보안관제란 무엇인가?
보안관제 정의(보안관제 직무란?)
- 정책 위반 또는 침입으로부터 시스템과 네트워크 자원의 손상을 막기 위해 관제가 필요한 모든 시스템을 실시간으로 모니터링 하여 즉각 대응, 관리할 수 있도록 인력, 절차, 기술 및 전문 지식을 제공하는 행위
- 불법 해킹이나 바이러스로부터 시스템과 네트워크 자원의 손상을 막기 위해 사이버 보안 관제가 필요한 모든 시스템을
실시간으로 모니터링 하여 즉각 대응할 수 있도록 하는 일련의 활동
보안관제의 3가지 원칙
1.무중단의 원칙
- 365일 24시간 중단없이 보안관제 업무를 수행해 가용성을 저해 또는 마비시키는 공격을 신속하게 탐지 및 대응해야 한다.
2.전문성의 원칙
- 보안관제 업무 수행을 위해 공격탐지 시스템 및 시설과 함께 전문 지식과 경험, 노하우를 가진 전문인력이 필요하다.
3.정보 공유의 원칙
- 침해 공격은 동일하거나 유사한 공격이 여러 기관에 거쳐 다발적으로 발생하는 특성을 가지고 있다.
- 기관 또는 기업에서 특정 공격행위를 막아도 다른 기관에서 동일한 침해사고가 발생 할 수 있기 때문에 침해사고를 탐지 및 차단하기 위해서 정보가 신속하게 공유되어야 한다.
보안관제의 업무 절차
보안관제의 업무 처리 절차는 예방 -> 탐지 -> 대응 -> 보고 -> 공유 및 개선으로 나눌 수 있다.
1.예방
- 보안장비, 모의해킹을 통한 보안 취약점을 보완해 발생 소지가 있는 침해사고를 사전에 예방
2.탐지
- 예방 단계에서 막지 못하는 침해사고 및 공격을 모니터링을 통해 보안관제가 탐지하는 단계
- 모니터링 중 침해사고가 발생하면 대응 단계로 넘어감
3.대응
- 모니터링 중 발생한 침해사고에 대해 진짜 침해사고인지 아닌지에 대해 정오탐 여부를 판단
- 판단 후 정탐으로 판정됬을 경우 해당 상황을 전파한 후 절차에 따라 침해사고에 대응
4.보고
- 대응한 침해사고에 대한 결과와 과정 등을 보고서를 통해 작성
5.공유 및 개선
- 침해사고에 대한 보고서를 통해 해당 정보에 대해 공유
- 공유한 침해사고는 재발하지 않기 위한 방법을 개선하며 다시 1단계인 예방 단계로 넘어가 사이클을 반복
보안관제의 유형 및 특징
보안관제 업무 시 활용하는 웹 페이지
- Whois
- 도메인이나 IP 주소의 소유자 정보, 등록일, 만료일, DNS 서버 등의 정보를 조회할 수 있음
- ipconfig
- 웹 브라우저를 통해 접속하면 현재 인터넷에 연결된 기기의 공용 IP 주소를 쉽게 확인할 수 있도록 도와줌
- VirusTotal
- 파일이나 URL에 대한 다양한 안티바이러스 엔진에서의 검사 결과를 확인하여 악성코드 여부를 판단
- Hybrid Analysis
- 샌드박스 환경에서 샘플 파일을 실행하여 악성 행위를 분석하고 보고서를 생성
- Shodan
- 인터넷에 연결된 디바이스들의 정보를 수집하여 검색 및 분석할 수 있는 검색 엔진
- Exploit Database
- 다양한 소프트웨어 및 시스템에 대한 취약점 exploit 코드를 검색할 수 있음
- GitHub Security Lab
- GitHub에서 제공하는 보안 연구 및 도구에 관한 정보를 제공함
출처
https://sungks.tistory.com/246
https://kk-7790.tistory.com/33