브랜든의공부방

https://www.boho.or.kr/

https://www.boho.or.kr/kr/bbs/list.do (정보보호 용어) - 전부 다 공부해야

보안관제에서 목숨을 걸었다면 → 쿠팡, 게임회사 로 가야 돈을 벌 수 있다.

보안관제 & SOC

(시험)보안관제 구성요소 - 객관식 예상

1. Process (관제 방법론)
   - 조직과 규모, 목표에 따른 절차
   - 위기대응 메뉴얼
   - 유관 부서간 역할 정의
2. People (숙련된 인력)
   - 역할별 기능을 수행하기 위한 인력
   - 운영 방법
   - 직접운영 / 위탁운영
3. System(모니터링 Tool/인프라)
   - 보안관제 모니터링
   - 침해사고 대응 관리 시스템
   -  다양한 분석 시스템
   
   

보안관제 전문기업

보안관제 수행업무

• 24시간 365일 보안관제
• 사전 침해 예방 서비스
• 기타 정보보안 업무 지원 서비스

SOC : Security Operation Center (보안관제)

• 중앙 집중화 된 환경에서 사람, 프로세스, 기술을 활용하여 조직의 사이버위협을 식별, 예방, 탐지, 대응, 복구 관리하며 사이버보안의 최전방에서 자산 및 정보를 보호하는 업무를 수행

SOC 구성요소

1. 전문조직 (People)
   - SOC매니저
   - 위협헌터
   - 침해대응/분석
   - 보안시스템운영
   - 진단/모의해킹
   - 보안관제
2. 기술 (Technology)
   - 엔드포인트
   - 위협헌팅
   - 사고처리
   - 포렌식
   - 위협정보공유
   - 네트워크 모니터링
3. 프로세스 (Process)
   - 관리
   - 복구
   - 대응
   - 탐지
   - 예방
   - 식별

네트워크 이해

• 1계층 케이블 / 2계층 MAC / 3계층 IP / 4계층 PORT
• 방화벽은 IP 와 PORT로 승인되지 않은 것들을 모두 차단한다

네트워크 구성방식

In-line 모드 (일반적)

• 모든 트래픽이 해당 보안장비를 거쳐야만 목적지로 전송 될 수 있도록 구성
• 2대 이상의 장비를 설치해 한 장비가 동작하지 않으면 다른 장비로 트래픽이 전달되도록 하는 Fall-Over 기능 필요 (active 가 죽으면 stand by 가 active 로 넘어가도록 동작하는 것)
• 회선 라인 위에 대응장비 설치 / 패킷이 왔을떄 문제가 있다고 판단했을떄 차단할 수 있다.
• 라인위에 올려 설치할 수 있다.

Sniffing 모드

• 물리적 회선 구성에 미러링 장비를 통해 유입된 트래픽을 분석하는 방식 (데이터가 스위치에서 서버로만 가는게 아니라 IDS 한테도 전송된다 -> IDS 는 데이터를 받고 쌓아서 "탐지"만 한다
• 결국, 미러링을 통해 탐지만 한다

Out of Path 모드 방식

• Out of Path 구성은 물리적 회선 구성 바깥에 탐지장비 및 차단장비가 설치되는 방식
• 미러링 장비를 통해 유입된 트래픽을 탐지장비(센서)에서 분석하고, 차단장비에서 해당 공격을 차단하는 방식
• Inline 방식에 비해 구성상 복잡하며 상대적으로 고비용이 요구되므로, ISP 및 대형 서비스 망에서 주로 구성하는 방식

HA(High Availability) 구성 방식 - Active-Active

• 중단 없는 서비스를 위한 구성
• 다운 타임을 최소화 함으로써 가용성을 극대화
• 트래픽에 대한 Load Balancing 을 통하여 특정 방화벽의 과부하를 제거할 수 있으며, 한쪽 방화벽 장애 시 Fail-Over 기능을 통해 서비스 가용성 보장

* Fall-Over (active 가 죽으면 stand by 가 active 로 넘어가도록 동작하는 것)

*로드 밸런싱(Load Balancing)은 서버, 네트워크, 데이터베이스 등에서 요청을 여러 개의 리소스에 분산시켜 부하를 고르게 나누는 기술

HA(High Availability) 구성 방식- Active-Standby

• 중단 없는 서비스를 위한 구성
• 다운 타임을 최소화 함으로써 가용성을 극대화
• 평상시에는 Active F/W을 통해 통신하다가 Active가 문제 발생 시 Standby를 사용

통신이해를 위한 Zone의 개념

각 Interface 별 Zone의 개념

내부망 : 물리적 망분리, 접근통제시스템 등에 의해 인터넷 구간에서의 직접적인 접근이 통제 또는 차단되는 구간

DMZ 구간 : 인터넷과 내부망 구간사이에 위치한 중간지점으로 침입차단시스템 등으로 접근제한 등을 수행하지만, 외부망에서 직접 접근이 가능한 영역으로 외부에서 서비스 제공 시, 내부 자원을 보호하기 위해 내부망과 외부망 사이에 접근제한을 수행하는 영역

인터넷 구간 : 개인정보처리시스템과 인터넷이 직접 연결되어 있는 구간

방화벽의 이해

방화벽의 원리

• 네트워크 방화벽은 기본적으로 네트워크(인터넷 서비스 망)을 통해 들어오는 패킷에 대해 사전에 관리자가 설정해 놓은 보안 규칙(접근제어 목록)에 따라 허용 또는 차단하는 기능 수행
• 일반적으로 내부 네트워크와 외부 네트워크 중간에 위치하여 패킷 제어가 가능

화이트리스트(Whitelist)

정의: 허용된 항목의 목록으로, 목록에 있는 항목만 접근이나 실행을 허용합니다.

장점:보안성이 높음: 허가된 항목만 통과하므로 악성 소프트웨어나 비허가된 접근을 차단할 수 있습니다.

관리의 용이성: 명확한 기준으로 관리할 수 있습니다.

단점:유지 관리가 필요: 새로운 소프트웨어나 사용자 추가 시 목록을 업데이트해야 합니다.

유연성이 떨어짐: 허용되지 않은 항목은 모두 차단되므로 필요한 접근이 제한될 수 있습니다.

블랙리스트(Blacklist)

정의: 차단된 항목의 목록으로, 목록에 있는 항목만 접근이나 실행을 차단합니다.

장점:유연성: 사용자가 필요로 하는 대부분의 항목에 접근할 수 있으며, 문제가 되는 항목만 차단합니다.관리가 비교적 쉽고 빠름: 새로운 항목을 차단하는 것이 더 간편합니다.

단점:보안 위험: 새로운 악성 소프트웨어나 공격 방식이 등장할 경우, 이를 즉시 차단하지 못할 수 있습니다.

관리가 복잡해질 수 있음: 많은 항목을 차단해야 할 경우 관리가 어려워질 수 있습니다.

(시험)방화벽 NAT - (방화벽, NAT 개념 둘 다 알아야함)

사설 IP를 공인 IP에 필요한 주소 변환 서비스, 방화벽을 활용하여 다수의 사설 IP를 하나의 공인 IP주소로 변환하는 기술

• 공인 IP 주소 절약 : 인터넷상의 공인 IP는 한정되어 있는데, 점점 그 수요가 많아 지고 있어서 공인 IP 주소가 고갈될 우려가 있음
• 보안 강화 : 내부에서 사설 IP 사용을 통해 외부에서 서버나 인터넷 장비에 직접적인 접근을 하지 못하게 함

내부 -> 외부

내부 특정사설 IP가 특정공인 IP 또는 대역 으로 변경되어 나가는 형태

외부->내부

하나의 공인 IP에 내부서버로 1:1로 접속되는 형태

방화벽 운영방식 - (NAT 방식이 가장 많이 사용된다.)

방화벽에 대한 세션 시작 시간이 있고 계속 물려있음

IPS / IDS 이해

IDS (Intrusion Detection System)

IDS는 원본 트래픽을 손실이나 변조 없이 복사해주며, 트래픽 유통에는 전혀 관여하지 않는 Out of Path 방식

지식기반/오용탐지

• 패턴에 없는 새로운 공격에 대해서 탐지 불가

행위기반/비정상행위 탐지

• 오탐률이 높음

보안관제

• 조직의 IT 시스템과 네트워크에서 발생하는 보안 이벤트를 실시간으로 감시하고 분석하여 위협을 탐지하고 대응
• 사이버 위협에 대응하기 위해 지속적으로 발전해온 통합적 보안 개념

보안장비의 기능과 종류

FireWall, IDS, IPS, WAF, SIEM, EDR, XDR, TMS, SIEM, SOAR…

해킹의 시작

1980년대

공격방법

• 네트워크가 대중적으로 사용되지 않았기 때문에 공격자는 물리적인 방법(플로피디스크)을 통해 공격(Brain Virus…)

방어 방법

• 물리적 접근 방지, 컴퓨터 자체를 보호
• 최초의 백신이 개발(패턴을 인식하여 제거)

1990년대

공격방법

• 네트워크를 통한 공격(Worm, Trojan)
• 네트워크를 통한 빠른 감염과 전파가 목적
• TCP/IP의 취약점을 악용한 공격방식

방어 방법

• 네트워크 트래픽을 필터링 할 수 있는 방화벽의 개념이 생기고 외부로부터 접근을 차단
• IP/PORT 주소 기반의 접근 차단 위주의 방어
• 서비스 기반의 방어(TCP Wrapper)

1세대 방화벽의 등장

• Packet Filter F/W
• IP, PORT, Protocol 기반의 필터링 수행
• Inbound/Outbound
• OSI 7 Layer 기준 3계층 기반에서 작동(수행 범위는 3~4계층)

1세대 방화벽의 문제점

• 세션의 상태를 추적할 수 없음(Tcp Session Hijacking등의 조작된 패킷 방어 불가)
• 규칙 기반의 방어(대규모 네트워크 환경에서의 Inbound, Outbound)
• OSI 7 Layer 기반 Application 계층의 위협을 차단하지 못함

2세대 방화벽의 등장

• Stateful Inspection F/W
• 세션기반의 방화벽으로 트래픽의 모든 상태를 추적하여 정상 트래픽인지 확인
• 상태 저장 기능(패킷을 개별적으로 처리하지 않음)

2세대 방화벽의 문제점

• 여전히 Application 계층의 위협을 차단하지 못함
• 암호화된 트래픽(SSL/TLS) 방어 불가
• DoS, DDoS 공격 방어 불가

IDS의 등장

• 트래픽을 실시간으로 모니터링(미러링)
• 공격 패턴, 시그니처를 기반으로 공격 탐지
• 호스트 또는 네트워크를 기반으로 침입 탐지
• 정상 트래픽 및 동작을 학습한 후 비정상 행위 탐지
• 차단X → 탐지
• 신호로 오탐(False positive), 정탐(False Negative)을 구분지어 발생시킨다.
• 비정상 행위를 탐지할 수 있는 시그니처, 즉 탐지정책의 필요성 증가
• 탐지 이후의 대응은 IDS 장비를 통해 대응이 불가능
• IDS와 방화벽을 통해 DDoS 방어 시도

IDS의 문제점

• DDos 공격 대응 실패
• 탐지만 하고 차단할지 결정은 사람이 하기 때문에 오탐(False positive) 발생
• 직접적인 공격의 차단이 불가능하다(미러링)
• 탐지 이후의 대응은 IDS 장비를 통해 대응이 불가능
• 2000년대 기술의 발전과 공격방식의 발전에 따라 다음 단계의 보안장비가 필요

공격 방법(2000년대)

• 대규모 공격(국가, 정부)
• DDoS(Trinoo,TFN(1999년)) 공격 및 지능형 지속 공격(APT)의 등장
• 공격 대상이 개인, 기업, 국가기관, 정부로 개인정보, 기밀정보 등 정보탈취
• 기술의 발전에 따른 취약성 증가
• 사회공학 공격기법, 공급망, 내부자를 통한 정상적 행위의 공격방식이 등장

IPS의 등장(2000년대) - IDS + packet filtering system

• IDS의 기능에 차단기능을 추가하여 실시간 위협 차단
• DoS, DDoS 탐지 및 차단 가능(대규모 트래픽→전문 DDoS 장비 필요)
• 자동으로 탐지와 차단이 가능해짐

IPS의 문제점

• 웹 어플리케이션을 목표로 하는 공격(Injection, XSS…)을 탐지 및 차단하지 못함
• 내부자 위협에 대한 방어 수단X
• 클라우드 환경에서의 물리적 장비의 한계(2010년대)

WAF(Web Application F/W)의 등장

• 어플리케이션 계층의 공격을 방어하는데 특화
• SSL/TLS 트래픽을 복호화 하여 공격 차단

DLP(Data Loss Prevention)의 등장 

• 데이터 유출을 방지하기 위하여 네트워크, 엔드포인트 모니터링
• 비인가 행위를 차단하여 내부자 위협 방어

공격 방법(2010년대)

• 랜섬웨어
• 국가 조직적 APT(Advanced persistent threat)공격
• 클라우드 보안 위협(데이터 탈취, 서비스 마비…)
• IoT 보안위협
• Cryptojacking(암호화폐 채굴)

APT장비 등장

• 랜섬웨어, 크립토재킹 등 다양한 공격 방식과 지속적 공격을 방어하기위해 샌드박스 형식의 보안장비 개발

UTM장비 등장

• 다양한 보안 장비를 하나의 장비로 통합(F/W, IDS/IPS, DLP, APT…)

샌드박스

• 안전한 환경에서 프로그램이나 파일을 실행하여 악성 코드나 보안 위협을 분석하고 차단하는 기능을 가진 장비
• 격리된 공간에서 실행되기 때문에, 실제 시스템에 영향을 미치지 않고 위험을 평가할 수 있습니다. 주로 악성코드 탐지, 네트워크 보안, 애플리케이션 테스트 등에서 사용되며, 사이버 공격에 대한 방어 수단으로 효과적입니다.

SIEM (보안 정보 및 사건 관리)

• 조직의 보안 상태를 모니터링하고 관리하기 위한 솔루션입니다.
• SIEM 시스템은 다양한 소스에서 로그와 이벤트 데이터를 수집하고, 이를 분석하여 보안 위협을 탐지하고 대응하는 데 도움을 줍니다.
• 보안장비 및 모든 자원에서 발생한 로그 통합(빅데이터기반)
• 관리되는 자원의 모든 로그를 통합하여 상관 분석
• 실시간 위협 탐지와 연관성 분석이 가능
• 시나리오를 통한 위협 분석이 가능

SOAR(보안 오케스트레이션, 자동화 및 대응)

• 보안 팀이 보안 사건을 보다 효율적으로 관리하고 대응할 수 있도록 돕는 플랫폼입니다. SOAR의 주요 기능은 다음과 같습니다:
• 사이버 위협에 대한 업무의 자동화
• Playbook을 통한 보안 위협 유형에 따른 업무 자동화
• AI 기반 지능형 보안관제 시스템
• 빅데이터 기반의 SIEM과 연계 및 위협 인텔리전스 연동
• 보안 전문 인력 부족 문제 해결

ESM(Enterprise Security Management)

• 보안장비를 통합하여 중앙 집중 관리
• F/W, IDS/IPS, VPN…
• 보안 정책 수립, 시행에 맞는 보안, 관리적 목적
• 보안관리체계에 집중한 방식

한국의 SOC(Security Operations Center, 보안관제 센터)

• 국가사이버안전센터(NCSC)
• 한국인터넷진흥원(KISA)
• 민간기업

보안관제 유형

1. 원격관제

2. 파견과제

3. 하이브리드 관제

4. 클라우드 관제

• DNS 포트번호 53번
• 400 클라이언트 오류 (Bad Request): 클라이언트의 요청이 잘못되어 서버가 이해할 수 없음을 나타냅니다.
• 500 서버 오류 (Internal Server Error): 서버가 요청을 처리하는 중에 내부 오류가 발생하여 요청을 완료할 수 없음을 나타냅니다.
• 300 여러 선택지 (Multiple Choices): 요청한 리소스에 대해 여러 가지 선택지가 존재함을 나타냅니다.
• 301 영구 이동 (Moved Permanently): 요청한 리소스가 영구적으로 다른 URL로 이동했음을 나타냅니다. 클라이언트는 새로운 URL을 사용해야 합니다.
• 302 임시 이동 (Found): 요청한 리소스가 임시적으로 다른 URL로 이동했음을 나타냅니다. 클라이언트는 원래 URL을 계속 사용해야 합니다.
• 304 수정되지 않음 (Not Modified): 클라이언트가 요청한 리소스가 수정되지 않았음을 나타내며, 클라이언트는 캐시된 버전을 사용할 수 있습니다.

GET 방식 : 정보가 URL 에 담겨있다.

POST 방식 : 네트워크 패킷 헤더에 붙어 요청하는게 아니라 바디(본문)에 담겨서 전송된다.

와이어샤크에서 응답값이 없을 경우 : 해당포트가 닫혀있거나, 방화벽에서 차단 됐을 수 있음

통계 → 대화

• 이더넷 = 사용자의 MAC 주소 ( 랜카드에 박혀있는 고유한 주소)

APT 대응 솔루션

• 외부로부터 유입되는 탐지 위치에 따라 네트워크 APT 대응 시스템, 이메일, APT 대응시스템, 엔드포인트 APT 대응시스템 등으로 구분

웹 어플리케이션 보안에 특화된 장비

클라이언트의 요청과 웹 서버의 응답에 대한 통신 데이터에 대해 검사 및 탐지, 차단을 수행

• Request Packet 검사 후 비정상 요청에 대한 패킷 차단

웹방화벽 : 클라이언트가 요청한 것만 본다.

DDos 대응장비는 기본의 방화벽/IPS 등에 일부 포함된 DDoS방어 기능에서 벗어나 DDoS공격에 효과적으로 방어 할 수 있도록 특화된 솔루션

Snort

오픈 소스 네트워크 침입 탐지 시스템(IDS) 및 침입 방지 시스템(IPS)

네트워크 트래픽을 실시간으로 모니터링하고 분석하여 악성 활동이나 공격 시도를 탐지하는 데 사용됩니다. 주요 기능은 다음과 같습니다:

• 패킷 캡처: 네트워크를 통해 흐르는 패킷을 캡처하여 분석합니다.
• 침입 탐지: 미리 정의된 규칙에 따라 패킷을 분석하여 악성 코드나 공격 패턴을 탐지합니다.
• 침입 방지: 탐지된 공격에 대해 자동으로 차단 조치를 취할 수 있습니다.
• 로그 및 보고: 탐지된 이벤트에 대한 로그를 기록하고, 필요한 경우 경고를 생성합니다.
• 유연한 규칙 설정: 사용자가 규칙을 정의하여 특정 트래픽을 필터링하거나 모니터링할 수 있습니다.

Snort는 강력하고 유연한 보안 솔루션으로, 다양한 환경에서 널리 사용되고 있습니다.

SOAR

SOAR(보안 오케스트레이션, 자동화 및 대응)는 보안 팀이 사이버 보안 사건을 보다 효과적으로 관리하고 대응할 수 있도록 돕는 플랫폼입니다. SOAR의 주요 기능은 다음과 같습니다:

• 오케스트레이션: 다양한 보안 도구와 시스템을 통합하여 서로 간의 작업을 조정하고 자동화합니다.
• 자동화: 반복적인 보안 작업을 자동화하여 인적 오류를 줄이고, 보안 팀의 효율성을 높입니다.
• 사건 대응: 보안 사건 발생 시 신속하게 대응할 수 있는 프로세스를 제공하여 사건 처리 시간을 단축합니다.
• 협업 기능: 보안 팀 내에서 원활한 커뮤니케이션과 협업을 지원하여 사건 해결을 가속화합니다.
• 보고 및 분석: 사건 대응 과정과 결과를 기록하고 분석하여 지속적인 개선을 도모합니다.

SOAR 플랫폼은 보안 운영을 최적화하고, 위협 탐지 및 대응 능력을 강화하는 데 중요한 역할을 합니다.