SK shieldus Rookies 16기

[SK shieldus Rookies 16기] 클라우드 기반 스마트 융합 보안 과정 교육 정리(52일차)

Challenge programmers 2024. 1. 16. 17:31

오늘 학습 주제

1. 보안관제의 이해

2. 보안관제 기술

3. 보안관제시스템

 

 

 

보안관제의 이해

- 보안관제 업무 절차(보안 운영) -

보안시스템의 효율적인 장애 관리 및 ESM 연동대상 장비에 대한 형상 관리로시스템의 안정성을 도모하고

정규화된 운영 프로세스 및 Issue Lists를 통해 보안 운영 최적화

 

보안운영은 관제센터 내외부 자산에 대해 도입, 설치, 운영, 폐기 등

자산의 안전한 관리를위해 준수하여야 할 업무를 담당

세부적으로 자산관리, 장애관리, 작업관리, 보안설정, 예방점검, 백업관리, 기술지원 등의업무를 수행

항상 유지보수 업체와 보안운영은 긴밀한 관계를 유지

 

 

 

 

보안관제 기술

- 보안관제 탐지/방어기술 -

구분 패턴기반탐지 행위기반탐지 상관분석
내용 공격방법과 공격도구에 대한 분석을 통해
특정 패턴을 파악		  일반적인 사용자와 구별되는
인터넷 사용패턴에 기반을 둔
탐지기법

 공격유형과 사용자 행동을
기계적 학습으로 모델링		  둘 이상 이벤트가 서로
의미를 부여하여 하나의
결과물을 생성 하는 것

 데이터마이닝 알고리즘
사용 (순서패턴, 분류규칙)

 조건 : 정규화와 축약
장단점  탐지속도가 빠르고 정확성 높음

 사전에 분석된 공격형태만 탐지 가능		  통계기반의 비정상 행위
탐지에 효과적

 통계적 특징이 불명확한 공격
탐지 불가능		 공격 시나리오 기반 탐지가 가능하고 탐지의 정확성 향상

 상관분석 역량 및 시스템
성능 부족
관련 보안
시스템		  IDS/IPS

 WAF

 DDoS

 Anti-Virus		  IDS/IPS

 WAF		  ESM

 SIEM

 TMS

 

사이버 공격의 탐지기술은 패턴기반 탐지기술, 행위기반 탐지기술 및 상관분석 기술로 분류하며

세가지 탐지기술을 유기적으로 결합시키는 것이 중요

 

 

- 탐지패턴 활용 -

스노트(Snort):네트워크 트래픽을 실시간으로 모니터링하고공격이나 이상 행위를 감지하는 침입 탐지 시스템

 

 

 

 

 

 

보안관제 시스템

- 보안솔루션 분류 -

 

 

- 방화벽(Fire Wall) -

신뢰하지 않는 외부 네트워크와 신뢰하는 내부 네트워크 사이를 지나는 패킷을

미리 정한 규칙에 따라 차단하거나 통과시키는 기능을 하는 하드웨어 또는 소프트웨어

 

패킷 필터링:
소스 및 대상자 IP주소, 포트번호 등 통신 데이터의 통과여부를 판단해 무단 접근을 방지패킷

필터링시 비트수 반드시 확인

 

방화벽의 한계:대용량의 트래픽을 견디지 못하며

노후화가 되면 트래픽을 감당하지 못해 장애 발생

 

 

- IDS / IPS -

IDS:

 

 

IPS:

 

 

TAP:

 

 

By-Pass:

 

 

 

- DDos 대응 솔루션 -

DDos 공격은 막을 수 있어 내부에는 영향이 없지만

트래픽은 점유하고 있기에 정상적인 서비스는 힘들다

 

Sinkhole Routing:특정한 목적지로 향하는 패킷들을 다른 경로로 포워딩

 

 

- 웹 방화벽(WAF) -

웹트래픽에 특화된 보안 솔루션웹서버 앞에서 사용자의 요청과 서버의 응답을 검사하여

정상 트래픽은 통과시키고 인젝션 및 크로스 사이트 스크립팅 등과 같은 악의적인 요청이나

주민번호, 계좌번호 등 민감한 정보 유출에 대한 응답을 차단

 

SSL 복호화 연동:암호화에 숨은 공격, 인라인 복호화로 탐지

 

웹쉘탐지솔루션:

 

 

- NAC -

네트워크 진입 시 단말과 사용자를 인증하고 사전에 지정된 보안 정책을 적용하는네트워크 접근 제어 솔루션

 

 

- Anti-Virus -

바이러스, 웜, 랜섬웨어 등과 같은 악성 소프트웨어 프로그램을 검색, 방지, 해제 또는 제거하는 프로그램

 

 

- 기타 보안 솔루션 -

매체제어시스템:

 

 

DRM:

 

 

DB 암호화 솔루션:

데이터 암호화를 통한 정보유출 원천 방지

 

스팸차단 솔루션:

보낸사람, ID, 제목, 첨부파일, 전송 횟수 등을 탐지하여 차단

 

 

 

 

 

 

 

보안관제 실무

- 보안관제센터 -

출입 시 지문, 키카드 등 보안 절차를 통과해야 함사업 투입 및 종료 시 서약서(보안각서) 작성

공공기관의 보안관제센터는 신원조회 절차를 진행

 

 

- 보안관제 사업 조직 -

1인 1조는 야간에 휴식시간 보장이 힘들다

 

 

- 보안관제 사업 수행 업무 -

 

 

- 훈련지원 -

 

 

- 정보공유 -

 

 

- 보안관제시스템 성능관리 -

 

 

- 산출물 -

 

일일보안관제보고서:

작성시간 기준 - 매일 00:00 ~ 23:59 또는 금일 06:00 ~ 명일 05:59

포함내용 -

각 보안장비에서 발생한 침해위협 발생 현황(정/오탐 모두 포함)

침해위협 발생 기반으로 티켓팅 현황

시스템 운영 현황

스팸/피싱 메일 수신 현황

각 보안장비 탐지정책 추가/변경 현황

침해사고 예방활동(보안 뉴스, 권고문 등)

 

침해사고 분석 보고서:

서버 및 보안 장비 등에서 발생한 보안사고에 대해 사고 관련 자료를 수집하고

분석하여 작성하는 보고서

보고서 포함 내용 -

개요

피해 서버 또는 장비 정보

공격자 정보

 침해사고 일시 및 경과

공격내용

피해내용

향후 대응 방안

 

 

- 비정상 트래픽 티켓팅 -

티켓팅: 보안관제 시스템에 미리 적용한 정책에 의해 비정상적 트래픽 탐지시

자동으로 경보가 발생하면 관제인원이 시스템을 통해 접수하고 종결 처리하는 일련의 과정

 

처리과정:

단위보안장비에서 통합보안관제시스템으로 수집되는 로그들에 대해서

공격지 IP, 목적지 IP, 경보내용을 확인 후 해당 보안장비에 접속,

정/오탐을 판단하여 실제 공격으로 확인될 경우 외부 방화벽에 유해 IP 차단

 

 

- ESM -

 

 

- SIEM -

빅데이터란 디지털 환경에서 생성되는 데이터로

규모가 방대하고 생성 주기도 짧으며 형태도 수치 데이터 뿐만 아니라

문자와 영상 데이터를 포함하는 대규모 데이터

빅데이터를 통해 사람들의 행동, 위치정보, 생각과 의견까지 분석하고 예측 가능

 

빅데이터 7요소:

규모, 다양성, 속도, 정확성, 가치, 가변성, 시각화

 

보안 빅데이터:

분석 대상 로그가 보안 로그에서 어플리케이션 로그로 규모가 커지고

형태도 다양해지면서 기존 방법으로는 수집, 저장, 검색, 분석이 어려운 보안 로그 데이터

 

SIEM:다양한 정보 시스템에 대한 로그 관리 및 분석을 강화되고 빅데이터 기술이 접목되어

정보 시스템 전반에 대한 신속한 위협탐지를 가능하게 하는 지능형 로그 관리 플랫폼