클라우드 기반 시스템 운영 / 구축 실무 [ 두 번째 정리 ]

안녕하세요 ! 

 

클라우드 기반 시스템 운영 / 구축 실무 두 번째 정리 시작하도록 하겠습니다. 

 

 

 

 

1. 보안 관제의 이해 

가. 보안 관제 업무 절차 ( 초동 분석 ) 

 

1) 침해 대응 

 

- 현장에서 한다. 

 

 

2) 보안 관제 

 

- 보안 관제 근무자가 로그를 보고 확인한다. 

 

- 탐지 이벤트 로그 분석 

 

: 방화벽, 각각 보안 장비에서 1 ~ 3개월 로그를 파악한다. 공격이 언제부터 시도했는지 파악한다. WAF 에선 탐지되지만 IDS 와 IPS 에선 탐지 될 수도 안될 수도 있다.  이유는 웹 공격의 모든 정책을 적용할 수 없다. 

 

: 공격자의 IP, 목적지의 IP 가 동일한지 분석한다. 

 

- 패킷 분석 

 

: 네트워크 트래픽 다운 받아서 확인한다. ( DDoS 공격에 활용한다. ) 

 

3) 기관 담당자에게 확인을 요청한다. 

 

- 침해 사고 여부 

 

4) 이벤트 

 

- 티켓 이전에 각각 보안 장비에서 발생하는 로그들 

 

5) 티켓 

 

- SIEM + 보안 장비 -> 관제 근무자들에게 알려준다. -> 관제 근무자들이 접수하게 되면 티켓 

 

6) 과거 이력 조회 

 

- 과거 대응 이력 검색 + 티켓에 참고해서 함께 전송한다. 

 

 

 

나. 보안 관제 업무 절차 ( 정책 관리 ) 

 

1) 차단 권고문 

 

- 침해 사고 예방 & 분석 활동으로 확인된 유해 정보들을 차단 권고문을 통해서 전파한다. 

 

 

2) 새로운 탐지 패턴 생성 / 수정 -> 탐지 모드로 넣어둔다. 

 

- 무조건 차단 모드는 아니다. 

 

- 긴급 사항    ex ) Log 4j 발견 -> 바로 차단한다. 

 

- 담당 승인 -> 이력 관리 꼭 필요하다. 

 

 

3) 카테고리 분류 

 

- 카테고리 분류 -> 긴급도 산정 ( 4개 레벨 ) 

 

- 공격 유형 분류 ( DDoS , 악성코드, 웹해킹, 비인가 접근, SCAN ) 

 

 

4) 최적화 지속적으로 개선 필요하다. 

 

- 보안 장비 룰셋, 연관 분석 방법 

 

 

다. 보안 관제 업무 절차 ( 침해 예방 ) 

 

1) 모의 훈련 

 

- 해킹 메일 

 

: 시나리오 작성 -> 메일 제목 선정 

 

- DDoS  

 

: HP /  중요도 높은 것, 네트워크 서버 쪽 , 보안 장비 tag -> 모니터링 캡처 필요한다. 

 

- 침해 사고 ( 도상 훈련 ) 

 

: 훈련 통제 팀은 보안 담당자 또는 시스템 담당자에게 훈련 상황 주고 대응책 달라고 한다. 

 

- 상급 기관 대응 훈련 

 

: 해킹 메일, 침해 사고, DDoS , 서버 해킹 전부 훈련 

 

2) 정부 공유 

 

- 보안 뉴스, 신규 취약점 ,대외기관 정보 , 기관 / 베더 요청 사항 

 

 

 

라. 보안 관제 업무 절차 ( 보안 운영 ) 

 

1) 장애 관리 

 

- 장애 분석, 재발방지 대책 수립 

 

- 야간 공휴일 장애 발생 시 PM 에게 보고한다. -> 비상 연락망 가동 -> 장애 처리 완료 

 

- Time Table 작성 

 

: 장애 발생 시간 , 누구에게 보고, 엔지니어와 유선 연락, 조치 후 종료 시점 

 

2) 작업 관리 

 

- 작업 계획 수립 

 

3) 보안 설정 

 

- 백업 관리 ! 시스템에 들어가서 확인한다. 

 

 

 

 

2. 보안 관제 기술 

가. 보안 관제 탐지 / 방어 기술 

 

1) 패턴 기반 탐지, 행위 기반 탐지, 상관 분석 

 

2) 탐지 패턴 활용 - " 스노트 " 

 

- 구조 , 포트, 문자열 탐지 패턴, HEXA CODE 방식 등 꼭 공부해야 한다. 

 

3) 보안 솔루션 

 

- 방화벽 

 

- IDS / IPS - TAP , 스위치 미러링 

 

- DDoS  대응 솔루션 

 

: ACL, ISP 

 

- WAF 

 

: 웹 방화벽 - SSL 복호화 , L7 스위치 적용 , 웹 쉘 탐지 솔루션 ( 요즘에는 안쓰는 곳도 있다. ) 

 

- NAC 

 

: 네트워크 진입 시 단말과 사용자를 인증하고 네트워크를 사용중인 단말에 대한 지속적인 보안 취약점 점검과 통제를 통해서 내부 시스템을 보호하는 네트워크 접근 제어 솔루션이다. 

 

- 안티 바이러스 

 

: 바이러스 백신 소프트웨어는 바이러스, 웜과 같은 악성 소프트웨어 프로그램을 검색한다. 방지, 해제 또는 제거하는 컴퓨터 프로그램 

 

- 기타 보안 솔루션 

 

ex ) 랜섬 웨어 전용 - 안티 랜섬 

 

 

나. 보안 담당자 입장에서의 대응방안 작성 

 

1) 물리적 망분리로 보안 강화 및 사용자 PC에 안티 랜섬웨어 / 바이러스를 설치한다. 업데이트 

 

2) APT 탐지 솔루션 운영 

 

3) 중요 정보 및 개인정보 유출을 대비하여 중요 정보가 있는 파일 취급 시 파일 압축 후 암호 적용과 내용에 대한 암오화 솔루션을 적용한다. 

 

4) 기사에서 언급된 메일주소 스팸 브레이커 장비에 차단 적용한다. 

 

5) 중요한 정보 유출에 대비하여서 DRM 적용 검토한다. 

 

6) 랜섬웨어 피해감소를 위해 파일 백업 또는 중앙 관리 여부 검토한다. 

 

7) 이메일을 통한 랜섬웨어 감염 예방을 위해서 사용자는 출처 불분명한 메일은 열람 및 첨부파일 실행 금지에 대한 습관이 필요하다. 

 

 

다. 보안관제 실무 

 

1) 보안관제 센터 

 

- 사업 투입 및 종료 시 서약서를 작성한다. 

 

- 신원 조회 ( 정부부처 및 공공기관 ) 

 

2) 훈련 지원 

 

3) 정보 공유 

 

- 정보 수집 및 정보 배포 

 

4) 산물출 

 

- 정기 보고 

 

: 일일 보안 관제 보고서 - 사이버 위협 모니터링 탐지 및 대응 내역, 정보 시스템 운영 내역 / 보안위협정보 제공 내역 

 

포함 내용은 각 보안 장비에서 발생한 침해 위협 발생 현황 ( 정 / 오탐 모두 포함 ) , 침해 위협 발생 기반으로 티켓팅 현황, 시스템 운영 현황 , 스팸 / 피싱 메일 수신 현황, 각 보안 장비 탐지 정책 추가 / 변경 현황, 침해 사고 예방 활동 

 

- 수시 보고 

 

: 침해 사고 분석 보고서 

 

포함 내용은 피해서버 , ( IP , 시스템 정보 ) , 타임 테이블 

 

정책 설정 신청서 

 

정책 설정 이력관리 대장 

 

상황전파문 

 

5) 비정상 트래픽 타켓팅 

 

- 단위보안 장비 -> 로그 수집 -> F / W  차단 

 

- 티켓팅 처리 

 

Raw 데이터 분석 

 

: 패킷 내 Raw 데이터를 기반으로 정 / 오탐을 판단하여서 실제 공격으로 확인될 시 외부 FW 에 공격 IP 차단 

 

공격자 IP 평판 검색 

 

- PHP 관리자 페이지 접근 시도, RDP 접근 시도 ( 3389 포트 ) 

 

- 디렉토리 비정상 접근 - URL 

 

: 입력값 검증 필요 

 

- SQL 인젝션 - raw data에 다 있음. 

 

- 이벤트 분석 보고서 

 

: 특이한 케이스가 나왔을 경우 ( 관제 측면에서 ) 

 

 

끝