전사적인통합로그관리및 보안운영을위한정보관리 권영목 부장 RSA, The Security Division of EMC
통합로그관리의필요성 감사대응및법 / 규제준수를위한전사적통합모니터링체계필요 감사, 사후추적등에필요한정보의통합관리 / 운영 위 변조방지를기반으로한원본로그정보관리 발생하는로그정보를실시간으로분석 / 활용 감사 / 보안업무측면로그관리요구사항 데이터의위 변조방지를통한데이터무결성유지 실시간로그분석을통한보안사고탐지 / 예방 전자금융 / 개인정보등데이터보관에대한법적 / 제도적규제대응 운영측면에서의로그관리요구사항 이기종시스템및다양한어플리케이션에서발생하는로그의효율적관리 대용량로그데이터의신속 정확한조회 / 검색기능 장애발생시신속한로그검색을통한원인규명소요시간최소화
엔터프라이즈로그관리의현실 접근제어적용 Privileged User Management 악성코드감지 Spyware detection 실시간모니터링 Troubleshooting 설정관리 Lockdown enforcement 인가되지않은서비스감지 IP Leakage False Positive 감쇄 사용자모니터링 Web server activity logs Switch logs Web cache & proxy logs Content management logs IDS/IDP logs 서비스레벨준수모니터링 VA Scan logs Router logs Windows domain logins Wireless access logs Oracle Financial Logs Windows logs VPN logs Firewall logs Linux, Unix, Windows OS logs Mainframe logs DHCP logs Client & file server logs San File Access Logs VLAN Access & Control logs Database Logs 네트워크를보호하고규정을준수하기위한모든데이터들을어떻게수집하고보호할것인가?
SIEM (Security Information and Event Management) SIEM (Security Information and Event Management) SIM (Security Information Management) SEM (Security Event Management) - 시스템 Access 모니터링 - 컴플라이언스대응 - 내부보안정책관리 - 내부위협관리 - 실시간보안로그분석및위협대처 - Real-time Monitoring - Real-time Alert - Real-time Analysis Host system logs, DB activity logs, IAM logs, Application logs, Transactions logs, FW logs, VPN logs, IDS logs, IPS logs, Network Device logs, Security SW logs, Host Activity logs Endpoint Network Apps/DB FS/CMS Storage
국내및해외동향 국내 - ESM (Enterprise Security Management) SIEM의 SEM 과동등한개념 보안장비위주의로그및이벤트관리솔루션 활용도 è 보안관제솔루션으로정착 해외 - SIEM (Security Information & Event Management) SIM (Security Information Management) SEM (Security Event Management) IT 인프라스트럭처의전체원본로그및이벤트관리솔루션 ( 전사적인접근방법론 ) 활용도 è 컴플라이언스대응솔루션 è SOC 개념의보안운영솔루션 (Security Operation Center) è 네트웍및 IT 운영솔루션
Vendor Positioning in SIEM Gartner - Magic Quadrant for SIEM (8 May 2008) 로그의실시간수집및분석 로그수집대상장비의다양화 (NW / Security / Host System / Application etc.) 컴플라이언스이슈대응 ( 감사 / 보고의레포팅적시성및지속성유지 ) 보안모니터링능력향상 로그의장기간보관및레포팅 솔루션도입후, 실제사용을위한커스터마이징의최소화 장비도입및로그수집 / 관리의편의성 (Easy of Deploy and support) 2007 년 Gartner 발표 2008 년 Gartner 발표
SIEM 필요요건 로그수집측면 (1) q 모든타입의디바이스로그를받을준비가되었는가? q Legacy Device / Custom Application 로그의쉬운연동성? Network Security Operating System Application Storage/Other 모든 타입의 디바이스 - Cisco - Juniper - Nortel - Foundry - Symantec - ISS - McAfee - Check Point - RSA - Microsoft - Linux / Unix - Sun / HP - IBM AS400/Main - MS Exchange - Oracle - MS SQL - Websense - Bluecoat - Apache - EMC / NetApp 신규 디바이스추가 또는 - Agent 필요한가 // R&D 레벨에서개발과정을거친다면, (???) : 개발시간문제 / 임베디드 Agent 구현문제 => 언제까지벤더사개발에의존? - 사용자레벨에서디바이스구분및로그메시지타입정의가가능하다면, Custom Application 추가 : 원본로그수집후, : 사용자레벨의디바이스및메세지구분 : 이후부터, 로그자동분류
SIEM 필요요건 로그수집측면 (2) Agent-less 기반 Deployment 방법론 Syslog 방식의전송 SNMP 방식의전송 ODBC 방식의 DB 로그전송 Windows 로그인및이벤트 - Get 방식의전송 FTP / SFTP / SCP 전송 Agent 기반 Deployment 방법론 로그수집대상장비에 Agent 인스톨필요 : 단점 Embedded System 의로그에 Agent 설치불가 다양한시스템에대한플랫폼별 Agent 필요 : 시스템 Upgrade 시, Agent의 Upgrade 필요성고려 Agent 단에서로그필터링옵션사용가능 è 로그데이터경량화수행
SIEM 필요요건 성능측면 로그관리시스템의분산모듈환경고려 수집 -> 저장 -> 분석 -> Alert -> 레포팅모듈이모두독립적으로운영될수있는가? ( 예 : 로그분석을위해소요되는시스템성능이슈가로그수집모듈에영향을미쳐서는안됨 ) 수집 / 저장 / 분석 / Alert / 레포팅이동시에실시간병렬처리가이루어져야함 대용량로그데이터의저장공간고려 ILM (Information Lifecycle Management) 적용관련, 로그데이터저장기한이있는가? 로그폐기되기까지 Storage 공간의효율적인운영방안필요 (Cost-effective Storage 정책필요 ) 원본로그에대한압축기능고려 압축된로그의 Restore 효율성고려 대용량의의미 실시간수집되는로그량의대용량 è 로그수집 / 저장 / 분석 / Alert / 레포팅의실시간병렬처리에따른성능이슈 로그전송장비의대량화 è 로그수집에따른 Deployment 이슈 è 이기종및서로다른로그포맷의분석능력이슈 ( 연동이슈 )
SIEM 필요요건 DB 요건 q RDB vs. LogSmart IPDB 차이점 예측할수없는경보 데이터손실 병렬분석 데이터급증 Relational Database 인증압축암호화 LogSmart IPDB
SIEM 필요요건 압축및수집성능 q 저장공간효율성및성능 데이터저장공간 GBs Per Day 데이터수집성능 (EPS) 250 10,000 9,000 200 8,000 150 100 50 10 배절감 7,000 6,000 5,000 4,000 3,000 2,000 1,000 0 1000 EPS 5000 EPS 10,000 EPS Events Per Second (EPS) RDBMS LogSmart IPDB 0 System Performance RDBMS LogSmart IPDB 원본로그 + 압축수행 (75%~90%) Storage 비용절감고려 필터링, 정규화, 데이터감소없이 원본로그수집성능최대화고려
SIEM 필요요건 - ILM q 로그정보수명주기정책적용가능여부확인 q (ILM Information Lifecycle Management) [ 로그저장및보존정책설정필요 è 컴플라이언스이슈 ] 로그관리온라인정책 (1 년 ) 보존정책 온라인수집압축보호보존폐기저장 - Frequent Access - Ready Access - Real-time Monitoring - Production Log Data On-line Storage Near-line Storage - Active Archive Data - Backup Data
SIEM 필요요건 상관관계분석 Event Event Event Event Event Event Event Event Event 공격 (Attack) 은일반적으로, 기업의여러시스템을경유하면서, 모든시스템에복합로그를생성시키고, 흔적을남긴다. Time Stamps 상관관계 분석 IP addresss Event Types Boolean logic-driven correlation Anomaly-based correlation Vulnerability Asset Management 경보의 False-Positive 감소 ---------------------------- 개별시스템의로그를통합하여, 가치있고유용한정보로제공
RSA envision : 3-in-1 SIEM 플랫폼 Server Engineering Business Ops. Compliance Audit Risk Mgmt. Security Ops. Desktop Ops. Network Ops. Application & Database Baseline Report Alert/Correlation Log Mgmt. Asset Ident. Compliance 접근통제설정변경통제 악성코드정책적용사용자모니터링및관리 Security 접근통제적용 SLA 준수모니터링 False Positive 감소 실시간경보허가되지않은네트워크서비스탐지 Privileged User 모니터링 IT & Network Forensics 네트워크자산모니터링 네트워크문제해결 Helpdesk 운영지원 Incident Mgmt. 네트워크성능최적화사용자행위감시정상적인네트워크상태에대한 baseline 정의 로그관리 (ALL The Data) 조직내에존재하는모든 IT 자원으로부터로그를수집필터링, 정규화, 데이터감소없는로그수집 보안이벤트및운영정보를모두수집에이전트없는로그수집
RSA envision : UI 샘플 [ Overview Dashboard ] [ Event Explorer ] [ Enterprise Dashboard ] [ Customized Report ]
RSA envision : 컴플라이언스프레임웍제공 Man-hours Visa CISP All the Data SAS70 GLBA Criminal Penalties Fines California 1386 Report to the board H I P A A BASEL II Sarbanes-Oxley Control costs US Patriot Act 국내규제정책 ( 예정포함 ) + BASEL II FISMA HIPAA PCI DSS Sarbanes Oxley NISPOM SAS 70 GLBA Bill 198 컴플라이언스감사준비 IT 감사레포팅작성 모든로그취합 / 분석 컴플라이언스 Ready 인력 / 시간 / 관리비용소모