보안관제
- 조직의 IT 시스템과 네트워크에서 발생하는 보안 이벤트를 실시간으로 감시하고 분석하여 위협을 탐지하고 대응
- 사이버 위협에 대응하기 위해 지속적으로 발전해온 통합적 보안 개념
보안장비의 기능과 종류
FireWall, IDS, IPS, WAF, SIEM, EDR, XDR, TMS, SIEM, SOAR…
해킹의 시작
1980년대
공격방법
- 네트워크가 대중적으로 사용되지 않았기 때문에 공격자는 물리적인 방법(플로피디스크)을 통해 공격(Brain Virus…)
방어 방법
- 물리적 접근 방지, 컴퓨터 자체를 보호
- 최초의 백신이 개발(패턴을 인식하여 제거)
1990년대
공격방법
- 네트워크를 통한 공격(Worm, Trojan)
- 네트워크를 통한 빠른 감염과 전파가 목적
- TCP/IP의 취약점을 악용한 공격방식
방어 방법
- 네트워크 트래픽을 필터링 할 수 있는 방화벽의 개념이 생기고 외부로부터 접근을 차단
- IP/PORT 주소 기반의 접근 차단 위주의 방어
- 서비스 기반의 방어(TCP Wrapper)
1세대 방화벽의 등장
- Packet Filter F/W
- IP, PORT, Protocol 기반의 필터링 수행
- Inbound/Outbound
- OSI 7 Layer 기준 3계층 기반에서 작동(수행 범위는 3~4계층)
1세대 방화벽의 문제점
- 세션의 상태를 추적할 수 없음(Tcp Session Hijacking등의 조작된 패킷 방어 불가)
- 규칙 기반의 방어(대규모 네트워크 환경에서의 Inbound, Outbound)
- OSI 7 Layer 기반 Application 계층의 위협을 차단하지 못함
2세대 방화벽의 등장
- Stateful Inspection F/W
- 세션기반의 방화벽으로 트래픽의 모든 상태를 추적하여 정상 트래픽인지 확인
- 상태 저장 기능(패킷을 개별적으로 처리하지 않음)
2세대 방화벽의 문제점
- 여전히 Application 계층의 위협을 차단하지 못함
- 암호화된 트래픽(SSL/TLS) 방어 불가
- DoS, DDoS 공격 방어 불가
IDS의 등장
- 트래픽을 실시간으로 모니터링(미러링)
- 공격 패턴, 시그니처를 기반으로 공격 탐지
- 호스트 또는 네트워크를 기반으로 침입 탐지
- 정상 트래픽 및 동작을 학습한 후 비정상 행위 탐지
- 차단X → 탐지
- 신호로 오탐(False positive), 정탐(False Negative)을 구분지어 발생시킨다.
- 비정상 행위를 탐지할 수 있는 시그니처, 즉 탐지정책의 필요성 증가
- 탐지 이후의 대응은 IDS 장비를 통해 대응이 불가능
- IDS와 방화벽을 통해 DDoS 방어 시도
IDS의 문제점
- DDos 공격 대응 실패
- 탐지만 하고 차단할지 결정은 사람이 하기 때문에 오탐(False positive) 발생
- 직접적인 공격의 차단이 불가능하다(미러링)
- 탐지 이후의 대응은 IDS 장비를 통해 대응이 불가능
- 2000년대 기술의 발전과 공격방식의 발전에 따라 다음 단계의 보안장비가 필요
공격 방법(2000년대)
- 대규모 공격(국가, 정부)
- DDoS(Trinoo,TFN(1999년)) 공격 및 지능형 지속 공격(APT)의 등장
- 공격 대상이 개인, 기업, 국가기관, 정부로 개인정보, 기밀정보 등 정보탈취
- 기술의 발전에 따른 취약성 증가
- 사회공학 공격기법, 공급망, 내부자를 통한 정상적 행위의 공격방식이 등장
IPS의 등장(2000년대) - IDS + packet filtering system
- IDS의 기능에 차단기능을 추가하여 실시간 위협 차단
- DoS, DDoS 탐지 및 차단 가능(대규모 트래픽→전문 DDoS 장비 필요)
- 자동으로 탐지와 차단이 가능해짐
IPS의 문제점
- 웹 어플리케이션을 목표로 하는 공격(Injection, XSS…)을 탐지 및 차단하지 못함
- 내부자 위협에 대한 방어 수단X
- 클라우드 환경에서의 물리적 장비의 한계(2010년대)
WAF(Web Application F/W)의 등장
- 어플리케이션 계층의 공격을 방어하는데 특화
- SSL/TLS 트래픽을 복호화 하여 공격 차단
DLP(Data Loss Prevention)의 등장
- 데이터 유출을 방지하기 위하여 네트워크, 엔드포인트 모니터링
- 비인가 행위를 차단하여 내부자 위협 방어
공격 방법(2010년대)
- 랜섬웨어
- 국가 조직적 APT(Advanced persistent threat)공격
- 클라우드 보안 위협(데이터 탈취, 서비스 마비…)
- IoT 보안위협
- Cryptojacking(암호화폐 채굴)
APT장비 등장
- 랜섬웨어, 크립토재킹 등 다양한 공격 방식과 지속적 공격을 방어하기위해 샌드박스 형식의 보안장비 개발
UTM장비 등장
- 다양한 보안 장비를 하나의 장비로 통합(F/W, IDS/IPS, DLP, APT…)
샌드박스
- 안전한 환경에서 프로그램이나 파일을 실행하여 악성 코드나 보안 위협을 분석하고 차단하는 기능을 가진 장비
- 격리된 공간에서 실행되기 때문에, 실제 시스템에 영향을 미치지 않고 위험을 평가할 수 있습니다. 주로 악성코드 탐지, 네트워크 보안, 애플리케이션 테스트 등에서 사용되며, 사이버 공격에 대한 방어 수단으로 효과적입니다.
SIEM (보안 정보 및 사건 관리)
- 조직의 보안 상태를 모니터링하고 관리하기 위한 솔루션입니다.
- SIEM 시스템은 다양한 소스에서 로그와 이벤트 데이터를 수집하고, 이를 분석하여 보안 위협을 탐지하고 대응하는 데 도움을 줍니다.
- 보안장비 및 모든 자원에서 발생한 로그 통합(빅데이터기반)
- 관리되는 자원의 모든 로그를 통합하여 상관 분석
- 실시간 위협 탐지와 연관성 분석이 가능
- 시나리오를 통한 위협 분석이 가능
SOAR(보안 오케스트레이션, 자동화 및 대응)
- 보안 팀이 보안 사건을 보다 효율적으로 관리하고 대응할 수 있도록 돕는 플랫폼입니다. SOAR의 주요 기능은 다음과 같습니다:
- 사이버 위협에 대한 업무의 자동화
- Playbook을 통한 보안 위협 유형에 따른 업무 자동화
- AI 기반 지능형 보안관제 시스템
- 빅데이터 기반의 SIEM과 연계 및 위협 인텔리전스 연동
- 보안 전문 인력 부족 문제 해결
ESM(Enterprise Security Management)
- 보안장비를 통합하여 중앙 집중 관리
- F/W, IDS/IPS, VPN…
- 보안 정책 수립, 시행에 맞는 보안, 관리적 목적
- 보안관리체계에 집중한 방식
한국의 SOC(Security Operations Center, 보안관제 센터)
- 국가사이버안전센터(NCSC)
- 한국인터넷진흥원(KISA)
- 민간기업
보안관제 유형
1. 원격관제
2. 파견과제
3. 하이브리드 관제
4. 클라우드 관제
- DNS 포트번호 53번
- 400 클라이언트 오류 (Bad Request): 클라이언트의 요청이 잘못되어 서버가 이해할 수 없음을 나타냅니다.
- 500 서버 오류 (Internal Server Error): 서버가 요청을 처리하는 중에 내부 오류가 발생하여 요청을 완료할 수 없음을 나타냅니다.
- 300 여러 선택지 (Multiple Choices): 요청한 리소스에 대해 여러 가지 선택지가 존재함을 나타냅니다.
- 301 영구 이동 (Moved Permanently): 요청한 리소스가 영구적으로 다른 URL로 이동했음을 나타냅니다. 클라이언트는 새로운 URL을 사용해야 합니다.
- 302 임시 이동 (Found): 요청한 리소스가 임시적으로 다른 URL로 이동했음을 나타냅니다. 클라이언트는 원래 URL을 계속 사용해야 합니다.
- 304 수정되지 않음 (Not Modified): 클라이언트가 요청한 리소스가 수정되지 않았음을 나타내며, 클라이언트는 캐시된 버전을 사용할 수 있습니다.
GET 방식 : 정보가 URL 에 담겨있다.
POST 방식 : 네트워크 패킷 헤더에 붙어 요청하는게 아니라 바디(본문)에 담겨서 전송된다.
와이어샤크에서 응답값이 없을 경우 : 해당포트가 닫혀있거나, 방화벽에서 차단 됐을 수 있음
통계 → 대화
- 이더넷 = 사용자의 MAC 주소 ( 랜카드에 박혀있는 고유한 주소)
APT 대응 솔루션
- 외부로부터 유입되는 탐지 위치에 따라 네트워크 APT 대응 시스템, 이메일, APT 대응시스템, 엔드포인트 APT 대응시스템 등으로 구분
웹 어플리케이션 보안에 특화된 장비
클라이언트의 요청과 웹 서버의 응답에 대한 통신 데이터에 대해 검사 및 탐지, 차단을 수행
- Request Packet 검사 후 비정상 요청에 대한 패킷 차단
웹방화벽 : 클라이언트가 요청한 것만 본다.
DDos 대응장비는 기본의 방화벽/IPS 등에 일부 포함된 DDoS방어 기능에서 벗어나 DDoS공격에 효과적으로 방어 할 수 있도록 특화된 솔루션
Snort
오픈 소스 네트워크 침입 탐지 시스템(IDS) 및 침입 방지 시스템(IPS)
네트워크 트래픽을 실시간으로 모니터링하고 분석하여 악성 활동이나 공격 시도를 탐지하는 데 사용됩니다. 주요 기능은 다음과 같습니다:
- 패킷 캡처: 네트워크를 통해 흐르는 패킷을 캡처하여 분석합니다.
- 침입 탐지: 미리 정의된 규칙에 따라 패킷을 분석하여 악성 코드나 공격 패턴을 탐지합니다.
- 침입 방지: 탐지된 공격에 대해 자동으로 차단 조치를 취할 수 있습니다.
- 로그 및 보고: 탐지된 이벤트에 대한 로그를 기록하고, 필요한 경우 경고를 생성합니다.
- 유연한 규칙 설정: 사용자가 규칙을 정의하여 특정 트래픽을 필터링하거나 모니터링할 수 있습니다.
Snort는 강력하고 유연한 보안 솔루션으로, 다양한 환경에서 널리 사용되고 있습니다.
SOAR
SOAR(보안 오케스트레이션, 자동화 및 대응)는 보안 팀이 사이버 보안 사건을 보다 효과적으로 관리하고 대응할 수 있도록 돕는 플랫폼입니다. SOAR의 주요 기능은 다음과 같습니다:
- 오케스트레이션: 다양한 보안 도구와 시스템을 통합하여 서로 간의 작업을 조정하고 자동화합니다.
- 자동화: 반복적인 보안 작업을 자동화하여 인적 오류를 줄이고, 보안 팀의 효율성을 높입니다.
- 사건 대응: 보안 사건 발생 시 신속하게 대응할 수 있는 프로세스를 제공하여 사건 처리 시간을 단축합니다.
- 협업 기능: 보안 팀 내에서 원활한 커뮤니케이션과 협업을 지원하여 사건 해결을 가속화합니다.
- 보고 및 분석: 사건 대응 과정과 결과를 기록하고 분석하여 지속적인 개선을 도모합니다.
SOAR 플랫폼은 보안 운영을 최적화하고, 위협 탐지 및 대응 능력을 강화하는 데 중요한 역할을 합니다.