by
Dec 03. 2022
로그 분석 솔루션
SOAR, SIEM
1년 전 log4j 취약점으로 난리가 났었다. log4j는 JAVA 언어로 개발되는 거의 모든 어플리케이션에서 사용하고 있었고 패치가 없었기 때문에 무방비로 취약점이 노출됐었다. 로그로 자주 출력되는 HTTP 헤더 같은 곳에 악성 서버 주소를 입력하면 해당 주소에서 명령어를 받아와 실행이 되는 취약점이었다.
악성코드를 분석하고 ip, port, url, hash 기반으로 차단하는 방식은 완벽할 수 없음을 인정하고 다양한 로그를 수집하고 자동으로 의미를 해석하고 분석해서 대응하는 방법이 필요하다. 기업, 부서마다 주고받는 데이터와 네트워크 구성이 다르기 때문에 단순한 방식으로는 세밀한 접근제어를 구현할 수가 없다.
보안 장비가 너무 많아도 관리가 안 되면 안 쓰는것만 못할 수 있다. 이러한 문제 해결을 위해 여러 보안 장비에서 수집, 탐지된 데이터를 종합적으로 분석해서 살펴보는게 ESM이 등장했고 로그를 분석해 위협을 탐지하고 사후 추적을 위한 상관 분석과 포렌식 기능을 제공하는 시스템(SIEM)으로 발전됐다. 그리고 보안 위협을 사전에 예방하고 탐지하는 노력만으로는 위협으로부터 벗어날 수 없음을 인지하면서 등장한 것이 바로 보안 운영 자동화 및 대응(Security Orchestration, Automation and Response, SOAR)이다.
soar를 이용하면 여러 장비에서 수집된 데이터를 자동 분석해서 의미있는 데이터를 추출해주기 때문에 숙련된 보안 데이터 분석가가 아니더라도 적절한 보안 대응을 할 수 있다.
soar는 하나의 대책이 될 수 있지만 회사마다 운영/제공하는 서비스가 다르고 공격 방법 및 보안 대책 또한 달라질 수 밖에 없기 때문에 상용 솔루션이 아닌 회사의 cert 담당자가 직접 제어할 수 있는 장비, 솔루션이 필요하다.
네트워크 중간에 위치해서 보안 데이터, 로그를 생성해주는 기능
로그를 한 곳에서 수집해서 cert가 사고조사 시 분석할 수 있는 데이터를 제공하는 기능
룰을 걸어 실시간 대응을 할 수 있게 해주는 기능
차단하기에는 확실하지 않지만 악성사이트로 분류된 주소에 대해 접속할 경우 알람을 주능 기능
여기에 활용할 수 있는유명한 OSS (Open Source Software)를 살펴보고 제공해주는 기능과 활용할 수 있는 방법들에 대해 알아보자.
snort
snort는 IP 네트워크에서 실시간 트래픽 분석 및 로깅을 수행할 수 있는 침입탐지 시스템이다. 프로토콜 분석, 컨텐츠 검색, 버퍼 오버플로우, 스텔스 포트스캔과 같은 공격 탐지 등을 할 수 있다.
다음과 같은 모드를 제공한다.
스니퍼모드: 실시간으로 네트워크에서 패킷을 읽어 콘솔로 표시
패킷 로거: 패킷을 디스크에 저장
n-ids: 네트워크 트래픽에 대해 탐지 및 분석
snort rule의 구조는 헤더+옵션으로 되어있고
헤더에서는 패킷의 ip/port 대역대, 프로토콜, 방향, 로그를 기록할지 말지와 차단 여부를 설정하고
옵션에서는 상세 탐지 기능을 제공하며 크게 3개로 분류된다.
General Rule Options: 권한 탈취, 권한상승, 실행 코드...
Payload Detection Rule Options: 웹 요청 분석 방법(헤더, 쿠키, 주소, 메소드 ...)
Non-Payload Detection Rule Options: TCP/IP 프로토콜 기반
