개요

  • 건물 경비 체계, 네트워크 경비 체계
  • Frenemy = Friend + Enemy
  • 내외부 위협
  • 침해 통계

계기

  • IDS/IPS 문제점: 대부분 IDS/IPS 를 설치하고 경보 발생을 기다린다.
  • SSL 를 사용한 패킷 암호화 공격
  • Insertion 과 우회 방법을 사용한 공격
  • IDS 에 탐지되지 않는 ZERO-DAY 공격

개념 및 특징

  • IDS 는 OUTSIDE-IN 트래픽을 분석하여 침입 여부 판단
  • 실제 악성 코드 등은 내부에서 외부로 역연결 시도
  • 인바운드 트래픽 분석은 악의적인 외부 연결 탐지 불가
  • INSIDE-OUT 트래픽 분석 필요

Security Principles

  • 몇몇의 침입자는 당신보다 똑똑하다.
  • 침입방지는 결국 실패한다.

Defensible Network

  • 관찰: 네트워크 트래픽 분석이 될 수 있어야 한다.
  • 제어: 네트워크 내에서 자유로운 행동이 제한되어야 한다.
  • 최소화: 최소한의 서비스와 최소한의 사용자-SIDE 응용이 제공되어야 한다.
  • 현행화: 현재 상태가 지속적으로 유지 개선되어야 한다.

관찰(Monitoring)

  • 침입 탐지, 대응, 경고를 위한 정보의 수집, 분석, 강화하는 과정
  • 경고 데이터: 관찰한 네트워크 이벤트의 특성 관련한 소프트웨어 제품에서 생성된 판단 자료. 이상행위, 시그니처 등 전통적인 IDS 경보 데이터. 의심스로운 특정 이벤트를 관리자가 분석하는데 도움.
  • 통계 데이터: 정상적인 것에서 유도된 네트워크 활동. 총합된 이벤트들의 고수준 관점 정보 P2P 클라이언트에 의해 점유된 네트워크 부하율, 대역폭의 점유율, 어떤 포트에 연결을 시도한 횟수 등
  • 세션 데이터: 두 시스템 사이에 교환되는 패킷의 요약 정보(Flow, Stream, Conversations). 내용에 중립적이고 암호화 등에 무관한 함축된 정보
  • 전체 데이터: 헤더 및 응용 계층 정보를 포함하는 네트워크 상의 모든 패킷. 침입자가 TCP 헤더 혹은 응용 계층 필드의 임의의 비트에 의존하는 Covert 채널을 사용해도 전체 데이터 수집을 통해 증거 확보 가능. 저장 비용이 크나 세부적인 분석이 가능하다.

제어(Controlling)

  • OUTSIDE-IN 방어 전략의 한계
  • OUTSIDE-IN 공격을 위해 설계된 침입차단시스템을 통과하면 OUTBOUND 활동이 자유로움
  • OUTSIDE-IN 방어 전략이 서버 측 공격 대응에 집중되어 사용자 측에 대해서는 방어, 탐지하지 않음

최소화(Minimizing)

  • 조직의 임무에 불필요한 서비스와 응용들을 제거하는 과정
  • 서비스와 응용이 많으면 많을수록 보호는 훨씬 어려움
  • 소프트웨어 설치 시 최소의 기능을 수행하도록 선택적 설치 활용
  • 최소화 과정: 서버 응용들을 가지고 시작하여, 아무에게도 필요하지 않을 응용을 차례로 제거

현행화(Current)

  • 조직의 현행화는 Defensible Network 의 마지막 단계로서 해결하기 어려움
  • Defensible Network: 최신의 서비스 및 응용 운영 유지를 보장하는 것.
  • 지속적 패치를 통해 응용 및 서비스를 최신의 상태로 유지
  • 내부망에서 사용하는 시스템을 최신의 상태로 유지