정보보안 시스템은 2가지를 기반으로 구축합니다.

1) 네트워크

2) 호스트

네트워크 기반 제품은 방화벽, 웹방화벽, 침입차단시스템(IPS), 침입탐지시스템(IDS), 통합보안장비(UTM), 지능형지속공격(APT), 데이터유출방지(DLP) 등이 있습니다.

장점은 호스트(서버, 데스크탑)에 에이전트를 설치하지 않는다.

단점은 인라인(In-Line)으로 구성 時 네트워크 단절이 발생하므로, 별도의 정기점검 시간을 확보해야 한다. 단일 장애점(Single Point of Failure) 대비를 위하여 클러스터 구성 등 추가 비용과 네트워크 구조의 복잡성이 증가한다.

호스트 기반 제품은 안티바이러스, 엔드포인트보안(EDR), 호스트침입차단시스템(HIPS), 호스트침입탐지시스템(HIDS) 등이 있습니다.

장점은 네트워크 단절 없고, 단일 장애점, 클러스터 구성 등이 필요하지 않다.

단점은 호스트에 에이전트를 설치하고 관리해야 한다. 호스트에 설치된 에이전트는 호스트의 리소스(CPU, 메모리 등)을 사용하는데, 이 때 에이전트가 호스트의 CPU, 메모리를 과도하게 사용하는 이상 현상을 만들 수 있다.

네트워크 기반 제품은 지난 수십년간 정보보안의 핵심으로 자리를 잡았습니다. 하지만, 현재 공격 대응에는 명확한 한계를 갖고 있습니다.

다양한 해킹 피혜 사례에서 보듯이 2020년 우리나라는

기업당 평균 38억원의 금전적 피혜,

해킹 침투를 인지하기까지 걸리는 평균 시간은 223日, 그리고 다시

대응까지 78日이 소요되고 있습니다.

총체적이 난국입니다. 1)

네트워크 기반 제품들의 로그를 상관분석으로 해결하고자 하는 통합보안이벤트관리(SIEM)도 여전히 한계를 넘지 못하였습니다.

네트워크와 호스트 기반의 단점을 보완하고, 장점을 극대화한다면 현존하는 문제를 해결할 수 있습니다.

통합보안이벤트관리(SIEM) 제품을 보완하기 위하여 프루라(PLURA)는 네트워크 정보보호 제품의 로그를 수집하고, 호스트에 에이전트를 설치하여 필요한 로그를 생성하고, 이렇게 생성된 로그를 실시간 수집하여  로그들 간 상관분석으로 이 문제를 해결하고 있습니다.

 

또한, 에이전트가 만들 수 있는 성능 문제를 해결하기 위하여 에이전트와 서버 간 기능을 명확히 구분하여 호스트의 리소스 사용량을 최소화하였습니다. 2)

프루라(PLURA)는 이와 같은 내용의 개념증명(POC, Proof of Concept)을  L사의 정보통신 자회사에서 모두 확인하는 성과를 거둔 바 있습니다. 3)

1) APT 29 공격, MITRE ATT&CK 프레임워크 기반

2) SQL 인젝션 공격, sqlmap 기반

3) 호스트에 T사의 에이전트와 PLURA 에이전트 함께 설치

4) 공격에 대한 탐지 측정

 

프루라(PLURA)가 他 SIEM과 비교할 수 없을 정도의 월등한 탐지 성능을 제공하는 이유는 무엇일까요.

“로그는 설정하지 않으면 생성되지 않습니다.”

운영하는 시스템에 어떤 설정이 필요한지 PLURA가 지원해 드립니다.

 

참고자료

1) Cost of a Data Breach Report 2020, IBM & Ponemon, https://bit.ly/338cyMA

2) 프루라 에이전트 리소스 사용량, http://blog.plura.io/?page_id=3754

3) 공격 탐지 시연 영상, http://blog.plura.io/?p=11927

 

– Written by Eliot