SPiDER TM V5.0은 이글루시큐리티 보안관제 경험과 빅데이터 활용역량이 집약된 통합보안관리 솔루션으로 최초탐지부터 로그/네트워크 패킷 분석까지 일원화 된 관제환경구성을 통해 관제업무의 기민성과 효율성을 높이는 동시에 인프라 전반에 대한 가시성을 확보할 수 있다. 

한국인터넷진흥원(KISA) 2019년 1분기 사이버 위협 동향 보고서에 의하면 1분기 주요 사이버 위협 동향 키워드로 스피어피싱, 피싱 이메일, 랜섬웨어, 취약점을 선정하였으며, 그 중 취약점이 가장 큰 비중을 차지하였다. 이처럼 사이버공격에서 취약점을 활용한 위협은 나날이 급증하고 있으며, 방법 또한 지능화 되어가고 있다. 이번 호에서는 이러한 위협에 대응하고 탐지하기 위한 방법으로 실시간 사이버위협정보와 취약점진단결과를 활용한 SIEM 탐지 방안에 대해 알아보고자 한다.

[그림 1] 2019년 1분기 중요 키워드 별 언론 보도량 비교 (출처:한국인터넷진흥원)

취약점을 활용한 위협에 사전에 대응 및 탐지하기 위해서는 취약점진단솔루션(자사제품 Smart[Guard])의 내부자산 진단결과와 SIEM 기반의 SPiDER TM V5.0이 구성되고, IGLOO Security CTI(Cyber Threat Intelligence)의 최신 위협 정보가 실시간으로 연동되야 한다.

[그림 2] SPiDER TM V5.0 & Smart[Guard] 아키텍처

CTI는 Cyber Threat Intelligence 약자로 전 세계 및 국내의 다양한 외부 위협 정보를 자동으로 수집하고 공유하기 위해 개발 된 시스템이다. 최신위협정보는 SPiDER TM V5.0과 실시간으로 연동되며, IGLOO CTI에서 제공하는 일부 데이터는 아래와 같다.

[표 1] IGLOO CTI 데이터

IT자산 관리와 취약점 진단 기능을 통합적으로 지원하는 Smart[Guard]는 기반시설, 전자금융감독규정 등 1200개 이상의 항목을 진단하고, SIEM 기반의 SPiDER TM V5.0과의 연동으로 취약점 진단 관리뿐만 아니라 보안관제의 정확성 및 신속성을 높일 수 있다.

[그림 4] 소프트웨어 정보 연계 화면

글로벌위협정보와 취약점진단이력을 통한 탐지 시나리오는 아래와 같다.

[그림 5] 탐지 흐름도

① s_ip : 발생 90일 이내의 글로벌위협정보가 출발지 IP에 포함 (Inbound)

② d_ip : 목적지IP가(내부 자산) Smart[Guard] 진단 결과 연동 내역 중 “취약”에 포함 

[그림 6] 오브젝트정의

로그소스 : IPS / TMS / WAF의 장비를 대상으로 탐지

[그림 7] 단일 룰 설정

IPS/TMS/WAF 탐지 이력 중 출발지가 글로벌 위협정보 IP에 포함되고, 목적지가 내부 취약 자산 서버일 때 경보 발생 

[그림 8] 경보 발생 결과

사이버공격 예방 및 탐지 자동화 룰은 SPiDER TM V5.0 구축 시 기본 설정으로 되어 있다.

위협 정보 출처에 따라 탐지 룰이 세분화 되어있으며, 취약진단내역과 연계하여 탐지의 정확성을 높일 수 있을 것이다.

[그림 9] 사이버 위협 인텔리전스(CTI) & 침해지표(IoC)

사이버공격의 탐지, 예방, 대응 그리고 공격 억제에 있어 자동화는 기업에게 높은 역량을 제공할 것으로 기대된다. SIEM기반의 SPiDER TM V5.0을 기반으로 취약점분석솔루션과 CTI를 연계하여 선제적 예방지능을 확보한다면 기업 및 기관은 신속하고 정확한 의사결정 근거를 제공받아 기업 및 기관의 보안을 한 단계 더 강화 시킬 수 있을 것이다.

다음 호에는 내부자산(소프트웨어정보)과 공격 유형별 정보를 연계하여 위협에 대응할 수 있는 SIEM 활용 방법에 대해 알아 보도록 하겠다.