일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | |||||
3 | 4 | 5 | 6 | 7 | 8 | 9 |
10 | 11 | 12 | 13 | 14 | 15 | 16 |
17 | 18 | 19 | 20 | 21 | 22 | 23 |
24 | 25 | 26 | 27 | 28 | 29 | 30 |
- 악성샘플수집
- 보안
- ViursTotal
- IAM
- AutoRuns
- saa
- 악성 샘플 수집
- 동적분석도구
- 공유 폴더 만드는법
- MalwareBazaar
- 보안관제 업무절차
- Exeinfo PE
- HIDS
- bintext
- 악성샘플
- 스노트 룰 시그니처
- 바이러스 웜 차이
- False Negatvie
- 공유폴더만들기
- 리팩토링
- 보안관제 업무
- VirusShare
- snort rule signature
- 동적 분석 도구
- 악성샘플 사이트
- AWS
- 바이러스 웜 트로이목마
- 지식기반탐지
- 보안관제 업무유형
- snort 패턴
- Today
- Total
배이빗의 공부 공간
보안관제란? 본문
보안관제
-다양한 IT자원을 해킹, 바이러스 등과 같은 사이버 공격으로부터 보호하기 위해 24시간 365일 실시간으로 모니터링을 수행.
-각종 보안 이벤트 및 시스템 로그 등을 분석하여 발생되는 문제에 대해 기술 및 정책적으로 대응하는 업무
보안관제 3원칙
1. 무중단의 원칙
- 사이버 공격은 시간과 장소에 상관없이 수시로 발생하기 때문에 24시간 365일 중단 없이 수행해야 함.
2. 전문성의 원칙
- IT와 보안에 관련된 전문 지식과 경험, 기술력을 갖춘 보안 관제 인력과 첨단 시설을 갖추어야 함
3. 정보 공유의 원칙
- 특정 공격행위를 막아도 타 기관에서 같은 공격으로 인한 피해가 발생할 수 있으므로 침해사고를 탐지 및 차단하기위해 정보가 공유되어야 한다.
-> 관계 법령에 위배되지 않는 범위에서 보안 관제 관련 정보를 공유
보안 관제 업무 절차
회사마다 조금씩 다르지만
주로 예방-탐지-대응-보고-개선 순환형 구조로 이루어져 있다
1단계 예방
- 사용자 PC, 보안 장비, 네트워크 장비, 웹 서비스 등의 취약점을 사전에 파악하여 침해 사고를 예방한다.
- 사전에 방지하기 위해 사이버 위협 정보와 보안동향 정보를 제공 및 공유
- IPS, IDS, 웹 방화벽 등 보안 시스템에 대한 보안 정책 및 시스템 자원 최적화
2단계 탐지
- 보안 시스템에 대한 24시간 실시간 모니터링을 통한 탐지 및 분석
- 네트워크 트래픽 정보 및 내부 정보 탈취 등 사이버 공격 행위를 사전에 방지하기위해
정탐, 오탐, 미탐을 확인하는 단계
3 단계 대응
- 탐지 단계에서 공격으로 추정되는 비정상 네트워크 트래픽 및 시스템 접근에 대한 초기 대응을 하고 사이버 공격에 신속한 조치 및 대응을 한다.
4 단계 보고
- 앞서 일어난 내용들을 육하원칙에 의거하여 관제일지, 취약점 정보, 침해 사고 대응 분석 보고서등 작성
5 단계 공유 및 개선
- 침해사고에 대한 보고서 및 정보를 공유한다.
- 사고 재발 방지를 위해 시스템 개선 등 다시 1단계 예방단계로 넘어간다
보안관제 업무 유형
원격관제
개념
- 외부 관제서비스 업체가 보안관제에 필요한 시스템을 구비하고, 대상 기관의 보안장비 중심으로 보안 이벤트를 상시 모니터링하며, 침해사고 발생 시 긴급 대응하는 서비스 형태
특징
- 특정 부분의 보안시스템 운영을 위탁
- 통합보안 관제시스템과 인력이 원격에 위치
- 제한적인 범위의 보안시스템 위탁
대상
- 일반 기업, 포탈 업체 등
장점
- 인력 관리 부담이 적어 비용 효율적임
- 인터넷망을 통한 관제로 별도 회선 필요 없음
단점
- 한정된 서비스 범위
- 사이트 특화(파견관제)된 관제 서비스 어려움
- 침해/장애 발생 시 즉각 대응 어려움 (통보는 가능하나 조치 위해 인력 필요)
파견관제
개념
- 보안관제 대상기관이 자체 보안관제시스템을 구축하고 전문 보안관제 업체로부터 전문인력을 파견받아 침해/장애 발생 시 즉각적인 관제 업무를 수행하는 형태
특징
- 대상기관이 자체 구축한 보안관제시스템 운영 위탁
- 전문인력이 대상기관에 파견되어 관제 업무 수행
- 조직 및 하위 기관의 보안관제 구축 수행
대상
- 공공분야,금융권
장점
- 대상에 맞춘 특화된 관제서비스 제공 가능
- 대상기관과 관제 인력 간 원활한 의사소통 가능
- 침해/장애 발생 시 신속한 조치 가능
- 업무 효율성 및 연속성 증대
- 대상의 상황에 대한 명확한 이해로 사이트 확장 및 시스템 변경 지원 가능
단점
- 인력 관리 필요 (휴무 및 교체 등)
- 높은 비용 요구
자체관제
개념
- 보안관제시스템과 전문인력을 조직 내부에서 직접 구축하고 운영하는 형태
특징
- 조직 내부에서 자체 보안관제시스템 운영 및 관리를 수행
- 기관 내부 정규직 또는 계약직 보안인력을 통해 관제 업무 수행
대상
- 국정원, 경찰청 등 대규모 통신사와 같은 조직
장점
- 내부 기밀 유지 및 신속한 사고 처리에 능숙
- 정보보안 기술을 직접 보유 가능
- 관제 업무의 연속성을 보장할 수 있음
단점
- 전문성 부족으로 수행 품질이 저하될 수 있음
- 초기 투자 예측이 어려움
- 최신 보안 기술 및 동향 정보 확보가 어려움
- 보안 솔루션 운영에 부담
- 보안 전문가 양성 어려움
클라우드 관제
개념
- 클라우드 환경에서의 IT 자원 (서버, 데이터베이스 등)을 인터넷을 통해 사용하며, 해당 환경 내에서 발생하는 보안 위협을 모니터링하고 대응하는 것을 의미한다. 기업은 클라우드 내에서도 온프라미스 환경과 유사한 보안관제 서비스를 받을 수 있다.
특징
- 보안 관리에 대한 직접적인 부담을 줄이며, 전문 보안관제 서비스 제공
- 모니터링 요원, CERT 등의 전문인력이 보안관제 서비스 제공
대상
- 클라우드 서비스를 제공하는 업체 대상 (AWS 등)
장점
- 로컬에서의 장비 설치 및 유지보수 불필요
- 고객사 환경에 적합하게 유연한 보안관제 환경 구축 가능
- 최신 IT 기술을 활용하여 최적화된 보안장비 구성 가능
- 클라우드 글로벌 데이터 센터에서 보안 관제 서비스 제공 가능
단점
- 클라우드 환경에 대한 이해와 업무 이해가 어려울 수 있음
- 관제 대상의 리스크가 크다
- 고객의 비즈니스를 이해해야 하는 어려움이 있을 수 있음
업무 시 활용하는 웹페이지
WHOIS (https://whois.kisa.or.kr)
정의
- kisa(한국 인터넷 진흥원)이 제공하는 서비스로, 국가의 인터넷 주소(도메인, IP 주소/AS 번호)를 관리하는 기관으로부터 제공되는 등록 및 할당 정보 검색 서비스
목적
- 인터넷에서의 고유성을 보장하기 위해 인터넷 주소의 등록 및 할당 정보를 제공
- 거의 국내에서만 한정된다.
- 해당 인터넷 주소의 네트워크 및 관리자 정보를 국제적으로 공유함으로써 인터넷 관련 문제를 해결
- 네트워크 문제에 신속하게 대응하며, 피싱, 스팸, 해킹 등과 관련된 문제가 발생할 경우 대응
IPCONFIG
정의
- 자신이 사용중인 IP를 조회할 수 있는 사이트
특징
- 자신의 공인 IP 뿐만 아니라 특정 IP를 어디에서 쓰고 있는 지 확인 가능
=> whois로 조회 되지않는 IP도 조회가 가능 (해외 IP 등)
※대부분 본인의 IP주소를 검증하기 위해 사용
Virus Total (https://www.virustotal.com/)
정의
- 파일이나 URL 내의 바이러스를 검사해주는 역할을 하는 웹 서비스
특징
- 개인 파일이나 웹사이트에 있는 첨부 파일에 바이러스 여부를 확인할 수 있으며, 접속하려는 홈페이지 내에 바이러스가 있는지 사전에 검사하여 바이러스 감염을 미리 차단할 수 있다.
Hybrid-Analysis (https://www.hybrid-analysis.com/)
정의
- 파일을 등록하여 해당 파일이 어떤 종류의 악성 코드인지 확인할 수 있는 서비스입니다.
특징
- Hybrid-Analysis는 파일이나 링크의 보안 상태를 평가하고 악성 활동을 감지하며, 보안 전문가들이 악성 코드를 분석하고 조사하는 데 도움이 되는 도구.
- 이 서비스는 악성 코드 분석과 관련된 정보를 제공하며, 보안 커뮤니티에 유용한 정보를 제공하는 역할을 한다
- 악성 코드 분석 기업은 고유한 하이브리드 분석 기술을 사용하여 악의적인 특징을 식별하기 위한 심층적인 메모리 분석을 수행한다.
- 바이러스 토탈과의 차이점은 다양한 방식으로 악성 코드 샘플을 수집할 수 있다는 점이다.
'보안 > 보안관제' 카테고리의 다른 글
정적 분석 정의, 정적 분석 도구 (0) | 2023.08.31 |
---|---|
VirusTotal 이란? (1) | 2023.08.27 |
악성코드 종류 (0) | 2023.08.23 |
정탐, 오탐, 미탐 / 악성 코드 탐지 구분 (0) | 2023.06.04 |
Firewall, IDS, IPS, DDOS (0) | 2023.06.01 |