보안관제 기술
탐지기술
탐지기술은 패턴기반탐지, 행위기반탐지, 상관분석으로 분류합니다.
| 패턴기반탐지 | - 공격방법과 공격도구에 대한 분석을 통해 특정 패턴 파악 - 장점 : 탐지속도 빠름, 정확성 높음 - 단점 : 사전에 분석된 공격형태만 탐지 가능 - 관련 보안 시스템 : IDS/IPS, WAF, DDos, Anti-Virus |
| 행위기반탐지 | - 일반적인 사용자와 구별되는 인터넷 사용패턴에 기반을 둔 탐지기법 - 공격유형과 사용자 행동을 기계 학습으로 모델링 - 장점 : 통계기반 비정상 행위 탐지에 효과적 - 단점 : 통계적 특징이 불명확한 공격은 탐지 불가 - 관련 보안 시스템 : IDS/IPS, WAF |
| 상관분석 | - 둘 이상 이벤트가 서로 의미를 부여하여 하나의 결과물을 생성하는 것 - 데이터마이닝 알고리즘 사용 - 조건은 정규화와 축약 - 장점 : 공격 시나리오 기반 탐지 가능 - 단점 : 상관분석 역량 및 시스템 성능 부족 - 관련 보안 시스템 : ESM, SIEM, TMS |
방어기술
방어기술은 사전에 사전에 정의된 패턴을 통해 차단하는 패턴기반방어와 보안정책을 위반하는 행위를 차단하는 규칙기반방어로 분류합니다.
| 패턴기반방어 | - 패턴기반탐지기술에 기초하여 사전에 정의한 패턴과 동일한 트래픽을 차단하는 기술 - 전통적인 보안시스템에서 사용되는 방법 - 장점 : 이미 알려져있고 자주 변하지 않는 공격에 대해 매우 효과적 - 단점 : APT 공격처럼 끊임없이 변하고 은밀한 공격에 대해 비율적 - 관련 보안 시스템 : IDS/IPS, WAF, DDos, Anti-Virus |
| 규칙기반방어 | - 취해야할 특정 행위를 기준으로 차단하는 기술 - 방화벽에서 보편적으로 사용되는 개념 - Default 규칙이 존재 - 장점 : 방어행위가 명확하고 대상 환경에 대한 이해가 용이 - 단점 : 모든 규칙을 상세화 하는 것이 어렵고 성능적 한계 존재 - 관련 보안 시스템 : 방화벽, DRM, DLP, DB보안시스템, 출입통제시스템 |
Rule은 특정 바이러스나 악성코드 등 특정 패킷이 네트워크를 통과할 때 탐지하기 위해 제작한 시그니처
*스노트(Snort) : 오픈소스 시그니처 NIDS, 네트워크 패킷을 수집하여 트래픽을 모니터링
보안관제 시스템
방화벽(Fire Wall)
네트워크에서 방화벽은 보안의 가장 일차적인 것으로, 미리 정의된 보안 규칙에 따라 네트워크 트래픽을 모니터링하고, 차단하거나 보내주는 기능(제어)을 하는 하드웨어나 소프트웨어(보안 시스템)
방화벽 방어기능
패킷 필터링 : IP주소, 포트번호 등과 같은 데이터의 통과여부를 판단하여 무단 접근 방지
애플리케이션 게이트웨이 : 통신을 중계하는 프록시 서버를 이용해 사내 네트워크과 인터넷 사이에 직접 통신 차단
로그 분석 및 관제 : 패턴으로 탐지를 못해도 방화벽에서 어떤 IP에서 어떤 포트로 접속했는지 세션정보를 확인할 수 있음
방화벽 한계
전체 네트워크 장애가 발생할 위험이 높음. 방화벽은 네트워크 트래픽이 흐르는 경로 내부에 위치하기 때문에 방화벽 자체가 공격 대상이 되어 대용량의 트래픽을 견디지 못하고 다운되는 경우가 많음
IDS/IPS
IDS(Intrusion Detection System) : 침입탐지, TAP이나 Mirror 방식으로 설치
IPS(Intrusion Prevention System) : 공격패턴을 기반으로 패턴과 일치하는 패킷에 대해 차단하는 보안시스템, 오탐가능성 있음, IDS와 다르게 In-Line구조로 설치
DDoS 대응 솔루션
기존의 방화벽,IPS 등에 일부 포함된 DDoS방어 기능에서 벗어나 DDoS공격에 효과적으로 방어할 수 있도록 특화된 솔루션
IPS와 같이 자체 내장 시그니처 기반 탐지 방식으로는 방어가 불가능하므로 DDos 대응 장비는 트래픽 자체 분석 기능 뿐만 아니라 트래픽을 발송하는 주체 중 좀비PC를 구별해 낼 수 있는 알고리즘 제공
DDoS 대응 솔루션 차단 원리
효율적인 차단을 위해 장비 성능 극대화
행동기반/시그니처기반의 탐지 방어 기법으로 차단
DDoS 대응 솔루션 한계
비정상 공격성 패킷과 고객이 발송하는 정상 패킷을 정확히 구분하기 어려움
웹방화벽(WAF)
웹트래픽에 특화된 보안 솔루션 웹서버 앞에서 악의적인 요청 및 주민번호, 신용카드, 계좌번호 등 민감한 정보 유출에 대한 응답을 차단
이전 웹방화벽은 OWASP 기준 웹 유해 트래픽을 차단했다면, 현재는 웹애플리케이션 취약점에 중점을 두고 패턴 등록 및 차단
NAC
Network Access Control의 약자로, 네트워크를 사용중인 디바이스에 대한 지속적인 보안 취약점 점검과 통제를 통해 내부 시스템을 보호하는 보안 솔루션
- 네트워크 접근 요청, 사용자 및 PC인증, 네트워크 접근 허용/거부
Anti-Virus
바이러스, 웜 같은 악성 소프트웨어 프로그램을 검색, 방지, 해제, 제거하는 컴퓨터 프로그램