보안로그분석

 

보안관제와 사고대응의 차이를 아시나요?

1) 보안관제

초기분석을 해서 통합로그에서 탐지되는 룰을 확인합니다.

예를 들면

"어떤 곳에서 1분에 100번 이상 들어올 때 이것이 공격인가?"

판단하는 것이 중요합니다.

판단이라고 하면?

해킹인지 아닌지 확인하는 것까지가

보안관제의 업무지요.

 

2) 침해사고 대응

로그보는 것이 좋으면

이 파트를 열심히 공부하는 것이 좋답니다!

사고가 접수되면 자료를 수집하고

사고를 분석하지요.

공격은 네트워크, 웹, 백도어 등을 통해 이루어지겠죠?

 

DMZ는

"외부에서 접근이 가능한 별도의 공간" 정도로 정의할 수 있겠네요.

 

보통의 공격은

웹해킹을 통해 웹을 장악 후 악성코드를 배포하기도 하고,

업데이트서버에 침투 후 악성코드를 올릴 수도 있습니다.

 

그럼 업무망에서는 어떤 로그를 수집할까요?

빠밤!!

악성코드에 감염되기 전 후의 로그를 수집할 것입니다.

만약에 데이터센터에 불이났다면

어떤장비먼저 구해야 할까요?

로그분석시스템부터 구한다는 이야기가 있습니다.

그만큼 중요하다는 말이겠죠?

내부로 공격을 하는지?

외부로 정보를 빼내는지?

누가하는지?!!

 

방화벽은?

"가장 무식하지만 강력한 가드?방패?"로 정의를 해도 될까요?

방화벽은 해당되면 차단하거나 허용합니다.

 

접근통제시스템은?

"개개인 별로 권한을 부여"합니다.

예를 들면

열공하는베짱이 개발자는 telnet과 ftp만 가능하고

OTP인증을 하도록 설정할 수 있습니다.

 

Anti-DDoS장비는?

예전에는 4계층까지만 커버했지만 이제는 7계층까지 커버합니다.

또한 개인 PC에 감염시키는 방법 대신 IOT장비에 감염을 시키는 방법을 사용합니다.

그러나 IOT장비는 기업에서 사용하는 것보다

가정에서 사용하는 것이 많습니다.

이는 아파트단지에 들어가는 부분을 관제할 날이 얼마 남지 않았음을 의미하겠죠?

 

IOT장비에 대한 통합로그분석

차세대 방화벽 = 방화벽 + IPS + IDS + Anti-DDoS

통합되면 좋으나 이게 뚫리게된다면?????

더 큰 문제가 발생하게 되겠죠!!