보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

통합보안관제시스템 구축 사례 : SIEM 구축

2021.05.04

16,598






01. SPiDER TM 구축 사례

날로 진화하는 보안 위협과 기하급수적으로 쌓이는 보안 데이터 속에서 의미 있는 정보를 찾기란 쉽지 않다. 여러 고객사 전산실에 방문 하면 여러 모니터에 다양한 정보를 볼 수 있는 화면들이 각각 구성 되어 있는 것을 볼 수 있다. 그러나 인프라에서 발생 되는 이슈를 한 눈에 확인 하고 조치 해야하는 종합상황판은 개별 보안 장비별로 모니터링 하고 있는 것이 경우가 많다. 
그렇다면 어떻게 의미 있는 정보를 찾아 관제 모니터링의 효율성을 높일 수 있을까? 
사전적으로 “어떤 일이 전에 실제로 일어난 예”를 사례라고 한다. 여기 SPiDER TM을 구축 하고 업무에 최적화 된 통합대시보드를 구현하여 관제모니터링의 효율성을 높인 사례를 소개 하겠다.


[그림 1] SPiDER TM 브로슈어 중


02. Why?

사이먼 시넥의 골든 서클 이론을 들어 본 적이 있을 것이다. 어떤 일을 맞이했을 때 무엇을(What), 어떻게(How) 보다 항상 왜(Why)로 시작 하는 이론이다. 이를 위해 구축 전 고객사가 목표하는 방향이 무엇인지에 대한 사전 인터뷰를 진행 하였다. 해당 고객 사는 약 30여곳이라는 소속/산하 기관을 통합 모니터링 해야하는 요건이 있었으며, 아래와 같은 요구 사항을 도출 할 수 있었다.
  
    ① 보안상황을 종합적으로 관리
    ② 신속한 상황전파 및 정보 공유를 위한 기능 필요
    ③ 보안상황에 대한 자동분석과 체계적인 대응기반을 마련
    ④ 글로벌 위협 정보를 수집하고 대응 할 수 있는 방안 필요


03. How

이제부터 SPiDER TM 구축을 통하여 데이터를 가공 하고 업무 편의성과 효율성을 높이기 위한 통합 대시보드 구성으로 어떻게 가시성을 확보 하였는지 들여다보자.


1) 메인 대시보드 (외부 위협 관점)


[그림 2] 메인대시보드 화면


2) 정보공유

주요 정보들을 공유 하기 위한 페이지로 공지사항/보안뉴스/시스템작업/보안권고 및 상황전파문/ Q&A로 구성 되어 있으며, 각 항목을 통해 소속/산하기관과의 신속한 업무 교류를 가능 하도록 한다.
  
 ① 개별 망을 사용하는 기관 특성 상 자체 점검 사항에 대한 확인 가능
    - 기관 자체 점검 시 수집 되는 로그 단절로 인한 관제 수행에 어려움을 사전 공유로 해소
 ② 업무 중 발생한 이슈 사항을 Q&A 게시로 실시간 답변하여 업무 연속성을 높일 수 있음.
 ③ 자사에서 제공 하는 보안뉴스로 일일 정보 동향 파악 가능
    - 모든 게시물에 포함 된 첨부 파일 버튼 클릭으로 다운로드 가능



[그림 3] 정보공유 팝업 대시보드


3) 사이버 위협 대응 현황

매일 새롭게 생성되는 방대한 보안 이벤트에 기관 위협 발생 시 효율적인 보안관제 운영이 가능하도록 침해대응 프로세스 기능을 제공 하며, 보안 관리자가 위협 이벤트 분석에 집중 할 수 있도록 업무 효율을 높일 수 있다. 또한 신속한 대응 체계를 위해 위협 등급 별 기관 SLA 평가를 진행 한다.
  
   ① 침해사고기준 위협 등급 (1등급 ~ 4등급 기준)
   ② 이관시간 및 처리일자를 통해 종결처리까지의 소요시간 체크 (단위, 시간)

등급

1등급

2등급

3등급

4등급

소요시간

4시간

6시간

24시간

72시간


[표 3-1] 침해사고 등급별 처리 기준



[그림 4] 침해대응프로세스

4) 공격 유형 상세 모니터링



[그림 5] 공격유형 상세 모니터링


5) 위협IP 상세 분석

위협 의심IP에 대한 행위 분석을 진행 할 때 제일 먼저 하는 것이 무엇일까? 아마도 위협IP가 어디에서 왔고 내부 중요 자산에 접근 했는지가 아닐까 한다. 이를 원 클릭으로 행위 분석을 할 수 있게 상세 분석 팝업 대시보드를 구현함에 따라 관제 인원의 분석 시간 뿐만 아니라 의미 있는 정보를 도출 할 수 있을 것이다.





[그림 6] 위협IP 상세 분석


04. What

문제를 해결하기 위해 케이스 스터디를 하고 다른 사례를 참고하는 등 문제가 발생하고 해결되는 과정을 보면 과거나 현재나 크게 다르지 않은 것 같다. 

이번 통합보안관제시스템 구축 사례는 광범위한 데이터 속에서 의미 있는 정보를 찾고 문제 해결 할 수 있도록 
가시성을 확보를 통해 보안관제요원이 단순 반복적인  패턴에 소비 되는 시간을 줄이고 정확한 판단을 요구 하는 위협 대응이 용이 하도록 분석 및 모니터링 최적화 대시보드를 구현 하였다.
  
  <가시성을 높이기 위한 대시보드 구현 조건>

    1. 보고자 하는 것이 무엇인지?
    2. 직관적으로 인지 할 수 있는지?
    3. 신속한 의사결정을 내릴 수 있는지?


앞으로도 인프라를 보호 함에 있어 ‘케이스 스터디’ 할 수 있는 다양한 예를 소개 할 예정이다.