보안 모니터링 및 공격 탐지 계획 가이드
1장 - 소개
업데이트 날짜: 2005년 5월 23일
이 페이지에서
요약
인터넷을 통해 확산되는 악의적인 소프트웨어에 대한 다양한 매체 보도 자료를 통해 기업 네트워크 리소스에 대한 외부 위협이 크게 증가하고 있음을 알 수 있습니다. 그러나 기업 인프라에 대한 가장 큰 위협 중에서는 기업의 내부 네트워크에서 발생하는 공격으로 인한 위협도 있습니다. 피해 발생 가능성이 가장 높은 내부 공격은 네트워크 관리자와 같이 신뢰도가 높은 위치에 있는 사람들의 행위에서 비롯됩니다. 많은 기업들은 이러한 내부 위협과 외부 외협을 분석하면서 네트워크 모니터링 및 공격 탐지 시스템을 조사하게 되었습니다.
업무 수행 시 준수해야 하는 규정이 있는 기업에게 보안 모니터링은 업무를 위한 필수 사항입니다. 전세계 수많은 기관에서 규정을 강화함에 따라 기업에서는 네트워크를 모니터링하고 리소스 액세스 요청을 확인하고 네트워크에 로그온 및 로그오프하는 사용자를 식별해야 할 필요성이 크게 확대되고 있습니다. 또한 기업들은 규정에 따라 특정 기간 동안 모니터링한 보안 데이터를 보관해야 할 수도 있습니다.
Microsoft Windows의 보안 로그 기능은 보안 모니터링 패키지를 위한 기초를 제공합니다. 그러나 보안 로그만으로는 사고 대응 계획을 위한 충분한 정보를 얻을 수 없습니다. 보안 로그를 수집하고 쿼리하는 다른 기술과 이러한 보안 로그를 함께 사용하면 보안 모니터링 및 공격 탐지 시스템의 토대를 마련할 수 있습니다.
이 가이드에서는 Windows 기반 네트워크에서 보안 모니터링 시스템을 계획하는 방법을 설명합니다. 이 시스템은 내부 및 외부에서 비롯된 공격을 탐지할 수 있습니다. 보안 모니터링 시스템의 주 목적은 악의적인 활동이나 절차적 오류를 나타내는 네트워크의 이상 이벤트를 식별하는 것입니다.
비즈니스 문제
기업들은 대규모 네트워크에서 효과적인 보안 모니터링 시스템을 구현하면서 많은 문제에 직면하게 됩니다. 기업에서는 다음을 수행해야 합니다.
정보 보호 요구를 파악합니다.
관리자 및 사용자의 권한 부여 수준을 정의합니다.
포괄적인 모니터링 정책을 구현합니다.
이 정책과 탐지된 보안 이벤트를 연관시킵니다.
이러한 문제는 네트워크 요구 사항이 비교적 낮은 조직에도 적용됩니다.
보안 모니터링의 이점
보안 모니터링은 다양한 규모의 조직에 공격 발생 시 이를 식별하는 능력과 공격 전, 도중 및 후에 발생한 이벤트에 대한 법적 분석을 수행하는 능력 등 두 가지 기본적인 이점을 제공합니다.
공격 발생 시 이를 식별하는 능력을 갖춘 보안 부서는 빠른 대처를 통해 네트워크 인프라 손상을 줄일 수 있습니다. 법적 데이터 또한 공격 범위를 식별하는 데 도움이 됩니다. 보안 모니터링을 통해 얻을 수 있는 다른 이점은 다음과 같습니다.
공격의 파급 효과를 줄입니다.
보안 담당 직원이 이상한 동작 패턴을 빠르게 식별하도록 해줍니다.
규정 요구 사항을 충족시키기 위한 감사 정보를 작성합니다.
이러한 이점에 대한 자세한 내용은 2장, "보안 모니터링 방법"을 참조하십시오.
이 문서가 필요한 대상
이 가이드는 엄격한 기밀성이 요구되는 조직, 특히 규정에 의해 규제를 받는 조직에게 유용한 정보를 제공합니다. 이 가이드는 ID 보호 및 데이터 액세스 제어를 필요로 하는 모든 규모의 기업에 적용됩니다.
또한 이 가이드는 기업 설계자와 기업 보안 관리자 등의 IT 관리자 및 IT 전문가에게도 도움이 됩니다. Windows 기반 네트워크를 계획, 배포 또는 운영해야 하는 컨설턴트와 기술 관련 의사 결정권자도 이 가이드를 통해 유용한 정보를 얻을 수 있습니다.
사용자 전제 요건
이 가이드에 제공되는 솔루션을 이해하려면 자체 네트워크의 보안 문제점과 위험 요인들을 잘 파악하고 있어야 하며 Windows 이벤트 로깅 서비스에도 익숙해야 합니다.
이 가이드는 MOF(Microsoft Operations Framework) 프로세스 모델의 운영 및 지원 사분면을 사용하며 MOF SMF(보안 관리 및 사건 관리 서비스 관리 기능)도 사용합니다. MOF에 대한 자세한 내용은 Microsoft Operations Framework 웹 사이트를 참조하십시오.
계획 가이드 개요
이 가이드는 네 개의 장으로 구성되며 보안 모니터링 및 공격 탐지 솔루션 계획을 위한 필수 사항 및 개념을 중점적으로 다룹니다. 각 장은 다음과 같습니다.
1장: 소개
이 장에서는 가이드의 전체 내용을 요약하여 설명하고 비즈니스 과제와 이점을 소개하며, 이 가이드의 대상 독자와 대상 독자의 전제 조건을 나열하고 이 가이드에 포함된 각 장의 개요 및 솔루션 시나리오를 제공합니다.
2장: 보안 모니터링 방법
이 장에서는 보안 모니터링 구현을 위한 다양한 옵션과 Microsoft 및 타사의 기술을 사용하는 공격 탐지 솔루션에 대한 개요를 제공합니다.
3장: 문제 및 요구 사항
이 장에서는 보안 모니터링의 범위와 다른 업무 요구 사항의 관련점을 찾고, 기업 네트워크에 대한 알려진 범위의 잠재적 위협 및 공격에 이를 적용하는 과정에 대해 설명합니다. 또한 다음에 대한 비즈니스, 기술 및 보안 관련 문제도 다룹니다.
정책 위반 감지
외부 공격 식별
법적 분석 구현
이 장에서는 기업 정책을 벗어나는 위반 요인을 정의합니다. 마지막으로 보안 모니터링 및 공격 탐지 시스템에 대한 솔루션 요구 사항을 소개합니다.
4장: 솔루션 설계
이 장에서는 보안 모니터링을 사용하여 공격을 탐지하고 보안 감사 기록을 구축하는 방법을 자세히 설명하고 효과적인 보안 모니터링을 위해 권장되는 구성 설정과 기업에 요구되는 보안 정책 변화에 대해 설명합니다.
뿐만 아니라 규모가 큰 조직에서 고급 보안 모니터링을 구현하는 방법을 상세히 소개합니다. 이 지침에서는 방대한 양의 보안 이벤트에 대한 감사 저장 문제를 처리하는 방법과 분산 네트워크에서 공격 탐지를 계획하는 방법을 설명합니다.
.gif){kind=icon}