Traffic Analysis Essentials (2)

네트워크 보안에서는 크게 3가지의 제어 레벨이 있는데 
첫 번째는 네트워크와 관련된 물리적인 장비,
두 번째는 네트워크를 통해 오고 가는 데이터를 다루는 기술,
세 번째는 이러한 제어들이 일관적으로 수행될 수 있도록 하는 행정(경영) 상의 측면

 

이 3가지 제어 수준에는 주요 접근 방식이 있다고 했다.

Access control & Threat control

Access control은 말 그대로 네트워크에 접근 가능한 지, 아닌지. 인증(권한)에 관련된 부분을 다루는 것이고
Threat control은 네트워크 상에서 발생한 위협적인 활동을 감지하고 예방하는 걸 의미한다. 

 

지금부터는 Access & Threat 제어와 관련된 요소들을 살펴보자. 

 

 

 

---

the key elements of access control

firewall protection ::

미리 정해져 있는 보안 규칙에 따라 들어오고 나가는 네트워크 트래픽을 통제.

application layer 위협과 의심스럽거나 악의적인 트래픽을 차단한다. 

 

 

Network Access Control ::

네트워크에 접근하기 전에 장치의 적합성을 단속한다.

장치의 사양과 조건이 정해져 있는 틀에 준수하는지 검증하기 위해 설계 되었다.

 

 

Identity and Access Management(IAM) ::
자산 ID와 네트워크를 통한 데이터 시스템 및 리소스에 대한 사용자 액세스를 제어하고 관리한다. 

 

 

Load Balancing ::
리소스 집합에 작업을 배포하고 전반적인 데이터 처리 흐름을 향상하기 위해 리소스 사용을 제어한다.

 

 

Network Segmentation ::
네트워크 범위 및 세분화를 생성 및 제어하여 사용자의 액세스 수준을 격리하고, 공통 기능으로 자산을 그룹화하고, 더 안전한 네트워크에서 민감한 장치/내부 데이터 보호를 개선한다. 

 

 

Virtual Private Networks ::
네트워크를 통해 장치 사이의 암호화된 통신을 생성 및 제어한다. (대체로 안전한 원격 접속을 위해)

 

 

Zero Trust model ::
최소 수준에서 액세스 및 권한을 구성하고 구현할 것을 제안한다. (할당된 역할을 수행하는 데 필요한 액세스 제공).
mindset = "절대 믿지 마라. 항상 검증해라."

 

 

 

---

The key elements of Threat Control

Intrusion Detection and Prevention  (IDS/IPS)::
비정상적인 or 위협적인 것을 감지했을 때 연결을 리셋하거나(IPS) 대안책을 만들고(IDS) 트래픽을 검사한다.

 

 

Data Loss Prevention (DLP) ::

데이터의 내용 검사와 맥락 분석을 수행하고 예민한 데이터 추출은 차단한다.

 

 

Endpoint Protection ::
모든 유형의 endpoint와 appliance를 보호한다. 

 

 

Cloud security ::
vpn & 암호화와 같은 적합한 대응책을 적용함으로써 데이터 유출로부터 온라인 기반의 시스템 리소스와 클라우드를 보호한다.

 

 

Security information and Event management (SIEM)::
위협, 이상 징후, 취약성들을 식별하기 위해 이벤트와 맥락 분석을 함으로써 보안 사고 관리, 규정 준수, 위협 감지 등에 보탬이 되는 기술을 의미한다. 

 

 

Security Orchestration Automation and Response (SOAR) ::
하나의 플랫폼 속에서 위협이나 취약점들을 식별하기 위해 다양한 데이터, 도구, 사람들 사이의 작업을 자동화하고 통합하는 데에 보탬이 되는 기술을 의미한다.
(취약점 관리, 사고 응대, 보안 체제와 같은 부분을 지원)

 

 

Network Traffic Analysis & Network Detection and response ::
위협, 이상 징후를 식별하기 위해 트래픽 캡처 or 네트워크 트래픽을 검사한다. 

 

 

 

앞에서 살펴본 요소들로 하여금 전형적인 네트워크 보안 관리 체제는 다음과 같이 확장될 수 있다. 

Deployment

Configuration

Management

Monitoring

Maintenance

 

 

 

 

---

Managed Security Services

예산, 팀원의 능력치, 조직의 크기 등에 따라 어느 정도의 보안 체제를 다룰 수 있느냐가 결정되기 때문에 모든 조직에서 보안을 위한 팀을 구성하지는 못한다.

이런 점에서 보안 니즈를 보장하기 위해 요구되는 부분을 채워주는 Managed security services가 등장한다. 

 

MSS는 서비스 제공업체에 아웃소싱 되는 서비스로 MSS 제공자(providers)를 MSSPs라고 한다.

MSS는 조직의 내부에서 또는 아웃소싱으로 참여하기 쉽고 관리 절차가 용이하기 때문에 다양한 MSS 요소가 존재하지만 여기서는 가장 일반적인 요소에 대해 살펴보자. 

 

Network Penetration Testing :: 
네트워크에 침투하기 위한 내부 / 외부적인 공격자의 기술을 실험해 봄으로써 네트워크 보안을 평가.

 

 

Vulnerability Assessment ::

실험하고자 하는 환경의 취약점을 발견하고 분석하여 네트워크 보안 상태를 평가한다.

 

 

Incident Response ::

incidents를 제거하고 식별하는 행위들의 집합으로 보안 침해에 대해 관리하고 해결하기 위해 조직된 접근 방식

 

 

Behavioural analysis :: 
이상, 위협, 취약성 및 공격을 탐지하기 위해 특정 패턴에 대한 기준선 및 트래픽 프로필을 생성하여 시스템 및 사용자 동작을 처리하는 조직화된 접근 방식