[보안] NAC/ ESM/ SIEM/ TMS

 

NAC

 

 

1. 개념

 

• 네트워크 액세스 제어
• Network Access Control
• 컴퓨터 접근에 대한 엔드 포인트 보안 및 시스템 인증 및 네트워크 보안 적용을 수행하는 장비
• 네트워크 연결을 허용 또는 거부할 수 있음
• 엔드 포인트의 보안 정책 확인 및 네트워크 액세스 제어

 

 

802.1X : 네트워크 인증 수행 (접근제어에 대한 표준) --> ARP보다 더 고급 방식

그럼 NAC에서 어떻게 사용될까요?

 

차단 방법 1) ARP

차단 방법 2) 802.1X 직접 활용 : 각 스위치 장비에서 지원해야 가능
                                         비허가된 단말기의 접속시도가 있을 경우 -> 장비 자체에서 셧다운

 

 

 

ARP MITM

 

어떠한 포트가 있을 때 공격자가 포트에 연결하는 경우

1. 공격자 실제 MAC이 등록됨

2. 공격자가 MAC주소에 대해 내것이 GATEWAY다라고 함

3. GATEWAY에게는 공격자인 내가 MAC Target이라고 함

 

 

 

 

 

2. 기능

 

• 네트워크 액세스의 승인 및 정책 : 클라이언트가 접속할 때 도달할 수 있는 범위 결정해줌
• 에이전트 소프트웨어를 통한 보안 정책 및 소프트웨어 업데이트 수행
• 모바일 디바이스에 대한 통제

 

 

 

 

---

 

 

 

 

 

ESM

 

 

 1. 개념

 

• Enterprise Security Management 시스템
• 통합보안관리 솔루션 (사실 보안 관제 조직 외에는 필요 없음)
• 기업이 가지고 있는 보안제품과 장비를 상호 연동하여 연계분석을 통해
  관제 및 운영을 효율적으로 처리하는 솔루션
• 보안관제의 경우 수 많은 로그에 대해 분석, 처리하는 데 시간이 많이 소요되고 있음
• 각 보안 장비 및 시스템 운영 장비의 경우 각각 로그를 생성 함으로써 로그 처리에 대한 시간이 많이 소요되고 있음
• 네트워크 인프라의 경우 NMS을 통해 통합적으로 장애에 대해 모니터링 하고 있으며 ESM을 통해 로그 통합
• 모니터링하고 연계분석을 통해 식별해야 될 요소 선별 가능

 

 

ESM솔루션이 나오기 전에는 위의 노란색 화살표처럼 관리자가 무언가 파악하려면

하나하나 모두 들어가서 확인했어야 합니다.

 

그럼 대응이 빠르지 않고 쉽지 않습니다.

 

그러나 보안 부서가 아니라 운영부서에선 NMS를 사용중인데 즉시 알람이 떠서 확인과 대응 모두 가능했습니다.

그래서 NMS에다 보안성격을 더해 만든 것이 바로 ESM입니다.

 

각 장비의 로그를 위처럼 ESM에다가 보내어 관리자가 ESM에 로그인하면
관리자가 모든 곳에 접속한 효과를 낼 수 있도록 하는 것이죠!!!

 

하지만 단점이 로그마다 정의가 되어야 하는 데 정리하는 것이 쉽지가 않습니다:)

주요 메이저 회사들은 등록이 되어있지만 그 외 회사들은 그렇지 않아서 문제라고 합니다.

 

 

 

 

 

 

 2. 효과

 

 

• 이벤트 수집, 통합관리, 침해 경보, 침해 대응 등 통합 보안 관리체계가 확립
• 이벤트에 대한 선별 및 연계 분석 기능 및 보고서 생성 기능으로 단순반복성 업무에 대한 절감
• 상호연관분석기능 --> 각 보안 장비의 시스템을 서로 연계하여 분석함으로써 오탐을 줄이고 최단 시간에 사후처리에 초점을 둘 수 있음

 

 

 

 

 

---

 

 

 

 

SIEM

 

 

 

 1. 개념

 

• 보안 정보 관리 (SIM) 시스템 및 보안 이벤트 관리 (SEM)를 통합하여 효율적으로 운영 가능
• SIEM 시스템은 복잡한 기술로 구성되어있음

 

 

 

 2. 기능

 

• 기능 및 비즈니스 요구 사항 제공 --> 컴플라이언스 대응에 초점!
• 손쉬운 배치 가능해야 함 --> 수집 프로세스들도 요새는 자동화, SDK API : 타 제품과의 연동
• SDK와 API 배포 및 사용자 정의 가능
• 데이터 접근 용이성, 포렌식 분석에 유용
• 위협 인텔리전스 통합 제공 --> IP, URL, FILE 등 정보 유출입에 대한 지표 및 공격의 행동
• 운영데이터를 다음으로 변환하기 위한 통합 도구 제공
  
    - 공격자 침입 활동에 대한 통찰력 제공 (네트워크 스트림을 원본으로 재구성)
    - 정규 표현식을 생성하고 테스트 (이벤트 로그 형식 변환 도구)
  
  
• SOC 측정항목
  
    - 이벤트 인식 속도 및 이벤트에 대한 에스컬레이션 및 분석은 전체 응답 지표를 계산하는 데 사용할 수 있음.
    - 시간별, 일별, 주별, 월별, 보안별 분석내용..

 

 

 

 

 

---

 

 

 

 

 

TMS

 

 

 

1. 위협관리 시스템

 

• TMS는 효율적인 통합 보안관리를 위한 대안
• 각종 위협으로부터 내부 정보자산 보호를 위해 글로벌 위협정보를 실시간으로 분석 --> 내부 정보 인프라에 능동적으로 적용
• 조기에 위협을 제거하고 관리할 수 있는 통합된 정보보호 기술 체계를 가리킴

 

 

2. 위협관리 시스템 솔루션

 

• 전사적 IT 인프라의 위협정보들을 수집, 분석, 경보, 관리하는 정보보호 통합관리 시스템
• 실시간으로 공신력있는 대외 정보보호기관의 위협정보들을 수집, 분석하여 정보보호 관리자에게 제공
• 각종 보안위협으로부터 사전 대응 및 예, 경보 체계를 구축하고 이를 통해 알려지지 않은 공격들에 대한 조기 대응을 유도
• 현재 표준이 정립되지 않음.
• 유사한 형태의 솔루션 -> RMS 솔루션

 

 

3. 위협관리 시스템의 필요성

 

• 웜, 바이러스, 해킹 등 위험요소는 글로벌하게 늘어나지만 이에 대응할 수 있는 보안 관리방안이 없는 데서 시작함.
• 기존 보안 관리 솔루션들의 단점을 극복하여 효율적인 대안으로 부상 중
• 관리자의 대응책 판단 곤란으로 인해 알려지지 않은 공격에 대한 보다 사전적이고 신속한 대응체계 가지는 것 가능.
• 최근에 수적, 질적인 면에서 단 기간내 기하 급수적으로 증가하는 위협으로 정보보안 사고 위험 급격히 증가
• 다양한 공격형태로 진화됨
• 정보자산에 데한 위협을 사전에 인지함으로써 조기에 대응하고자 하는 시스템의 필요성이 대두되고 있는 것
• 최소한의 인력으로 복잡하고 다양한 보안 정책 관리 요구와 통합 보안 관제, 전사적 위협 관리 방안이 절실히 필요

 

 

 

 

 

 

IOC

 

• 침해 지표
• 여러 침해사고의 흔적들을 일정한 포맷으로 정리 해 놓은 문서 또는 파일