[사이버 보안] 보안관제와 침해대응

이 글은 2024-1 ㅇ화여대  (인실 도 교수님의)  사이버보안개론 수업자료를 참고하였음을 밝힙니다.

 

 

 

🚘보안관제

: 조직의 중요 정보 자원을 보안공격으로부터 보호하기 위한 활동 - Security Monitoring + Control

 

<보안관제 조직>

보안관제 모니터링팀	365 247 보안관제sys의 이벤트 모니터링. 이상 이벤트 -> 절차에 따라 대응
침해사고대응팀(CERT)	보고받은 이상 이벤트에 대해 분석. 대응 조치 수행.
정보공유분석센터(ISAC)	산업 분야별로 침해 사고에 효과적으로 대응하기 위한 공동대응 조직(국내-금융감독원 주도)

 

<보안관제시스템>

 

a. 통합 보안 관제 시스템 

- 각 정보보호시스템에서 생성된 로그 수집. 통합 분석- ESM(Enterprise Security Management) : 로그를 정규화하여 저장. 종합 모니터링- SIEM(Security Information and Event Management) -> SEMd은 기존과 유사. SIM은 장기간에 대한 분석.보고

 

*SIEM의 장점 (상대적)- 다양한 정보시스템으로부터 로그 수집 가능, 빅테이터 수준의 장기간의 연관 분석 가능, 지능형 보안에 적합.ex APT 공격(특정대상을 겨냥해 장시간 지속적으로 공격하는) 에 대해 침해 대응 유리

 

 

<보안관제의 수행 원칙>

• 무중단
• 전문성
• 정보공유

 

<보안관제 유형>

직접 관제	- 내부에 직접 시스템을 구축. 업무연속성은 보장하지만 전문성 떨어질 수 있음.
파견 관제	- 내부에 직접 시스템을 구축. but 구성원은 업체로부터 파견. 연속성 떨어짐.(인력교체문제 등)
원격 관제	- 전문 관제 업체의 sys 사용 -온라인으로 관리. 특수성에 따른 맞춤 서비스 제공 가능 * 정보sys는 본 업체가 가짐
클라우드 관제	- 조직의 IT환경이 클라우드에있는 경우, sys를 제공하는 클라우드에서 관제까지 제공(정보 sys 없)

 

 

* 탐지 규칙 : 특정 악성코드 또는 보안 공격이 네트워크로 유입되는 것을 탐지하기 위해 개발한 시그니처(=탐지룰,패턴)

구조 : 헤더 + 옵션

 

헤더의 구성

 

***CIDR : IP 주소 / 숫자의 형태로ㅡ 네트워크 주소에 몇 bit를 사용할 건지를 나타냄.클래스에 따라 정해진 망주소, 호스트 주소에서 - 추가로 망 주소에 bit를 더 부여해서 서브넷 주소를 생성하는 것.ex 만약 망을 4개로 쪼갠다면, host bit에서 2bit를 가져와서 네트워크 주소에 추가로 사용하는 것

 

 

탐지 조건의 구성

 

예시1)

!. . .  -> . . . : 외부에서 내부의 23(telnet 포트번호)로 접근하려는 트래픽 drop

 

 

예시2) 내부 웹 서버로 Slowloris 공격 트래픽 탐지 및 차단

*Slowloris 공격 : HTTP 헤더 정보를 조작 → 서버가 헤더 정보가 올 때까지 기다리도록 하여 정상적인 접근을 거부하게 만드는 공격.

 

how?

HTTP에서 정상 패킷은 HEADER의 마무리가 두번의 CR+LF(0d0a)(=Enter) 지만, slowloris는 이걸 한 번만 해서, 헤더인지 인식 못하고 기다리게 함.

 

하지만, 가끔 정상인 상황에서도 0d0a가 한 번만 있는 패킷이 발생할 수 있음. [오탐을 줄이기 위해]

→ 3초 이내에 동일 목적지로 이러한 0d0a가 한 번만 있는 패킷이 50개 이상 발생했을 때만 보안 공격으로 판단.

 

 

cf) 정탐과 오탐

 

*False Negative(부정 오류) -> 보안사고로 이어질 수 있음.

*False Positive(긍정 오류) -> 가용성 침해 

=> 둘 다 낮추기 어렵다.

 

---

 

 

🚘침해대응

: 효율적인 사고 대응을 위한 준비 단계

침해 대응의 절차

a. 사전준비

- CERT 혹은 CSIRT(침해대응팀) 조직.

 

b. 사고탐지

- 정보보호시스템(IDS, IPS), 통합보안관제시스템(ESM, SIEM)에 의한 탐지

- 일반 보안 사고와 중대 보안 사고로 나눔. 

- 초기 보고 시에 필요한 요소 정리 (시간, 날짜, 관련 HW SW 목록 등)

 

c. 초기대응

- 침해대응팀이 인수/인계 받음 -> 해당sys의 네트워크 차단. 업무나 서비스에 미치는 영향 파악

 

d. 대응 전략 수립

- 내부처리 혹은 외부 수사 기관 의뢰. 특히 법률적 문제에 대한 방어 전략 구축

 

e. 사고 조사

- 초기 대응이 안되는 경우 정밀 조사 단계(디지털 포렌식)으로 들어감. 데이터 수집 필요

 

f. 보고서작성

- 조직의 상급자 및 외부 보고를 위한 보고서 작성

 

g. 복구 및 해결

- 악성코드 제거. 네트워크 연결. 

- 관리자 pw 재설정. 보안패치 적용