보안운영
- 취약점 점검
- 컨설팅
- 보안운영 : 엔지니어 성격 > 보안관제에서 룰을 만들면 확인을 해야됨
- 보안관제인력과 보안운영 인력이 함께 룰을 만들어서 조율
- 관제인력 + 운영인력 > 담당자, 엔지니어
*모니터링, 장애조치 > 가용성 확보
형상관리(자산정보 관리)
- 보안운영 인력
- 보안관제 인력이 관리하기 힘듦
- 관련 요약매뉴얼
- 연동대상 장비의 연동관리(필수)
ex) 장비 교체 시점, 이력관리
자산관리
- 보안 솔루션을 다 알고 있어야됨
- 탐지이벤트 발생 시에 어디서 대처할지 하기위함
- 자산등록, 자산변경, 자산삭제 > 고객 측에서 관리
장애관리
- 장애발생 시에 장애분석
- 2차까지 넘어가면 작업관리로 넘어감
작업관리
- 작업계획을 수립하고 작업수행을 하면 원인 알수있음
- 작업 수행 후에 재발방지 대책수립
예방점검
- 정기점검과 긴급점검이 이루어짐
- 점검이 이루어지고 작업관리 파트에 계획을 수립하고 수행 보고서 작성까지
백업관리
- 백업이 잘 작동하는지
- 백업정보 등 확인
기술지원
- 고객, 신입
장애관리
- 장애발생 > 장애 유무 관계로 보고서 작성
- 장애발생 시에 어떤 조치를 할지
- 장애발생 시 1차 보고는 PM 2차 보고는 PM이 고객사에게
사전통보
- 고객사 장비에서 홈페이지 작업을 몇시에 했는지
- 관제 쪽에서도 장비 점검이 있을 시 사전통보를 해줘야 함
- 작업계획을 통보해주어야함
- 취약점 점검과 모의해킹 시에도 사전통보
***보안운영과 관제는 섞여있음,
보안관제 탐지 / 방어기술
- 패턴기반 탐지: 탐지정책, 탐지속도가 빠르고 정확성
- 행위기반탐지: 시그니처 , 비정상행위 탐지시에 효과적
- 상관분석
*행위든 패턴이든 보안 시스템에 영향
*IDS/IPS, WAF에서 쌓아둔 로그에서 정탐과 오탐을 구분
상관분석
- 상급기관의 룰을 받아볼 수 있음
- ESM, SIEM, TMS > IDS+IPS
SnortRule
- IDS : 탐지 여부확인
- IPS : drop 차단 까지 확인 (단, 차단되는 트래픽이 정상과 비정상인지 확인 해야함)
alert: 경보발생 및 로그기록
log : log기록
pass : 패킷무시
drop: 패킷차단 및 로그기록(IPS사용, 단 in-line구조로
reject: 패킷차단 및 로그기록(tcp, udp, udp-icmp unreachable에 응답
sdrop: 패킷차단 및 로그기록 없음
IDS/IPS
- 탐지 시 인라인 방식이 안되면 by-pass
ddos
- 네트워크 대역 1~10기가
- 네트워크 대역폭 공격은 일반사용자 정상적인 접속 불가
WAF(웹 방화벽)
- 오탐이 많이 발생
- 유출 차단
- SSL 복호화 연동 : 암호화에 숨은 공격, 인라인 복호화로 투명하게 탐지
- 암호화는 데이터를 보호할 수 있는 완벽한 방법이긴 하지만, 공격을 숨기는 최적의 기술
- 웹쉘탐지 솔루션
NAC
- 허용 IP만 접근 가능하도록
그외에 Anti-virus, db암호화 솔루션, 스팸차단 솔루션(주기적으로 확인 필수)
https://www.boannews.com/media/view.asp?idx=114108
참좋은여행, 개인정보 유출... 해킹으로 5~7일 사이 피해 추정
‘참좋은여행’ 홈페이지에서 개인정보 유출 사고가 발생했다. 참좋은여행은 홈페이지 팝업을 통해 ‘고객님께 개인정보 유출 의심사례가 발생해 심려를 끼쳐 드린 데 대해 사과드립니다’라
www.boannews.com
개인정보 유출, 문제
- DB관리
- 내부자
- 외부 네트워크
- 룰 검토
- 취약점에 의한 공격
- 발표한 취약점에 대해서 조치 검토
- 파일관리 시스템 검토
관제 실무
*Splunk: index, source_ip와 d_ip, 어떤 필드를 봐야할지..
- 실무에 가서 파악해야 함
- 조회 기능
- 정보 공유: 국정원, 금보원, KISA KrCert, 벤더사 ( 취약점 권고문 )
- 보안뉴스: 데일리시큐리티, 보안뉴스 등 언론매체 확인 ( 뉴스스크랩 )
일일보안관제보고서 > 뉴스스크랩, 취약점 권고문
가용성 체크
- 점검내용 : CPU, Memory, Disk, Power, 데몬
성능관리: 방화벽, IDS/IPS, WAF
산출물
- 일일 보안 관제 보고서
NAC 도입 시 노트북은?
- 노트북은 포맷
일일보안관제보고서
- 티켓팅을 얼마나 했고, 탐지된 이벤트 대응을 얼마나 했는지
티켓팅 분류
- 비인가 접근, 웹해킹, 서비스 거부, 악성코드
*랜섬웨어 감염 시 보안체계가 허술
- 백업 체계
- 암호화 키
sql injection
- weblog 확인: 실제 공격 통과 여부
- 응답값 캡쳐
DDOS
공격자IP : ektn
- IP 확인 -> 트래픽 주요 IP 10여개 파악
- ISP 업체 우회
보고서 작성 시에 재현 TEST 응답 값
- wireshark를 통해서 패킷이 어떻게 흘러가는지 확인
- sql injection 공격 등 테스트
통합보안관리시스템(ESM)
- syslog
관리실태 평가
- 정보공유 포털 > black list > 매일매일 한 건 씩 의무적으로
SIEM
- 시나리오를 상관분석 기능으로 대체해서 만들수있음
- 시나리오에 상관분석한 결과를 정책처럼 넣음
ESM
- 상관 분석하는 기능은 있지만, SIEM에서 상관분석
*ESM보다 SIEM이 더 광범위한 기능
관제 프로젝트: 관제 환경을 만들고 룰을 만들어서 공격 탐지 되도록
'수업' 카테고리의 다른 글
| 1/26 (0) | 2024.01.26 |
|---|---|
| 1/22 (0) | 2024.01.22 |
| 1/15 - 보안관제 이해 및 실무 (0) | 2024.01.15 |
| 1/12 (0) | 2024.01.11 |
| 1/11: Splunk 명령어 (0) | 2024.01.11 |