상도정. 친구 졸업식이라 얻어먹음. 1인분 10만원 짜리 랍스터 샤브샤브가 있다.
- 최신 네트워크 보안 기술
- 역추적 시스템
- 개요 — 해킹을 시도하는 해커의 실제 위치를 실시간으로 추적하는 기술
- 역추적 기술
- TCP 연결 역추적
- TCP 연결을 기반으로 우회 공격을 시도하는 해커의 실제 위치를 실시간으로 추적하는 기법
- 호스트 기반 연결 역추적 기술, 네트워크 기반 연결 역추적 기술
- IP 패킷 역추적 기술 — IP 주소가 변경된 패킷의 실제 송신자를 추적하기 위한 기술
- ESM(Enterprise Security Management)
- ESM의 정의
- 기업과 기관의 보안 정책을 반영하고, 다양한 보안 시스템을 관제, 운영, 관리함으로써 조직의 보안 목적을 효율적으로 실현하는 시스템
- 각종 네트워크 보안 제품의 인터페이스를 표준화하여 중앙 통합 관리, 침입 종합 대응, 통합 모니터링이 가능한 지능형 보안 관리 시스템
- 보안 솔루션에서 발생하는 로그, 보안 이벤트를 취합하고 이들 간에 상호 연관 분석을 함으로써 실시간 보안 위협을 파악하고 대응하는 역할 수행
- 특징
- 운영 관리 측면
- 통합 관제, 운영을 통한 보안 관리 인력 축소 및 운영 비용 절감
- 보안 정책 통합 관리 및 적용을 통한 보안 운영 관리의 일관성 제공
- 운영 관리 측면 강화를 통한 보안 관리 효율성 제공
- 기술적 측면
- 크로스 플랫폼 기반의 오픈 아키텍처로 유연성과 상호 운영성 확보
- 개별 보안 솔루션과 ESM의 연계 및 통제를 위한 에이전트 기반의 클라이언트 통제 구조
- ESM의 구성 요소
- ESM 클라이언트
- 에이전트
- 방화벽, IDS 등의 개별 보안 장비에 탑재되어 운영
- ESM 서버의 매니저로부터 통제를 받아 이벤트 처리와 개별 보안 장비의 통제 수행
- 이벤트 발생 시 이벤트 정보와 로그 정보를 수집하여 ESM 매니저에 전달
- ESM 매니저로부터 각종 보안 정책 적용 및 개별 보안 솔루션의 기능 수행을 명령 받음
- ESM 서버
- ESM 매니저
- 통합 보안 정책 생성, 적용 관리
- 에이전트로부터 수집된 이벤트 정보와 로그 정보를 저장, 분석하고 관리자에게 보고
- ESM 콘솔을 통한 관리자의 개별 보안 장비 통제 명령을 각 에이전트로 전달하여 통합 보안 통제 지원
- ESM 콘솔
- 개별 에이전트에서 이벤트 로그 모니터링
- ESM 매니저에서 분석한 위험 및 해킹 분석 결과 확인
- ESM 개별 에이전트에 해킹 차단 등의 보안 운영 통제 명령 전달
- 보안 정책 관리 및 배포
- ESM 데이터 매니지먼트
- ESM Event Log Repository — 개별 에이전트가 수집한 각종 이벤트 정보 및 이벤트 로그를 수집하여 저장하는 로그 DB
- ESM Policy Repository
- 조직의 보안 정책을 통합 관리하기 위한 통합 보안 정책 데이터베이스
- 패킷 필터링 시그니처, 차단 IP/포트, 인증 정책 등 다양한 보안 관리 정책을 통합 관리 및 배포
- ESM의 주요 기능
- 통합 보안 관제 기능
- 통합 로그 관리
- 이벤트 필터링
- 보안 정책 기반의 이벤트 수집 기준을 제공하고 이에 따른 지능적 이벤트 처리 시행
- 조직의 보안 기준과 관리자의 필요에 따른 이벤트 수집으로 보안 관제 범위의 최적화와 효율화 지원
- 실시간 통합 모니터링, 경보, 상황 전파
- 로그 분석 및 의사 결정 지원
- 정책 기반의 로그 분석 후 위험도 결정
- 위험 등급, 위험 발생 내역, 대응 방안에 대한 분석 결과 제공을 통해 관리자의 효과적 위험 대응 지원
- 위험 발생 내역의 추적 분석 제공
- 패킷 상세 분석
- 긴급 대응
- ESM 매니저의 자동화된 차단
- 에이전트를 통해 개별 솔루션에 명령 전달
- 리포팅
- 서비스별 위험 발생 및 조치 현황
- 일자 및 기간별 위험 발생 및 조치 현황
- 로그 종류별 위험 발생 및 조치 현황
- NAC
- 정의
- 네트워크에 접근하는 접속 단말의 보안성을 검증하여 보안성을 강제화하고 접속을 통제할 수 있는 보안 인프라
- 사용 단말이 내부 네트워크에 접근하기 전에 보안 정책을 준수했는지 여부를 검사하여 네트워크 접속을 통제하는 보안 솔루션
- 필요성
- 내부 원인 보안 사고 증가
- 접속 단말 다양화
- 네트워크 통합 보안 관리 요구
- 주요 기능
- 접근제어/인증
- 내부 직원 역할 기반 접근제어
- 네트워크의 모든 IP 기반 장치 접근제어
- PC 및 네트워크 장치 통제(무결성 체크)
- 백신 관리
- 패치 관리
- 자산 관리(비인가 시스템 자동 검출)
- 해킹, 웜, 유해 트래픽 탐지 및 차단
- 구성
- MAC 주소 기반 수행
- 사용자는 사용할 시스템의 MAC 주소를 IP 관리 시스템의 관리자에게 알려야 함
- 관리자가 해당 MAC 주소를 NAC에 등록하여, 해당 사용자가 권한 획득
- 등록된 MAC 주소만 네트워크에 접속할 수 있게 허용하므로 라우터로 구분된 서브 네트워크마다 에이전트 시스템이 설치되어 있어야 함
- SIEM
- 개요
- 수많은 IT 시스템 및 보안 시스템에서 발생하는 로그를 분석하여 이상 징후를 파악하고, 그 결과를 경영진에게 보고할 수 있도록 하는 시스템
- 발전된 로그 분석
- 주요 기능
- 보안 오케스트레이션, 자동화 및 대응 시스템(SOAR)
- 개요
- 등장 배경 — 숙련된 보안 전문가가 부족한 상황에서 지속해서 증가하는 보안 위협에 효과적으로 대응하기 위해서 보안 위협에 대한 분석과 대응에 자동화된 프로세스가 필요함
- 가트너 정의 — SOAR는 SOA, SIRP, TIP을 폭넓게 포함하는 개념으로 보안 운영에 있어 유입되는 위협에 대해 대응 수준을 자동으로 분류하고, 표준화된 업무 프로세스에 따라 사람과 기계가 유기적으로 협력할 수 있도록 지원하는 대응 플랫폼을 말한다.
- 주요 가눙
- SIRP(Security Incident Response Platform)
- 보안 사고 대응 플랫폼
- 다양한 보안 이벤트 유형별로 업무 특성에 맞는 업무 프로세스를 정의하는 기능
- 보안 운영센터(SOC)의 단순하고 반복적인 업무 자동화
- SOA(Security Orchestration and Automation)
- 보안 오케스트레이션 및 자동화
- 다양한 IT, 보안 시스템을 통합하고 자동화하는 기능
- SIRP에서 정의한 업무 프로세스의 실행 지원
- TIP(Threat Intelligence Platform)
- 위협 인텔리전스 플랫폼
- 보안 위협을 판단하기 위해 다양한 내외부 위협 인텔리전스를 활용하는 기능
- 보안 분석가의 판단을 보조하는 역할
- 패치 관리 시스템(PMS)
- 개요
- PC에 소프트웨어 업데이트 설치와 운영체제 패치 등을 유도하는 기업용 솔루션
- 중앙에서 강제로 설치
- 구조
- PMS 서버, pMS 에이전트, 관리용 콘솔로 구성
- PMS 서버 — 패치를 배포하고 기업 보안 정책에 따라 이를 위반한 사용자 PC를 인식하고 이들에게 강제적으로 정책에 맞는 수준의 보안을 적용하는 역할 수행
- PMS 에이전트 — 서버로부터 패치를 적용하고 사용자 PC의 상태를 점검해서 보안 정책 위반 여부 정보를 서버에 제공하는 역할 수행
- 패치 단계
- 패치 준비 단계
- 소프트웨어 공급자로부터 신규 패치를 받아 저장. 보안 채널을 이용하거나 USB 등의 물리적인 저장매체 사용
- 시스템은 패치의 안전성 및 무결성을 검증한 후, 신규 패치를 적용할 대상 시스템을 확인하여 패치 대상 목록 생성
- 패치 분배 단계
- 특정 시간, 단계에 따라 패치를 분배하여 설치. 오류 시 복구 기능 제공
- 패치 정보를 수집하여 패치 관리 시스템에 전송하고, 이를 분석하여 관리자에게 최종적으로 패치 현황 제공
- stuxnet — 산업 소프트웨어와 공정 설비를 공격 목표로 하는 극도로 정교한 군사적 수준의 사이버 무기