겉바속촉
[보안] 로그 분석 공격 대응 본문
로그분석 공격에 대응하는 것을 알아보겠습니다.
지난 포스팅 참고하고오면 더 좋겠죠?!
2021/02/02 - [IT 일기 (상반기)/네트워크 및 시스템 보안] - [보안] 로그 분석
[보안] 로그 분석
보안관제 & 침해사고 개요 <업무의 연속성 측면에서 보안관제와 침해사고 분석> 보안관제 내. 외부로부터의 해킹 시도 모니터링 -> 해킹시도 차단(긴급대응) -> 상황전파 (-> 피해분석) 침해사고
2-juhyun-2.tistory.com
2021/02/02 - [IT 일기 (상반기)/네트워크 및 시스템 보안] - [보안] 로그 분석 공격 종류
[보안] 로그 분석 공격 종류
지난 번에 이어서 로그분석 공격 종류들을 알아보겠습니다:) 2021/02/02 - [IT 일기 (상반기)/네트워크 및 시스템 보안] - [보안] 로그 분석 보안관제 내. 외부로부터의 해킹 시도 모니터링 -> 해킹시도
2-juhyun-2.tistory.com
로그 분석 공격 대응
보안관제
긴급 차단 (대응)
- 정탐인 경우 공격받는 피해 시스템을 네트워크로부터 격리
- 피해 시스템 서비스를 중지하지 않고 해커차단
- 방법 1 : 방화벽 -> 공격자 ip주소를 차단 규칙으로 설정, 내부 네트워크 접속 완전 차단
- 방법 2 : IPS -> 공격자 IP주소가 불확실하거나 신뢰성 있는 IP라면 공격패턴 입력으로 공격 차단
- 방법 3 : WAF (web application 방화벽) -> IPS와 유사, 웹 해킹의 경우에만 유용
침해사고 분석
사고 접수
- 해킹사고 발생 접수
- 분석팀 소집 범위, 초동 보고 수준 등을 결정
사고 분석
- 사고 원인 파악
- 침해 사고 유발 취약점 식별
- 사고 인한 피해 범위 분석
피해 복구
- 분석 후 피해 내용 따른 시스템 정상화
- 취약점 제거
한국인터넷진흥원 (KISA) 사고 대응 7단계
사고 전 준비 -> 사고 탐지 -> 초기 대응 -> 대응 전략 체계화 -> 사고 조사 -> 보고서 작성 -> 재발방지 방안
1. 사고 전 준비
- 언제 어떻게 일어날 지 알 수 없음
- 사고 대응을 위한 기술 개발, 도구 준비 등 가이드를 준비해야함
- 사고 대응 체제 준비
- 호스트 및 네트워크 기반 보안 측정 수행
- 최종 사용자 교육 훈련
- 침입 탐지 시스템 설치
- 강력한 접근 통제 실시
- 적절한 취약점 평가 실시
- 규칙적인 백업 수행
- 침해 사고 대응팀과 비상연락망 구축 - 침해사고 대응팀 준비 --> 네트워크 및 보안장비 핸들링/ OS, DB 전문가/ WEB/ 악성코드 분석 전문가 등으로 구성
- 사고 조사 위한 도구 구비
- 사고 조사 위한 문서 양식 정형화
- 대응 전략 수행을 위한 적절한 정책 및 운용과정 수립
- 간부, 직원들에 대한 교육 훈련 실시
2. 사고 탐지
- 보안시스템
- 네트워크/서버 모니터링
- 내부사용자
- 외부 모니터링 기관 등
- EX) 유휴 상태 및 디폴트 계정 로그인 시도, 서비스 미제공 시간 동안 시스템 활동
<사고탐지 시 사고 보고 방법>
직속상관에게 보고
관련 부서에, 사고 핫라인으로 신고
<초기 대응 점검표 작성사항>
사고 보고 내용, 출처/ 사건 특성, 일시/ 현재 시간 및 날짜/ 하드웨어, 소프트웨어 목록/ 네트워크 연결 지점
3. 초기 대응
목적
- 적절한 대응을 위한 충분한 정보 획득, 대응 전략 수립 준비
- 네트워크, 시스템, 응용 프로그램, DB 등의 정보 수집
- 발생 사건의 유형 식별과 영향평가 포함
대응 후 관련 데이터 수집
- 시스템 관리자와 면담
- 사건 정황을 제공해 줄 수 있는 이들과 면담
- 네트워크 기반 로그의 분석 (침입 탐지 로그와 데이터 식별을 위해)
- 공격 경로와 수단을 알아내기 위한 네트워크 구조와 접근 통제 리스트 분석
많이 사용하는 링크 -> https://attack.mitre.org/
4. 대응 전략 수립
목표
- 주어진 사건 환경에서 가장 적절한 것으로 결정
대응 전략
- 정책, 기술, 법 등 관련된 요인들 고려
- 증거의 완벽한 보호를 위해 저장 매체를 완전히 복사하는 이미징 작업 필요 여뷰 --> 법적증거
- 형사/민사 소송 할 필요 고려
대응전략 수립 시 고려해야할 요소
- 다운 시간과 이로 인한 운영상의 영향 --> 다운 시간 줄이는 계약 SLA
- 사건공개와 따른 대외 이미지 및 업무 영향
사고 발생 시 대응 전략 예시
| 사고 | 예시 | 대응 전략 |
| DoS 공격 | TFN DDoS 공격 | Flooding 효과 최소화를 위해 라우터 재설정 |
| 비인가 사용 | 업무용 컴퓨터 오용 | 증거물 포렌식 이미지 확보, 조사 용의자 면담 |
| 파괴 행위 | 웹 사이트 손상 | 웹 사이트 모니터 온라인 상태로 조사, 사이트 복구 |
| 정보 도난 | 신용카드 도난, 고객정보 유출 | 관련 시스템 이미지 확보, 법적대응 준비 |
| 컴퓨터 침입 | Buffer Overflow, IIS 공격 통한 원격접속 | 공격자 활동 감시, 보안 재설정 및 복구 |
5. 사고조사
데이터 수집 단계 --------------------> 데이터, 자료 분석 단계
데이터 수집 단계
- 정보수집 : 호스트 기반 정보, 네트워크 기반 정보..
- 컴퓨터 포렌식 기술 필요
- 로그, 레포트, 문서, 기타 정보
- Live Response로 정보 수집
- Initial Live Response
- In-depth Response
- Full live Response - 휘발성 데이터 종류
- 시스템 날짜, 시간, 동작중인 애플리케이션
- 현재 열려진 포트, 연결이 성립된 네트워크
- 네트워크 인터페이스 상태, 메모리 정보...... - 네트워크 기반 증거 정보
- 네트워크 모니터링 기록을 통해 찾아봄
- 패킷 슬라이싱 --> 앱 데이터 전체가 아니라 128byte까지만 캡처해도 무방
- 라우터 로그 --> 별로 도움이 안됨
- 방화벽 로그
- 인증서버 로그
- IDS, IPS 로그 - 기타
- 네트워크에서 일어난 이벤트의 특정 timeline 결정해서 뽑는 것 (전체를 가져오는 것이 아님 주의)
데이터, 자료 분석 단계
- 로그파일, 시스템 설정파일, 히스토리 파일...
- 소프트웨어 분석, 스탬프 분석, 키워드 분석..
포렌식 이미징 작업 --> 데이터 준비 --> 데이터 분석
데이터 준비
↗ 파일리스트 생성, 파일 시그니처 분석 수행 : 카테고리 확장자
수집 이미지의 사본 제작 → 삭제 파일 복구, 알려진 시스템 파일 식별
↘ 비 할당 공간 복구, 통계적인 데이터 파티션 테이블 파일 시스템 수행
데이터 분석
메일과 첨부파일 뽑아내기/ 브라우저 히스토리 파일 재검토/
설치된 어플리케이션 재검토/ 수집된 데이터 재검토/
적절한 스트링 검색/ 모든 네트워크 기반 증거 재검토/
소프트웨어 분석 수행/ 암호화된 파일 식별과 해독/
파일 대 파일 재검토 수행/ 특성화된 분석 수행
6. 보고서 작성
- 누구나 알기 쉽게
- 과정을 6하 원칙 따라 객관적으로 서술
- 사건의 세부 사항을 정확하게 기술
- 이해하기 쉽게 설명
- 논쟁에 대응할 수 있게 치밀하게 작성
7. 복구 및 해결 과정
재발 방지 위한 조치
조치사항
- 위험 우선순위 식별 ( 자산식별, 자산분류, 자산평가, 기존 보안대책 )
- 사고원인 조사와 동시에 복구 작업 함께 진행
- 침해 컴퓨터의 복구
- 네트워크, 호스트에 대해 밝혀진 취약점에 대한 조치
- 시스템 개선이 이루어지고 있는지 추적
- 모든 복구 과정이나 대책의 유용성 검증
- 보안 정책 개선 - ex)패스워드 정책들...
<참고사항>
| IPS | WAF |
| 패턴 | 패턴 |
| WEB 패턴을 빼줌 rule들을 활성화하면 기능 저하되기 때문 |
요청/응답 값 함께 확인 웹 캐싱 WEB 친화적 |
- RAW -> Packet
- FLOW -> sflow, Netflow(요약된 데이터, 통계값)
- SNMP -> MIB
'IT 일기 (상반기) > 네트워크 및 시스템 보안' 카테고리의 다른 글
| [보안] 파일 다운로드 취약점 (0) | 2021.02.03 |
|---|---|
| [보안] SQL Injection을 알려면 (0) | 2021.02.03 |
| [보안] 로그 분석 공격 종류 (0) | 2021.02.02 |
| [보안] 로그 분석 (0) | 2021.02.02 |
| [보안] 웹 서버 보안 설정 (0) | 2021.02.02 |
