SIEM(Security Information Event Management)
1. Instruction
보안의 최상단에 위치하고 있다는 SIEM(Security Information Event Management)에 대하여 조사를 해보았습니다.
SIEM은 한국어로 '심'이라고 발음하기도 하며, 말 그대로 '에스아이이엠'이라고 부르기도 합니다.
많은 제조사들이 SIEM을 만들었고 있기 때문에 SIEM의 사전적 의미도 다양합니다.
Security Intelligence Event Management, Security Information Event Management 등 다양한 이름으로 불려지고 있습니다.
이번 포스팅은 SIEM의 용도 및 사용하는 이유 등에 대하여 알아보도록 하겠습니다.
2. Use
SIEM은 전산화된 Infrastructure에서 발생하는 모든 보안 위협을 찾아내기 위해 사용하는 일종의 Monitoring Tool로 볼 수 있습니다.
우선 아래 그림을 통해 2011년과 2012년에 발생한 보안 침해 / 유출 사고의 유형 및 규모를 참조해주세요.
※ 출처 : IBM X-Force 연구소
2011년 통계의 경우 점차 피해 규모가 큰 보안 사고가 발생하고 있다는 것을 알 수 있고,
2012년 통계는 작지만 수 없이 많은 사고들이 발생했다는 것을 볼 수 있습니다.
즉, 어떤 기업이라도 업무 전산화가 되어있다면 결코 안전하지 않다는 것을 알 수 있습니다.
Verison 조사에 따르면, 2011년도 발생된 보안 사고 가운데 약 69%의 사고가 예방 가능할 정도의 로그가 남아있었다고 합니다.
이 말인 즉, 각종 보안 장비 및 여타 시스템에 기록된 로그만 잘 분석했더라면 정보 유출 사고를 겪지 않아도 됐을 것이라는 이야기가 됩니다.
그럼 여기서 과반수 이상의 보안 침해 / 유출 사고를 겪지 않기 위한 명확하고 확실한 Solution이 나왔습니다.
"Infrastructure 내 발생하는 모든 로그를 수집하고, 분석한다."
Network, Server, Security Solution, Application 등 Infra 내에서 발생하는 모든 로그를 수집하는 것입니다.
하지만 지금의 IT 세상은 Big-Data 시대입니다.
Network, Server, Security Solution, Application의 수가 폭발적으로 증가하였고, 이는 로그의 양 또한 기하급수적으로 증가하였다고 볼 수 있습니다. 적게는 1초에 수 백 건, 많게는 1초에 수 십만 건의 로그가 발생하고있습니다.
그렇다면, 수집된 로그를 각 분야 담당자들이 분석하고 결과를 내놓을 수 있을까요?
결론은 불가능합니다.
사람이 할 수 없는 작업입니다.
사람이 할 수 없다면 새로운 System을 통해 위와 같은 업무를 수행해야겠죠.
그 역할을 해주는 것이 바로 'SIEM'입니다.
SIEM은 기본적으로 아래와 같은 구조로 구성됩니다.
그림에서 나타나듯, Infra 내에서 발생하는 모든 Log를 수집하는 것이 기본적으로 수행되고, 이 후 수집된 Log를 개별 분석 / 관계 분석을 통해 각종 Trigger 및 Report하는 것이 주 목적이고, SIEM의 기본적인 구조입니다.
3. Case
이 때 한 가지 의문점이 생기실겁니다.
위 설명을 통해 SIEM의 구조를 봤더니 결국엔 '위험성이 내포된 Log를 놓치지 않고 확인 하는 것이 목적 아닌가?' 하는 것이겠지요.
위험성이 내포된 Log는 각 System에서 지속적으로 알려줄 것이기 때문에 놓치기 힘들 것입니다.
정확히 짚으셨습니다.
하지만 위에서 확인하신 보안 사고를 당한 기업들은 단순히 이런 유형의 공격들이 아니었습니다.
근래에 발견되는 공격들은 이전보다 더 지능적이고, 치밀하며, 쉽게 알기 힘들게끔 행동하고 있습니다.
'전혀 위험해보이지 않는, 평범한 상황인것 같은 Action을 통해 공격한다.'
근래에 많이 나타나고 있는 APT(Advanced Persistence Threat)등이 포함됩니다.
누구나 위험성을 파악할 수 있는 공격이라면 애초에 위 자료와 같은 사고들이 발생하지 않았을 것입니다.
한 가지 예를 들어보겠습니다.
이는 무조건적으로 해커에 의한 공격이라고 갸늠할 수는 없지만, 매우 가능성이 농후한 상황입니다.
위와 같이 여러가지의 로그와 시간 지속성을 두고 상관관계를 분석하여 최종적인 위협을 도출하는 것이 SIEM입니다.
물론 다른 보안 개념과 마찬가지로 절대 100%의 정확성을 갖는 것은 아닙니다.
주저리 주저리 설명이 길었지만, 결국 기존 Security Solution들이 Catch할 수 없었던 위협들을 찾아 줄 수 있다는 장점을 가진 개념이라고 보시면 됩니다.
모든 Server, Network, Security Solution, Application의 Log를 모은 후 서로 분석하여 잠재적인 위협, 은닉 위협을 찾을 수 있다는 기본적인 발상은 참으로 멋진 생각으로 보입니다.
보안의 최상단에 위치하고 있다는 SIEM(Security Information Event Management)에 대하여 조사를 해보았습니다.
SIEM은 한국어로 '심'이라고 발음하기도 하며, 말 그대로 '에스아이이엠'이라고 부르기도 합니다.
많은 제조사들이 SIEM을 만들었고 있기 때문에 SIEM의 사전적 의미도 다양합니다.
Security Intelligence Event Management, Security Information Event Management 등 다양한 이름으로 불려지고 있습니다.
이번 포스팅은 SIEM의 용도 및 사용하는 이유 등에 대하여 알아보도록 하겠습니다.
2. Use
SIEM은 전산화된 Infrastructure에서 발생하는 모든 보안 위협을 찾아내기 위해 사용하는 일종의 Monitoring Tool로 볼 수 있습니다.
우선 아래 그림을 통해 2011년과 2012년에 발생한 보안 침해 / 유출 사고의 유형 및 규모를 참조해주세요.
※ 출처 : IBM X-Force 연구소
2011년 통계의 경우 점차 피해 규모가 큰 보안 사고가 발생하고 있다는 것을 알 수 있고,
2012년 통계는 작지만 수 없이 많은 사고들이 발생했다는 것을 볼 수 있습니다.
즉, 어떤 기업이라도 업무 전산화가 되어있다면 결코 안전하지 않다는 것을 알 수 있습니다.
Verison 조사에 따르면, 2011년도 발생된 보안 사고 가운데 약 69%의 사고가 예방 가능할 정도의 로그가 남아있었다고 합니다.
이 말인 즉, 각종 보안 장비 및 여타 시스템에 기록된 로그만 잘 분석했더라면 정보 유출 사고를 겪지 않아도 됐을 것이라는 이야기가 됩니다.
그럼 여기서 과반수 이상의 보안 침해 / 유출 사고를 겪지 않기 위한 명확하고 확실한 Solution이 나왔습니다.
"Infrastructure 내 발생하는 모든 로그를 수집하고, 분석한다."
Network, Server, Security Solution, Application 등 Infra 내에서 발생하는 모든 로그를 수집하는 것입니다.
하지만 지금의 IT 세상은 Big-Data 시대입니다.
Network, Server, Security Solution, Application의 수가 폭발적으로 증가하였고, 이는 로그의 양 또한 기하급수적으로 증가하였다고 볼 수 있습니다. 적게는 1초에 수 백 건, 많게는 1초에 수 십만 건의 로그가 발생하고있습니다.
그렇다면, 수집된 로그를 각 분야 담당자들이 분석하고 결과를 내놓을 수 있을까요?
결론은 불가능합니다.
사람이 할 수 없는 작업입니다.
사람이 할 수 없다면 새로운 System을 통해 위와 같은 업무를 수행해야겠죠.
그 역할을 해주는 것이 바로 'SIEM'입니다.
SIEM은 기본적으로 아래와 같은 구조로 구성됩니다.
그림에서 나타나듯, Infra 내에서 발생하는 모든 Log를 수집하는 것이 기본적으로 수행되고, 이 후 수집된 Log를 개별 분석 / 관계 분석을 통해 각종 Trigger 및 Report하는 것이 주 목적이고, SIEM의 기본적인 구조입니다.
3. Case
이 때 한 가지 의문점이 생기실겁니다.
위 설명을 통해 SIEM의 구조를 봤더니 결국엔 '위험성이 내포된 Log를 놓치지 않고 확인 하는 것이 목적 아닌가?' 하는 것이겠지요.
위험성이 내포된 Log는 각 System에서 지속적으로 알려줄 것이기 때문에 놓치기 힘들 것입니다.
정확히 짚으셨습니다.
하지만 위에서 확인하신 보안 사고를 당한 기업들은 단순히 이런 유형의 공격들이 아니었습니다.
근래에 발견되는 공격들은 이전보다 더 지능적이고, 치밀하며, 쉽게 알기 힘들게끔 행동하고 있습니다.
'전혀 위험해보이지 않는, 평범한 상황인것 같은 Action을 통해 공격한다.'
근래에 많이 나타나고 있는 APT(Advanced Persistence Threat)등이 포함됩니다.
누구나 위험성을 파악할 수 있는 공격이라면 애초에 위 자료와 같은 사고들이 발생하지 않았을 것입니다.
한 가지 예를 들어보겠습니다.
상황 1) 특정 VPN ID가 Log-in을 10회(1일 1회 시도) 실패한 후, Log-in 성공.
이 후 업무 Server로 접근 시도(Log-in 실패)
일반적으로 봤을 때, 1일 1회 정도의 Log-in Fail은 전혀 아무런 위험성이 없습니다.
하지만 이런 행위가 10일 동안 지속적으로 발생했을 때, 그리고 그 이후 Log-in이 정상적으로 되었을 때는 약간 미심쩍기는 하지만 해당 VPN ID 소유자도 사람인지라 실수로 인한 흔적인 것 같긴합니다.
그러나 그 이후 특정 업무 Server에 Log-in 시도를 했고, 실패했다.
이 후 업무 Server로 접근 시도(Log-in 실패)
일반적으로 봤을 때, 1일 1회 정도의 Log-in Fail은 전혀 아무런 위험성이 없습니다.
하지만 이런 행위가 10일 동안 지속적으로 발생했을 때, 그리고 그 이후 Log-in이 정상적으로 되었을 때는 약간 미심쩍기는 하지만 해당 VPN ID 소유자도 사람인지라 실수로 인한 흔적인 것 같긴합니다.
그러나 그 이후 특정 업무 Server에 Log-in 시도를 했고, 실패했다.
이는 무조건적으로 해커에 의한 공격이라고 갸늠할 수는 없지만, 매우 가능성이 농후한 상황입니다.
위와 같이 여러가지의 로그와 시간 지속성을 두고 상관관계를 분석하여 최종적인 위협을 도출하는 것이 SIEM입니다.
물론 다른 보안 개념과 마찬가지로 절대 100%의 정확성을 갖는 것은 아닙니다.
주저리 주저리 설명이 길었지만, 결국 기존 Security Solution들이 Catch할 수 없었던 위협들을 찾아 줄 수 있다는 장점을 가진 개념이라고 보시면 됩니다.
모든 Server, Network, Security Solution, Application의 Log를 모은 후 서로 분석하여 잠재적인 위협, 은닉 위협을 찾을 수 있다는 기본적인 발상은 참으로 멋진 생각으로 보입니다.
0 comments:
Post a Comment