본문 바로가기

전체 글

EDR / EPP EDR(Endpoint Detection and Response) 엔드포인트에서 발생하는 이벤트를 전수 조사해서 APT 감시하고 대응하기 위해 사용하는 솔루션이다. 쉽게 생각하면 네트워크에 CCTV를 만들어 버리는 것이다. 엔드포인트 영역을 지속적으로 모니터링 하여 위협 탐지, 분석, 대응을 제공한다. 여기서 엔드포인트(Endpoint)란 어떤 서비스를 이용할 때 서비스의 최종 사용자 또는 디바이스를 의미한다. 즉, 서비스를 이용하는 최종 사용자 또는 기기들을 모니터링 하는 것이다. 기존의 안티바이러스와 네트워크 보안 솔루션은 엔드포인트 영역의 로그 수집, 분석이 어렵다. 또한, 신종, 변종 위협은 지속적으로 생기고 있고 그 유입 경로 역시 다양해지고 있다. 즉, 기존의 안티바이러스와 보안 솔루션으로는 .. 더보기
APT(Advanced Persistence Threat)란? APT(Advanced Persistence Threat) 진보된 지속적 위협으로 사회 공학적 해킹의 진화형이다. 특정 공격 대상을 집요하게 공략하여 공격을 시도한다. APT는 장기간 준비와 공격을 하며 주요 공격 대상은 사업체나 정치 단체를 표적으로 한다. 기존 무작위를 대상으로 하는 공격과는 다르게 해당 기업에 대한 철저한 조사와 준비과정을 거쳐서 정해진 목표를 달성하기 위한 공격행위이다. 과정 목표 설정 : 공격 대상을 정하고 공격 대상에게 무엇을 얻을 것인지 목적을 명확하게 세운다. 정찰(정보수집) : 공격 대상에 대해 필요한 모든 정보들을 수집한다. 네트워크, 물리적 장비, 기업이라면 사원의 수와 몇시에 출근 퇴근을 하는지 등 수집할 수 있는 최대한으로 수집하고 준비한다. 내부망 접근(초기접속).. 더보기
DLP, DRM - 데이터 손실 방지, 디지털 권리 관리 DLP(Data Loss Prevention) - 데이터 손실 방지 중요한 데이터를 인가된 사용자에게만 제공하면서, 동시에 이 데이터가 승인되지 않은 사용자에게는 무단으로 공유되거나 제공되지 않게 하는 일련의 활동과 제품이다. DLP의 주요 활동 목적 개인 식별 정보 보호 및 준법 감시 확보 : 기업에서 특히 금융과 관련된 기업은 고객의 많은 개인정보를 데이터로 보유하고 있다. 이러한 정보들은 매우 민감한 정보들로 안전하게 보호되고 관리되어야할 필요가 있다. 지적 재산 보호 : 기업의 고유한 기술, 연구등이 노출되는 것을 원치 않을 것이다. 이러한 기밀 정보들을 외부로 노출되지 않게 하는 것이다. 데이터 가시성 확보 : 데이터를 제공하는 입장에서 제공되는 데이터가 어떻게 이동되고 얼마나 사용되는지 가시적.. 더보기
ESM(Enterprise Security Management) - 기업 보안 관리 ESM(Enterprise Security Management) ESM은 여러 보안 솔루션들을 하나로 통합하여 관리하는 통합 보안 관리 시스템이다. 여기서 보안 솔루션으로는 방화벽, VPN, NAT, IDS, IPS 등 여러 솔루션들이 포함된다. 보안을 위한 장비와 솔루션들의 종류가 다양해지고 그에 따라 생성되는 보안 로그 또한 늘어나고 있다. 이때 이러한 보안 장비와 로그들을 통합적으로 관리가 필요하다. 이러한 장비들을 통합적으로 관리함에 따라 시간과 비용의 절감 효과를 기대할 수 있다. 기능적면에서 SIEM과 같다고 생각할 수 있지만 ESM은 실시간 처리가 중심이 아니다. 또한 SIEM에 비해 짧은 데이터 보관과 Agent, API 위주의 수집을 하며 수집하는 데이터 양 또한 SIEM에 비해 적다. .. 더보기
SIEM(Security Information and Event Management) SIEM(Security Information and Event Management) SIEM은 보안 정보와 이벤트 관리를 해주는 솔루션이다. 조직의 차세대 탐지, 분석 및 대응 방안을 제공한다. SIEM은 소프트웨어 보안 정보 관리(SIM)과 보안 이벤트 관리(SEM)을 결합한 것이다. 즉, 애플리케이션, 네트워크 장비 등에서 생성되는 여러 로그들을 통합하고 관리하고 분석할 수 있게 해주는 실시간 분석 솔루션이다. SIEM의 장점 다수의 데이터 포인트 통합 맞춤형 대시보드와 경보 워크플로우 관리 다른 제품과의 통합 SIEM의 기능 과거에 비해 현재 수집되는 보안 로그의 양과 종류가 많아짐에 따라서 통합적으로 관리하고 시각화하고 분석할 수 있는 솔루션이 필요한데 이때 사용할 수 있는것이 SIEM이다. 여.. 더보기
UTM(Unified Threat Management) - 통합 위협 관리 UTM(Unified Threat Management 통합 위협 관리는 1세대, 2세대, 3세대 방화벽 장비를 통합하여 관리해주는 시스템이다. 여기에는 NAT와 VPN도 포함되어 관리된다. 즉 여러개의 보안 도구들을 통합하여 관리해주는 시스템으로 관리 비용의 절감과 관리 능력이 향상시켜준다. 이러한 보안 장비들을 통합하여 관리하므로써 네트워크 보안에 관련된 기술 플렛폼과 위협을 일으키는 보안콘텐츠에 대응하는 엔진의 결합이다. 포함되는 도구로는 안티바이러스, 방화벽, 가상사설망, 침입탐지시스템, 침입방지시스템, 트레픽 쉐이핑, 콘텐츠 필터링, 웹 필터링, 이메일 필터링 등이 있다. 이러한 도구들을 적게는 2개 많게는 7개 이상씩 묶어서 관리고 보안 솔루션간의 시너지 효과를 낼 수 있게 해주는 시스템이다. .. 더보기
FTP [Passive / Active] FTP(File Tranfar Protocol) 란? FTP는 서버와 클라이언트 사이에 파일을 전송하기 위한 프로토콜로 응용계층(7계층) 프로토콜이다. FTP는 TCP 20번 포트와 21번 포트를 자주 사용하는 것으로 알려져 있다. 20번 포트는 데이터 포트로 사용되고 21번 포트는 제어 포트로 사용된다. 데이터 포트 : 데이터가 전송되는 포트이다. 파일들이 전송될 때 해당 포트를 이용하여 전송된다. 제어 포트 : FTP 명령이 오가는 포트이다. 클라이언트가 서버측으로 명령 전달 시 해당 포트를 이용하여 명령이 전달된다. 연결 순서 FTP는 TCP통신을 하기 때문에 3-way-handshaking 과정을 거친 후 연결이 된다. 연결 후 제어 포트를 통해 서버에 있는 필요한 파일들을 탐색 후 클라이언트 측.. 더보기
방화벽이란? 방화벽은 미리 정해진 패턴, 정책을 기반으로 시스템으로 들어가고 나가는 트래픽을 모니터링하고 제어하는 네트워크 보안 시스템이다. 방화벽은 내부 네트워크와 외부 네트워크 사이에 필터 역할을 하여 정해진 조건(룰)에 따라 트래픽을 필터링한다. 1세대 방화벽 (Port and Packet) 필터링 => L4 방화벽 포트와 패킷을 기반으로 접근을 통제한다. 미리 정해진 룰에 허용할 포트와 IP, 허용하지 않을 포트와 IP를 지정하여 해당 룰에 맞춰서 패킷을 필터링한다. 룰 설정에서 Inbound와 Outbound로 나눠진다. 1세대 방화벽은 4계층 방화벽으로 포트 주소까지 확인이 가능하여 IP, 포트주소를 이용한 필터링이 가능하다. 포트 주소를 볼 수 있기 때문에 특정 포트, 서비스를 대상으로 하는 공격을 방어.. 더보기

티스토리툴바