[새싹 성동 2기] 보안 관제 실무(1) - 보안관제란? | 관제의 주요 역할과 구성요소 | 관제 장비의 특성(FW/IDS/IPS, WAF)

보안관제(Security Operations Center, SOC)란?

- 보안 모니터링을 하는 부서

- 위협 데이터 및 이벤트를 탐지하고 보호, 대응함 

- 내부로 악성 공격이 일어나지 않도록 하는 최전방 -> 'DMZ'

 

관제의 주요 역할

1) 보안 모니터링

- 실시간으로 모니터링하여, 비정상적인 활동이나 잠재적인 위협을 감지

 

2) 사이버 위협 탐지

- 정탐/과탐/오탐을 분류 

 

3) 사고 대응 및 조치

- 해당 IP 차단과 같은 즉각적인 조치를 통해 사고의 확산을 막고 피해를 최소화함 

 

4) 로그 분석 및 보고

- 중간 과정보다 결과가 중요함, 보고기일에 정확히 맞추는 것이 중요

 

관제의 구성 요소

1) 인프라와 도구

(ex) SIEM(Security Information and Event Management) 시스템, 방화벽, 침입 탐지 시스템(IDS), 침입 방지 시스템(IPS), 안티바이러스 소프트웨어, 엔드포인트 보안 솔루션

 

2) 인력

 

3) 정책 및 절차 

 

관제의 유형

1) 내부 SOC: 조직 내부에서 운영

2) 외부 SOC: 외부 고용 업체에 위탁하여 운행

3) 하이브리드 SOC: 내부 SOC + 외부 SOC

 

 

보안관제 프로세스

출처: http://www.wins21.co.kr/kor/service/security__control.html

 

1) 수집 & 탐지 

 

2) 예측(판단) : AI가 활용되고 있음(정/오탐 판단, 트래픽 이상치)

 

3) SOAR (Security Orchestration, Automation, and Response)

- 보안 운영 및 대응을 향상 시키기 위한 자동화 및 조정 기술을 제공하는 플랫폼

- 반복적이고 루틴한 보안작업을 자동화

 

4) 차단/정책 관리 + 보고서

 

5) 침해 대응: 위협탐지 접수 & 초동분석 & 위협분석/대응  + 보고서

 

- CTI : 위협 정보 정형화(이미 알려진 악성파일, 공격자, 공격IP 정형화)

 

관제장비 구성

1) DDoS 장비: 평상시 트래픽 대비 과도한 트래픽 발생시 차단

- DDoS 공격은 100% 막을 수 없음, 실제 보안에 있어서 큰 역할을 하지 못함

 

2) 방화벽/IDS/IPS: 허가받지 않은 접근에 대한 차단

- 침입탐지시스템(IDS: Intrusion Detection System)

- 침입방지시스템(IPS: Intrusion Prevention System)

- 시스템 보안: WAF

 

3) NAC(Network Access Control): 내부 자산 통제

 

4) WIPS (Wireless Intrusion Prevention System) : 무선 침입 방지 시스템

 

5) 실제 단말기에 보안 솔루션 및 WAF, DBsafe 구축

- 단말보안 EDR(Endpoint Detection and Response): 백신의 확장판, 엔드포인트 탐지 및 대응

 

 

관제장비 특성

1) 방화벽(Firewall)

- 서버 방화벽과 클라이언트(End-User) 방화벽으로 나뉨

 

- 네트워크 계층과 전송계층의 IP/Port 데이터를 기반으로 동작

 

- 단점: 내부에서의 악의적인 트래픽은 방어 불가능 (추가적인 내부 방화벽 설치가 필요함)

+ End-Device들이 이미 감염된 상태에서 연결되는 경우 

+ 무선장비와의 통신(방화벽을 통과하지 않는 트래픽)에 대한 방어 불가능

 

=> 차세대방화벽(NG Firewall)

- 애플리케이션 제어 가능 (Application을 구분하고 제어)

- 사용자를 인지하여 제어

- 유해 컨텐츠를 제어

 

- 방화벽의 주요 기능

(1) 접근 통제(Access Control)

(2) 인증(Authentication)

(3) 로깅 및 감사(Logging and Auditing)

• 로깅: 1년 보관
• 감사: 1년에 1회

(4) 보안 정책 - 허용된 사람만 접근 승인

(5) 주소변환기능 = NAT(Network Address Translation)

사설 IP <-> 공인 IP

(6) 대역폭 관리

 

- 방화벽 운영 2원칙

1. 우선 차단 정책(Default Deny)

- 허용하는 리스트(White List) 이외에는 모두 차단 -> 가장 일반적으로 사용

 

2. 우선 허용 정책(Default Allow)

- 차단하는 리스트(Black List) 이외에는 모두 허용

(Black List를 완벽하게 작성하는 것은 매우 힘듬) 

 

2) IDS - 침입탐지시스템

: 정상적인 트래픽 흐름을 간섭하지 않고 단지 감시하는 기능

 

- IDS 기능

(1) 경보

: 침입탐지 시 경보, 이메일 및 SNMP 트랩 발송 등 보안관리자에게 통보

 

(2) 셔닝(Shunning)

: 공격자나 의심스러운 호스트의 발신지 IP 주소 및 서비스 포트에 대해 해당 패킷 차단 지시

 

(3) 사용자 프로그램 실행

: 지정된 이벤트에 따라 특정 사용자 프로그램을 실행할 수 있도록 하는 기능

 

- 네트워크 기반 IDS(NIDS)을 주로 사용

: 네트워크 패킷을 분석하여 침입을 탐지

 

+ 설치위치: 방화벽 뒤에 위치하는 것이 대부분 (IDS를 한 대만 설치할 수 있다면 이곳에 설치해야 함)

내부 클라이언트 감시를 위해 네트워크, DMZ에도 위치

(설치 우선순위: 방화벽 뒤 > DMZ > 내부 네트워크 > 라우터 뒤 > 라우터 앞 )

 

- 오용 탐지 (Misuse) & 비정상 행위 탐지 (Anomaly)

오용 탐지: 새로운 패턴에 대해서 탐지하지 못하는 것

비정상 행위 탐지: 통계 기반으로 판단하고 차단 (but, 공격이 아님에도 공격으로 오인할 가능성이 높음)

 

 

3) IPS - 침입방어시스템(+탐지)

: 대부분의 장비들이 In-line Mode로 구성됨 

 

In-line Mode

- 네트워크 방화벽 구성과 동일하게 모든 트래픽이 해당 보안장비를 거쳐야만 목적지로 전송될 수 있도록 네트워크를 구성

 

4) 방화벽 vs IDS vs IPS

방화벽 -  통제가 주요 목적

 IDS - 감지가 주요 목적

IPS - 차단이 주요 목적

 

5) VPN (Virtual Private Network, 가상 사설망) 

: 원격의 두 지점 간을 내부 네트워크처럼 이용할 수 있음

 

6) 웹방화벽(WAF, Web Application Firewall)

: 웹어플리케이션에 대한 공격 방어와 접근 통제 및 모니터링을 수행

 

- 서버 앞에 설치됨 (서버와 웹방화벽을 분리해서 설치하는게 정석이긴 하지만, 서버에 설치 할 수도 있음

 

wazuh solution: 오픈소스 방화벽 솔루션

- 클라우드, 컨테이너, 서버를 보호하기 위한 오픈소스 플랫폼의 서비스

 

- 주요 기능(1) Request/Response 메시지 차단

(2) HTTP 속성값 탐지

(3) 장애 발생시 Bypass 기능 사용

(Bypass: 우회기술 )

 

7) DLP - 내부정보유출방지  "감사" 

: 데이터의 흐름을 모니터링하여 중요 정보에 대한 유출을 감시하고 차단함

 

(1) 네트워크DLP: 메일, 메신저, 웹메일, 웹하드등 네트워크를 통하여 정보가 유출되는 것을 모니터링

(2) 단말DLP: PC와 같은 단말기에서 USB 등의 이동식 저장매체와 출력물 등을 통해 유출되는 것을 방지

 

8) DRM - 디지털 저작권 관리

: 문서보안(내부정보보안)을 목적으로 디지털 콘텐츠의 저작권을 보호하는 기술 

- 사후 암호화, 허가한 권한 범위 내에서만 컨텐츠를 사용할 수 있게 통제

 

9) NAC - Network Access Control

: IP 관리 시스템에서 발전한 솔루션, 네트워크에 대한 통제를 강화

 

- 정책의 강제화

- 계정 및 접근 관리: ip기준이 아닌 사용자 기준으로 통제(사번 이용)

 

=> 스팸 필터 솔루션, Secure OS는 현재 잘 사용하지 않음!

 

10) 백신/PC 방화벽

 

[ 로그 ] 

1. 서버 단위

- Windows Server, Unix

Windows: Event Log [시스템, 애플리케이션, 보안], access log, errror.log, DB log

Unix: Message, Audit(강제로 활성화 해야함), auth, mail, access log, errror.log, DB log

 

2. 클라이언트 - window

 

3. 네트워크 기반

- 스위치, 라우터, 공유기, 보안 솔루션

 

=> Unix 계열이기 때문에, 1번에서 수집되야 하는 로그 위주로 수집

+ 각 장비별 특성에 따른 로그 수집 

예시) 스위치: 통신 테이블 내역, port에 대한 on/off 설정 정보들(config 설정 정보)

 

FW, IDS/IPS, WAF + 1~3번에 대한 해당되는 로그를 모두 수집

-> splunk DB로 수집[SIEM]

(splunk - 로그 받아와서 분석 (최근에 가장 많이 쓰임))

 

FW, IDS/IPS: WAZUH

WAF: MOD SECURITY

 

 

[ 공격 유형 ]

1. 네트워크

: 스니핑, 스푸핑 (현재 잘 일어나지 않는 공격 기법)

DoS, DDoS, 스캐닝

접근 통제가 필요한 서버(DB서버)

=> 공격들의 임계치가 존재함

IDS/IPS로 차단이 가능 (비정상행위)

 

2. 웹

: SQLInjection, FILEUpload, XSS, CSRF, SSTI, LFI/FFI, Directory Listing

=> WAF로 Request/ Response 탐지 & 차단

 

3. 내부자

: 자료 유출(메일, 프린터, 메신저)

=> DLP를 통해서 가능

 

4. 악성코드

: 문서형(문서파일), 파일리스(Code기반), 실행파일(exe)

예시) 파일리스 - powershell 코드 사용

 

=> AV, EDR

 

5. 물리형태

: 비인가 단말기 연결, USB 사용

=> NAC

 

[ 네트워크 보안 설계 ]

인터넷 - 라우터 - FireWall/IDS/IPS - WAF/DMZ(WEB, apache) - WAS - Private 

• WAF/DMZ(WEB, apache): (<-> 방화벽 <->) 내부망(경영진, 정보보호팀, 인사과 등등)
• WAS: tomcat
• Private: DB

=> 방화벽은 외부 & 내부에 모두 구성!

 

3-tier가 잘 구성되있는 조건

1) 인터넷에서 WAS에 직접 연결 불가능

2) 인터넷에서 DB에 직접 연결 불가능

 

 

 

 

reference 

온프레미스와 클라우드 환경의 보안 관제 실무 - 이별 강사님

https://www.wallarm.com/what/security-operations-center-soc