1. UTM (Unified Threat Management)
- 통합보안시스템
- FW, IDS/IPS 등 다양한 보안 기능을 하나의 장비로 통합하여 제공
- 소규모 기업 환경에서 경제적, but 장애 발생 시 모든 보안 기능에 영향
2. ESM (Enterprise Security Management) //UTM과의 차이!
- 전사적 보안관리 시스템
- 다양한 장비로부터 발생하는 이벤트, 로그 등을 ESM에서 수집/분석/대응하여
효율적인 상호 연관 분석/대응 및 일관성있는 보안정책의 적용이 가능하도록 해주는 보안관리 시스템
*ESM 에이전트 : 관리 대상 보안 장비에 설치, 정의된 규칙에 따른 로그 및 이벤트 데이터를 수집해 ESM 매니저로 전달
*ESM 매니저 : 에이전트를 통해 수집된 데이터를 저장, 분석해 결과를 콘솔로 전달
*ESM 콘솔 : 전달된 정보의 시각적 전달, 상황 판단 및 리포팅 등의 기능을 제공하며 에이전트와 매니저에 대한 제어/통제
<한계점>
- 서버, 네트워크 등 다양한 보안정보 수집을 못하고 보안장비 위주의 보안정보만을 수집
- 장기간 지속적 위협 탐지를 위해서는 대량의 보안정보에 대한 장기간 저장, 빠른 분석이 요구되나
단기성 또는 당일 보안 정보만을 처리
▼ 새로운 보안 솔루션의 등장
3. SIEM (Security Information & Event Management)
- 보안장비 뿐만 아니라 각종 서버, 네트워크 등 다양한 범위에서 발생하는 로그와 이벤트를 수집
→ 빅데이터 기반의 상관관계 분석을 통해 위협을 사전에 차단
<주요 기능>
- 데이터 통합 : 발생하는 데이터를 수집하여 통합/분석
. 로그 수집 : 시스템에 설치된 에이전트를 이용해 로그 수집
. 로그 변환 : 다양한 로그 표현 형식을 표준 포맷으로 변환
- 상관관계 분석 : 수집한 데이터를 유용한 정보로 만들기 위해 다양한 상관관계 분석 기능 제공
. 로그 분류 : 유사한 정보를 기준으로 그룹핑해 한 개의 정보로 취합
. 로그 분석 : 표준 포맷으로 변환된 로그 중에서 여러 개의 로그들의 연관성 분석
- 알림 : 이벤트를 관리자에게 자동 알림
- 대시보드 : 시각적
<한계점>
- 보안 위협이 다수 탐지되지만 탐지된 보안 위협을 분석, 대응하기 위해서는 보안관제 담당자의 업무처리가 필요
- 한정된 보안 인력으로 지속적으로 증가하는 위협을 분석, 대응하는데 한계가 있음
- 분석, 대응에 대한 품질이 보안 담당자 업무 역량에 따라 차이 발생
▼ 새로운 보안 솔루션의 등장
4. SOAR (Security Orchestration, Automation, and Response)
- 가트너의 정의에 따르면, 위협에 대한 대응 수준을 자동으로 분류하고 사람과 기계가 유기적으로 협력할 수 있도록 지원
- 반복 업무를 자동으로 실시간 처리해줄 뿐만 아니라 복잡한 대응도 한 번에 처리하여
관제인력이 단순하고 반복적인 업무에서 벗어나 더 높은 수준의 위협에 대응할 수 있도록 도와주는 것
*SIRP : 보안 사고 대응 플랫폼
보안 이벤트 유형별로 업무 프로세스 정의, 반복적 업무를 자동화함으로써 처리 시간 단축
*SOA : 보안 오케스트레이션 및 자동화
다양한 IT, 보안 시스템을 통합하고 자동화, SIRP에서 정의한 업무 프로세스의 실행을 지원
*TIP : 위협 인텔리전스 플랫폼
다양한 내/외부 위협 인텔리전스를 활용하는 기능, 보안분석가의 판단을 보조하는 역할
5. 위협 인텔리전스 (TI : Threat Intelligence) //기출
- 여러 외부 조직에서 겪은 많은 위협정보를 수집/분석/활용해 생성해내는 증거 기반 정보로
SIEM, SOAR 등 보안 관제 솔루션과 연계해 위협에 대한 분석, 대응을 효과적으로 수행
- 사이버 위협 인텔리전스(CTI)라고도 함
- 알려지지 않은 위협, APT 등 공격에 효과적으로 대응 가능
6. PbD 원칙
- Privacy by Design(PbD): 제품·서비스 개발 시 기획 단계부터 개인정보 처리의 전체 생애주기에 걸쳐 이용자의 프라이버시를 고려한 기술·정책을 설계에 반영하는 것을 의미하며, 국제적으로 광범위하게 통용되는 개인정보보호 원칙임
7. DID
- 개인정보의 주인인 자신이 ‘인증 정보에 대한 통제권’을 가질 수 있도록 개발되고 있는 기술
- 신원 및 자격 증명시 사용자가 증명 목적에 필요한 정보만 골라 검증기관에 제공하는 블록체인 기반 디지털 자격증명 서비스
- 증명에 필요한 정보를 사용자가 직접 선택해 전달할 수 있어 개인정보 유출을 죄소화 할 수 있는 신원확인 체계로 평가
- 기존 인증 시스템은 사용자 ID나 개인정보가 중앙화된 인증 서버에 저장되었던 반면, DID는 중앙화된 인증 서버없이 인증 정보를 각 사용자의 디바이스에 분산된 형태로 저장
8. Big Game Hunting
- 기업을 타깃으로 거액을 노린 랜섬웨어 공격
9. TTP 모델 (Tactics, Techniques, Procedure)
- 공격 목적(Tactics)과 그 목적을 이루기 위 한 공격 방식(Techniques), 그리고 그 공격 방식을 달 성하기 위한 상세 기법(Procedures)으로 분류
- MITRE 사에서는 이 모델을 이용해 2017년 MITRE ATT&CK 프레임워크를 제안
※ 사이버 킬체인 모델과의 차이점?
- 사이버 킬체인은 공격자의 관점에서 공격 수행 단계를 7단계로 구분하여 서술하는 것
- TTP 모델은 공격자의 목적과 그 목적을 이루기 위해 적용된 공격 기법으로 분류하는 것
. 공격에 대해 방어 하기 위해 각 단계 별로 대응방안을 모색하는 것이 아닌 적용된 공격 기법에 맞춰 대응
10. IoC (Indicator of Compromise)
- 해킹사고에 나타나는 침해 흔적
- 악성 도메인, 해시값 등 단순 지표
※ 참고
- (KISA) 2021년 랜섬웨어 스페셜 리포트 (2021.09.02)
- (KISA) TTPs#6 타겟형 워터링홀 공격전략 분석 (2021.09.01)
'정보보안 > 신용어 정리' 카테고리의 다른 글
용어 빈칸문제 - 정보보안기사 실기 대비 v3 (0) | 2021.10.22 |
---|---|
정보보안기사 실기 대비 신용어 정리 3탄 (빈칸문제) (0) | 2021.10.17 |
용어 빈칸문제 - 정보보안기사 실기 대비 v2 (0) | 2021.10.16 |
용어 빈칸문제 - 정보보안기사 실기 대비 v1 (0) | 2021.10.13 |
정보보안기사 실기 대비 신용어 정리 1탄 (0) | 2021.09.30 |
댓글