--네트워크_물리적 네트워크 보안 장비(1~8)
1) 웹 방화벽(WAF): 일반적인 네트워크 방화벽과 달리 웹 애플리케이션 공격에 대응하기 위한 웹 트래픽의 웹 컨텐츠를 분석하고 탐지 및 차단할 수 있는 기능을 가진 보안 장비. 웹 컨텐츠에 포함된 다양한 난독화 스크립트를 해제 후 분석하거나, SQL 인젝션/XSS와 같은 다양한 웹 공격에서 사용되는 요청 파라미터 패턴을 분석하여 해당 공격에 대응하고, 직접적인 웹 공격 대응 이외에도 정보 유출 방지, 부정 로그인 방지(brute force와 같은 비정상적 로그인 시도에 대한 제어), 웹 사이트 위변조 방지 등에 활용 가능.
ex) KISA-캐슬, ATRONIX-WebKnight, Trustwave-ModSecurity(아파치 웹서버에서 동작하는 오픈소스 웹 방화벽 웹 애플리케이션에 대한 실시간 모니터링 및 로그 분석, 웹 공격에 대한 침입 탐지 및 침입 방지 기능)
2) 디도스 차단 시스템: 일반적으로 디도스 공격 특히 Flooding 계열 공격으로부터 다른 장비들을 보호하기 위해 네트워크 구성 상 가장 상단에 위치하는 보안 장비
3) IDS(침입탐지시스템): 사전에 등록한 알려진 공격 패턴이나 임계치 등에 따라 공격을 탐지하는 장비로, 차단 목적이 아닌 탐지 목적이므로 NIDS의 경우 패킷 미러링 모드로 설치함.
① HIDS: 호스트에 설치되어 호스트 정보(호스트 자원 사용 실태, 로그 등)를 수집하여 탐지활동을 수행하는 IDS.
>> 단일 호스트 IDS와 다중 호스트 IDS로 나뉨
② NIDS: 네트워크 트래픽을 수집해 탐지 활동 수행. 대표적으로 스노트가 있음.
침입 탐지 방식에 따른 구분)
① 오용 탐지: 알려진 공격 패턴(시그니처) 기반으로 공격을 탐지하는 기법으로, 지식 기반/시그니처 기반 탐지라고도 함. 오탐률(false positive)이 낮고 미탐률(false negative)이 높음.
② 이상 탐지: 정상적이고 평균적인 상태를 등록하여 이 범위를 벗어나는 경우 공격으로 탐지하는 기법. 행위 기반/통계 기반 탐지라고도 함. 오탐률이 높고 미탐률이 낮음.
4) IPS(침입방지시스템): 사전에 등록된 알려진 공격 패턴 및 임계치 등에 따라 공격 탐지 후 차단까지 수행하는 보안 장비. 실시간 차단을 위해 인라인 모드로 설치.
**미러링/인라인 모드
① 미러링 모드: 탭 장비와 같은 네트워크 장비의 미러링 포트 기능을 사용해 네트워크 패킷을 복제하여 원래 목적지와 제어 장비로 패킷 전달함. 전체 네트워크 가용성에 영향을 주지 않으며 패킷을 탐지할 수 있으나, 실제 패킷을 차단하기 어려우므로 차단 기능이 없는 탐지 목적의 장비에 주로 사용함.
② 인라인 모드: 모든 패킷이 보안 장비를 거쳐 목적지로 도달하는 방식으로 보안 정책에 따라 패킷을 pass/drop 가능. 하지만 모든 패킷이 장비를 거치기 때문에 장비에 과도한 부하로 인해 장애가 발생할 수 있고, 이로 인해 네트워크에 영향이 갈 수 있으므로 물리적 바이패스/이중화 등을 통해 fail-over될 수 있도록 해야 함.
5) 네트워크/시스템 방화벽: 네트워크 계층의 IP 주소와 전송 계층의 포트 주소 기반으로 방화벽 룰셋(필터링 정책)에 따라 패킷 필터링을 수행하는 보안 장비. 방화벽은 서로 다른 보안 레벨의 네트워크 경로 사이에 위치(인터넷-DMZ 사이, DMZ-내부망 사이, 내부망 내의 서로 다른 서버존_개발/검증/운영 등 사이)하고, HA(고가용성)환경을 위해 active-standby/active-active 방식의 이중화 구성으로 설치함.
**방화벽의 상태 검사/추적 기능
방화벽을 통과하는 모든 패킷에 대해 네트워크 및 전송 계층 정보만이 아닌 일정 시간 프로토콜별 연결 상태 정보를 유지해 추적하는 기능. 연결 상태에 있는 패킷에 대해서는 방화벽 룰셋 검사 없이 모두 허용하고 방화벽 룰셋에서 허용하는 연결을 가장하여 접근하는 패킷에 대하여 모두 차단할 수 있음. 따라서 효율적인 방화벽 룰셋 설정과 성능상&보안상의 장점을 가짐
**방화벽 구성 방법
① 스크리닝 라우터: 패킷 필터링 기능을 이용해 방화벽 기능을 함께 수행하는 라우터. 외부-내부 경계 라우터를 주로 이용
② 듀얼 홈 게이트웨이: 두 개의 네트워크 인터페이스가 설치된 배스천호스트. 하나는 외부, 하나는 내부와 연결. 스크리닝 라우터와 달리 라우팅 기능 없음
**단일 홈 게이트웨이는 네트워크 카드가 하나인 방화벽으로 일반적으로 배스천호스트라고 부름.
③ 스크린드 호스트 게이트웨이: 외부 스크리닝 라우터와 듀얼 홈드 게이트웨이를 조합하여 구성한 방식. 외부>내부로의 트래픽은 스크리닝 라우터에서 필터링, 이를 통과한 트래픽에 대해서는 듀얼 홈드 게이트웨이에서 2차로 필터링함.
④ 스크린드 서브넷
게이트웨이: 스크리닝 라우터들 사이에 듀얼 홈드 게이트웨이를 조합해 구성. 외부-내부 사이 DMZ라는 네트워크 완충지역 역할을 하는 서브넷을 운영하는 방식.
6) APT 대응 시스템: 네트워크 트래픽을 통해 유입되는 실행파일/문서 등을 추출, 평판 조회(이미 알려진 악성 파일인지의 여부 등) 및 가상머신 기반의 샌드박스 환경에서 해당 파일 직접 실행해 악성 여부를 판단하는 장비. 일반적으로 엔드포인트 솔루션을 함께 제골하여 가상머신을 통한 분석이 완료될 때까지 엔드포인트의 파일 실행을 보류하거나 악성 파일로 판단될 경우 파일 삭제 등의 기능을 수행
7) NFS(네트워크 포렌식 시스템): 설치된 네트워크 구간을 통과하는 모든 트래픽을 수집/분석할 수 있는 장비. 침해사고 분석 및 내부 감사 등의 목적으로 활용. 대량의 수집 트래픽으로 대용량의 스토리지 필요
8) WIPS(무선침입방지 시스템): 인가되지 않은 무선 단말기의 접속을 자동으로 탐지 및 차단하고 보안에 취약한 무선AP를 탐지.
9) NAC(네트워크 접근제어): 단말기가 내부 네트워크에 접속을 시도할 때 이를 제어 및 통제하는 기능을 제공, 네트워크 제어 및 통제를 통해 내부 네트워크가 바이러스/웜 등의 보안 위협으로부터 안전한 단말기들로 이루어질 수 있도록 강제하는 역할.
10) UTM(통합 보안 시스템): FW, IDS/IPS, VPN, 안티 바이러스, 웹/이메일 필터링 등의 다양한 보안 기능을 하나의 장비로 통합하여 제공하는 솔루션.
11) VPN(가상사설망)
--시스템
1) 바이러스 백신
2) EDR(엔드포인트 탐지 및 대응 솔루션): 최근 악성코드는 안티 바이러스 솔루션/APT 대응 솔루션의 탐지를 우회하고 엔드포인트에서 대량의 정보를 탈취/랜섬웨어 실행 등 지능화된 방식으로 진화하고 있음. 이를 효과적으로 탐지 및 대응하기 위해 PC, 모바일 기기, 서버 등의 다양한 엔드포인트에서 발생하는 악성행위를 실시간으로 감지 및 분석하여 대응하는 솔루션. 엔드포인트에서 실행되는 프로세스 기반의 모든 행위를 지속적으로 모니터링하고 이를 기반으로 탐지하기 때문에 알려진 악성행위뿐만 아니라 알려지지 않은 악성행위에 대해서도 대응 가능(이상탐지)
3) 시스템 접근통제
4) 스팸차단 솔루션: 일반적으로 메일 서버 앞단에서 프락시 메일 서버로 동작하며 스팸메일 차단, 메일에 대한 바이러스 검사, 내부>외부로 향하는 메일에 대한 본문 검색 기능 제공.
5) 보안운영체제(Secure OS): 운영체제에 내재된 결함으로 인해 발생할 수 있는 각종 해킹으로부터 보호하기 위한 보안 기능이 통합된 보안 커널을 추가로 이식한 운영체제. 기본적으로 열려있는 취약 서비스 모두 차단하여 계정 관리 및 서비스 관리에 있어 더 나은 보안 체계를 가지고 운영될 수 있도록 함.
--컨텐츠/정보유출방지
1) DB 접근통제, DB 암호
2) 보안 USB
3) DRM(디지털저작권관리): 디지털 컨텐츠 저작권을 보호하기 위해 저작권자가 배포한 디지털 자료나 하드웨어의 사용을 제어하고 이를 의도한 용도로만 사용하도록 제어하는데 사용되는 모든 기술. 특정 자료를 저작권자가 의도한 용도로만 사용하도록 제한하는데 사용되는 모든 기술을 지칭하므로 복사방지, 기술보호 장치도 그 일부라고 할 수 있음.
4) DLP(네트워크/단말 정보유출방지): 조직 내의 중요 자료가 외부로 빠져나가는 것을 탐지하고 차단하는 솔루션. 외부로 정보가 유출될 수 있는 통로/채널은 USB, 출력물, 이메일, 웹게시판 등 다양하게 존재하고 이를 통한 유출 방지를 위해 정보 흐름에 대한 모니터링 및 실시간 차단 기능 제공
--보안관리/관제
보안 관제는 보호해야 할 정보 자산(고객 정보, 기업/기관 정보 등)에 대해 내/외부의 위협으로부터 보호하는 역할 수행. 악성코드, 랜섬웨어, 해킹, 디도스 등의 공격에 대응하기 위해 중앙 관제센터에서 실시간으로 감시, 분석, 조치 등을 수행.
일반적 순서: [정보 수집 > 모니터링 및 분석 > 대응(조치) > 보고]
1) ESM(전사적 보안 관리 시스템_1세대): 다양한 보안 장비(FW, IDS/IPS, VPN, WAF 등)에서 발생하는 보안 정보(로그, 이벤트 등)를 통합적으로 수집 및 관리(상호 연관 분석)하여 불법적인 행위에 대응할 수 있도록 함.
구성요소)
① ESM Agent: 관리 대상 보안 장비에 설치되어 사전에 정의된 규칙에 따른 로그 및 이벤트 데이터를 수집해 ESM 매니저로 전달
② ESM Manager: Engine이라고도 함. 에이전트를 통해 수집된 데이터를 저장/분석하여 그 결과를 ESM 콘솔로 전달
③ ESM Console: 매니저에 의해 전달된 정보를 시각적 전달, 상황 판단 및 리포팅하고, 매니저와 에이전트에 대한 제어와 통제 수행
2) SIEM(보안 정보 및 이벤트관리 시스템_2~3세대): ESM의 진화된 형태로 보안 장비뿐만이 아닌 각종 서버/네트워크 장비/애플리케이션 등 다양한 범위에서 발생하는 로그와 이벤트를 수집(로그 수집, 분류, 변환, 분석)하여 빅데이터 기반의 상관관계 분석을 통해 위협을 사전 차단하는 통합 보안 관제 솔루션
주요 기능)
① 데이터 통합: 다양한 보안 장비 및 애플리케이션 등에서 발생하는 데이터 수집 및 분석 >> 로그 수집, 로그 변환
② 상관관계 분석: 수집한 데이터를 유용한 정보로 만들기 위해 다양한 상관관계 분석 >> 로그 분류, 로그 분석
③ 알림: 이벤트를 관리자에게 자동으로 알릴 수 있음
④ 대시보드: 이벤트 데이터를 가지고 패턴을 표시하여 정보를 제공하거나 표준 패턴을 형성하지 않는 활동 파악 가능
3) SOAR(보안 오케스트레이션, 자동화 및 대응 시스템_3세대): 가트너에 따르면 보안 운영에 있어 유입되는 위협에 대해 대응 수준을 자동으로 분류하고, 표준화된 업무 프로세스에 따라 사람과 기계가 유기적으로 협력할 수 있도록 지원하는 대응 플랫폼. 일반적으로 자동화된 통합보안관제 시스템이라고도 함.
주요 기능)
① SIRP(Security Incident Response Platform_보안 사고 대응 플랫폼): 다양한 보안 이벤트 유형 별로 업무 특성에 맞는 업무 프로세스(워크플로우)를 정의하는 기능으로 보안운영센터(SOC)의 단순하고 반복적인 업무 처리 시간을 단축
② SOA(Security Orchestration and Automation_보안 오케스트레이션 및 자동화): 다양한 IT, 보안 시스템을 통합하고 자동화하는 기능. SIRP에서 정의한 업무 프로세스의 실행을 지원
③ TIP(Threat Intelligence Platform_위협 인텔리전스 플랫폼): 보안 위협을 판단하기 위해 다양한 내.외부 위협 인텔리전스를 활용하는 기능. 보안 분석가의 판단을 보조함.
**위협 인텔리전스 서비스(TI)
가트너의 정의: 현존하거나 발생 가능한 위협에 대한 대응을 결정하는 데 사용할 수 있도록 해당 위협에 대한 맥락, 메커니즘, 지표, 예상결과 및 실행 가능한 조언 등을 포함하는 증거 기반 지식.
한국인터넷진흥원 정의: 악성코드 정보, C&C 정보, 취약점 및 침해사고 분석 정보 등 사이버 위협 정보를 체계적으로 수집하고 종합적으로 연관 분석해 관계기관 간 자동화한 정보공유를 목적으로 하는 예방 시스템.
고도화되는 사이버 위협에 효과적으로 대응하기 위해 과거 조직 내부뿐만이 아니라 여러 외부 조직에서 겪었던 많은 위협 정보를 수집, 분석, 활용하여 생성해내는 증거 기반 정보. SIEM, SOAR 등의 보안 관제 솔루션과 연계하여 위협에 대한 분석과 대응을 효과적으로 수행할 수 있음. 알려지지 않은 보안 위협/APT(지능형 지속 위협) 등에 효과적으로 대응 가능
4) TMS(위협관리시스템)
5) PMS(패치관리시스템): 기업 네트워크에 접속하는 사용자 PC의 운영체제와 각종 애플리케이션에 대한 패치를 기업 보안 정책에 따라 자동으로 설치/업그레이드함으로써 웜이나 바이러스 공격 등으로부터 기업의 IT 환경을 효과적으로 보호해주는 솔루션
구성 요소)
① PMS 서버: 패치를 배포하고 기업 보안 정책에 따라 이를 위반한 사용자 PC를 인식하여 이들에게 강제적으로 정책에 맞는 수준의 보안을 적용하는 역할 수행
② PMS Agent: 서버로부터 패치를 적용하고 사용자 PC의 상태를 점검해서 보안 정책 위반 여부 정보를 서버에 제공하는 역할을 수행
③ 관리용 콘솔
6) RMS(자산관리시스템)
7) 백업/복구관리시스템
8) 취약점 분석 시스템
9) DFS(디지털포렌식시스템)
**사이버 위기 경보 단계 [ 정상 – 관심 – 주의 – 경계 - 심각 ]
--인증 및 암호
1) 보안 스마트카드
2) HSM(하드웨어보안모듈): 암호화된 데이터를 보호하는 암호화 키/디지털 키에 대한 정보를 안전한 저장, 관리 및 고속의 암호화 처리를 수행할 수 있는 전용의 하드웨어 장비. 내부 프로세스를 통해 전자서명 키 생성, 전자서명 생성 및 검증 등이 가능
3) OTP(일회용패스워드)
4) PKI(공개키기반구조)
5) SSO: 한 번의 사용자 인증으로 여러 시스템에 접근할 수 있는 통합 인증 솔루션. 사용의 편의성이 증대함.
6) EAM(통합접근관리): 모든 사용자에 대한 SSO와 사용자별, 그룹별 접근 권한 통제를 담당하는 권한관리 솔루션
7) IAM(통합계정관리): EAM을 보다 포괄적으로 확장한 보안 솔루션. 조직이 필요로 하는 보안 정책을 수립하고, 자동으로 사용자에게 계정을 만들어 주며, 사용자는 자신의 위치와 직무에 따라 적절한 계정 및 권한을 부여받을 수 있음. 사용자 정보의 변경/삭제도 실시간 반영 가능. 통합 인증 관리, 계정관리 솔루션으로도 불림.
--보안 솔루션(장비) 취약점
1) 계정 관리: 보안 장비 디폴트 계정/패스워드 변경, 보안 장비 계정별 권한 설정 및 계정 관리
2) 접근 관리: 보안 장비 원격 관리 접근 통제, 보안 장비 보안 접속(SSL, SSH 등), 세션 타임아웃 설정
'침해사고 분석 및 대응' 카테고리의 다른 글
| 침해사고 유형 별 시나리오 및 주요 취약점 (1) | 2023.12.31 |
|---|---|
| 침입차단시스템(iptables) (1) | 2023.12.31 |
| 침입탐지시스템(Snort) (0) | 2023.12.31 |