보안관제
- 보안 모니터링 : 실시간으로 모니터링하여 비정상적인 활동 정탐인지 오탐인지를 확인해 보고 언더에서 활동하는 나라에서 위협을 가하는 경우가 있음
- 사이버 위협 탐지 : 위협을 감지하여 조직의 보안을 유지함
- 사고 대응 및 조치 : 보안 관제는 위협이 감지될 경우 즉각적으로 조치를 취하여 사고의 확산을 막는다.
- 로그 분석 및 보고 : 일일보고,주간,연간 보고 체계를 구성해서 결국에는 관제나 컨설팅은 중간 과정이 중요한 것보단 결과가 중요해서 보고를 빠르게 하는 것이 중요하다. 주어진 날짜에 명확하게 해야 하기에 실력이 중요하다. 신뢰도가 우선시 여기기에 보고서는 기한 내에 작성한다.
- 보안 교육과 훈련: 조직 내부의 보안 인식과 컨플라이언스를 강화한다. 최근의 동향을 계속해서 파악하는게 중요하다. 사이버 위기대응이라는 사이트에서 매일매일 확인이 중요하며 외부로부터의 트래픽이 어떻게 오고 있는지 꾸준한 훈련이 중요하다
보안관제의 구성요소
- 인프라와 도구 : 보안 관제는 정보를 수집하고 분석하기 위한 인프라와 도구가 필요하다.
- 인력: 가장 중요한 부분으로 4~5명이 한팀을 꾸린다. 인력이 항상 부족해서 계속계속 양성중이지만 힘든 상황이다. 전체적으로는 2만 명 정도의 국내 보안업계에서 일을 하고 있다. 민간업체에는 인력이 많이 부족한 상태이다.
- 정책 및 절차: 보안관제는 정책과 절차를 준수하여 작동합니다. 공통된 사람이 바뀌어도 이러한 정책을 실제로 실행하기 위한 단계와 프로세스를 설명합니다.
보안관제 유형
- 내부 SOC: 조직 내부에서 운영되며 조직의 내부 IT 인프라를 모니터링함
- 외부 SOC : 보안 관제를 외부 고용 업체에 위탁하여 운영하는 모델을 의미합니다.
- 하이브리드 SOC: 일부 조직은 내부 SOC와 외부 SOC를 결합하여 하이브리드 모델을 구축합니다.
보안관제의 도전과제
- 복잡한 위협 : 사이버 공격이 점점 더 정교하고 복잡해지므로 보안 관제는 이대 대응하기 위한 기술과 전문 지식 로그분석을 유지해야함
- 대용량 데이터 처리 : 성능 및 확장성 쿼리를 보냈을때 오는 데이터를 최적화 해야한다.
- 인적 부족 : 인력 부족 문제는 여전히 많은 조직에서 고민해야 하는 도전이다.
DDOS,FW,IPS/TMS 등 많은 솔루션들이 들어가 있다
비지도학습을 넣었지만 분석하는 자료가 적어 정확성이 떨어진다.
SOAR : 전문가가 침해대응 이력을 관리하고 자동 분석 및 대응 하는 것을 말한다.
규모가 있는 관제 쓰레드 매니지먼트 시스템
악성파일에 있는 해쉬값을 정형화해서 제공하기도 하고 해당공격이 정탐인지 오탐인지 공격 유형은 무엇인지 XSS는 몇 건인지 등 보고서에 기록
SOAR
정탐으로 나뉘어 졌을때 관제로부터 정보를 받는다.
초동분석:
어떤 단말기가 공격을 받았는지를 유선으로라도 안내해주는것이다.
위협분석:
로그분석, 기타 데이터 분석
위협대응:
위협을 대응하는 단계로 수동 차단과 보고서가 나오는 단계
DDOS: 많이 들어오는 트래픽을 막아주는 장비 많은 양의 트래픽을 완전히 막아주지는 않고 의무적인 경우가 많음
방화벽/IDS/IPS : 중요도가 높으며 네트워크 접근제어를 설정하고
NAC : 내부장비 체크 랜선을 뽑거나 중간에서 처리해주는 장비
WIPS: 무선인터넷을 사용하지 못하게 차단하는 장비 ex) 스마트폰에서의 테더링 등
WAF: 웹 방화벽
DB방화벽 : DB SAFER
스팸필터 : 스팸 필터를 해준다.
원래는 보안 OS가 예전에 있었다.
PC : MAC,윈도우,리눅스 엔드유저가 나뉨
모바일 : 태블릿, 스마트폰
+ 디도스
현재는 UTM은 잘 사용하지 않음
시스템 보안은 예전에 사용하는 경우여서 용어 정도 알아두는것이 중요할듯
단말기 관리에서는 백신과 방화벽을 의미하며 모바일 단말기를 관리하는 솔루션인 MDM,MAM
단말기에는 EDR 이 있는 시장은 4~5년정도 되었다. EDR은 백신의 확장판이라고 알면 된다.
DDOS:
DDOS는 트래픽이 평소보다 많이 발생할경우 예를들어 오버트래픽인경우 DDOS 공격이 발생했다고한다.
통로가 좁은데 40~50 개가 들어온다면 마비가 된다. 4차선도로에서 차량이 급증하거나 명절에 사람들이 몰렸을 경우를 생각해보자 시스템에서 많이 들어오면 대응을 못하기에 많이 들어오면 DDOS 장비가 처리를 해준다 차단해준다고 생각하면 된다. 명목상 구비이기에 DDOS 공격시에 100% 들어온다 그러므로 DDOS 장비는 엄청 좋아야하는데 DDOS는 100% 막는다는 것은 어불성설이고 보여주기식 장비이기에 형식상 구비이고 현 시점에서는 무조건 뚫린다고 볼 수 있다. 100%의 차단은 없다 주의 해야한다.
방화벽:
서버측과 엔드 유저로 나뉘며 엔드 유저는 단말기나 장비를 의미하며 방화벽은 접근제어라는 솔루션이다
방화벽은 IP와 PORT 요즘은 프로토콜 이 세가지로 동작을 하고있다 출발지와 끝날때 SSH, TELNET 인지를 확인해서
들여보내주거나 차단을 해준다. ACL
클라우드에서 인바운드는 외부에서 내부로 아웃바운드 내부에서 외부로 나가고 방화벽은 내가 IP를 정확하게 달고있으면
100%로 차단이 가능한데 공격자가 포트번호나 IP를 쉽게 변경하기에 100%는 가능하지 않다.
실상은 10% 효율만 나와도 좋은 방어이다.
만능은 아니다.
누가 불법적으로 접근을 하는것을 확인하는게 감사
로깅은 통상 1년을 남기는것을 원칙으로 한다. 감사는 1년에 1회는 받아야하며 로그를 잘 감사하고있는지 확인한다.
암호화는 잘 사용하지는 않지만 이런 기능이 있다.
보안 정책은 기본으로 가져가야하는 정책이 있다.
NAT 기능은 IP를 바꿔준다 공인IP와 사설IP가 있는데
공인 IP는 유일성을 가진 아이피이고 사설 IP는 누구든 IP를 설정가능 공인IP를 가지고 NAT에서는 사설IP로 쪼개는 기능을 한다.
현재 같은 공유기라면 외부에 로그에서는 IP 하나로 찍힌다.
우선 차단 정책은 필히 알고 있어야하는데 화이트 리스트라고 말한다. 허용할것을 명하고 그외에는 모두 차단
화이트 리스트 기반의 차단이라고 말한다.
블랙 리스트는 모두 다 기입 어렵기에 가급적 사용을 하지 않다.
방화벽이 하지 못하는 일
방화벽을 통과하지 않는 트래픽은 방어할 수 없음
외부 공격자를 돕는 내부자 또는 악의적인 내부자는 방어할 수없음
노트북,스마트폰,휴대용 저장장치들이 감염된 상태에서 내부망에 연결되는 경우
처음에는 ip나 포트 번호 였다면 컨텐츠 까지도 제어할 수 있는 차세대 방화벽이 나왔다
인공지능 기능이 들어가있다
비지도 학습도 이와 연관이 있다.
IDS/IPS
IDS는 탐지 탐지뿐만아니라 차단까지 하는 기능 IPS 보통 두개를 같이 본다.
콘텐츠에 대한 제어 오고가는 IP,PORT 기능을 같이 가져가면서 데이터 기반으로 확인을 해야겠다는 것이 IPS
IDS 도스 공격을 차단한다.
경보, 셔닝, 사용자 프로그래밍 실행
경보는 IDS에서 보안관리자에게 통보한다.
셔닝 : 공격자나 의심스러운 호스트의 발신지 IP 주소 및 서비스 포트에 대해 해당 패킷을 차단한다.
사용자 프로그래밍 실행: 지정된 이벤트에 따라 특정 사용자 프로그램을 실행할 수 있도록 하는 기능이다.
중요한것은 네트워크 기반
내부로 들어오는 모든것들이 장비를 거쳐서 들어가다보니 실시간 패킷을 탐지하다보니
현재는 네트워크 기반을 하고있다.
오용탐지와 비정상행위 탐지가 있다.
오용탐지는 패턴 매칭을 통하여 판단
새로운 침입이 들어온다면 시그니처의 업데이트가 필요
새로운 패턴에 대해서 탐지 못하는 경우 오용탐지라한다.
비정상행위 탐지
비정상적인 침입 행동을 통계자료에 기반으로 판단
공격이 아님에도 공격으로 오인할 가능성이 높음
로그인을 일부러 실패할때
오용탐지는 패턴을 잘 알아야 한다.
비정상행위탐지는 정상과 비정상의 대한 포인트를 잘잡아서 룰을 만들어야한다.
룰에대한 연구가 필요함
IDS는 방화벽뒤가 적합함
3번
4번 5번은 내부 행위를 탐지해서 차단하겠다.
예산이 충분하다면 3,4,5에 하지만,예산이 정해져있다면 필수적으로는 3번에 설치해야한다.
내부자의 의해서 데이터 손실을 막기위해 4번이나 5번에 설치하고있다.안타까운 상황으로 위장취업이 많아진 상황이라 간첩이나 이런 케이스들이 많아져서꼭 지켜야한다면 많은 곳에 설치를 해야한다. 조금이나마 자산을 지킬 수 있다.
HIDS는 단말기 자체에 설치하는 경우이며 사용하지는 않음 이런 용어가 있다.
IDS 기반 In -line mode로 동작하도록 일부 수정
악성 트래픽이 올 경우 하나의 쓰레드 단위에서 패킷이 들어오는 롤
방화벽, IDS, IPS 의비교
3-4의 방화벽 IDS, IPS 3-7 까지 다룸
방화벽은 접근통제 및 인가 IDS 침입 여부의 감지 IPS 침입 이전의 방지 키포인트
VPN은 가상의 사설망
VPN은 접속이 안되는 게임서버에 연결하는 경우가 많은데 보안목적으로 통로를 여는게 원래 목적이다
KT가 공중망이라고 하는 서울에서 부산까지의 회선을 관리하고 있다.
DLP 개념
엔드 유저에서 모니터링하고 탐지하고 중앙에서 제어 할 수 있는 솔루션
PC에서 할 수 있는 모든 행동들 중에서 별도로 감사부서에서 담당함
문서 보안 목적으로 키를 가지고 있을때만 보여주는 것이 DRM 이다
랜섬웨어가 나쁜쪽
구글 드라이브같이 클라우드같이 디스크로 올릴경우 암호가 풀리는 취약점이 있었지만 현재는 패치가 되어서 DRM 취약점이 많이 줄어 들었다.
NAC의 대표 기능
5분 화면보호기등 한달의 한번 패치를 해야하는 경우를 정책의 강제화를 할 수 있고 현재는 사용자를 기준으로 네트워크를 통제하고 바이러스 감염되는 것을 막는다.
현재는 기본적으로 다 차단이 되어있음
스팸 필터 솔루션
- 첨부되어있는 악성 링크 스팸 필터 솔루션 메일 서버 앞단에 설치하거나 자신에게 설치 가능
- 메일은 무조건 메일 서버를 거쳤다가 사용자에게 가능 로직
- 스팸 필터 솔루션은 현재 도입할 필요가 없다.
- 악성행위를 하는 악성메일에 대해서는 효과가 제로다.
- 공격자들의 선호도가 첨부파일이 제일 우선 공격순위다.
- 첨부파일에다가 비밀번호가 설정되어있다면 절대 막을 수 가 없다.
- 본문에 첨부파일이 있는지 없는지 악성메일 까지는 구분이 가능하지만 헤더 정보도 조작도 가능하다.
백신
- 윈도우 7 까지는 정말 백신이 안좋았다. AVEST 등 백신 회사에서 주름을 잡던 와 중 백신 회사들의 해킹이 잦았다
- 윈도우 10부터 백신시장에 뛰어든 MS 여러 데이터를 가지고 DFENDER를 강화시킴
PC 방화벽
- PC 방화벽은 네트워크 상의 웜이나 공격자로부터 PC를 보호하기 위해 사용
- PC 방화벽은 PC 내부로 유입되는 패킷 뿐만 아니라 나가는 패킷까지 모두 차단
MDM
- 스마트폰이나 태블릿, 휴대용 컴퓨터와 같은 모바일 기기를 관리할 수 있는 기능을 제공하는 기술이다.
- 공장 초기화를 한번 하는게 좋다
MAM
- 일부 특정 App에만 기업의 보안 정책이 적용
관제 시스템에 자동화를 넣자는 의미에 SOAR
- 한 화면에서 통합적으로 연계해서 사용자가 편하게
- 정탐이 발생 했을때 SIEM이 큰 역할을 하게 된다.
- 가시성은 없지만 이게 정탐이다 오탐이다 확인을 할때 SIEM을 사용
- SIEM은 Splunk를 사용
[로그]
1. 서버단위
Windows Server, Unix
win : Event Log [시스템, 애플리케이션, 보안] ,access.log, error.log, DB Log
시스템 : 누가 무엇을 했는지에 대한 로그
Unix : Message, audit, auth, mail, access.log, error.log, DB Log
Message : 구동 USB연결 이런 전반적인 메세지 로그
audit : 꼭 켜놔야함
auth : 누가 해당시스템에 어떻게 접속했는지 명령어를 어떤 걸 사용했는지
mail: 누가 메일을 보내고 어떤걸 사용했는지 메일서버가 아니면 크게 의미가 없다
access.log, error.log : 접근과 에러에 대한 내용
2. 클라이언트
Windows : Event Log [시스템, 애플리케이션, 보안]
3. 네트워크 기반
스위치, 라우터, 공유기, 보안솔루션들..
Unix 계열 이기 때문에, 1번에서 수집해야하는 로그 위주로 수집 + 각 장비별 특성에 따른 로그 수집
ex) 스위치 : 통신 테이블 내역, port에 대한 on off 설정 정보들.. (config 설정 정보들도 같이 수집을 해야한다.)
FW, IDS/IPS, WAF + 1~3번에 대한 해당되는 로그를 모두 수집 > Splunk DB로 수집[SIEM]
FW,IDS/IPS : WAZUH
WAF: MOD SECURITY
[공격유형]
1.네트워크
: 스니핑, 스푸핑 , DOS, DDOS, 스캐닝
>> 공격들이 임계치가 존재함 어떤 패턴
정상적으로 로그인 페이지를 비정상행위
IDS/IPS로 차단이 가능(비정상행위)
DOS DDOS 주기적으로 진행됨 스니핑,스푸핑은 거의 없음
2.웹 : WAF
공격을 탐지하고 차단할 수 있다
SQLi, XSS, CSRF, SSRF, SSTI,FileUpload,LFI/RFI, Directory Listing..
3.내부자
: 자료 유출(메일, 프린터, 메신저)
>> DLP를 통해 가능
4.악성코드
:문서형(문서 파일), 파일리스(Code 기반),실행파일(exe) powershell 코드 사용
>> AV,EDR
5.물리형태
: 비인가 단말기 연결, USB 사용
>> NAC
(tomcat)
인터넷 --------- 라우터 -------- FW/IDS/IPS ----- WAF/DMZ ------ WAS ------- Private
(WAB, apache) (DB)
|
FW
|
내부망
(경영진, 정보보호팀 등등)
1) 인터넷에서 WAS에 직접연결 불가능
2) 인터넷에서 DB에 직접 연결 불가능
DMZ 존에서의 취약점 진단
스위치 라우터 체크리스트기반으로 점검
관리적으로 컨설팅은 일관적으로 인프라를 운영하는데 있어서 정보보안 지침이 만들어 져 있는지 진단을 하게됨
키노트
실제적으로는 보안관제 팀이 4~5명이기에 중요한 직무이다.
인공지능의 발전으로 공격의 고도화가 있기에 1년정도 준비하고 대응하는 경우가 있다.
결과적으로 해당업무 파악이 중요하다.
수도권은 보안관제 인력이 잘 형성되어있는 반면에 지방에서는 거의 없어서 인력이 부족하다.
하이닉스 관제는 국가에서 보호해야하는 시설이 반도체, 원자력이기에 국가기밀등급 1등급이다.
관제실도 1등급이기에 보안규정이 강하다 정확하게 얘기를 하자면 대통령님도 사전에 승인이 없는경우는
들어가기 힘든곳이다.경험하기에는 정말 좋고 인천국제공항에서 경험을 쌓는건 정말 의미 있는 일이다.
EDR, 웹방화벽, DBSAFER ,WAF 중요한 장비들은 꼭 이해하여야한다.
웹 방화벽은 시스템방어와 네트워크 방어 둘 다 속한다.
예전에는 보안OS를 사용한것을 기억하자