보안관리 시장에 새로운 돌풍을 일으킨 솔루션 중 하나가 네트워크 포렌식이다. 포렌식은 수사기관이 범죄현장에서 증거를 찾는 수사기법을 말하며, PC, 서버 등에서 공격자의 흔적을 찾아내는 디지털 포렌식이 수사기관에서 많이 사용됐다. 이 기술을 엔터프라이즈 네트워크에 적용해 공격이 일어난 정황을 조사하게 됐으며, SIEM·로그관리 시스템과 함께 운영되면서 보다 정밀한 침해흔적을 찾아 공격을 탐지하게 됐다.
네트워크 포렌식, 풀 패킷 분석으로 위협 탐지
네트워크 포렌식 솔루션으로는 EMC RSA ‘시큐리티 어낼리틱스(SA)’, 블루코트 시큐리티 어낼리틱스 플랫폼(SAP)’이 대표적이다.
네트워크 포렌식은 모든 패킷을 저장해야 하기 때문에 대용량 스토리지가 필요하고, 운영을 위해 높은 수준의 전문지식이 요구된다. 그럼에도 불구하고 국내에서는 금융권과 엔터프라이즈 시장에서 네트워크 포렌식 시스템 수요가 높아지고 있다. 지능화된 공격을 방어할 수 있는 정교한 모니터링 시스템이 필수적으로 요구된다는 뜻이다.
지능형 타깃 공격은 1단계로 침투한 시스템에 숨어서 목표 시스템에 접근할 수 있는 정보를 수집한다. 보안장비는 미리 정의된 규칙에 따라 차단하기 때문에 탐지규칙을 우회하는 공격을 막을 수 없으며, SIEM과 로그분석 기술은 특정 지점에서 탐지된 공격 정보만으로 공격 전체에 대한 가시성을 확보하지 못한다.
네트워크 포렌식은 모든 네트워크 트래픽을 분석해 침해흔적을 찾아 공격이 어떻게 진행됐는지 추적조사가 가능해 공격 전반의 내용을 파악하기 용이하다. 엔드포인트 포렌식 솔루션과 함께 사용하면 공격이 어떻게 침투해서 어떻게 확장됐는지 더욱 정확하게 파악할 수 있다. 네트워크 트래픽과 모든 시스템을 전수조사해 감염 시스템을 격리하고 공격에 사용된 툴을 찾아 피해가 어디까지 확산됐는지 살펴보며, 추가피해를 차단할 수 있다.
 | ||
▲네트워크 포렌식 시스템 구축 구성도(자료: 블루코트) <기사 원문 보러가기 - 네트워크타임즈 : http://www.datanet.co.kr/news/articleView.html?idxno=96314 | ||
'정보보호이야기 > 정보보안' 카테고리의 다른 글
| [2016년 정보보호 핫이슈 10] IoT 보안 (0) | 2016.03.12 |
|---|---|
| 미래부 장관이 CEO에게 보내는 정보보호 사이버안심국가 당부 편지 (0) | 2016.03.12 |
| [보안 모니터링 기술①] “‘로그’에 지능을 더하다” (0) | 2016.03.12 |
| 금융권 DB 암호화 불 붙나 (0) | 2016.03.12 |
| 개인정보 암호화 의무…“DB 암호화 성장 기대” (0) | 2016.03.12 |
