중앙 감지 완화 보고로 보안 위협 철통 방어
네트워크 액세스 포인트들과 시스템들은 하루에도 수천 번씩 그 취약점을 이용하려는 시도들에 노출돼 있다. 현대의 복합적 공격들은 다양한 방법들을 이용해 기업의 내·외부로부터 시스템에 불법적으로 접근해 콘트롤을 시도한다.
웜, 제로-데이 공격, 바이러스, 트로이목마, 스파이웨어, 그리고 공격 툴들이 더 다양해지고 기승을 부림에 따라 가장 잘 보호된 인프라까지도 공격함으로써 대처할 시간 여유는 더 짧아지고, 다운타임은 길어지며 복구/치료에 더 많은 비용이 소요되게 만든다.
서버나 네트워크 장비가 이벤트 로그를 내는 이외에도, 각각의 보안 컴포넌트들이 독립적인 이벤트 로그 및 이상 감지, 위협 대응, 분석에 대한 경고 기능을 제공한다. 불행하게도 이것은 운영자들이 식별하고 효과적으로 이용해야 할 노이즈, 경고, 로그 파일, 그리고 허위 경보들의 양이 엄청나게 많아진다는 것을 의미하며, 보안 정책에 맞는 시스템을 위해서는 엄격한 데이터 프라이버시, 개선된 운영상의 보안, 그리고 감사 프로세스의 유지 등이 필요하다.
진보된 보안 위협 완화
보안 정보/이벤트 관리(SIM Securi-ty Information Management) 제품들은 논리적으로 이런 문제들을 줄여주는 듯 보인다. SIM은 운영자들이 중앙에서 보안 이벤트들과 로그를 취합해, 제한된 상관관계 및 조회 기술을 이용해 이 데이터를 분석하고, 각각의 격리된 이벤트에 대한 경보와 리포트를 생성할 수 있는 능력을 부여한다.
불행하게도 많은 수의 1세대 또는 2세대 SIM들은 상관관계가 있는 이벤트들을 더 정확하게 인식하고 상관성을 밝혀내며, 공격루트를 더 정확하게 짚어내고, 위협을 완화하며, 더 많은 이벤트를 처리할 수 있을 정도의 지능과 성능을 제공하지 못하지만, 시스코의 CS-MARS는 이런 보안상의 문제들을 해결하고 취약점을 관리하는 확장성이 뛰어난 보안 위협 완화 어플라이언스 제품군이다.
고성능의 네트워크 지능형 이벤트 취합
CS-MARS는 라우터, 스위치, 취약성 분석(Vulnerability Analysis)툴, 그리고 방화벽 등의 네트워크 토폴로지와 장비 구성을 이해하고 또한 넷플로우 데이터를 분석해 네트워크 트래픽의 프로필을 알아냄으로써 네트워크에 대한 지능을 얻는다.
CS-MARS 시스템에 통합된 네트워크(AutoDiscovery)기능이 장비의 구성과 현재의 보안정책을 포함하는 네트워크 토폴로지 맵을 구축함으로써 CS-MARS는 네트워크를 통과하는 패킷의 흐름을 모델화할 수 있게 된다. 이 장비는 인라인상에서 작동하지 않으며 또한 기존의 소프트웨어 에이전트(SNMP 에이전트 등)를 최소한으로 사용하기 때문에 네트워크나 시스템의 성능 저하를 일으키지 않는다.
컨텍스트코릴레이션
컨텍스트코릴레이션(Context Corr-elation)은 네트워크 차원의 지능을 이용해 복수의 보안 이벤트들과 NAT (Network Address Translation) 경계를 지나는 네트워크 행동을 세션들로 그룹화하고 복수의 세션에 시스템과 사용자가 정의한 상관관계 법칙을 적용해 유효한 사건들을 인식한다.
이는 완전하게 미리 정의된 규칙들이 탑재되어 제공되는데 규칙들은 시스코에 의해 자주 업데이트되며, 대부분의 혼합공격 시나리오, 제로-데이 공격 및 웜 등을 인식한다.
그래픽을 이용해 규칙을 정의할 수 있기 때문에 어떤 애플리케이션을 위해서도 사용자가 간단하게 맞춤형 규칙을 정의할 수 있다. 컨텍스트코릴레이션은 가공되지 않은 이벤트 데이터를 현저히 줄여 주고, 응답 우선순위 설정을 가능하게 하며, 구축된 대응책들로부터의 효과를 최대화한다.
신속한 취합과 통합
CS-MARS 솔루션은 수천 개의 가공되지 않은 이벤트를 잡아내 데이터 양을 현저히 감소시키면서 효과적으로 분류하고, 이 정보를 저장하기 위해 압축한다.
많은 양의 보안 이벤트들을 관리하기 위해서는 믿을만하고 안정적인 중앙 로그화 플랫폼이 필요하다. 이런 목적을 위해 특별히 제작된 CS-MARS는 초당 1만개 이상의 이벤트와 초당 3만개 이상의 넷플로우라는 엄청난 양의 이벤트 트래픽을 처리할 수 있다.
이것은 특허출원중인 시스코의 파이프라인된 인-메모리 프로세싱 아키텍처와 임베디드 오라클의 사용을 최적화함으로써 가능해졌다. 모든 데이터베이스 기능과 튜닝은 사용자에게는 전혀 영향을 미치지 않는다.
온-보드 스토리지의 이용과 히스토리 데이터를 계속 압축해 NFS 2차 대형 스토리지 디바이스에 저장하는 방법으로 인해 CS-MARS는 보안 로그를 그 수명이 완전히 다할 때까지 유지할 수 있는 강력한 보안 로그/이벤트 취합 툴을 제공한다.
보안 사건 비쥬얼화 및 이를 이용한 완화
CS-MARS는 인터액티브 보안관리 대쉬보드 즉, 운영자 GUI를 통해 실시간으로 호스트 지점들, 사건, 공격루트, 그리고 사건들을 완전히 파헤치는 철저한 조사 등으로 이뤄진 토폴로지맵(Topology Map)을 제공해 위험요소에 대한 즉각적인 검증이 가능하도록 만든다.
슈어벡터(SureVcetor) 분석은 시스코 규칙 상관관계에 의해 생성된 사건들을 처리해 소스로부터 목적지까지의 전체적인 위상학적 공격 루트를 평가해 위협이 근거가 있는 실제적인 것인지 아니면 이미 대응책이 마련된 것인지 결정한다.
이 자동화된 프로세스는 방화벽이나 침입방지시스템으로부터의 로그를 분석하고, 제삼자의 취약성 분석 데이터를 이용하며, 허위경보를 제거하기 위한 CS-MARS를 타깃으로 하는 취약성 검사 등을 이용해 이뤄진다. 사용자들은 시스템을 짧은 시간에 튜닝해서 허위경보를 더욱 줄일 수 있다.
실시간 조사와 컴플라이언스 리포트
CS-MARS는 자동화된 보안 사고 케이스 할당, 조사, 단계적 확대, 통지, 그리고 일일 운영과 특별 감사를 위한 주석 달기 등의 기능을 제공함으로써 전통적인 보안 업무과정을 간략하게 만드는 사용하기 쉬운 분석 체계를 자랑한다.
이 제품은 공격을 그래픽으로 재생하고 과거의 이벤트들을 분석하기 위해 저장된 이벤트 데이터를 검색할 수 있다. 또한 이 시스템은 실시간 또는 그 후의 데이터 이용 필요에 따른 부수적인 조회들도 완벽하게 지원한다.
CS-MARS는 미리 정의된 많은 수의 리포트들을 제공할 수 있기 때문에 Sarbox, GLBA, HIPAA, FISMA, 그리고 바젤 II와 같은 규정에 정의된 운영 요구 조건을 충족시킨다. 보고서 생성기는 100종류 이상의 표준형 보고서와 어떤 형태든 원하는 형태의 새로운 보고서를 만들어 낼 수 있다.
■ 문의: 시스코코리아
■ 전화: 02-3429-8000
■ www.cisco.com/kr
