10/22 포티넷에서 진행한 온라인 세미나가 열려, 관심있는 세션을 듣고 정리하였다.
2. UEBA 내부 직원 보안 유즈케이스 소개 (SIEM) ← (현재 글)
3. 보안위협 분석 자동화 유즈케이스 소개 (SOAR)
이번 세션은 내부에서 발생할 수 있는 보안 위협을 탐지하는 방법에 대한 내용이다.
포티넷 코리아 소속 김기환 이사님께서 발표해주신 내용을 내 방식대로 정리하였다.
(정리하다 보니 발표 내용과 100% 일치하진 않는다. 한 95%정도..?)
내부에는 다음과 같은 위협 요소가 있을 수 있다.
- 악의적인 내부 사용자
- 권한 상승
- 시스템에서 데이터 제거
- 다중 계정 로그인
- IDC 툴킷
- 레터럴 무브먼트 (공격자가 내부망 계정 정보를 획득하여 내부망 시스템으로 이동)
- 허락없이 데이터 접근, 민감한 데이터 접근
- 제 3자의 권한 남용, 퇴사한 직원의 권한 남용
- 침해당한 내부 사용자
- 비정상적인 계정 활동
- C&C 악성 코드 트래픽
- 빠른 데이터 암호화
- 침해당한 디바이스
- 비정상적인 행동
- 손상된 서버, PC, IoT
이와 같은 위협을 탐지하기 위한 방법을 3가지로 분류하고 있다.
- 네트워크 기반
- 비정상적인 데이터 흐름 감지
- 방화벽 연결 증가
- 특정 TCP/UDP 포트에 대한 방화벽 허용
- 호스트로부터 허용되는 트래픽의 증가
- 인바운드/아웃바운드 트래픽의 증가
- 인바운드/아웃바운드 차단 트래픽의 증가
- 로그 기반
- 사용자 위치 변경
- 사용자 로그인 패턴 변경
- 사용자 로그인 볼륨 급증
- 엔드포인트 기반
- 네트워크 안팎에서 사용자 및 데이터 동작 확인
포티넷에서는 사용자 PC에 설치된 에이전트에서 정보를 받아 연관관계 분석 룰 엔진과 AI 엔진을 사용하여 확인한다.
연관관계 분석 룰 엔진으로는 알려진 위협 및 규정 위반을 감지한다. 다음과 같은 경우가 이에 해당한다.
- 해킹 툴 사용 시 경고 - 각 디바이스에 설치된 에이전트를 통해 어떤 호스트에서 어떤 앱을 실행했는지 확인 가능
- 일반적으로 사용하지 않는 파일이 읽기/쓰기/생성/삭제될 경우 알림
AI 엔진으로는 알려지지 않은 위협과 이상 행위를 패턴 기반으로 탐지한다. 다음과 같은 경우가 이에 해당한다.
- 일반적으로 낮에 로그인하지만 오늘은 밤에 로그인함
- 일반적으로 평일에 로그인하지만 오늘은 주말에 로그인함
- 일반적으로 로그인하지 않는 서버에 로그인함
- 평소보다 훨씬 더 자주 로그인함
다른 세션은 여기서 확인하시면 됩니다 :)
[무료 온라인 세미나] Fortinet 361 Security Conference 2020 - 보안 전문가 부족과 기술 격차 해소법
지난 22일, 포티넷 코리아에서 주관하는 온라인 세미나가 열렸다. 관심있는 세션을 몇 개 들어서 내용을 정리해놓으려고 한다. 1. [토크쇼] 보안 전문가 부족과 기술 격차 해소법 ← (현재 글) 2. UE
nantech.tistory.com
[무료 온라인 세미나] 보안위협 분석 자동화 유즈케이스 소개 (SOAR) - Fortinet 361 Security Conference 2020
10/22 포티넷에서 진행한 온라인 세미나가 열려, 관심있는 세션을 듣고 정리하였다. 1.[토크쇼] 보안 전문가 부족과 기술 격차 해소법 2. UEBA 내부 직원 보안 유즈케이스 소개 (SIEM) 3. 보안위협 분석
nantech.tistory.com
'보안 > 데이터 분석' 카테고리의 다른 글
| 하둡 HDFS 데이터 업로드 및 다운로드 (0) | 2020.11.25 |
|---|---|
| [무료 온라인 세미나] 보안위협 분석 자동화 유즈케이스 소개 (SOAR) - Fortinet 361 Security Conference 2020 (0) | 2020.11.19 |
| [무료 온라인 세미나] 보안 전문가 부족과 기술 격차 해소법 - Fortinet 361 Security Conference 2020 (0) | 2020.10.29 |
| sqoop 예제코드 (sqoop v1.4.7) (0) | 2020.09.28 |
| Elasticsearch 쿼리 모음 (0) | 2020.09.11 |