보안 관제 ESM, SIEM, SOAR 정리

OPTIMUS PRIME·2024년 1월 19일
ESMITSIEMSOAR로그분석방화벽보안보안관제시스템로그
2
post-thumbnail

보안 관제란?

보안 관제는 조직이나 기업의 정보 시스템 및 네트워크를 실시간으로 모니터링하고 관리하는 활동을 말합니다. 이는 주로 사이버 보안 목적으로 이루어지며, 다양한 보안 이슈에 대응하기 위한 종합적인 접근 방식을 포함합니다. 보안 관제의 목적은 신속한 위험 대응, 보안 사고 감지, 사고 조사, 보안 이벤트의 기록과 분석, 그리고 보안 정책 및 절차의 준수 등을 포함합니다.

즉, 보안관제란 외부의 위협으로 부터의 탐지, 방지 그리고 차단 대응 등 더 나아가 이벤트 및 로그에 대한 수집,관리 를 말하는 것입니다.


세대 별 보안 관제 시스템 분류


1세대 보안 관제 (단위 보안 관제)

보통 1세대 보안 관제에서는 주로 단일 솔루션을 사용하여 네트워크와 시스템을 보호하는 데 중점을 둔 보안 체계를 의미합니다. 이러한 체계에서는 방화벽, 백신 소프트웨어, 인트라넷 및 액세스 제어 기능 등이 중심 역할을 합니다.


방화벽(FireWall) 이란?

보통 Layer3 ~ Layer4 계층에 속하며 네트워크 상에서 외부로부터 내부 네트워크를 보호하기 위한 장치나 소프트웨어를 말하며. 주로 네트워크 트래픽을 모니터링하고, ​허가된 트래픽은 허용하고, 불허가 트래픽은 차단함으로써 네트워크 보안을 강화합니다. ​또한, 방화벽은 네트워크의 가장 앞단에 위치하여 외부 공격이나 악성 트래픽으로부터 내부 네트워크를 보호합니다.​

  • 방화벽이 필요한 이유
  1. 패킷 필터링 : 패킷의 출발지, 목적지, 포트 등의 정보를 바탕으로 트래픽을 차단하거나 허용합니다.​
  2. 스테이트 풀 패킷 검사 : TCP/IP 연결의 상태를 파악하고, 허가되지 않은 연결을 차단합니다.​
  3. 프록시 서버 및 NAT 기능 : 내부 네트워크의 정보를 감추기 위해 프록시 서버(어플리케이션 방화벽)나 NAT(Network Address Translation)을 통해 외부와의 통신을​대리합니다.​


웹방화벽(Web Application Firewall) 이란?

보통 Layer7 계층에 속하며 웹 애플리케이션에서 발생할 수 있는 다양한 보안 공격에 대한 보호를 제공하는 보안 장치입니다. ​
주로 웹 애플리케이션 레이어에서 동작하며, 악성 웹 트래픽을 감지하고 차단하여 웹애플리케이션의 보안을 강화합니다.​

즉, 악성 HTTP 트래픽 유입을 필터링, 모니터링 및 차단하는 동시에 데이터가 무단으로 애플리케이션에서 유출되는 것을 방지하는 방식으로 웹 애플리케이션을 보호 목적의 시스템입니다.​

  • 웹방화벽이 필요한 이유

1.악성 트래픽 차단 : WAF는 *SQL 삽입, *크로스 사이트 스크립팅(XSS), *크로스 사이트 요청 위조(CSRF) 등과 같은 일반적인 웹 애플리케이션 공격을 탐지하고 차단합니다.​
2.프로토콜 및 HTTP 보안 강화 : 웹 트래픽의 프로토콜 및 HTTP 헤더에 대한 검사를 통해 보안를 강화 합니다.​
3.인증 및 접근 제어 : 사용자 인증 및 권한 확인을 통해 무단 접근을 방지 합니다.​(SSL/TSL)

SQL Injection (SQL 인젝션) : 공격자가 웹 애플리케이션의 입력​폼 등을 통해 SQL 쿼리를 조작하여 데이터베이스에 대한​비인가된 액세스를 시도하는 공격 입니다.

Cross-Site Scripting (XSS - 크로스사이트 스크립팅) : 공격자가​ 웹페이지에 악의적인 스크립트를 삽입하여 사용자에게 의도지 ​않은 명령을 실행 시키거나 세션등을 탈취하는 취약점 입니다.​

Cross-Site Request Forgery (CSRF - 크로스사이트 요청 위조) :​사용자가 의도하지 않은 상황에서 공격자가 의도한 동작을 수행​하게 하는 공격입니다.​


백신/안티바이러스 (Anti Virus) 란?​

컴퓨터 시스템이나 네트워크를 보호하기 위해 설계된 소프트웨어입니다. 주로 악성 소프트웨어, 바이러스, 웜, 트로이 목마, 스파이웨어 등의 악성 코드를 탐지하고 제거하여 시스템의 보안을 유지합니다.​
즉, 다양한 악성 소프트웨어 찾아 제거하는 컴퓨터 프로그램 입니다.​

  • 안티바이러스의 필요성

1.바이러스 검출 : 시스템 및 파일을 주기적으로 검사하여 악성 코드 패턴 또는 특징을 찾아 내고 감지합니다.​
2.바이러스 치료​ : 감염된 파일이나 시스템을 발견하면 해당 파일을 치료하거나 격리시켜 악성 코드의 확산을 막습니다.​
3.실시간 보호​ : 사용자가 파일을 열거나 실행할 때, 안티바이러스는 실시간으로 악성 코드를 차단하고 감지합니다.​

2세대 보안 관제 (통합 보안 관제)

2세대 보안 관제는 다양한 보안 솔루션 및 기술을 통합하여 향상된 효과와 종합적인 보안 관리를 제공하는 시스템을 나타냅니다. 1세대에서의 단일 솔루션으로부터 발전하여, 여러 가지 보안 도구와 기능을 통합하고 이를 효과적으로 관리하는 시스템이라고 볼 수 있습니다.


ESM (Enterprise Security Management) 란?​

전산 환경의 장애 발생시 중앙에서 원격을 통제하여 처리 및 조치를 취할 수 있도록 ​
전산 환경의 성능이나 보안의 취약성을 종합 관리하여 시스템의 안정성을 높여주는 시스템입니다.​

즉, 보안 솔루션들을 연동하여 하나의 시스템으로 로그, 이벤트를 모으는 보안 통합 관리 시스템 입니다.

  • ESM의 필요성

1.보안 이벤트 모니터링 및 감시 : 네트워크, 시스템, 응용프로그램 등에서 발생하는 보안 ​
이벤트를 실시간으로 모니터링하고 기록합니다.​
2.로그 관리 : 로그데이터를 수집, 저장 등 보안 이벤트를 ​추적하고 조사하는데 도움을 줍니다.
3.위협 탐지 및 대응​ : 악성 행위나 사고에 대한 조기 경고를 제공하며 ​위협에 대응하여 효과적인 대응 전략을 수립합니다.​


3세대 보안 관제 (빅데이터 보안 관제)

3세대 보안 관제는 통합된 보안 관제와 더불어 로그 분석(Log Analysis)을 강조하는 시스템을 나타냅니다. 이는 고급 로그 관리와 분석을 통해 보다 정교한 보안 수준과 사이버 위협 대응 능력을 제공합니다.


SIEM (Security Information and Event Management) 이란?​

네트워크 하드웨어 및 응용 프로그램에 의해 생성된 보안 경고의 실시간 분석을 하는 통합 로그 수집 시스템 입니다.​

모든 자원 및 보안 이벤트를 통합하여 관리하며 위험 예측, 모니터링과 이기종 간 상관분석, 심층분석을 할 수 있습니다.​

ESM 의 진화된 형태로 볼 수 있으며 가장 큰 차이점은 장기간의 데이터도 성능 저하 없이 수집/ 검색 할 수 있는 빅데이터 기반​기술 입니다.​

  • SIEM의 필요성

1.빅데이터 기반 (Big Data-Based)​ : SIEM이 빅데이터 환경에서 대규모로 발생하는 보안 이벤트와 로그 데이터를 ​수용하고 처리 할 수 있는 능력을 갖추고 있습니다.​
2.맵리듀스 (MapReduce)​ : 대용량 데이터 집합을 병렬 및 분산 처리 하기 위한 프로그래밍이며 로그 데이터를 분석하고 처리하는데 사용​되며 대량의 데이터를 여러 노드에 분산 처리 하는데 활용 합니다.​
3.인덱싱 (Indexing)​ : 로그 데이터를 빠르게 검색하고 분석하기 위해 데이터에 색인을 생성 합니다.​ 즉, 특정 필드나 속성에 대한 빠른 검색을 가능하게 하는 인덱스를 생성하여​데이터에 효율적인 액세스를 제공합니다.​

4세대 보안 관제 (자동화 보안 관제)

4세대 보안 관제는 이전 세대의 기능을 포함하면서 자동화가 중점인 시스템을 나타냅니다. 이는 보다 높은 자동화 수준과 인공 지능(AI) 기술을 통해 보안 이슈를 실시간으로 탐지하고 대응할 수 있으며 사용자(관리자)에게 편의성을 제공하는 보안 체계를 제공합니다.


SOAR (Security Orchestration, Automation, and Response) 이란?​

보안 시스템과 정책을 자동화 관리 하는 것을 말하며 여러 소스에서 추출한 데이터를 수집하고 분석하여 IT시스템에서 보안 사건을​확인할 수 있도록 하는 보안 솔루션 입니다.
또한 여러 보안 솔루션을 하나의 인터페이스로 관리하여 보안 사건에 효율적으로​대응 할 수 있도록 돕습니다.​
즉, SOAR 은 다양한 보안 솔루션과 연동을 담당하며 보안 이벤트에 대한 효율적인 대응의 위해 자동화 및 대응 기능을 통합하는 통합 보안 시스템 입니다.

  • SOAR의 필요성

1.Orchestration(오케스트레이션) : 오케스트레이션 이란 보안 운영팀이 위협을 선별, 조사 및 완화하기 위해 사용하는 도구들을 통합​하고 관리하는 것을 말합니다.
2.Automation(자동화) : 보안 자동화는 보안 직원에 의해 실행 되었던 업무를 대신 수행하는 소프트웨어 도구를 사용하는 것을 의미 ​합니다. 모든 업무가 자동화 되는 것은 아니지만 데이터 보충과 같은 반복적인 업무부터 샌드박스에서 파일을 분해해서 분석​하는 것 까지 자동화 적용이 가능합니다. ​
3.Response(보안 대응) : 보안 대응은 보안 이슈에 대해 반응하고 해결하는 것을 의미합니다. 먼저 이슈를 보관 및 해결하고 위협이 다시​발생하지 않도록 조치를 취하도록 요구합니다.​

profile
OPTIMUS PRIME
개발자에서 엔지니어로 쩜푸!
이전 포스트

IPTABLES 정리

0개의 댓글