보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

집중관제기능을 통한 신속한 대응체계 확립

2018.05.02

4,915

기술지원센터 기술2팀 유현건

 

SPiDER TM V5.0은 이글루시큐리티 보안관제 경험과 빅테이터 활용역량이 집약된 통합보안관리솔루션으로 최초탐지부터 로그/네트워크 패킷 분석까지 일원화 된 관제환경구성을 통해 관제업무의 기민성과 효율성을 높이는 동시에 인프라 전반에 대한 가시성을 확보할 수 있다.   

 

 

1. 공격 개요

 

DDoS공격은 서비스 공격을 위한 도구들을 여러 대의 컴퓨터에 심어놓고 공격 목표인 사이트의 컴퓨터시스템이 처리할 수 없을 정도로 엄청난 분량의 패킷을 동시에 범람시킴으로써 네트워크의 성능을 저하시키거나 시스템을 마비시키는 공격으로 크래킹의 일종이다. 이로써 이용자는 사이트 접근 및 사용이 차단되며 지속적인 서비스 운영이 필수인 웹사이트는 치명적인 피해를 입는다. 공격의 특성상 초기 진원지를 추적하기가 어려워 재발 가능성이 있다는 부분에서 더 위협적이다.

 

 

2. 공격 시나리오

 

1) SYN Flooding 공격을 통한 서비스 거부 공격

 

ㆍTCP/UDP/ICMP Flooding 공격을 통한 서비스 거부 공격을 SIEM의 집중관제 기능을 활용해 탐지

ㆍ실시간 로그 분석을 통해 집중관제 대상의 장비의 로그를 분석

ㆍ단일경보를 활용하여 복합적인 공격에 대해 탐지

ㆍ분석된 로그와 단일 경보에 대한 정보를 활용하여 집중 모니터링 및 대응

 

 

 

 

 

3. 대응 훈련

 

1) RTM 기능 활용


 

 

 

ㆍ훈련 현황 실시간 로그

   - RTM 기능을 통하여 주요 관제 대상장비의 출발지, 목적지 등의 필드를 체크하여 집중 관제대상 IP 선정

 

 

2) 집중관제 등록화면

 

 

 

 

ㆍRTM에서 수집한 집중 관제 대상 IP를 훈련관리 메뉴의 출발지 IP, 목적지 IP 항목에 추가

ㆍDDoS 공격 시 탐지 류 장비에서 수집하는 공격 유형을 Signature항목에 추가하여 집중 관제 실시

 

 

3) 집중 관제 등록 완료 화면

 

 

 

 

ㆍ집중 관제 메뉴에 등록된 대상 정보 내역 확인

 

 

4) 훈련 현황 대시보드

 

 

 

 

ㆍ훈련현황 대시보드 메뉴를 통하여 방화벽, 탐지 장비, 웹 장비 등에서 수집한 데이터를 기반으로 집중 관제 대상 목록 내 Pie, grid 등의 컨텐츠를 제공하여 이벤트 추이 파악 용이

 

 

5) 훈련 대상 상관분석

 

 

 

 

ㆍ훈련 탐지 현황에서 정의된 경보 룰의 상관분석 화면 표출을 통해 실시간으로 분석된 결과에 대한 단계 별 진행 상태 파악

 

 

6) 훈련 대상 상관 분석 근거데이터 확인

 

 

 

 

ㆍ​탐지 된 결과에 대한 상세분석을 통해 공격의 추이 및 IP, 공격 유형 등의 통계 정보와 원본로그 형태의 근거 데이터를 제공하여 전반적인 공격 정보 파악 용이

 

 

7) 훈련 상황 전파

 

 

 

 

ㆍ훈련 상황 전파 메뉴를 통해 집중 관제 결과 내용을 상황 전파하여 즉각적인 대응 체계 구축

 

 

4. 결론

 

SPiDER TM V5.0 집중 관제 기능을 즉각적인 대응체계 구축

 

SPiDER TM의 집중관제 기능으로 체계화 된 훈련을 지속적으로 시행함으로써 실제 상황을 대비한 대응 체계를 확립한다.

이를 통해 내부 취약점을 발견하여 사전에 조치함으로써 기존에 알려진 사이버 공격 유형 이외에 다양한 공격으로부터 즉각적으로 대응 할 수 있다.