통합보안관리 시스템(ESM)에 구축에 있어서의DBMS 적용방안

2

목차

1. 회사소개

2. 배경및필요성

3. ‘통합보안관리’(ESM)의정의

4. ESM의특징및분류

5. ESM 표준화방향

6. ESM 핵심기술

7. DBMS 적용방안

8. ESM –기대효과

3

1. 회사소개

ESM ESM 솔루션솔루션 개발개발 / / 공급공급

복잡해진단위보안시스템의구축/운영에따라야기되는관리상의어려움을해결하기위한관리적인도구로써, 통합보안관리솔루션(ESM) 개발및공급

보안관리대행보안관리대행 서비스서비스

정보보안관리에대한 One-stop solution 제공, 전문성을갖춘보안전문가들의풍부한경험과정확한판단력, 체계화된서비스방법론및정교한통합보안관리솔루션을통하여완벽한보안

체제확립을지원하는서비스

솔루션솔루션 구축구축 및및 컨설팅컨설팅

고객사의복잡하고다양한환경에따른적절한보안솔루션구축및단계적보안강화를위한컨설팅수행

4

2. 배경 및 필요성

• 보안제품의 전문화 (Specialization of security solutions)

- Network Security- FireWall, VPN, IDS, Scanner, etc- System Security - Server, Authentication, Scanner, etc.

Source : 정보보호21C

5

2. 배경 및 필요성

• 관리의 어려움(Hard to manage it) : 정책(Policy) 부재

. Professional knowledge for the product is required

. Various way of using products

. Integrated management is required

41%

34%

15%

6%3% 1%

0

10

20

30

40

전문지식부족

전문인력부족

자본부족

적합한솔루션선택

인력관리

기타

50

<보안시스템 운영시 어려운 점>

Source : 정보보호21C

6

2. 배경 및 필요성

“우리는 방화벽, IDS 를 모두 도입한 상태이니 보안상 아무런문제가 없을 것이다.”

보안은 도입보다는 관리와 효과적인 운영이 더 중요합니다.

잘못된방화벽설정관리한계를넘어간방화벽수

잘못된방화벽설정관리한계를넘어간방화벽수

방화벽과 IDS 를 믿고보안설정에소홀히해둔 UNIX, NT 서버

를 믿방화벽과 IDS 고보안설정에소홀히해둔 UNIX, NT 서버

IDS 의오판관리한계를넘어간 IDS 수

IDS 의오판관리한계를넘어간 IDS 수

7

2. 배경 및 필요성

• Firewall 한계성

Open ports (DNS, WWW, SMTP…)필수적인 서비스를 위하여 open을 해야만 하는 서비스들

▶

Internal misuse/attacks내부인에 의한 공격

▶

Inherent limitations (Firewall is not IDS)설정된 보안정책에 의해 접속을 통제할 따름이며 침입종류를

능동적으로 감지하여 차단할 수 없다

▶

Configuration errors (human errors)운영상의 실수로 접속을 허가하여 침입에 악용되는 경우가

빈번히 발생

▶

8

2. 배경 및 필요성

• 침입탐지(IDS) 한계성

Too many false alarms (AFIWC case)▶

IDS evasive methods (shell code, CGI scanners)▶

Inherent limitations (fragrouter, SeolMa)▶

Configuration errors (human errors)▶

9

2. 배경 및 필요성

. AFIWC(Air Force Information Warfare Center) case 2000’

(100군데 공군기지 / 2주간 / 2백만건의 침해탐지 )(100군데 공군기지 / 2주간 / 2백만건의 침해탐지 )

수작업 검토수작업 검토

1만 2천건의 의심스러운 활동1만 2천건의 의심스러운 활동

전문가 검토전문가 검토

4건의실제공격

4건의실제공격

10

3. 통합보안관리의 정의

통합보안관리 시스템 구축의 목적

- IT 자산 인프라에 대한 가용성, 무결성, 보안성을 보장하기 위한 위험관리(자산평가에 의한 Risk Management)

- 이기종 보안 시스템의 효율적 운영 (정책관리, 침해대응, 이벤트 통합관리/분석 등)

Risk Management

IT 자산평가에 의한 위험관리

관리대상 보안제품 이벤트 통합관리 (수집/모니터링/분석)실시간 경보, 역추적 등

이벤트통합관리

침해대응 시스템 (CERT)정보공유시스템 (ISAC)

침해대응정책관리

각 단위 보안제품 정책관리사용자 관리구성관리무결성 관리

11

3. 통합보안관리의 정의

위험관리 (Risk Management)

- 주요 IT 자산의 프로파일 관리화

- 주요 자산 평가에 따른 실시간 분석/추적 및 침해대응 시스템 구축

* 위험관리의 대상은 보안장비가 아니라 보안장비에 의해 보호받는 서비스 시스템 입니다.

▶ 위험관리의예

예를 들어 외부에서 내부의 시스템으로 파일전송프로토콜(ftp)을 사용하여 접속을 시도하는 경우입니다. 외부 주소(211.45.162.58)에서 내부 주소(211.45.162.86)으로 접속을 시도하였을 때 침입탐지 이벤트로그는 <그림 1>과 같이 나타납니다.

외부 출발지 주소

내부 목적지 주소

사용된 내용 (ftp)

<그림 1> 침입탐지 이벤트 로그 예

12

3. 통합보안관리의 정의

▶ 위험관리의예 (계속)

접속을 시도한 내용(ftp)

외부 출발지주소

내부 목적지주소

접속시도결과(허용)

<그림 2> 침입차단 시스템 이벤트 로그 예

13

3. 통합보안관리의 정의

▶ 위험관리의예 (계속)

<그림 2>에서와 같이 내부 목적지 주소의 시스템으로 접속이 시도된 결과 허용된 것을 확인할 수있습니다. 이러한 결과는 네트워크 전체의 침입차단 여부를 결정하는 과정에서는 허용된 것을확인할 수 있지만 실제 내부 목적지 시스템(211.45.162.86)에서의 접속결과 및 접속 후 상황에대해서는 알 수 없습니다.예를 들면 파일전송프로토콜(ftp)로 접속하는 사용자 아이디와 패스워드가 시스템에서 인증하는과정에서 실패 또는 성공할 수 있기 때문입니다.

이에대한 결과를 확인하기 위해서는 내부 목적지 시스템(211.45.162.86)의 시스템 이벤트 로그를추적할 필요가 있습니다.

다음의 <그림 3>에서와 같이 이에 대한 최종 결과를 확인할 수 있습니다.

#/var/adm> cat lastguest ftp 211.45.162.58 Mon Jul 30 14:05 - 14:06 (00:01)root pts/7 gamma Mon Jul 30 14:17 still logged in

접속한 사용자아이디

접속한 외부주소 접속한 시간

<그림 3> 시스템 이벤트 로그의 예

즉, 외부주소(211.45.162.58)에서 내부주소(211.45.162.86)로 “guest” 라는 사용자 아이디를사용하여 파일전송프로토콜(ftp)을 1분간 사용한 것을 확인할 수 있습니다.

14

3. 통합보안관리의 정의

Network DeviceSecurity Event

Firewall SecurityEvent IDS Security

Event

Server SecurityEvent

Application SecurityEvent

Desktop SecurityEvent

Role-baseAdministration

Escalation & Automation

Real-Time Event Correlation & Analysis

단위 업무보안관리자

전사보안

ESM SYSTEM

• 통합보안관리흐름도

15

3. 통합보안관리의 정의

• 통합보안관리의단계

Risk ManagementFinal Goal

Event Monitoring & Analysis

System/Network security Audit

Centralized Policy ManagementAdvanced

Essential

Basic

16

4. ESM의 특징 및 분류

User & Policy ManagementUser & Policy Management

▶보안또는관리정책에따른사용자및 Access 관리중심▶인증또는 Single Sign-On의기능을포함▶초기 ESM 의측면이많이반영되어시스템관리적측면이강함

Vulnerability & Threat AssessmentVulnerability & Threat Assessment

▶네트워크및시스템의취약점, 위험요소들을분석하고모니터링하는관리도구의형태

▶제품에따라분석또는정책관리, 모니터링및경보(Alert) 등의특성지님▶최근의 ESM 주류를이룸▶기존보안제품들과의통합 (Integration)이활발히진행

17

4. ESM의 특징 및 분류

• User & Policy Management 제품군

사용자 / password 관리, File Access / Attribute, Login 등 호스트 기반의취약점 점검 및 Repotring

Enterprise Security ManagerAxent

대형 사업장에 적합하도록 설계(100,000 이상의 사용자)

Security Administration Manager (SAM)

Schumann Security Software

바이오메트릭, 스마트카드 등 지원AccessMaster Single Sign-On

Single Sign-On을 위한 각종 기능 제공

AccessMaster Security PolicyBull Soft

사용자관리, 인증, 접근통제, 바이러스, 암호화 등 제공

eTrustCA

많은 Platform과 Application 지원CONTROL-SABMC Software주 요 특 징제 품 명개 발 사

18

4. ESM의 특징 및 분류

• Vulnerability & Threat Assessment 제품군

정책설정, 모니터링, 경보 및 분석 등

보안 통합 관리SPiDER-1IGLOO Security

통합 이벤트 분석/관리e-sentineleSecurity통합보안 정보 관리netForensicsnetForensics

보안정책에 설정 및 이에 따른 AuditNetwork Security ManagerIntellitactics

OPSEC 기반의 자사 침입차단, 침입탐지 등 통합관리

Provider-1CheckPoint

주 요 특 징제 품 명개 발 사

19

5. ESM 표준화 방향

• Interface 표준화

▶해외동향

- OPSEC(Open Platform for Security) : Check Point 사의표준화기구. LEA, ELA, SNMP, CVP, OMI 등

- IAP (Intrusion Alert Protocol)- Active Security : Network Associates

▶국내동향

- ESM 표준화 (로그형식표준) : 인터넷보안기술포럼(5/17)- SAINT : 국내업체간컨소시엄-기타

* 상호연동 (Integration) : Firewall과 IDS간의연동

20

6. ESM 핵심기술

• ESM 관리대상

▶ Network 장비 : Router, Switch ▶ System▶ Firewall▶ Intrusion Detection System(IDS) ▶ Access Control▶ Anti-Virus▶ VPN ▶ Scanner

21

6. ESM 핵심기술

• Management Policy 설정

ㅇ 단계별 관리자 통보 체계level 1 : Record Log(or Black List), Popup Message, Mobile Phone, Sound, Change the Colorlevel 2 : Record Log(or Black List), Popup Message, Soundlevel 3 : 별도 설정이 없고 관리자통보 사항은level 2 에 준하여 운용한다.

……….……….

ㅇ 구성별 Configuration 원칙General: ESM 서버와 각각의 시스템간 Ping test를 위해 방화벽 정책(PING)을 허용하며, level 3 설정은 없다.System : 이중화구성 되어 있는 시스템(예를 들면, xxxx)과 그렇지 않은 시스템(예를 들면, xxxx )은 차별하여

위험단계를 조정하며, FW / IDS 시스템과 이외 기타 시스템간 위험단계도 차별하여 조정한다.FW / VPN : 방화벽 시스템에서 특정룰을 거부하는 정책은 해제하고 대신 level 1에 등록하여 체크한다.

Scanning, Backdoor 등의 서비스 포트를 등록하여 체크한다.xxxx 부분은 FTP / Telnet 로그를 등록하여 체크한다.

Intrusion : IDS 룰 위험등급은 high, mid, low, Info 가 있는데, 각각 차례대로 level 1, level 2, level 3 를 설정하며 Info 등급은 위험단계에 별도로 등록하지 않는다.

<관리 정책 설정 예>

22

6. ESM 핵심기술

• Normalization / Rule base event collection. 각각의 Event 정규화. Filtering 조건에의한 Event 수집

HeartbeatConnect

Source Node

User

Service

AdditionalData

FWMEF-Message

CreateTime

Sensor

Classification

CreateTime

AdditionalData

Sensor

Target Node

User

Service

<침입차단시스템 로그의 표준 예>

23

6. ESM 핵심기술

• Risk Classification Methodology. 각보안제품별탐지패턴분석. 탐지된위험/취약점에대한분류방법론. 시스템에따른위험도의설정기준정립

<침입탐지 유형 분류의 예>

24

6. ESM 핵심기술

. 각보안제품별탐지패턴/ CVE 연계분류

25

6. ESM 핵심기술

• Analysis■ 특정한 패턴에 대한 분석

(예 : 특정 포트가 스캔될 경우, 패킷이 통과가 거부될 경우, 특정 바이러스가 발견된 경우 등) ■ 임계치 값에 의한 분석

(예 : 특정 구간별 트래픽이 설정된 임계치보다 클 경우 등) ■ 특정한 패턴 + 시계열 데이터 조합에 의한 분석

(예 : 특정 포트(침입탐지 패턴)가 1분이내에 3회이상 발견된 경우, 동일한 Source IP에서 1분이내에 10회이상 접근을 시도하는 경우 등)

■ 임계치 값 + 시계열 데이터 조합에 의한 분석(예 : 네트워크 트래픽이 임계치 값을 1분동안 10회이상 초과할 경우 등)

■ 각 단위 수집 대상의 연계성 분석(예 : 네트워크 트래픽이 임계치 값을 초과하고, 그 시간대에 트래픽을 유발하는

바이러스가 출몰할 경우 등 )

< 임계치 + 시계열 데이터 조합 설정의 예 >

26

6. ESM 핵심기술

< 특정패턴 + 시계열 데이터 조합 설정의 예 >

27

6. ESM 핵심기술

• Anomaly Detection/Re-action. Anomaly Detection

-> Statistics (통계적기법)-> Expert System (Rule base)-> Neural Networks (학습을통한분석)-> Data Mining

. Re-action-수동적대응

-> Alert (Sound, Pop-up, Mail 등)-> Logging

-능동적대응-> Termination-> Firewall, Router, Switch Reconfiguration-> Log off, Lock out a user-> Shutdown-> Vulnerability Correction

28

6. ESM 핵심기술

• Integrated Policy Management

. Automatic Policy Management -> 동일벤더의제품들일경우만가능-> Policy Change가가능한 API를제공할경우가능

. Manual Policy Management- Policy Editor System call

* Ideal Goal Security Policy 를설정하면사용하고있는모든보안제품에설정된Policy 적용

29

7. DBMS 적용방안

• 성능요소

▶대용량자료의처리속도 (Write, Read)

. 처리속도(성능)은기본적으로시스템의성능, Disk I/O 능력에좌우됨

. 그외의요소로 DBMS가제공하는처리방식에따라결정됨- ESM의경우대규모사업장또는인터넷을이용한사업의경우

3000~5000건/초의이벤트처리능력이요구됨.- DBMS의처리지연문제의가장큰요소는 Connect 와 Commit임.

30

7. DBMS 적용방안

• 관리적요소

▶자료관리의편이성

. 자료관리방안에따른설계의용이

. 자료백업/복구용이성및버젼간의호환성

ESM Manager Server 1

ESM Manager Server 1

ESM Manager Server 2

ESM Manager Server 2

DBDB

DB Server

DBDB

31

7. DBMS 적용방안

• 개발측면의요소

▶개발관리의편이성

. Unix, Windows 의동일한 Source Code 사용

▶구현의용이성

. 이식성(2-Tier, 3-Tier 등의관련된구현에있어서)

. ODBC, Embedded 구현의용이

32

8. ESM - 기대 효과

. 보안관리정책/절차의정립

. 예방적보안관리체계수립

. 효율적인보안관리를통한위험감소체계정립

통합보안관리(ESM)시스템보안침입차단시스템 침입탐지시스템

통합관리연계분석

시스템접근제어

네트워크접근제어

네트워크침입탐지

위험 분석 흐름

위험수위

정책 수정