보안관리(관제) 솔루션, ESM, SIEM, SOAR

 

 

 

 

 

저번 시간에 알아보기로 한 보안관리(관제)솔루션에 대하여 자세히 알아보도록 하겠습니다.

 

전사적 보안관리 시스템(ESM)

 

Enterprise Security Management의 약자로 ESM은 이름 그대로 통합 보안 관리(관제)입니다. 정보화시대에 따라 다양해지는 보안 위협을 단일 보안장비로는 다양한 위협에 대응하기 어렵습니다. 이에 대응하기 위하여 다양한 보안장비를 도입하게 되면서 보안장비 관리의 어려움이 발생하고 있습니다. 이를 해결하기 위하여 다양한 보안장비에서 발생하는 보안 정보(로그, 이벤트 등)를 통합적으로 수집 및 관리하고 불법적인 행위에 대응할 수 있도록 합니다. 침입 차단 시스템(Firewall), 웹방화벽(WAF), 침입탐지시스템 및 침입방지시스템(IDS/IPS), 가상사설망(VPN) 등 다양한 보안장비에서 발생하는 로그, 보안이벤트를 취합한 후 보안장비 간들의 상호연관분석을 함으로써 실시간 보안위협을 파악하며 대응하는 역할을 수행합니다. 상호연관분석함으로써 실시간 위협을 파악하고 대응하는 역할을 수행합니다. 여기서 말하는 상호연관분석이란 무엇일까요? 동종 또는 이기종의 여러 보안 솔루션(장비)에서 발생하는 로그, 보안 이벤트 패턴 간에 연관성을 분석하는 것으로 보안 위협에 대한 보다 정확한 판단과 대응을 가능하게 합니다. 체계적인 통합 분석을 통해 솔루션별 보안 정책의 일관성을 확보할 수 있습니다. 

구성요소는 esm에이전트, esm매니저, esm콘솔로 이루어져 있습니다. 하나씩 알아보도록 하겠습니다. esm에이전트는 관리 대상 보안장비에 설치되어 사전에 정의된 규칙에 따른 로그 및 이벤트 데이터를 수집하고 수집한 데이터를 ESM 매니저로 전달하는 기능을 수행합니다. esm매니저(manager) 또는 엔진은 ESM Agent를 통해 수집된 데이터를 저장, 분석하여 그 결과를 ESM 콘솔로 전달하는 기능을 수행합니다. ESM 콘솔은 ESM Manager에 의해 전달된 정보의 시각적 전달, 상황판단 및 리포팅 등의 기능을 제공하며 ESM Manager와 Agent에 대한 제어나 통제를 수행합니다. 

 

 

보안정보 및 이벤트관리 시스템(SIEM)

 

Security Information & Event Management의 약자인 SIEM은 ESM의 진화된 형태입니다. 보안장비 뿐만 아니라 다양한 서버 장비, 네트워크 장비, 애플리케이션과 같은 다양한 범위에서 발생하는 로그 및 이벤트를 수집하여 빅데이터를 이용한 상관관계 분석으로 위협을 사전에 차단하는 통합 보안 관제 솔루션입니다. 주요 기능은 데이터 통합, 상관관계 분석, 알림, 대시보드 입니다. 먼저 데이터 통합은 다양한 보안장비 및 애플리케이션 등에서 발생하는 데이터를 수집하여 통합분석합니다. 로그 수집은 관제 대상 시스템에 설치된 에이전트를 이용하여 로그를 수집합니다. 로그 변환은 다양한 로그 표현 형식을 표준 포맷으로 변환하는 과정입니다. 상관관계 분석은 수집한 데이터를 유용한 정보로 만들기 위해 다양한 상관관계 분석기능을 제공합니다. 로그 분류는 이벤트 발생 누적 횟수 등 비슷한 정보를 기준으로 삼고 분류하여 한 개의 정보로 취합하는 과정입니다. 로그 분석은 표준 포맷으로 변환된 로그 중에서 타임스탬프, IP주소, 이벤트 구성 규칙을 기준으로 여러 개의 로그를 연관성을 분석하는 과정입니다. 알림은 이벤트를 관리자에게 자동으로 알릴 수 있기 때문입니다. 대시보드는 이벤트 데이터를 가지고 패턴을 표시하여 정보를 제공하거나 표준 패턴을 형성하지 않는 활동을 파악할 수 있습니다.

 

 

보안 오케스트레이션, 자동화 및 대응 시스템(SOAR)

 

Security Orchestration, Automation and Response의 약자인 SOAR의 등장 배경에 대하여 먼저 알아보도록하겠습니다. SOAR는 숙련된 보안 전문가의 부족 상황에서 지속적으로 증가하는 보안 위협에 효과적으로 대응하기 위해서는 보안 위협에 대한 분석과 대응에 자동화된 프로세스가 필요합니다.