Plummmm♪

1. APT Solution 개념 이번에는 APT 공격에 대비하여 만들어진 APT Solution에 대해 알아보자. APT 공격을 막을 수 있는 솔루션이라서 이름이 저런건 아니다. 작정하고 몇 일. 몇 달을 정보수집하여 들어오는 APT공격은 사실 방어하기 어렵다. 보통 APT공격을 할 때는 알려지지 않은 악성코드, 제로데이 취약점 등을 이용해서 들어온다. 즉, 기존에 시그니쳐가 존재하지 않는 생전 처음보는 방법으로 공격이 들어온다는 말인데.. APT Solution 이라는 말이 여기에 입각하여 나온 것이다. 완전 처음보는 수상한 놈들을 탐지하고 분석하는 솔루션 정도로 이해하면 쉬울 것 같다. 로컬에서 위협을 탐지하는게 안티바이러스라면, 네트워크 라인 가운데서 안티바이러스 역할을 하는? 것이라고 보면 될 ..

웹쉘을 탐지하는 웹쉘 탐지 솔루션에 대해 알아보자. WAF를 쓰면 될 것을 굳이 또 웹셀 탐지장비를 따로 쓰는 이유는 뭘까. WAF는 OWASP top 10에 있는 모든 취약점을 탐지, 차단해야 하므로 웹쉘에 대한 탐지/차단 기능이 부족하다. 그래서 추가로 웹쉘 탐지 장비를 따로 두는 기업이 많다. 웹쉘 탐지 장비는 웹쉘을 탐지하는 기능에 추가로 개인정보 탐지, 업로드 필터링, 변경 방지 등의 기능도 제공한다. Webshell 탐지 장비는 탐지 대상 웹 서버에 설치되고 웹 어플리케이션 디렉토리 내에 존재하는 웹쉘을 탐지한다. 웹쉘에 대한 내용은 다음에 따로 정리할 것이다. 간단하게 설명하자면 웹 어플리케이션에서 쉘을 실행시키는 기능을 담은 어플리케이션 스크립트이다. 대표적으로 UMV사의 ShellMoni..

이번에 알아볼 솔루션은 SMS, TMS, TSM 보안솔루션 관리 시스템이다. 명확하게 정의된 용어(?) 공식 명칭은 없다. 작성의 편의상 SMS로 통칭하여 작성하겠다. SMS, TMS, TSM 등등 여러가지 이름으로 불린다. 하지만 솔루션의 기능과 가장 직관적인 연관을 가진 용어는 SMS이다. 1. SMS의 개념 SMS는 각 벤더들이 제공하는 자사의 보안솔루션을 통합 관리하는 솔루션이다. 쉽게 말해, 동일한 벤더사 제품군들에 대해 통합적으로 관리가 가능한 솔루션. IBM의 SiteProtector, 윈스테크넷의 iTMS, HP의 TippingPoint SMS, Ahnlab의 TSM 등이 있다. "우리 회사에서 나온 제품은 우리회사 SMS로 관리할 수 있도록 해주겠다!!" 이런 느낌이다. 아니 그럼, ES..

1. WAF의 개념 WAF라는 장비에 대해 알아봅시다. 웹 어플리케이션 방화벽이라는 뜻이다. 웹 어플리케이션 방화벽이라면서 왜 방화벽 카테고리에 안넣고 여기에 넣었는가.. IDS/IPS 장비들과 구성, 관리 방식이 거의 동일하기 때문이다. WAF는 웹에 특화된 L7 방화벽이라고 할 수 있다. 웹 서비스 취약점을 이용한 공격을 탐지/차단하는 보안시스템이다. OWASP top 10을 기반으로 적용된 차단룰을 바탕으로 방어한다. 요즘 차세대 방화벽, IPS 등에서도 충분히 웹 취약점들에 대해 탐지가 가능한데, 굳이 WAF를 사용하는 이유가 뭘까? WAF가 상대적으로 다른장비보다 가격이 저렴하면서 가장 주된 공격인 웹어플리케이션 공격을 막는 장비이기 때문이다. 또한 WAF는 SSL 통신을 탐지하는 것이 가능하다..

- IDS/IPS 장비 개념 IDS/IPS에 대해 알아보자. 이름 그대로 외부의 침입을 탐지하거나 차단하는 시스템이다. KISA에서는 IDS/IPS를 이렇게 정의한다. 사용자 및 외부침입자가 컴퓨터 시스템, 네트워크 자원을 권한 없이 불법으로 사용하기 위한 시도 또는 내부사용자가 권한을 오용하여 권한 이외의 자원을 사용하기 위한 시도를 탐지하여 그 피해를 최소화하는 시스템. 라고 한다.. 보통은 방화벽과 함께 사용한다. 방화벽과의 가장 큰 차이점은, 방화벽은 일정한 규칙에 의해 아예 접근을 차단하는 것이고, IPS는 특정 패턴 기반 탐지 및 차단 기능을 한다. IDS/IPS는 목적에 따라 여러가지 종류로 나뉜다. 1. 호스트 기반 IDS/IPS 각 호스트 내에서 OS 감사자료와 시스템 로그 분석, 프로세..