보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

통합대시보드를 활용한 DDoS 공격 탐지 및 대응

2021.06.29

9,824


 

 

 

 

2020년은 DDoS 공격의 새로운 전성기를 맞이한 해였다. 디도스 공격 횟수와 더불어 공격 규모도 확장되었고 다양한 공격 기법과 파괴력도 높아졌다. 2020년 새로운 DDoS 특징으로 랜섬디도스 공격과 MS RDP 남용한 공격이 특히 눈에 띈다.

 

 

01. 개요

 

DDoS 공격은 해커들이 서버 및 네트워크의 트래픽 수용 범위를 훨씬 넘어서는 대량의 데이터를 보내 서버를 마비시키고 서비스를 차단하는 공격 방식이다. 업계에서는 통상 100GB가 넘어가는 공격을 대형 공격으로 간주하는데, 최근 테라바이트가 넘는 대형 공격이 이어지고 있다. 해커들은 대형 디도스 공격을 일으킨 후 이를 이용한 복합 공격을 시도한다. 특히 DDoS 공격은 금융시장에서 발생한 침해사고에서 가장 높은 공격 비율을 차지하기도 했다.

  

 

[그림 1] 웹 서비스 장애 화면

 

 

02. 통합대시보드 소개

 

과거 대시보드는 다양한 대량의 데이터들을 가공 후 그래프 및 표, 3D 그림, 도형 등 다양한 시각화 데이터들로 구성되어 주요 관제 정보들을 한 번에 요약 및 표현해주는 기능을 하였다. 

이글루시큐리티에서는 대시보드의 관제 효율성을 높이기 위해 각 기업에 도입된 SIEM과 연동하여 데이터의 시각화 뿐만 아니라 대시보드 자체적으로 신속하고 정확한 요약 분석 기능을 제공한다.

이러한 차세대 통합대시보드를 활용하여 DDoS 공격을 신속하고 효과적으로 탐지 및 대응할 수 있다.  

 


 

[그림 2] 이글루시큐리티 통합대시보드

 

 

03. 통합대시보드를 활용한 DDoS 공격 탐지 

 

1) 다양한 보안장비 트래픽 모니터링

 

각 보안장비의 트래픽 데이터를 SIEM을 통해 1차 가공 후 수집된 데이터를 추가적으로 가공하여 모든 보안장비의 트래픽 데이터를 시각화로 표현할 수 있다 보안장비에서 직접 보는 트래픽 데이터는 물론 일, 시, 분 등 다양한 형태로 가공하여 전체적인 추이를 표현할 수 있다.

 

 

[그림 3] 통합대시보드 DDoS 장비 트래픽 모니터링

 

 

 

[그림 4] 통합대시보드 FW 트래픽 모니터링

 

 

 

[그림 5] 통합대시보드 최상단 보안장비 트래픽 순환 모니터링

 

 

04. 통합대시보드를 활용한 DDoS 공격 분석

 

1) 대시보드 내 팝업 및 링크 분석

 

통합대시보드에서는 팝업 대시보드 및 링크를 통해 상세 분석 및 통합대시보드 내에서 원본 데이터 검색이 가능하다. 또한 SIEM과 링크 연결 등을 통해 보다 효율적인 일원화 분석을 할 수 있다.

  

 

[그림 6] 통합대시보드 트래픽 상세 분석 대시보드

 

 

 

[그림 7] 통합대시보드 공격자 IP 클라이언트 분석 대시보드

 

 

 

[그림 8] 통합대시보드 드릴다운 분석 과정

 

 

05. 결론

 

지금까지 이글루시큐리티의 통합대시보드를 통해 DDoS 공격 탐지 체계와 분석 과정을 살펴보았다.

각 기관 및 기업의 최상단에 위치한 보안장비 트래픽 데이터를 전부 연동하여 가공 후 다양한 시각화 데이터로 표시한다면 보안장비 별 순환 모니터링 및 SIEM과 연동하여 드릴다운 분석 및 유해 IP 차단이  가능하다. 단순한 시각화 분석만 지원하던 과거와는 달리 통합대시보드로 보안관제 일원화가 가능하다.