인턴 당시 "IDS/IPS 기반 네트워크 모니터링" 을 했지만, 인턴이 끝난지 1년이 넘었기도 하고 이 이론들에 대해 자세히 기록해보고자 한다.
IDS (Intrusion Detection System)
IDS는 말 그대로 "탐지"에 초점이 맞추어져있다. IDS는 네트워크나 시스템의 트래픽과 활동을 모니터링해 악의적이나 의심스러운 활동을 탐지하는 시스템이다. 단독으로 위협을 차단하는 것을 불가능하지만, 발견된 위협을 보안 관리자에게 경고하거나 SIEM 같은 중앙 보안 툴로 경고를 보내 대응을 돕는다.
탐지 방식은 뭐가 있을까?
- 시그니처 기반 탐지: 미리 알려진 공격 패턴(시그니처)을 기반으로 악성 활동을 탐지한다. 새로운 공격 시그니처가 없는 경우에는 탐지가 어려운 단점이 있지만, 이미 알려진 공격에 대해서는 정확한 탐지가 가능하다.
- 이상 징후 기반 탐지: 머신 러닝 등을 활용해 정상적인 활동의 기준을 정하고, 이를 벗어난 비정상적인 활동을 탐지한다. 제로데이 공격을 탐지하는 데 효과적일 수 있지만, 정상적인 활동도 비정상으로 간주하는 오탐율이 높을 수 있다.
주요 유형에는 ?
- NIDS (Network-based IDS): 네트워크의 주요 지점에서 전체 트래픽을 모니터링해 잠재적 위협을 탐지한다.
- HIDS(Host-based IDS): 개별 디바이스(호스트)에서 발생하는 활동을 모니터링한다. 중요한 시스템 파일 변조 등을 탐지할 수 있다
IPS (Intrusion Prevention System)
IPS는 IDS의 탐지 기능에 추가적으로 실시간 대응 기능을 제공하여 탐지된 위협을 자동으로 차단한다. 네트워크 트래픽을 모니터링하다가 위협을 발견하면 해당 연결을 종료하거나 다른 보안 조취를 취해 위협을 차단한다.
- 탐지와 차단: IPS는 네트워크 경로 상에 직접 배치되어 모든 트래픽이 IPS를 통해 전달되도록 하고 위협이 탐지되면 자동으로 트래픽을 차단하거나 다른 방어 솔루션을 트리거한다.
둘의 주요 차이점은 다음과 같다.
- IDS는 out-of-band로 배치되어 트래픽 복사본만을 분석하며, 탐지 후 관리자에게 알리지만 직접적인 차단 기능은 없다
- IPS는 in-line으로 배치되어 모든 네트워크 트래픽이 거쳐 가며, 실시간으로 탐지하고 자동으로 차단할 수 있다.
그래서 탐지하고 경고하는 역할에 중점을 둔다면 IDS, 탐지와 동시에 위협을 방지하는 역할을 사용하려면 IPS를 사용하면 된다. 주로 같이 쓰인다.!
SIEM
그렇다면 네트워크 모니터링은 뭘로 진행할까? 툴이 있나?
---> SIEM을 사용!
이것을 사용해서 어떤 작업을 수행할까?
- 경고 모니터링 및 분석: IDS/IPS에서 탐지된 경고가 SIEM으로 수집되었을 때. 이를 분석해 실제 위협인지 여부를 평가하고 특정 패턴을 찾아내기 위해 데이터 간의 상관관계를 확인한다.
- 보안 이벤트 분류: 다양한 이벤트를 중요도나 위협 레벨에 따라 분류하고 우선순위에 따라 대응하도록 하여 업무의 효율을 높일 수 있다. 예를 들어, 단순 오탐과 실제 위협을 구분하고 중요한 위협에 대응할 수 있도록 우선 순위를 매길 수 있다.
- 로그 관리 및 분석: 네트워크, 시스템, 애플리케이션 로그를 중앙에서 수집하고 분석하여 일관된 패턴이나 비정상적인 활동을 추적했다. 주기적으로 로그를 검토해 잠재적인 보안 취약점을 미리 파악하고 조치할 수 있었다.
SIEM은 IPS, IDS 뿐만 아니라 방화벽, VPN 등에서 발생한 로그 및 이벤트를 통합해서 관리하는 솔루션이다.
