본문 바로가기
보안 이야기

[보안이야기#8]정보보안 직무-보안관제(4)

by 제로썬 2023. 3. 28.

안녕하세요 보안코치 제로썬이에요 :)

 

보안관제(3)에서는 보안관제 보호대상, 필요 요소(사람, 기술, 절차) 등에 대해서 알아봤어요~!!

https://zerotrust.tistory.com/18

 

[보안이야기#7]정보보안 직무-보안관제(3)

안녕하세요 보안코치 제로썬이에요 :) 보안관제(2)에서는 보안관제 법적근거, 원칙, 업무내역에 대해서 알아봤어요~ https://zerotrust.tistory.com/17 [보안이야기#6]정보보안 직무-보안관제(2) 안녕하세

zerotrust.tistory.com

자~ 오늘은 보안관제 이벤트 처리 절차에 대해서 알아보도록 해요.

이벤트 처리 절차(예시)는 참고로 봐주시고 부족한 부분은 댓글로 달아 주시면 좋을 것 같아요 :)

 

보안관제 이벤트 처리절차(예시)

1. 실시간 모니터링

  - 주의관제, 집중관제, 언론동향 등

2. 이벤트 탐지

  - DDoS, IPS, IDS, FW, WAF 등

3. 종합분석 시스템

  - 이벤트 발생

4. 보안장비 로그 조회

5. 이벤트 판단

  - 오탐 or 정탐여부 판단(로그 분석을 통해)

  - 의심, 정상, 공격 여부 확인

6-1. 오탐(정상) 

  - 이벤트 처리 완료(종결)

6-2. 정탐(의심/공격)일 경우 

7. 공격자(유해)IP 차단

  - 방화벽을 통한 IP차단

  - 공격자 IP 리스트 작성

8. 정탐 재연(성공여부 확인)

  - 재연 실패 시 - 7번 수행 공격자IP 차단 - 이벤트 처리 완료(종결)

  - 재연 성공 시 - 9번 수행

9. 상황전파(등급별 대상자)

  - 문자(CERT 소집 발령 등) 및 이메일 발송

10. 정책(패턴) 수립 및 적용(긴급)

  - IPS 정책을 통한 차단

11. 초동 분석 보고서 작성 및 보고

12. 초동 분석 보고서 및 TimeTable 등 관련 내용 침해대응팀에게 이관

 

이벤트 처리절차는 운영하는 기관과 관제센터마다 조금 상이할 수 있으나, 보안관제에서 전체적인 이벤트 처리 절차를 이해하시면 되세요~

이벤트 처리와 상황전파 절차에 대해 조금 풀어서 이야기 해볼게요

1. 이벤트 탐지가 되고 확인을 하게 되는데 이때 로그 또는 패킷 분석을 통해 의심인지, 오탐인지, 정탐인지 판단하게 되죠. 2. 공격성 여부는 공격(유해)IP 등록여부(기차단)을 보고 요청인지 응답으로 발생된 이벤트인지 확인을 합니다.

3. 악성메일일 경우 기본적으로 송신자와 수신자 이메일 정보, 악성링크 또는 악성파일이거나 본문 내용을 확인을 해요

만약 실시간 모니터링 또는 트래픽 수치가 높아져 이벤트가 발생할 경우 트래픽 수치(pps, bps, cps 등)에 따른 시간, 패킷을 분석하여 DDoS(서비스 거부)공격인지 Scan(정보수집)인지 공격성 여부와 홈페이지(서비스)가 정상 여부를 같이 확인해요

4. 침해시도 또는 사고에 따라 상황전파를 하게 되는데, 공격 실패 시 침해시도로 이벤트 종결이 되고, 공격 성공시 침해사고 위험도 등급 결정 → 상황전파 메시지 작성(검토) 후 보고  → 상황전파(문자/이메일) → 비상대응팀(복구) 소집 또는 침해대응팀 소집 후 사건 이관합니다.

저번 시간에 이야기 했던 보호 대상에 따라 공격 유형과 보안솔루션이 달라지게 되는데요. 

보안관제 이벤트는 "Scan(정보수집), 웹 해킹, DDoS, 악성코드" 구분되어 이벤트를 처리하게 됩니다.

 

사실 범위적으로 봤을 때 작지는 않고 넓은 범위에 대한 공격유형와 피해유형에 대해서 알고, 해당 이벤트를 분석하여 판단하고 이를 대응 할 수 있어야 하기 때문에 단순하게 이벤트 처리한다고 생각해선 안되는 것이죠. 

보안관제는 기본적으로 4인으로 구성되어 24시간 크루 근무이기 때문에 만약 앞 사람이 이벤트를 잘못 처리해서 사고가 났다고 생각해보세요....뒷 사람은...끔찍하겠죠?? 그래서 보안관제는 팀윅이 굉장이 중요해요. 서로 믿고 신뢰하고 이끌어주는 팀이 되어야 살아남을(?) 수 있는 것이죠 하하;;

매너리즘

이 글을 읽고 계시는 분들은 보안관제 쉽지 않다는건 느꼈을거라고 생각해요. 결국에는 다양한 공격을 대응하는 기관 또는 관제센터, 그리고 사수, 체계 등에 따라 경험이 다릅니다. 하지만 현실은 경험과 얻을 수 있는 것들을 찾고, 학습하고, 배우고, 많은걸 익힐 수 있는 환경을 만드는 것이 중요합니다. 그렇지 않으면 단순한 이벤트만 처리하다가 성장 없고, 자기 합리화, 부정적인 감정만 남고, 매너리즘에 빠지기 쉽상이니 경계 해야해요!!

 

오늘도 봐주셔서 감사하고 좋은 하루 되세요 :)

 

 

 

 

 

 

 

 

댓글