Embed Size (px)
DESCRIPTION
최근 화두인 빅데이터를 보안과 접목하여 이야기해 봤습니다.
Citation preview
Topic 1 :
1. 일반로그 vs 보안로그
Mobile Networks
Private Networks
Public Networks
1. 일반로그 vs 보안로그
보안 시스템
패턴 필터링
일반/보안로그의 발생 과정 및 특징을 살펴봤습니다.
해킹 시도를 찾기 위해서는 어떤 로그를 검사해야 할까요?
그나마 검사 범위가 작고, 정확한 보안로그를 검사하는 것이 합리적이라는 판단이 듭니다.
1. 일반로그 vs 보안로그
Topic 2 :
옥X, XX캐피탈, X슨, 그리고 최근의 3.20까지 피해가 알려진 뒤에야 보안 사고를 인지하는 경우가 늘고 있습니다.
저 보안사고들은 모두 다양한 보안솔루션 및 서비스가 적용된 현장에서 발생했다는 공통점을 가지고 있죠.
그나마 소량이고, 정확한 보안로그를 검사하고 있는데도 왜 보안사고를 적시에 찾아내지 못하는 경우가 늘고 있을까요?
2. 인력난? vs 보안로그
2. 인력난? vs 보안로그
tcp syn flooding
udp port scan
slammer worm
2001년 3GB
언제 다 분석하지?
2011년 보안로그
하루 발생량 70GB
(이글루시큐리티 ATRA 발표자료中)
2. 인력난? vs 보안로그
맞습니다. 일반로그보다 소량은 맞지만 보안로그는 그 자체로 이미 대량인거죠.
일단 해법은 두가지입니다.
그리고 일반로그보다는 정확하지만 보안로그 전부 정확한 건 아니랍니다. 사실은 부정확한 로그가 매우 많아요.
2. 인력난? vs 보안로그
애들 푼다?
2. 인력난? vs 보안로그
9개만 막으면 퇴근~♪
Topic 3 :
보안로그를 줄이는 것이 현실적인 해법이라는데 다들 동의하실 겁니다.
그런데 무턱대고 로그량을 줄이면 될까요?
우리는 부정확한 로그만 줄일 필요가 있습니다.
먼저 부정확한 로그가 왜 생기는지부터 알아보죠.
3. 정확한 로그 vs 부정확한 로그
3. 정확한 로그 vs 부정확한 로그
가방 패턴 필터링
보안로그는 일반로그를 패턴으로 필터링한 결과입니다.
그런데 해킹/정상 패턴은 모두 문자나 숫자 등의 동일한 기호 패턴 범위내에서 발생하거든요.
7음계의 한계때문에 표절 시비가 끊이지 않는 음악계를 떠올려보세요. 금방 이해가 되시죠?
실제 사례를 볼까요?
3. 정확한 로그 vs 부정확한 로그
3. 정확한 로그 vs 부정확한 로그
uname 패턴 일치에 의한 공격 표절이네요.
php_uname 함수를 이용한 공격
대부분 보안솔루션들이 사용하는 필터 규칙입니다.
3. 정확한 로그 vs 부정확한 로그
필터 규칙이 정교해지면
공격 표절을 예방할 수 있겠죠?
Topic 4 :
그리고 보안로그가 이미 대량인 이유는 공격 표절이 많기 때문이구요. 진짜 공격이 더 많다면 당장 네트워크 케이블을 뽑는 게 나을걸요.
보안로그는 진짜 공격과 공격 표절로 나뉜다는 사실을 알게 됐습니다.
보안사고를 적시에 인지하지 못하는 이유는 대량의 공격 표절이 발생하면서 검사 범위가 검사 역량보다 커졌기 때문입니다.
그래서 우리는 공격 표절, 즉 부정확한 보안로그를 줄여야 합니다.
사례를 볼까요?
4. 빅데이터? vs 정확한 데이터
4. 빅데이터? vs 정확한 데이터
sql injection, 필터 규칙:alert tcp any any -> any 80 (content:”%20and%20”;)
GET /index.asp?type=NB‘%20and%201%3D1%20and%20%27%27%3D%27
GET /get.asp?word=Firefox%20and%20Netscape
GET /read.asp?Status=6%25%27%20and%20%278%27%3D%273
GET /rvp?desc=Get%20a%20body%20and%20Six%20pack%20abs
GET /pview?title=Muscle%20and%20Fitness
GET /index.aspx?ST=SQUARe%20and%208%3D8
GET /music/gate.asp?s2=MUSICN%20and%208%25%3D8
GET /home.asp?List=1%’%20and%20’8%%27%3D%278
공격 표절을 찾아봅시다.
보안로그는 비정형 원시데이터를 보고 공격 여부를 판단합니다.
4. 빅데이터? vs 정확한 데이터
패턴 탐지 전 탐지 패턴 패턴 탐지 후
GET /index.asp?type=NB‘ %20and%20 1%3D1%20and%20%27%27%3D%27
GET /get.asp?word=Firefox %20and%20 Netscape
GET /read.asp?Status=6%25%27 %20and%20 %278%27%3D%273
GET /rvp?desc=Get%20a%20body %20and%20 Six%20pack%20abs
GET /pview?title=Muscle %20and%20 Fitness
GET /index.aspx?ST=SQUARe %20and%20 8%3D8
GET /music/gate.asp?s2=MUSICN %20and%20 8%25%3D8
GET /home.asp?List=1%’ %20and%20 ’8%%27%3D%278
차이가 느껴지나요?
비정형데이터를 정형데이터로 만들어봤어요.
패턴 탐지 전 탐지 패턴 패턴 탐지 후
GET /index.asp?type=NB‘ %20and%20 1=1 and ‘’=‘
GET /get.asp?word=Firefox %20and%20 Netscape
GET /read.asp?Status=6%25%27 %20and%20 ‘8’=‘3
GET /rvp?desc=Get%20a%20body %20and%20 Six pack abs
GET /pview?title=Muscle %20and%20 Fitness
GET /index.aspx?ST=SQUARe %20and%20 8=8
GET /music/gate.asp?s2=MUSICN %20and%20 8%=8
GET /home.asp?List=1%’ %20and%20 ’8%’=‘8
4. 빅데이터? vs 정확한 데이터
표절 찾기 쉽지 않나요?
URL 인코딩된 패턴을 디코딩해봤어요.
대량 보안로그의 표절 패턴 분포 파악을 통해 기존 필터 규칙의 문제점을 찾고 수정이 가능했습니다. 참 쉽죠?
왜 처음부터 필터 규칙을 정교하게 만들지 않냐구요? 환경에 따라 일반로그 발생 양상은 달라지고 이에 따라 규칙도 달라져야 하는데 처음 규칙을 만들 때부터 모든 발생 양상을 다 알 수는 없답니다. 보안 회사들도 고충이 많아요.ㅜㅜ
4. 빅데이터? vs 정확한 데이터
필터 규칙이 정교해지면 로그량은 줄고 해킹을 놓칠 가능성 역시 줄어듭니다.
보안 분야에서도 빅데이터를 앞세운 제품과 기술이 앞다퉈 발표되고 있습니다.
그들을 요약하면 한마디로 ‘일반로그+보안로그=빅데이터’인데요.
빅데이터는 과연 보안로그만을 검사했던 기존 체계의 한계를 극복할 수 있을까요?
부정확한 보안로그를 포함한 빅데이터가 과연 우리가 바라는 빅데이터일까요?
4. 빅데이터? vs 정확한 데이터
4. 빅데이터? vs 정확한 데이터
보안로그
부정확한보안로그
정확한 보안로그
일반로그
일반로그
일반로그 보안
+
+
+
빅데이터
빅데이터
빅데이터
=
=
=
보안 ≠
=
그리고 부정확한 데이터는 다시 부정확한 빅데이터가 될 가능성이 크죠.
빅데이터는 기존 데이터에 대한 충분한 활용 경험과 만날 때, 우리에게 더 나은 가치를 제공해줄 테니까요.
4. 빅데이터? vs 정확한 데이터
목적을 정하고, 그 목적에 맞는 데이터를 선택한 후, 그 데이터에 접근하는 방법을 찾아가는 경험이 필요합니다.
원시데이터에 주목하지 않으면 보안로그는 부정확한 데이터가 될 가능성이 큽니다.
Conclusion
