.gif)
기업들, 백신 바꾸듯 SIEM 교체...문제는 특정 SIEM 아닌 사람
SIEM 사놓고 끝이 아니라 이 도구를 사용할 사람 교육해야 돼
[보안뉴스 오다인 기자] SIEM에 따르는 평판은 그다지 좋지 않다. SIEM은 통합 로그 관리 시스템(Security Information and Event Management)을 줄인 말인데, 로그 솔루션이라 부르기도 한다. 악성 행위를 걸러낸다는 SIEM을 시행하기 위해선 일단 돈이 많이 든다. 게다가 SIEM을 설치하고 나서 1~2년 정도가 흐르면 고위직 관리자는 머리끝까지 분노가 차오르고 보안 전담부서는 녹초가 된다. SIEM이 공격을 거의 탐지하지 못했기 때문이다. 기업이 백신 소프트웨어를 바꾸듯 SIEM 시스템을 2년마다 교체하는 건 특이한 일은 아니다.
[이미지=iclickart]
문제는 특정 SIEM 솔루션에 있지 않다. 문제는 사람과 절차에 충분히 집중하지 못했다는 데 있다. SIEM 제품이 무엇이건 간에 잘 훈련 받은 담당자가 탐지 플랫폼을 튼튼하게 운영할 수 있다. SIEM 제품이 전부 다 똑같다는 뜻은 물론 아니다. 그러나 SIEM 제품에 지나치게 집중한 나머지 정작 이를 사용할 사람에 대해선 충분히 집중하지 않는다는 걸 지적하고 싶다. SIEM 공급업체는 자사의 SIEM을 어떻게 사용하는지 교육해 주기도 한다. 고객이라면 SIEM 솔루션을 올바르게 사용하는 법에 대한 교육을 마땅히 요구해야 하지만, 아직까지 충분히 이뤄지고 있지는 않다. SIEM은 하나의 도구이며, 그 초점은 도구를 사용하는 각 개인들에게 맞춰져야 한다.
문제의 초점을 개인에게 맞추기 시작하면 핵심적인 문제가 보이기 시작한다. 예를 들어, SIEM 시스템을 사용해서 공격자를 잡아내는 방법을 알려주는 교육에 당신이 참석했다고 가정해보자. SIEM 제품을 유지보수하거나 무작정 사용하는 데 집중하기보다, 어떤 데이터 소스가 중요한지, 왜 그 소스가 중요한지, 그리고 그 소스를 어떻게 응용해서 상황을 이해하고 또 유용하게 써먹을지에 대해 집중적으로 훈련이 진행된다. 이 훈련에는 승인이 안 된 활동에 대해 자동적으로 경고를 받아볼 수 있도록 설정하는 방법도 포함될지 모른다. 이런 훈련을 마치고 나면 SIEM 플랫폼을 더 잘 사용할 준비가 됐고 느끼지 않겠는가? 필자는 SIEM을 왜 사용하는지, 무엇을 위해 SIEM을 사용하는지 아는 사람이라면 SIEM 플랫폼으로 당장 필요한 어떤 일을 어떻게 처리할지 알아내는 데 훨씬 수월하리라고 생각한다.
파워셸 문제
파워셸(PowerShell) 문제를 설명하는 사례 하나를 보자. 파워셸은 사용자의 업무를 자동화해주고 사용자가 할 수 없는 일을 대신 처리해주는 아름다운 도구다. 그러나 파워셸은 공격자가 누군가를 공격할 때 가장 선호하는 도구이기도 하다. 현대의 공격자 다수는 백신, 화이트리스팅 제품, 다른 보안 기술을 피해가기 위해서 파워셸을 사용한다. 그러나 SIEM의 전략적인 아키텍처와 올바른 로깅을 사용하면, 승인 안 된 파워셸 사용을 간단하게 잡아낼 수 있다. 제대로 교육된 사람이라면 다음의 사항을 식별하기 위해 SIEM을 빠르게 사용할 수 있다.
△ 장문의 명령어를 통해 불러온 파워셸
△ 베이스64 인코딩을 사용한 파워셸
△ 외부 시스템에 호출을 보내는 파워셸
△ 파워셸을 대량으로 호출하는 시스템
△ 특정 파워셸 DLL과 연동된 Sysmon DLL 모니터링을 사용해 powershell.exe 외부에서 파워셸을 불러오는 시스템
한 걸음 더 나가보자. 훈련 받은 사람은 SIEM 로그에서 발견된 모든 독특한 파워셸 Cmdlets를 내보내려고 애쓸지도 모른다. 그리고 결과를 화이트리스트로 사용할지 모른다. 화이트리스트는 탐지에 기초한 기술로, 다양한 데이터 소스를 아울러 적용할 수 있다. 그는 또한 모든 로그를 걸러내는 데 화이트리스트를 사용할 수도 있다. 그의 조직이 알려지지 않은 Cmdlets를 사용하지 않는 이상 말이다. 이렇게 하면 수집되는 로그의 수가 현저하게 줄어들게 된다. 이렇게 단순한 절차로 파워셸에 기초한 멀웨어를 99.99%까지 탐지할 수 있다. 100%도 가능하다고 본다. 그럼에도 SIEM 훈련에는 이런 것들이 포함되지 않는다.
이는 SIEM 공급업체의 잘못이라고 볼 순 없다. 공급업체는 필요한 경우, 어떻게 SIEM 제품을 사용하는지에 대해 훈련을 제공한다. 문제는 SIEM 일반에 대해 개인들을 교육하는 훈련이 아주 최근까지도 존재하지 않았다는 점이다.
SIEM은 하나의 도구라는 점을 기억하자. SIEM을 사용하는 개인들에 따라 각 기업의 사용량은 천차만별일 것이다. 만약 당신이 성공적인 탐지 플랫폼을 만들고 싶다면, 당신의 부서가 다음의 것들에 대해 훈련 받아야 한다는 점을 명심하자.
△ 주요 데이터 소스를 알아야 한다. 그 소스들이 무엇인지, 왜 중요한지, 어떻게 사용하고 수집하는지에 대해 알고 있어야 한다.
△ 어떻게 로그를 활용할 것이며 왜 그렇게 할 필요가 있는지 배워야 한다.
△ 가상 Tripwire 실행 등 지향성 탐지 기술에 대해 훈련 받아야 한다.
△ 질 낮은 경고(긍정 오류 수준 높음)와 질 높은 경고(긍정 오류 수준이 낮거나 없음) 사이의 차이에 대해 배워야 한다.
이와 관련해 더 알고 싶다면, SIEM 전략 분석 연구소 SANS에서 제공하는 SEC555 과정을 확인하거나 이런 개념을 온라인에서 조사해 보라. 보안 커뮤니티가 더 많이 베풀수록 우리 모두는 더 잘 할 수 있을 것이다.
글 : 저스틴 헨더슨(Justin Henderson)
[국제부 오다인 기자(boan2@boannews.com)]
SIEM 사놓고 끝이 아니라 이 도구를 사용할 사람 교육해야 돼
[보안뉴스 오다인 기자] SIEM에 따르는 평판은 그다지 좋지 않다. SIEM은 통합 로그 관리 시스템(Security Information and Event Management)을 줄인 말인데, 로그 솔루션이라 부르기도 한다. 악성 행위를 걸러낸다는 SIEM을 시행하기 위해선 일단 돈이 많이 든다. 게다가 SIEM을 설치하고 나서 1~2년 정도가 흐르면 고위직 관리자는 머리끝까지 분노가 차오르고 보안 전담부서는 녹초가 된다. SIEM이 공격을 거의 탐지하지 못했기 때문이다. 기업이 백신 소프트웨어를 바꾸듯 SIEM 시스템을 2년마다 교체하는 건 특이한 일은 아니다.
[이미지=iclickart]
문제는 특정 SIEM 솔루션에 있지 않다. 문제는 사람과 절차에 충분히 집중하지 못했다는 데 있다. SIEM 제품이 무엇이건 간에 잘 훈련 받은 담당자가 탐지 플랫폼을 튼튼하게 운영할 수 있다. SIEM 제품이 전부 다 똑같다는 뜻은 물론 아니다. 그러나 SIEM 제품에 지나치게 집중한 나머지 정작 이를 사용할 사람에 대해선 충분히 집중하지 않는다는 걸 지적하고 싶다. SIEM 공급업체는 자사의 SIEM을 어떻게 사용하는지 교육해 주기도 한다. 고객이라면 SIEM 솔루션을 올바르게 사용하는 법에 대한 교육을 마땅히 요구해야 하지만, 아직까지 충분히 이뤄지고 있지는 않다. SIEM은 하나의 도구이며, 그 초점은 도구를 사용하는 각 개인들에게 맞춰져야 한다.
문제의 초점을 개인에게 맞추기 시작하면 핵심적인 문제가 보이기 시작한다. 예를 들어, SIEM 시스템을 사용해서 공격자를 잡아내는 방법을 알려주는 교육에 당신이 참석했다고 가정해보자. SIEM 제품을 유지보수하거나 무작정 사용하는 데 집중하기보다, 어떤 데이터 소스가 중요한지, 왜 그 소스가 중요한지, 그리고 그 소스를 어떻게 응용해서 상황을 이해하고 또 유용하게 써먹을지에 대해 집중적으로 훈련이 진행된다. 이 훈련에는 승인이 안 된 활동에 대해 자동적으로 경고를 받아볼 수 있도록 설정하는 방법도 포함될지 모른다. 이런 훈련을 마치고 나면 SIEM 플랫폼을 더 잘 사용할 준비가 됐고 느끼지 않겠는가? 필자는 SIEM을 왜 사용하는지, 무엇을 위해 SIEM을 사용하는지 아는 사람이라면 SIEM 플랫폼으로 당장 필요한 어떤 일을 어떻게 처리할지 알아내는 데 훨씬 수월하리라고 생각한다.
파워셸 문제
파워셸(PowerShell) 문제를 설명하는 사례 하나를 보자. 파워셸은 사용자의 업무를 자동화해주고 사용자가 할 수 없는 일을 대신 처리해주는 아름다운 도구다. 그러나 파워셸은 공격자가 누군가를 공격할 때 가장 선호하는 도구이기도 하다. 현대의 공격자 다수는 백신, 화이트리스팅 제품, 다른 보안 기술을 피해가기 위해서 파워셸을 사용한다. 그러나 SIEM의 전략적인 아키텍처와 올바른 로깅을 사용하면, 승인 안 된 파워셸 사용을 간단하게 잡아낼 수 있다. 제대로 교육된 사람이라면 다음의 사항을 식별하기 위해 SIEM을 빠르게 사용할 수 있다.
△ 장문의 명령어를 통해 불러온 파워셸
△ 베이스64 인코딩을 사용한 파워셸
△ 외부 시스템에 호출을 보내는 파워셸
△ 파워셸을 대량으로 호출하는 시스템
△ 특정 파워셸 DLL과 연동된 Sysmon DLL 모니터링을 사용해 powershell.exe 외부에서 파워셸을 불러오는 시스템
한 걸음 더 나가보자. 훈련 받은 사람은 SIEM 로그에서 발견된 모든 독특한 파워셸 Cmdlets를 내보내려고 애쓸지도 모른다. 그리고 결과를 화이트리스트로 사용할지 모른다. 화이트리스트는 탐지에 기초한 기술로, 다양한 데이터 소스를 아울러 적용할 수 있다. 그는 또한 모든 로그를 걸러내는 데 화이트리스트를 사용할 수도 있다. 그의 조직이 알려지지 않은 Cmdlets를 사용하지 않는 이상 말이다. 이렇게 하면 수집되는 로그의 수가 현저하게 줄어들게 된다. 이렇게 단순한 절차로 파워셸에 기초한 멀웨어를 99.99%까지 탐지할 수 있다. 100%도 가능하다고 본다. 그럼에도 SIEM 훈련에는 이런 것들이 포함되지 않는다.
이는 SIEM 공급업체의 잘못이라고 볼 순 없다. 공급업체는 필요한 경우, 어떻게 SIEM 제품을 사용하는지에 대해 훈련을 제공한다. 문제는 SIEM 일반에 대해 개인들을 교육하는 훈련이 아주 최근까지도 존재하지 않았다는 점이다.
SIEM은 하나의 도구라는 점을 기억하자. SIEM을 사용하는 개인들에 따라 각 기업의 사용량은 천차만별일 것이다. 만약 당신이 성공적인 탐지 플랫폼을 만들고 싶다면, 당신의 부서가 다음의 것들에 대해 훈련 받아야 한다는 점을 명심하자.
△ 주요 데이터 소스를 알아야 한다. 그 소스들이 무엇인지, 왜 중요한지, 어떻게 사용하고 수집하는지에 대해 알고 있어야 한다.
△ 어떻게 로그를 활용할 것이며 왜 그렇게 할 필요가 있는지 배워야 한다.
△ 가상 Tripwire 실행 등 지향성 탐지 기술에 대해 훈련 받아야 한다.
△ 질 낮은 경고(긍정 오류 수준 높음)와 질 높은 경고(긍정 오류 수준이 낮거나 없음) 사이의 차이에 대해 배워야 한다.
이와 관련해 더 알고 싶다면, SIEM 전략 분석 연구소 SANS에서 제공하는 SEC555 과정을 확인하거나 이런 개념을 온라인에서 조사해 보라. 보안 커뮤니티가 더 많이 베풀수록 우리 모두는 더 잘 할 수 있을 것이다.
글 : 저스틴 헨더슨(Justin Henderson)
[국제부 오다인 기자(boan2@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
