역추적 시스템
해킹을 시도하는 해커의 실제 위치를 실시간으로 추적하는 기술
해커의 실제 위치를 추적하는 기술과 IP 주소가 변경된 패킷의 실제 송신지를 추적하는 기술
DDoS 공격 : IP 주소가 변경된 패킷(IP 스푸핑)의 실제 송신지를 추적하는 기술인 IP 패킷 역추적 수행
정보유추르 우회경로를 통한 공격 : 해커의 실제 위치를 연결체인을 통해 추적하는 TCP 연결 역추적을 수행
ESM (Enterprise Security Management)
보안 시스템을 관제, 운영, 관리함으로써 조직의 보안 목적을 효율적으로 실현하는 시스템
통합 모니터링이 가능한 지능형 보안 관리 시스템
방화벽, 웹방화벽, 침입탐지/방지시스템, VPN 등에서 발생하는 로그, 보안 이벤트를 취합하고 이들 간 상호 연관 분석하여 실시간 보안위협을 파악하고 대응하는 역할
운영관리 측면
- 통합과제 및 운영을 통한 보안 관리 인력 축소 및 운영비용 절감
- 보안 정책 통합 관리와 적용을 통한 보안 운영 관리의 일관성 제공
- 보안성 강화보단 운영 관리 측면 강화를 통한 보안 관리 효율성 제공
기술적 측면
- 크로스 플랫폼 기반의 오픈 아키텍처로 유연성과 상호 운영성 확보
- 개별 보안 솔루션과 ESM의 연계 및 통제를 위한 에이전트 기반 클라이언트 통제 구조
| ESM | UTM | |
| FW, IDS/IPS, VPN, 안티바이러스, 필터링 등 다양한 보안 기능을 하나의 장비로 통합하여 제공 | ||
| 장점 | 이기종 보안 시스템이 통합관리 | 관리 용이, 공간 절약 |
| 단점 | 관리 어려움, 이벤트 로그 많이 발생 | 장애 발생 시 전체 시스템에 영향 |
ESM의 구성요소
| 분류 | 구성요소 | 설명 |
| ESM 클라이언트 | 에이전트 | 방화벽, IDS 등의 개별 보안 장비에 탑재되어 운영 ESM 매니저로부터 각종 보안 정책 적용 및 개별 보안 솔루션의 기능 수행을 명령 받음 |
| ESM 서버 | ESM 매니저 | 통합 보안 정책의 생성, 적용 관리 에이전트로부터 수집된 이벤트 정보와 로그 정보를 저장, 분석하고 관리자에게 보고 |
| ESM 콘솔 | ESM 매니저에서 분석한 위험 및 해킹 분석 결과 확인 ESM 개별 에이전트에 해킹 차단 등의 보안 운영 통제 명령 전달 |
|
| ESM 데이터 매니지먼트 |
ESM Event Log Repository |
개별 에이전트가 수집한 각종 이벤트 정보 및 이벤트 로그를 수집하여 저장하는 로그 DB |
| ESM Policy Repository |
조직의 보안 정책을 통합 관리하기 위한 통합 보안 정책 데이터베이스 |
ESM 주요기능
통합 로그 관리, 이벤트 필터링, 실시간 통합 모니터링/경보/상황 전파, 로그 분석 및 의사결정 지원, 긴급대응, 리포팅
NAC (Network Access Control)
네트워크에 접근하는 접속 단말의 보안성 검증을 통한 보안성 강화 및 접속을 통제할 수 있는 보안 인프라
사용 단말이 내부 네트워크에 접근하기 전에 보안 정책을 준수했는지 여부 검사 및 네트워크 접속 통제 가능
802.1x 방식, VLAN 방식, 에이전트 방식 등으로 구현할 수 있음
NAC 필요성
- 내부 원인 보안사고 증가 : 외부 방문자 및 비인가자에 의한 사내 네트워크 접속 시의 인증 취약
- 접속 단말의 다양화 : 접속 단말이 다양할 경우 보안 취약점이 존재하는 단말의 경우 접속 시 보안 문제 발생
- 네트워크 통합 보안 관리 요구 : 보안 정책의 일관성 유지와 통합 적용 및 강제화를 위한 수단 필요
NAC 주요 기능
- 접근 제어/인증 : 내부 직원 역할 기반 제어, 네트워크의 모든 IP 기반 접근 제어
- PC 및 네트워크 장치 통제(무결성 확인) : 백신 관리, 패치 관리, 자산 관리(비인가 시스템 자동 검출)
- 트래킹, 웹 유해 트래픽 탐지 및 차단 : 유해 트래픽 및 해킹 행위 차단, 완벽한 증거 수집 능력
NAC 구성
접근제어 및 인증 기능은 일반적으로 IP 주소에 대응하는 MAC 주소 기반으로 수행
라우터로 구분된 서브 네트워크마다 IP 관리 시스템 에이전트가 설치되어 있어야 함(전체 네트워크 관리)
SIEM(Security Information Event Management)
수많은 보안장비에서 발생하는 로그를 분석하여 이상 징후 파악 후 그 결과를 경영진에게 보고하는 시스템
엄청나게 많은 로그를 빅데이터 기반 로그 분석 수행 (좀 더 발전된 로그 분석 수행)
데이터 정규화 과정을 통해 데이터를 표준화하여 분석을 수행
패치관리 시스템 PMS(Patch Management System)
시스템이 관리하는 PC에 소프트웨어 업데이트 설치 및 운영체제 패치 등을 유도하는 기업용 솔루션
개인에게 맡겨두는 대신 PMS를 이용하여 중앙에서 강제로 설치(최상의 보안 유지)
패치 관리 시스템 구조
- PMS 서버 : 패치를 배포, 보안 정책에 위반한 사용자 PC를 인식 후 강제적으로 보안 정책 적용
- PMS 에이전트 : 서버로부터의 패치를 적용하고 사용자 PC 상태를 점검해서 보안정책 위반 여부를 서버에 제공
패치 단계
- 패치 준비 단계 : 보안채널 또는 USB를 이용하여 신규 패치를 받아 저장
- 패치 분배 단계 : 패치 대상 시스템은 패치 정보를 수집 후 PMS에 전송, PMS는 정보를 분석 후 관리자에게 패치 현황 제공
📍스턱스넷
산업 소프트웨어와 공정 설비를 공격 목표로 하는 극도로 정교한 군사적 수준 사이버 무기로 지칭
네트워크와 USB를 통해 전파, SCADA 시스템이 공격 목표
'정보보안기사' 카테고리의 다른 글
| 이메일 보안 (1) | 2023.01.22 |
|---|---|
| FTP 보안 (0) | 2023.01.22 |
| VPN (0) | 2023.01.21 |
| 침입차단시스템 Firewall (0) | 2023.01.21 |
| 침입탐지시스템 IDS, 침입방지시스템 IPS (0) | 2023.01.21 |
