보안관제

올빼미·2025년 1월 6일

보안관제 기본원칙

  • 무중단의 원칙
  • 전문성의 원칙
  • 정보공유의 원칙

1. 사이버위협 진화에따른 공격전망

1-1. 지속적인 SW 공급망 공격

1-2. 생성형 AI를 악용한 범죄 가능성 증가

1-3. OT/ICS 및 IoT 환경의 보안위협 증가

2. 보안관제의 이해

2-1. 보안관제 개념

보안 관제 : 조직의 정보기술 지원 및 보안 시스템을 안전하게 운영하기 위하여 사이버 공격정보를 탐지 및 분석하여 대응하는 일련의 업무와 사전예방 및 관제 시스템 운영에 관한 업무
보안관제 목적

  • 보안사고 예방을 통한 안전한 서비스 제공
  • 정보보호 및 개인정보 보호 법 제도 준수
  • 업무수행 강화를 통한 조직의 IT 정보자산 보호
  • 악성코드 실시간 탐지 및 대응체계 구축
    유형
  • 원격관제 : 관제서비스업체에서 보안관제에 필요한 관제시스템을 구비하고 대상기관 침입차단 시스템 들 보안장비 중심으로 보안 이벤트를 중점적으로 상시 모니터링하고 침해사고 발생 시 긴급 출동하여 대응 조치하는 서비스 형태
  • 파견관제 : 관제 대상기관이 자체적으로 보안관제시스템을 구축하고 보안관제 전문업체로부터 전문인력을 파견 받아 침해/장애 발생 시 즉각적인 관제업무를 수행하는 형태임
  • 자체관제 : 보안관제시스템 및 전문인력을 자체적으로 구축하고 운영하는 형태
  • 하이브리드관제 : 원격과 파견관제의 장점을 고루 합한 서비스, 보안 기업의 통합보안관제센터에서 확보한 위협 정보를 원격으로 제공하여 파견관제의 한계점을 보완
  • 클라우드 관제 : 서버와 DB등 IT자원을 인터넷 접속을 통해 사용하는 클라우드 환경에 대한 관제,기업은 클라우드 내에서 일어나는 보안 위협을 모니터링하여 온프라미스 환경과 동일하게 보안관제 서비스를 받을 수 있음.

2-2. 보안관제 업무 개요

  • 예방
    • 보안패치
    • 취약점 점검
    • 정책관리
    • 모니터링
  • 탐지
    • mms, alert
    • 시스템 장애 이벤트
    • 관리적 이벤트
  • 대응
    • 웜-바이러스
    • 스캐닝
    • 침해사고
    • 기타 사고대응

2-3. 보안관제 구성요소

2-4. 보안관제 업무 절차

3. 보안관제 기술

3-1. 보안관제 탐지/방어기술

3-2. 탐지패턴 활용

4. 보안관제시스템

4-1. 보안솔루션 분류

4-2. 방화벽(F/W)

4-3. IPS/IDS

4-4. DDoS 대응 솔루션

4-5. 웹방화벽(WAF)

4-6. NAC

4-7. Anti-Virus

4-8. 기타 보안솔루션

5. 보안관제 실무

5-1. 사이버보안관제센터

5-2. 보안관제 사업 수행 조직

5-3. 보안관제 사업 수행 업무

5-4. 훈련지원

5-5. 정보공유

5-6. 보안관제시스템 성능관리

5-7. 산출물

5-8. 비정상 트래픽 티켓팅

5-9. 보안관리시스템(ESM)

esm : 방화벽, 침입탐지시스템(IDS), 가상사설망(VPN) 등 다양한 종류의 보안솔루션을 하나로 모은 통합보안관리 시스템

5-10. SIEM (Security Information & Event Management)

SIEM : 다양한 정보시스템에 대한 로그관리및분석을 강화되고 빅데이터 기술이 접목되어 정보
시스템전반에 대한 신속한위협탐지를 가능하게 하 는지능형로그관리플랫폼
빅데이터 : 디지털환경에서 생성되는 데이터로그규모가 방대하고, 생성주기도 짧고 형태도 수치데이터뿐만아니라, 문자와 영상데이터를 포함하는 대규모데이터

5-11. SOAR (Security Orchestration, Automation and Response)

  • SOAR : 다양한 보안위협대응프로세스를 자동화/조율하여 단순반복 보안관제업무 효율화와
    다양한 보안이벤트를 신속정확하게 대응하는 보안솔루션
  • SOA(Security Orchestration and Automation) : Security Orchestration은 서로 다른 제품(Non-Security 제품 포함)들을 서로 통합하고, Workflow를 통해 제품 간작업을 자동화시켜최종사용자에게 감독과 상호작용을 허용하게 하는개념
  • Threat Intelligence Platforms(TIP) : 조직(Organization)이 “조직에 대한 위협(Threat)”을 이해하기 위해 사용하는정보를의미
  • Security Incident Response Platforms(SIRP) : 보안침해사고발생시대응하는시스템으로, 처리해야하고분석해야할정보들이 많지만, 수립된 대응정책에 따라 즉각적으로 대응해야하고 자동적으로처리하는 기능을 제공
profile
올빼미
시들시들한 올빼미
이전 포스트

Docker

다음 포스트

침해사고 분석

0개의 댓글