Transcript 데이터 분석
네트워크 보안 Chapter 7. 보안 취약점 분석 김기천 http://mbc.konkuk.ac.kr 1 Chapter 7. 보안 취약점 분석 7.1 취약점 분석 사이클 7.2 수집, 분석, 보고 및 종료 1. 정보보호 사이클 1. 탐지와 대응 단계의 요소 2. 계획단계 2. 수집 3. 예방단계 3. 분석 4. 탐지 및 대응 단계 4. 상황 보고 5. 종료 2 7.1 취약점 분석 사이클 1 정보보호 사이클 2 계획 단계 3 예방 단계 4 탐지 및 대응 단계 3 1. 정보보호 사이클 • 취약점을 분석할 때에는 침입자를 찾아내기 위한 분석 도구가 필요 • 분석 도구보다 중요한 것은 분석 모델을 제시하는 분석 방법론 • 분석 방법론을 통해 효과적인 분석과 대응이 필요 주업무 : IT 운영, 보조업무 : 정보보호 계획 자원 준비 예방 차단 보호 해결 보고 대응 수집 분석 탐지 주업무 : 정보보호, 보조업무 : IT 운영 정보보호 사이클 4 2. 계획 단계 • 침해사고 대응을 위한 준비를 하는 단계 • • • • 침해사고에 가장 효과적으로 대응할 수 있도록 준비 기관내부에서 공격을 진행하며 노출되는 취약점에 대응 정보보호 방어 기재를 활성화하고 그 효용을 평가 예산작업, 감사, 법률 확인, 훈련교육, 시큐어 코딩 등 • 모의 훈련, 모의 침투, 레드팀* 운영 등으로 평가 * 레드팀 : 공격자 혹은 경쟁자 관점에서 정보보호 문제를 바라보는 행위를 하는 팀 5 3. 예방 단계 • 공격 위협 차단을 통해 공격 대상 자산을 보호하는 단계 • 방화벽, 안티바이러스, 데이터 유출 방지 솔루션, 화이트 리스팅 등의 기술적 방법을 사용 • 정보보호 인식 제고 교육 및 설정 관리, 취약점 관리를 통 해 예방 체계에서 인적 기술적 취약점을 보완 • 예방이 되어 있어도 명확한 목적을 가진 공격자는 지속적 인 노력을 통해 공격대상 시스템에 존재하는 최소한 한 개 이상의 취약점을 찾아낼 수가 있음 • 따라서 예방 단계 이후의 두 단계인 탐지와 대응 과정이 반드시 필요 6 4. 탐지 및 대응 단계 • 분석가가 공격에 대응하기 위해 정보 수집, 분석 및 보고 의 세가지 단위요소가 포함된 단계 대응 탐지 수집 분석 보고 호스트 정보 침해 징후/시그니처 중심의 분석 침해 징후 공식 보고 네트워크 정보 애플리케이션 로그 외부 인텔리전스 정보 기관 정보 분 석 콘 솔 침해 징후/시그니처 에 기반하지 않은 분석 분 석 콘 솔 새로운 침해 징후 새로운 수집 요구사항 새로운 분석 요구 사항 종료 침해사고 공식 대응 기 업 포 탈 추가 대응 수집 확대 분석 확대 7 7.2 수집, 분석, 보고 및 종료 1 탐지와 대응 단계의 요소 2 수집 3 분석 4 상황 보고 5 종료 8 1. 탐지와 대응 단계의 요소 • 이 단계에는 다음과 같은 요소가 포함 • 수집 : 발생한 행위와 정상, 의심, 악성 여부를 확인하기 위한 데이터 확보 • 분석 : 발생한 보안 이벤트의 악성 여부를 확인하는 작업, 침해 징후 기반 분석과 침해 징후에 기반하지 않은 분석 두 가지가 존재 • 보고 : 내부 자산에 침해사고가 발생한 사실을 기업 전반 에 알리는 과정 • 종료 : 정보보호 팀 혹은 기업 수준의 보안 위험을 최소화 하기 위한 과정 9 2. 수집 • 기술 정보 수집과 일반 정보수집으로 분류 • 기술 정보 수집 컴퓨터, 서버, 태블릿, 모바일 장치 등, 네트워크 및 애플리 케이션 및 기타장치에서 생성된 정보를 수집하는 것 • 일반 정보 수집 협력 업체, 사법 기관, 정보 기관등에서 정보를 수집하는 것 10 2. 수집 • 기술 정보 수집 - 기술정보를 수집하기 위한 네트워크 접근방법 • • • - 기술정보를 수집하기 위해서는 네트워크에서 트래픽이 어떻게 흘러가는지 파악해야 함 외부와 통신하는 통로를 파악하여 트래픽 모니터링 장치를 이용하여 수집 내부에서도 각각의 네트워크 구간에 트래픽 정보를 수집하여 침해사고 대응 시 피해 시스템을 특정하는 것이 필요 트래픽 모니터링 장치와 방법 • • • 네트워크 스위치를 이용하여 스위치의 기능을 사용하여 스위치를 통과하는 네트워크 트래픽의 복사본을 특정포트로 전송하여 수집기로 전달하는 방법 각 네트워크 사이에 네트워크 탭을 사용하여 모니터링 하는 방법 네트워크에서 운영되고 있는 서버나 클라이언트에서 직접 수집하는 방법 스위치 네트워크 탭 11 2. 수집 • 기술 정보 수집 - 데이터 분석 정보수집 및 분석 도구 Network Miner and Xplico 네트워크 전수 데이터, 경보 데이터, 세션 데이터 및 메타 데이터 분석 PulledPork 데이터 전달 경보 데이터 룰 업데이트 Barnyard2 경보 데이터 처리 아르거스 서버 데이터 수집 세션 데이터 Wireshark, Tshark, Tcpdump 네트워크 전수 데이 터 프로토콜 분석기 pcap_agent snort_agent sancp_agent pads_agent http_agent 센서, 서버 간 데이터 전달 Dumpcap 네트워크 전수 데이터 스구일 네트워크 전수 데이터, 경보 데이터, 세션 데이터 및 메타 데이터 분석 스노비/ 스쿼트 경보 데이터 및 몇몇 메타 데이터 분석 ELSA 브로 및 경보 데이터 분석 아르거스 RA 세션 데이터 클라이언트 아파치 웹 서버 OSSEC Sphinx 호스트 로그 및 경보 데이터 분석 ELSA 로그 검색 웹네트워크 전수 데이 터 및 트랜스크립트 전달 Syslog-ng 데이터베이스 PRADS 스노트/ 수리카타 CapMe 세션 데이터 메타 데이터 Netsniff-ng 네트워크 전수 데이터 정보수집 및 분석도구 로그 수집 경보 데이터 MySQL Bro 추출 데이터, 세션 데이터, 트랜잭션 데이터, 메타 데이터, 경보 데이터 12 2. 수집 • 일반 정보 수집 - 일반 정보 수집원은 정보보호를 하기 위해 더욱 중요 침해사고를 당한 전체 기관 중 3분의 2이상이 기업이 외부에서 침해 사고 사실을 전달받음(2013년 맨디언트 엠트렌드 리포트) 내부 데이터를 통해 보안사고를 탐지하는 경우 사용자의 이상 징후 전달이 매우 중요 사용자 제보를 통한 피싱 징후 탐지는 올바른 기업 정보보호를 위해 필수적 성공하지 못한 피싱 시도에 대한 제보는 증적과 경보를 제공하여 추 가 피해를 방지 13 2. 수집 • 어떤 데이터를 수집하여야 하는가(1/2) - 공격자는 공격 행위를 수행할 때 자신만의 특징을 남기며 이를 TTP(전술, 기술, 절차)라고 함 APT 공격자를 기술하기 위해 만들어 졌지만 다른 유형의 공격자 특징 기술에도 사용 공격단계를 정의하고 이를 이용해 침임 킬체인을 작성 침입 킬체인 정탐 무기화(침해) 전달 취약점 공격 침입 킬체인 공격 발판 마련 공격 자산 스캔 공격 대상 자산 확인 접근권 획득 권한 상승 설치 정보 탈취 명령 제어 구성 침해 목적 수행 흔적 삭제 백도어 구성 침입 킬체인의 예 14 2. 수집 • 어떤 데이터를 수집하여야 하는가(1/2) - 침입 킬체인을 통해 각각의 단계를 정의하고 이를 분석하기 위한 데이터가 무엇인지 파악 침입 킬체인에 대한 탐지방법을 설정하여 데이터를 수집하고 그 수 집된 데이터를 분석하여 대응 모든 공격자가 같은 킬체인을 가지고 있지 않지만 겹치거나 비슷한 단계에서 서로 다른 공격자를 탐지 가능 침입 킬체인 탐지 방법 정탐 웹 로그 분석 무기화(침해) 추출된 네트워크 데이터 분석 전달 사용자 리포트 취약점 공격 엔드포인트 호스트 검사 설치 엔드포인트 호스트 검사 명령 제어 구성 트랜잭션 데이터 침해 목적 수행 메모리 분석 침입 킬체인과 탐지 단계별 데이터 소스 및 방법 15 3. 분석 • 탐지된 이벤트의 정상, 의심, 그리고 악성 여부를 확인하는 과정 • 침해 징후는 이러한 과정이 좀 더 원활히 진행되도록 하는 요소로 작용 • 맨디언트에서는 2013년에 최소 3000개 이상의 침해 징후 를 소개 • IP주소, 도메인 명, 공격도구의 MD5해시 값 등을 포함한 보고서를 APT1, APT2등의 명칭으로 공개 • 위와 공격 • 이를 절성 같은 분석 방법을 침해 징후 기반의 분석방법, 알려진 기반의 분석 방법이라 함 통해 공격징후를 탐지하고 추가적인 정보에 대해 적 확인이 필요 16 3. 분석 • 침해와 사고 - 침해는 다양한 사고의 종류 중 하나 - 침해 이외의 사고에는 분산 서비스 거부 공격, 모바일 장치 분실, 네 트워크 작업중의 과실로 인한 망 단절 등을 포함 - 침해는 정보보호 사고 혹은 정보보호 정책 위반행위 - 사고는 컴퓨터 시스템에서 발생하는 불법, 비인가 혹은 받아들일 수 없는 행위 - 각각의 기관마다 다양하게 해석할 수 있으며, 각 기관의 상황에 따라 선택적으로 정의가 가능 17 3. 분석 • 침해와 사고 - 침해사고를 분류한 예 이름 설명 Cat 6 공격자가 민감한 자산이 위치한 호스트에 정탐 행위를 수행함 Cat 3 공격자가 민감한 자산이 위치한 호스트에 접속을 시도하였으나 실패함 Cat 2 공격자가 민감한 자산이 위치한 호스트에 일반 사용자 접근 권한을 획득함 Cat 1 공격자가 민감한 자산이 위치한 호스트에 관리자 접근 권한을 획득함 Breach 3 공격자가 민감한 자산이 위치한 호스트에서 외부로 명령 제어 채널을 구성함 Breach 2 공격자가 민감하지 않은 자산 정보 혹은 민감 정보 접근을 용이하게 하는 데이터를 유출함 Breach 1 공격자가 민감한 정보 혹은 민감한 정보로 추정되는 데이터를 일정량 이상 유출함 Crisis 3 공격자가 탈취한 민감한 정보를 주요 미디어를 통해 인터넷에 공시함 Crisis 2 벌금형 혹은 기타 규제에 관련된 민감한 정보 유출로 정부 혹은 유관 기관의 조사가 시작됨 Crisis 1 정보 유출로 생명 또는 재산에 직접적인 피해가 발생함 침해 사고 분류의 예 18 3. 분석 • 침해와 사고 - 이 분류를 이용하여 예를들어 분석하면 - 공격자가 자바 설치 파일의 취약점을 공격하는 악성코드를 통해 피 해 시스템을 장악한것으로 분석되고, 이후 외부로 나가는 명령제어 채널이 차단된 경우에는 Cat 1으로 분류 - 외부행 명령제어 채널이 차단되지 않았다면 Breach 3로 분류 - 공격자가 공격 대상 컴퓨터에서 비인가 실행 파일을 통해 접근 권한 을 획득하고 사용자의 사적인 메모 등의 민감하지 않은 자산의 유출 이 동반되엇을 때 침해사고 대응팀이 민감정보가 유출되기 전에 저 지를 하였다면 Breach 2로 분류 - 사고차단에 실패하면 Breach 1으로 분류 - 공격자가 이를 온라인에 공시하게되면 Crisis 3로 분류 19 3. 분석 • 이벤트 분류 - 사고 분류는 분석 콘솔 혹은 사고 추적 시스템을 통해 이루어짐 - 다양한 툴(스구일, 스노비, 로그 관리 시스템) 등을 이용하여 빠르게 분류가 가능 - 이벤트 분류 시 해당 사고를 분석한 사용자의 ID, 분류 시간, 분류명 그리고 기타의견을 함께 기재 - 이 분석결과를 상위의 분석가에게 전달하여 대상 기관에 영향을 주 는 모든 사고를 기재하고 분류 - 분석된 자료들을 가지고 다음의 상황보고 단계로 이동 20 4. 상황 보고 • 상위 조직으로 일차 분석된 침해사고 관련 내용은 그 내 용이 확실하게 전달되어야 함 • 보고과정은 나중에 이루어 져도 관계가 없고 의미가 없는 것으로 보일지라도 꼭 필요한 것 • 규모가 크고 분산된 조직에서는 보고과정 수행이 어려움 21 4. 상황 보고 • 침해사고 기록 - - - 침해사고 내용 및 이를 처리한 과정을 기록할 때에는 피해가 발생 한 각각의 컴퓨터당 하나씩의 침해사고 번호를 부여하여야 함 단일 사고 컴퓨터를 기술하기 위한 용어가 정의되어 있지 않다면 동일한 취약점 공격이 발생한 다수의 컴퓨터에 침해사고 번호를 부 여하지 않도록 해야함 어떤 침해사고 대응팀에서는 단일 사고 컴퓨터를 말할 때 ‘점유’라 는 용어를 쓰며, 두대 이상의 컴퓨터가 관련된 경우 ‘사고’라는 용어 를 사용 하나의 컴퓨터가 점유된 경우와 여럿이 점유된 경우를 명확하게 구 별할 수 있도록 해야함 22 4. 상황 보고 • 상황 전파 - 침해사고가 발생한 자원을 식별하고 해당 자원의 소유자를 파악하 여 관련 침해사고 대응 정보를 관련 부서로 전달 자산 관리 및 네트워크 현환 관리가 철저하게 이루어져야 함 발생한 사고의 형태 및 분류에 따라 차별적인 대응시간을 가짐 매우 심각한 침해사고의 경우 상황 전파에 소요되는 시간을 최소화 하여야 하며, 이렇게 하기 위해서는 관련 부서들의 정기전인 훈련을 통해 정보교환 방법을 익숙하게 해야 함 • 침해사고 전달 시 고려사항 - APT공격을 받고 있는 사내의 이메일, 메신저 등은 공격자가 이미 접 근권한을 가질 수 있음 따라서 침해사고 대응팀은 이메일 암호화를 사용하거나 전화를 통 한 전달 등 다양한 전달 경로를 가질 수 있어야 하고, 이러한 전달수 단에 대한 검사를 수행해야함 23 5. 종료 • 정상적인 침해사고 처리과정의 종료를 의미 • 침해사고를 당한 시스템을 다시 신뢰받을 수 있는 상태로 전환해야 함 • 침해사고를 당한 시스템에서 발생할 수 있는 데이터의 손 실, 변경 혹은 서비스 거부에 대한 위험 요소에 대해 관리 가 필요 • 발생하는 위험을 최소화 하는 방법을 찾아 적용 24 5. 종료 • 침해사고 격리 방법 - 침해사고에 대응할 때에는 먼저 공격자를 격리하고 침해 당한 컴퓨 터를 제한적으로 사용하거나 주변 컴퓨터로의 이동을 제한해야 함 침해사고를 격리하는 방법 • • • • • • - 사고 컴퓨터를 하이버네이션 모드*로 전환 해당 컴퓨터가 외부통신을 위해 사용하는 통신포트를 제한 호스트 방화벽이용, 커널 수준의 필터링 등을 통해 외부 컴퓨터와의 통신을 제한 외부 컴퓨터와 통신하는 것을 제한하기 위해 접근 제어 리스트 구성 라우팅 테이블 값을 변환시켜 다른 컴퓨터와의 통신을 제한 인터넷 구간에 방화벽 혹은 프락시를 설치하여 명령제어 채널 제한 높은 수준의 침해사고 대응팀은 공격자에게 가짜로 구성된 가상 망 으로 유도하여 관찰하기도 함 이 방법을 통해 침해사고로 발생한 위험을 경감 • 하이버네이션 모드 : 컴퓨터의 전원이 꺼지면서 실행하던 모든 내용을 하드디스크에 보존하는 기능(최대절전모드) 이 하드디스크의 내용을 따로 분석할 수 있다. 25 5. 종료 • 격리 시간 - 침해사고 발생 인지에서 사고 격리까지의 시간은 많은 논란이 있음 일부는 위험 관리를 위해 빠른 격리를 중요시하는 경우와, 공격자의 정보를 수집하기 위해 느린 대응을 중요시하는 경우 현실적으로 적합한 것은 침해사고의 확산 방지를 위해 빠른 대응을 하는 것 공격자의 활동 영역을 인지하는 것은 내부 망에서 공격자가 이동할 수 있는 공간에 대하여 정확히 확보하는 것 하나의 컴퓨터를 제어하는지, 다수의 컴퓨터를 제어하는지, 네트워 크 전역에 대해 접근 권을 확보하고 있는지 등을 구별해야 함 이를 빠르게 파악하여 격리시킴으로 피해를 최소화하고 대응책을 마련 해야함 26 5. 종료 • 침해사고를 탐지하면 다음과 같이 대응, 종료 - 공격의 명칭을 부여하고 공식 대응을 시작 대응을 위한 연락망을 구성하고 대응팀 내에서 사용될 암호화 통신 망을 개설 공격에 연관된 직원들에게 긴급 메시지를 전송하여 대응의 시작을 알리고 침해사고 대응팀과의 연락 방법을 전달 수집 가능한 모든 정보를 수집하고 이를 분석 피해 시스템과 유출 정보 탐지 시 이메일 혹은 다른 디지털 통신수 단을 사용하여 관련 사실을 기관 담당자에게 전달 정보 유출, 변경 및 서비스 거부 관련 위험을 최소화하기 위한 침해 사고 격리 방안을 마련 모든 피해 시스템이 격리되면 해당 침해사고 대응을 종료 침해사고 탐지부터 해결까지의 내용을 기록 추가 데이터 요청 보안 이벤트 발생/기록 관련 사실 알림 사고 인지 사고 내용 확인 관련 부서 알림 내역 인지 시간기록이 필요한 이벤트 사고 격리 문서화 시작 복구 27