.255.255.255, 172.16.0.0 ~ 172.31.255.255
     → 192.168.0.0. ~ 192.168.255.255
     → ex) 공유기, 라우터(공인 IP) > 스위치 > 공유기(사설) > 192.168대역
  • NAT : 공인IP를 공인IP대역으로 쪼개어 사용하는 방식
     → ex) 11.1.1.2와같은 IP를 사용하고 싶을 경우
     → NAT안에 사설IP가 포함되어있음

오늘의 후기

: 개념 확실히 잡고 가자!

저작자표시 비영리 변경금지

'SeSAC > 보안관제' 카테고리의 다른 글

[SeSAC 성동캠퍼스 1기] 온프레미스와 클라우드 환경의 보안관제 실무 2일차  (0) 2023.12.27

관련글

티스토리툴바