Fireeye HX 증설 개요
Advanced Persistent Threat 대비 솔루션 추가의 효용
돌아오는 화요일에 고객사에게 우리가 관리하는 보안시스템에 대한 정기점검 및 이슈사항에 대한 월간보고를 진행한다. 관례적인 보고와 더불어 추가적으로 증설이 가능한 제품의 효용성을 제안하기를 앞서 증설 제품의 이점을 살펴보겠다.
결론
Fireeye HX는 우회경로에 위치한 호스트 장비, 이를테면 베스천 호스트*에 해당하는 시스템의 악성코드 감염 여부의 탐지가 가능하며, 감염되었을 경우 해당 호스트를 격리시키므로 해커의 지속적이고 지능적인 APT 사고대응에 효과적임. DMZ 구간에 위치한 DB서버 및 웹서버 호스트로의 초기 침투를 통해 우회 경로를 확보한 이후로의 공격 단계에 대한 가시성 확보를 위해서 Fireeye HX 제품의 추가적인 도입을 제안함.
근거 제시
1) 기존의 방화벽 시스템은 내부 네트워크에 존재하는 악의적인 공격을 차단하지 못함.
- 방화벽은 네트워크를 외부, 내부, DMZ의 3개로 구분, 내부 네트워크에 존재하는 호스트는 모든 네트워크에 접근할 수 있는 권한을 가지고 있음.
- 하여 내부로 접근이 가능한 DMZ 네트워크의 서버(베스천 호스트)에서 악성코드 감염 여부를 탐지하고 선제 차단할 수 있는 장비의 도입이 필요함.
방화벽과 세 가지 네트워크 구간과 데이터 흐름2) Fireeye NX(네트워크 침입차단 솔루션) 및 기존의 방화벽(FW)은 우회경로에 대해 취약함.
- 내부와 외부 또는 DMZ와 외부 등의 네트워크를 연결하는 경로가 FW를 경유하지 않고도 존재할 때, 다시 말해 FW을 경유하지 않는 통신 경로가 있으면 이러한 경로를 통한 공격에 대해서는 무기력하기 때문임.
3) FW은 데이터에 실려있는 악성코드나 바이러스를 막을 수 없음.
- 현재의 APT 대비 각 망별 구축되어 있는 Fireeye NX 및 EX를 통해서 차단 및 분석은 가능함.
- 그러므로 2)의 근거에서 말한 바와 같이 우회경로에 대한 APT 공격 대비 솔루션의 연동 지원이 가능함(NX, EX와의 연동을 통한 탐지 IOC(Indicators Of Compromise, 위협 인텔리전스 기반) 룰 자동 생성)
4) Fireeye HX 장비 증설을 통해 엔드 포인트(Endpoint, 호스트 단말장치 인입점) 대응 효율성 및 가시성 확보를 위함.
- 공격 Life Cycle 기반 엔드포인트 APT 공격 대응과 EDR(Enterprise Detection & Response), 전수 탐지 및 대응) 기능 제공함.
요약 및 정리
방화벽은 내부 네트워크에 존재하는 악의적인 공격과 방화벽을 경유하지 않는 공격에 대해서 무기력하므로 기존의 APT를 대비하여 구축한 솔루션(NX, EX)과 연동이 가능한 Fireeye HX(엔드포인트 APT 솔루션)를 증설해서 DMZ 네트워크에 위치한 호스트(베스천 호스트) 악성코드 감염을 선제 차단(호스트 격리)하고 데이터 복구 및 치료가 가능하도록 하기를 제안함.
P.S. 고객이 어느 사안에 대해 질의를 하면, 먼저 그 물음에 포함된 개념이나 용어에 대한 정의를 환기시켜준 뒤에 그 사안에 대한 대응이나 대안을 설명해주는 게 순서라고 생각한다. 내가 설명하려는 개념의 그림을 고객의 머릿속에 그려서 서로 간의 라포르(or VIBE)가 이루어지면 이후에 어떠한 제안을 하더라도 그 공감대가 베이스가 되기 때문에 논리적인 분석을 떠나 이성보다 강력한 감정적인 설득이 가능하다.
정보보안에서 데이터의 흐름과 용어에 대한 명확한 정의도 없이 본론부터 들어가면 설명을 듣는 이의 의도와 상관없이 서로 간의 단편적이 의사소통만이 오고 가는 정형적인 보고가 된다. 고객사의 질의 때 전체적인 보안 설비 구성에 대한 구성을 염두에 두고 장기적인 관점에서 제안을 할 수 있는 7월 월간 보고를 하겠다.
* 베스천 호스트(Bastion Host) : 베스천(Bastion) 은 보루, 요새라는 뜻으로 중세 시대에 영주나 왕이 살고 있는 중요한 기지인 성을 둘러싸고 있는 방어막을 의미함. 컴퓨터 보안에서도 이런 의미를 가져와서 보호된 네트워크에 접근하기 위해 유일하게 외부에 노출되는 호스트를 Bastion 호스트라고 정의함. (from https://www.lesstif.com/ws/bastionhost)
