5. 보안 솔
기타 보안 장비 및 솔루션
UTM
- Unified Threat Management 의 약어로 통합 위협 관리 솔루션을 통칭
- 네트워크, 엔드 포인트 등 환경에서의 위협을 통합 관리 및 차단을 위한 솔루션
- 샌드 박스를 통한 악성코드 자동화 분석, 트래픽 분석, 엔드포인트 트래픽 분석 등의 여러 위협 요인들을 분석하여 차단해주는 역할 수행
- 장비 업체 기종 별로 기능이 다양하여 정확한 개념을 정의하기가 어려움
TMS
- 네트워크 장비로부터 실시간 데이터를 수집/분석하여 회선별 이용 모니터링 및 정보를 제공
- 수집된 데이터를 이용하여 과다트래픽, 유해트래픽 등의 이상징후를 감지하여 통보
- 도입 시 대시보드를 통한 가기성과 여러 네트워크 장비 간의 호환성을 고려해야 함
NMS(Network Management System)
- 네트워크 장비 상태와, 회선 상태 등 필요한 정보를 가지고 와서 각 시스템 모니터링
- SNMP Protocol을 이용함(string name이 항상 default값과 달라야 함)
- 최근에는 전통적인 NMS가 아닌 여러 이 기종 보안로그(네트워크 로그 포함)를 그래픽 형식으로 보여주는 솔루션이 유행
ESM
- Enterprise Security Management의 약자로 통합 보안 관리 솔루션을 의미
- 관제센터 내 통합 보안 관제를 위한 목적으로 많이 활용
- 정확한 명세가 되어 있지 않아 학계와 산업계 등에서의 관점이 다양하게 해석
- IPS, IDC, NAC, FW 등 다양한 보안 시스템을 하나의 통합 뷰로 관리하고 보안 정책을 일괄적으로 관리하여 서로 간의 상호 연관 분석을 도와주는 솔루션
- 전문 보안 관리자의 경험적 지식 및 판단을 자동화하여 사내 보안 능력 향상을 목표로 함
- 관리 프로세스
1) 보안시스템 등의 감지기(Detector)에 의한 이벤트 정보 수집
2) 이벤트 정보 파싱 및 상관 분석
3) 침입행위 통보 또는 차단 등의 대응 조치
SIEM
- Security information & Event Management의 약자로 보안 정보 및 이벤트 관리 솔루션을 의미
- 방대한 양의 데이터를 상관 분석과 포렌식 기능을 제공하여 지능형 위협에 대한 모니터링 역할 수행
- ESM의 보안 영역에서 기업 전반으로 확대하고 기업 컴플라이언스 대응 기능을 확장한 형태
- 목표 : 기업 내 정보 시스템의 내/외부 위협을 모니터링하여 공겨과 정보 유출 방지
- 주요 기능
> 로그 관리 : 이벤트 수집, 무결성 관리
> 로그 분석 : 상관 분석, 포렌식 지원
> 보안 : 외부 공격 탐지, 내부 위협 탐지
- 관련 오픈소스
> Elastic Search ELK
SOAR
- Security Orchestration, Automation and Response의 약어
- 보안의 패러다임을 바꾸는 기술
- 관제 업무가 폭증하여 이벤트가 많아지는 어려움을 방지하고자 자동화 분석에 초점을 맞춤
- SIEM의 한계로 관리자의 업무가 대응하기 위한 업무를 줄임(SIEM과 가장 큰 차이인 자동화가 핵심)
- 위협 인텔리전스를 주력으로 수행
- 각 부서 간의 전자 결재 등의 협의가 자동화되어 빠른 대응 가능
- 여러 보안 장비가 서로 상호 작용하는 솔루션인만큼 각 솔루션에서 API가 필요
> 단순한 syslog 등의 로그 전송이 아닌 명령을 서로 주고 받는 기능을 위한 API 필요
- 관련 오픈소스 : Phantom
'Network > Security' 카테고리의 다른 글
6. 전통적 위협 모델 (1) | 2024.08.31 |
---|---|
4. 보안 솔루션 종류와 이해 - DLP,DRM,EPP,EDR (0) | 2024.08.31 |
3. 보안 솔루션 종류와 이해 - IDS,IPS,WIPS,NAC,Anti-DDoS (0) | 2024.08.31 |
2. 보안 솔루션 종류와 이해 - 방화벽, 웹방화벽 (0) | 2024.08.31 |
1. 보안 솔루션 시장 변화 분석 (1) | 2024.08.31 |