2015년 4월 17일 금요일

보안 위험 분석을 위해 방화벽 정책과 로그를 실시간으로 분석하고 있나요?

1. 방화벽 정책을 주기적으로 분석하고 있나요?
2. 방화벽 정책이 임의로 예기치 않게 변경되었는지 관리자 로그를 수집하고 분석하고 있나요?
3. 방화벽의 Deny와 Allow 로그를 모두 남기나요?
4. 실시간으로 방화벽 정책 기반으로 방화벽 로그를 분석하나요?
5. 실시간으로 외부 위협 정보를 기반으로 방화벽 로그를 분석하나요?
흔히 방화벽 로그는 볼 필요가 없다고 합니다.
하지만, APT 공격을 탐지하는 첫번째 보안 노드로써,
보안 사고에 대한 사고의 재구성에 있어서도,
방화벽의 모든 로그와 그에 대한 실시간 분석은 매우 중요합니다.

위 사항은 보안의 관점에서 기본적으로 모두 옳습니다만,
그러나, 현실적으로는 매우 어려운 얘기입니다.
방화벽 정책이나 로그를 분석할만한 보안 인력을 보유 하고 있느냐도 문제이지만,
그보다는 보안 인력 자체의 부족과 과중한 업무로 인해 방화벽 로그를 분석할만한
여지를 갖고 있지 못합니다.
또한, 방화벽의 Deny 로그는 모르겠으나, Allow 로그를 남기다는 것은 방화벽
자체의 부하로 인해 거의 불가능합니다. 물론 방대한 로그를 적재할 수 있는
스토리지에 대한 투자도 문제가 될 수 있습니다.

물론, 기본적으로 인력을 포함한 투자의 문제는 먼저 선행되어야 합니다.
우선 기술의 문제에 있어서 모든 방화벽 로그를 남기기 어렵다면,
1. 방화벽의 Deny 로그와 함께 방화벽의 Allow 로그를 남기는 대신,
   네트워크 Flow 기반의 보안 분석을 권합니다.
   물론, 정말 중요한 자산에 대해서는 네트워크 Flow 보다 더 고도화된
   네트워크 포렌식 기술이 필요할 수도 있습니다만, 보안 위험 분석의 목적이라면,
   네트워크 Flow 기반 보안 분석만으로도 충분히 위험은 분석해 낼 수 있습니다.

2. 방대한 로그에 대한 보안 분석, 특히 실시간 분석에 대해서는
   SIEM(Security Information and Event Management) 기반의 보안 분석 기술을
   활용해 보시기 바랍니다. 빅데이터 기반이든, SIEM 기반이든 중요한 것은
   보안 인텔리젼스, 즉 외부 위협 정보와 내재화된 보안 지식을 결합해서
   지속적으로 실시간 보안 분석하여 위험을 조기에 탐지하는 것입니다.

3. 마지막으로 인력에 대한 문제, 특히 기술 인력에 대한 부족이 심하다면,
   통합 보안 관제 서비스를 일부 혹은 전체를 고려해 보는 것도 좋을 것 같습니다.