겉바속촉
[보안] 로그 분석 본문
728x90
반응형
보안관제 & 침해사고 개요
<업무의 연속성 측면에서 보안관제와 침해사고 분석>
보안관제
내. 외부로부터의 해킹 시도 모니터링 -> 해킹시도 차단(긴급대응) -> 상황전파 (-> 피해분석)
침해사고 분석
(상황전파 ->) 피해분석 -> 해킹사고 원인 분석 -> 복구 및 재발 방지 대책 마련
로그 분석 개요
보안관제와 침해사고분석은 다른 의미로 해석되지만 결정적인 공통점 존재
- 목적 : 해킹에 대한 대응, 해킹에 대한 가장 신속하고 즉각적이 대응으로 피해 최소화
- 로그 : 대부분 관제 분석 모두 로그 확인
- 로그를 통해 해킹 시도 여부 빠르게 인지
- 로그를 보는 접근은 다르나 로그를 이용하는 점은 동일
차이점
동일한 목표인 로그를 본다는 점은 동일하나 접근 방법이 다름
보안관제 | 침해사고분석 | |
목적 | 해킹 시도 탐지, 빠른 긴급 대응 | 정확한 분석과 피해 복구 |
수행 방법 | 직관적 로그 분서 | 심층적 로그 분석 |
대응 방법 | 365일 24시간 상시 근무 | 사고 발생 시 즉시 투입 |
보안관제 절차
이벤트 발생 -> 초기 분석 -> 해킹으로 판단되면 공격IP 차단
- 이벤트 발생 : IDS, ESM 등 관제 시스템에서 해킹으로 의심되는 이벤트 탐지 후 알림
- 초기 분석 : 탐지된 이벤트에 대한 정타 여부 직관적 판단
해킹으로 판단되면 공격 IP 차단 : 추가 피해를 막기 위해 긴급 조치 및 상황 전파
침해사고 개념
- 침해사고 인지는 이벤트에서 탐지하는 경우가 대부분
- 예방적인 관점은 취약점을 패치하여 행위로 도달할 수 없게 끔 EXPLOIT을 차단 또는 악용을 방지하는 데 목적
공격자 | -> | 도구 | -> | 취약점 | -> | 행위 | -> | 목표 | -> | 결과 | -> | 목적 |
EVENT | ||||||||||||
ATTACK | ||||||||||||
INCIDENT |
침해 사고 분류
- 침해사고분류의 경우 C-I-A 기준으로 얼마나 침해하는 지에 따른 방어책 선택 필요
- 침해사고의 종류 (결과에 따른 분류)
유형 | 내용 |
불법침입 | 허가 받지 않은 시스템에 몰래 접속 |
불법탈취 | 서버 관리자 권한 탈취 |
불법경유 | 허가 없이 경유하여 타 시스템 접속 |
자료유출 | 하가 받지 않은 자료 빼감 |
자료변조 | 허가없이 자료 내용을 몰래 수정 |
자료삭제 | 허가없이 자료 자체를 삭제 |
불법자료저장 | 불법 자료를 승인 없이 저장시켜놓는 것 |
업무방해 | 업무 방해 행위를 자동처리 시켜놓음 |
서비스방해 | 서비스 방해 목적으로 잦은 접속 시도 |
- 침해 사고의 종류 (공격방법 따라 분류)
유형 | 내용 |
악성코드 공격 | 바이러스, 1)트로이목마, 웜, 백도어, 2)공격 스크립트 등의 유포, 설치, 실행 |
비인가 접근 | 비인가된 시스템에 접근, 파일 접근, 3)네트워크 정보수집 등 |
비인가 서비스사용 | 네트워크 서비스의 취약점을 이용하여 서비스 무단 이용 |
4)서비스 방해 | 네트워크 또는 시스템 정보 서비스 방해 |
오용 | 공식적인 목적 이외의 용도로 시스템 및 네트워크 사용 |
1) 트로이목마는 요새 RAT라고 불림
2) 공격 스크립트 -> 문서 취약점 : VBS, DDE
3) 네트워크 정보수집 -> GHDB
4) DDoS
- 일반적으로 침해사고의 경우 해킹과 서비스 거부 공격으로 구분
- 해킹 : 기밀성과 무결성에 직접적인 영향을 주는 공격
- 서비스 거부 : 가용성에 직접적인 영향을 주는 공격
1. CVE : 제품 취약점
- CVE 번호를 발급받으면 ID가 주어짐
- S/W, H/W 모두 해당
- CVE - 년도 - 일련번호
- 참조 가이드 제공
- CVSS : 점수가 계산이 되는 데 Base Score라고 불림 --> 10점 만점으로 만점이 나오면 거진 관리자 권한 소유.
점수에 큰 영향을 끼치는 것 --> C, I, A와 Local이나 Remote에서 발생하는 지
2. CWE : 공통된 소프트웨어 취약점
3. CCE : 구성 취약점
APT 공격
개념
- 웹 서비스 취약점을 이용한 정보 유출 및 APT 공격에 의해 민감 데이터 유출이 빈번
- Advanced Persistent Threat = 지능형 지속 위협
- 전자적인 수단 + 사회 공학 기법들을 같이 이용
- 최신의 취약점(Zero-Day Attack) 공격을 동시에 수행
- 방어 어려움 --> 공격자는 하나의 취약점만 찾으면 내부망 진입이 수월하기 때문
보안 담당자는 전체 인프라 방어해야 함
APT 공격의 라이프 사이클
- 특정목표 타겟
- 공격 위한 환경조사
- 타겟 네트워크에 액세스
- 공격목표 달성을 위한 추가 도구 배포
- 추가 공격을 위한 액세스 유지
- 데이터 획득
- 흔적 및 데이터 삭제
728x90
반응형
'IT 일기 (상반기) > 네트워크 및 시스템 보안' 카테고리의 다른 글
[보안] 로그 분석 공격 대응 (0) | 2021.02.02 |
---|---|
[보안] 로그 분석 공격 종류 (0) | 2021.02.02 |
[보안] 웹 서버 보안 설정 (0) | 2021.02.02 |
[보안] 정적 분석도구 & 동적 분석도구 (0) | 2021.02.02 |
[보안] Burp Suite_XSS, 프록시, repeater (0) | 2021.02.02 |