보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

유해IP 탐지를 통한 예측적 탐지

2018.06.26

4,017

기술지원센터 기술1팀 전형주

 

SPiDER TM V5.0은 이글루시큐리티 보안관제 경험과 빅테이터 활용역량이 집약된 통합보안관리솔루션으로 최초탐지부터 로그/네트워크 패킷 분석까지 일원화 된 관제환경구성을 통해 관제업무의 기민성과 효율성을 높이는 동시에 인프라 전반에 대한 가시성을 확보할 수 있다.   

 

 

1. 개요

 

최근 사용자의 PC를 좀비PC로 만들기 위하여 대형 포털이나 공공기관 사이트로 위장해 악성코드를 유포하는 수 많은 유해 사이트들이 있다. 금번호에는 SPiDER TM V5.0의 유해IP기능을 통해서 실시간으로 유입되는 이벤트 중 위협요소를 필터링 하여 보여줌으로써 선제적으로 대응할 수 있는 기능을 소개하고자 한다. 

 

SPiDER TM V5.0은 이글루시큐리티의 보안관제 공유센터인 Knowledge Center를 통해 수집 밎 반영된 다양한 위협요소와 정보들을 실시간으로  확인할 수 있다. 이에 고객들은 위협에 선제적으로 대처할 수 있는 환경을 제공받는다.

 

 

2. 실시간

 

1) 실시간로그 기능(Real Time Monitoring)의 한계

 

ㆍ과거 침해 이력을 가진 수 만개의 IP를 프로파일 하여 실시간 모니터링 하기엔 기존 RTM으로는 한계가 존재함.

 

 

2) 실시간 유해IP 기능(Real Time Black List IP)의 기대와 효과

 

ㆍ정보공유의 유해 IP 메뉴에 등록되어있는 유해 IP 정보를 통해 자동필터가 적용되어 확인이 용이함.

ㆍ​유해 IP로 시도된 행위에 대해서 즉각적인 대응 환경을 제공함.

 

 


 

ㆍ실시간 로그 기능(Real Time Monitoring)

    ▶ 소수개의 특정 IP를 기준으로 조건화(필터)하여 모니터링 시 효율성이 좋지만, 다수의 유해IP를 등록하여 모니터링시 IP등록 갯 수에 대한 한계가 존재함.

ㆍ실시간 유해IP 기능(Real Time Black List IP)

    ▶ 유해IP 기준 모니터링 시 RTM이 가진 한계의 대안으로, SPiDER TM V5.0 에서 관리하는 유해IP를 기준으로 실시간 모니터링 기능을 제공함.

 

 

3. 실시간 유해IP를 통한 모니터링 

 

1) 정보공유 → 유해IP 

 

 


 

 

ㆍ예방활동 메뉴에 유해 IP 등록

※ Tip : 유해IP를 관리하는 계정을 별도로 생성하여 등록 시 추후 경보 생성에 활용 가능

※ 유해IP 등록절차 : SPiDER TM UI 선 택 → 예방활동 →  유해IP  →  원하는 데이터 추가

※ 유해IP를 관리하는 타 솔루션 데이터를 연계하여 관리 가능(Database 연동 가능)

ㆍ실시간 유해IP 메뉴를 통해 RTM을 실행

ㆍ예방 활동에 등록된 유해IP를 기준으로 필터링하여 실시간 이벤트 확인

 

 

2) 확인 된 유해IP를 경보로 만들어 확인 

 

 


 

ㆍ유해IP를 등록한 “등록자”를 조건으로 경보를 설정하여 집중관제 가능

ㆍ유해IP 등록 시 “분류”필드를 이용하여 어떤 유해IP인지 구분하여 경보설정 가능

ㆍ등록한 유해IP는 IS_BLACKLIST_IP 테이블에 저장되어 있으며, 이 정보를 활용하여 경보설정

- 오브젝트 적용 방법

1) “등록자” 필드 이용한 경보조건(등록자의 계정명 : blacklist)

     : gm [select ip as d_ip from is_blacklist_ip where name = ‘blacklist’] d_info

2) “분류” 필드를 이용한 경보조건 

     : gm [select ip as d_ip from is_blacklist_ip where category  = ‘Pharming’] d_info

 

 

3) 상관분석 페이지를 통해 경보 확인

 

ㆍ경보를 통하여 침해사고 대응이나 알림으로써 관제가 가능

 


 

 

4. 결론

 

SPiDER TM V5.0 실시간 유해IP 활용

 

▶ 실시간 유해IP기능(RTM Blacklist IP)을 통해 RTM을 활용한 유해IP 모니터링의 한계를 극복하고, 사전에 등록되어 있는 유해IP 정보를 자동 반영하여 직관적인 유해IP 관제 환경을 구축할 수 있다.

 

▶ 유해IP 목록의 관리는 K-Center 연계를 통해 유해정보를 자동으로 업데이트 하는 것을 권고하며, 사이트 내부 관리를 통한 유해 정보 입력 시 특정 사용자를 통한 일원화된 관리가 필요하다.