겉바속촉

[보안] 로그 분석 본문

IT 일기 (상반기)/네트워크 및 시스템 보안

[보안] 로그 분석

겉바속촉 2021. 2. 2. 11:56
728x90
반응형

 

 

 

 

 

보안관제 & 침해사고 개요

 

 

<업무의 연속성 측면에서 보안관제와 침해사고 분석>

 

보안관제

 

  내. 외부로부터의 해킹 시도 모니터링 -> 해킹시도 차단(긴급대응) -> 상황전파  (-> 피해분석)

 

 

 

 

침해사고 분석

 

 (상황전파 ->)  피해분석 -> 해킹사고 원인 분석 -> 복구 및 재발 방지 대책 마련

 

 

 


 

 

 

 

로그 분석 개요

 

 

 

 

보안관제와 침해사고분석은 다른 의미로 해석되지만 결정적인 공통점 존재

 

 

  • 목적 : 해킹에 대한 대응, 해킹에 대한 가장 신속하고 즉각적이 대응으로 피해 최소화
  • 로그 : 대부분 관제 분석 모두 로그 확인

           - 로그를 통해 해킹 시도 여부 빠르게 인지
           - 로그를 보는 접근은 다르나 로그를 이용하는 점은 동일

 

 

 

 

차이점

 

동일한 목표인 로그를 본다는 점은 동일하나 접근 방법이 다름

 

  보안관제 침해사고분석
목적 해킹 시도 탐지, 빠른 긴급 대응 정확한 분석과 피해 복구
수행 방법 직관적 로그 분서 심층적 로그 분석
대응 방법 365일 24시간 상시 근무 사고 발생 시 즉시 투입

 

 

 

 

 

보안관제 절차

 

이벤트 발생 -> 초기 분석 -> 해킹으로 판단되면 공격IP 차단

 

  • 이벤트 발생 : IDS, ESM 등 관제 시스템에서 해킹으로 의심되는 이벤트 탐지 후 알림
  • 초기 분석 : 탐지된 이벤트에 대한 정타 여부 직관적 판단
                   해킹으로 판단되면 공격 IP 차단 : 추가 피해를 막기 위해 긴급 조치 및 상황 전파

 

 

 

 

침해사고 개념

 

  • 침해사고 인지는 이벤트에서 탐지하는 경우가 대부분
  • 예방적인 관점은 취약점을 패치하여 행위로 도달할 수 없게 끔 EXPLOIT을 차단 또는 악용을 방지하는 데 목적

 

                             

공격자 -> 도구 -> 취약점 -> 행위 -> 목표 -> 결과 -> 목적
            EVENT        
    ATTACK    
INCIDENT

 

 

 

 

 

침해 사고 분류

 

 

 

  • 침해사고분류의 경우 C-I-A 기준으로 얼마나 침해하는 지에 따른 방어책 선택 필요
  • 침해사고의 종류 (결과에 따른 분류)
유형 내용
불법침입 허가 받지 않은 시스템에 몰래 접속
불법탈취 서버 관리자 권한 탈취
불법경유 허가 없이 경유하여 타 시스템 접속
자료유출 하가 받지 않은 자료 빼감
자료변조 허가없이 자료 내용을 몰래 수정
자료삭제 허가없이 자료 자체를 삭제
불법자료저장 불법 자료를 승인 없이 저장시켜놓는 것
업무방해 업무 방해 행위를 자동처리 시켜놓음
서비스방해 서비스 방해 목적으로 잦은 접속 시도

 

 

 

  • 침해 사고의 종류 (공격방법 따라 분류)
유형 내용
악성코드 공격 바이러스, 1)트로이목마, 웜, 백도어, 2)공격 스크립트 등의 유포, 설치, 실행
비인가 접근 비인가된 시스템에 접근, 파일 접근, 3)네트워크 정보수집 등
비인가 서비스사용 네트워크 서비스의 취약점을 이용하여 서비스 무단 이용
4)서비스 방해 네트워크 또는 시스템 정보 서비스 방해
오용 공식적인 목적 이외의 용도로 시스템 및 네트워크 사용

1) 트로이목마는 요새 RAT라고 불림

2) 공격 스크립트 -> 문서 취약점 : VBS, DDE

3) 네트워크 정보수집 -> GHDB

4) DDoS

 

 

  • 일반적으로 침해사고의 경우 해킹과 서비스 거부 공격으로 구분

    해킹 : 기밀성과 무결성에 직접적인 영향을 주는 공격
    서비스 거부 : 가용성에 직접적인 영향을 주는 공격

 

 

 

 

 

1. CVE : 제품 취약점

  •   CVE 번호를 발급받으면 ID가 주어짐
  •   S/W, H/W 모두 해당
  •   CVE - 년도 - 일련번호
  •   참조 가이드 제공
  •   CVSS : 점수가 계산이 되는 데 Base Score라고 불림 --> 10점 만점으로 만점이 나오면 거진 관리자 권한 소유.
                
               점수에 큰 영향을 끼치는 것 --> C, I, A와  Local이나 Remote에서 발생하는 지

 

2. CWE : 공통된 소프트웨어 취약점

 

3. CCE : 구성 취약점

 

 

 

 

 

 

 

 

 

 

 

 

APT 공격

 

 

개념

 

  • 웹 서비스 취약점을 이용한 정보 유출 및 APT 공격에 의해 민감 데이터 유출이 빈번
  • Advanced Persistent Threat = 지능형 지속 위협
  • 전자적인 수단 + 사회 공학 기법들을 같이 이용
  • 최신의 취약점(Zero-Day Attack) 공격을 동시에 수행
  • 방어 어려움 --> 공격자는 하나의 취약점만 찾으면 내부망 진입이 수월하기 때문
                          보안 담당자는 전체 인프라 방어해야 함

 

 

 

 

APT 공격의 라이프 사이클

 

  1. 특정목표 타겟
  2. 공격 위한 환경조사
  3. 타겟 네트워크에 액세스
  4. 공격목표 달성을 위한 추가 도구 배포
  5. 추가 공격을 위한 액세스 유지
  6. 데이터 획득
  7. 흔적 및 데이터 삭제

 

 

 

 

 

 

728x90
반응형