현재 제가 근무하는 회사에는 다양한 보안 위협에 대해 탐지 기능을 탑재하고 있는 특정 벤더의 APT 보안 장비를 운영중에 있습니다. 몇가지 실제 탐지 사례에 대한 설명과 대응 방안에 대해서 알아보도록 하겠습니다. Lateral Movement 사례1 해당 호스트는 Cyber Kill-Chain 중 초기감염(C&C), 확장감염(Lateral) 및 데이터 유출(Exfil), 세 단계에 걸친 위협이 탐지되었으며, 초기감염 단계의 “External Remote Access(원격제어)”, 확장 … 더 읽기
SecaaS란 무엇일까요? 개념과 특징에 대해서 자세하게 알아보도록 하겠습니다. 관련 업종에 종사하시는 분이나 보안을 시작하는 분들께 이 글이 도움이 되었으면 합니다. SecaaS란 무엇인가요? 정의 “Security as a Service“의 약어로, 보안 서비스를 클라우드 기반으로 제공하는 것을 의미합니다. 기존에는 기업이 자체적으로 보안 인프라를 구축하고 운영해야 했지만, SecaaS를 이용하면 클라우드 서비스 제공업체가 보안 서비스를 제공하고 관리해줍니다. … 더 읽기
현재 재직중인 보안팀에서는 SIEM 기능으로 elasticsearch를 사용하고 있습니다. elasticsearch는 다양한 이기종 보안 로그를 한 곳으로 통합하여 인덱싱하여 SIEM(로그통합솔루션)으로 활용할수있습니다. 특히, 실시간 보안 위협으로부터 수십 수 만 건에 달하는 보안 이벤트에 대해 중요한 보안 로그 이벤트를 elasticsearch query를 통해 중요도 우선 순위를 정하여 필터 할 수 있는데요 whatcher나 혹은 elktail과 같은 오픈소스를 접목하여 보안 위협 이벤트에 … 더 읽기
엘라스틱서치를 이용하여 전사 보안 장비들의 모든 로그를 수집중에 있습니다. 이기종 다양한 벤더들의 로그를 엘라스틱 스택에 저장하기 위해서는 로그 수집 전처리 과정에서 filter를 통해 중요한 필드들이 누락되지 않도록 커스터마이징을 해야합니다. 상단 보안 장비중 APT, WAF, IPS등 다양한 보안 장비를 운영중입니다. 다양한 이기종 벤더 보안 장비를 통해 발생하는 로그는 하루에도 수천~수만 건 발생합니다. 정말 중요한 보안 … 더 읽기
현재 재직 중인 회사에서는 수많은 보안장비와 보안 솔루션의 전체 로그를 Elastic Stack 으로 저장하여 보관중입니다. Elastic을 SIEM 으로 활용하고있습니다. 다양한 여러 이기종 벤더이 보안 로그를 Elasticsearch 플랫폼으로 통합 저장 시 전처리 부분 Logstash 서버에서 Parsing이 정상적으로 되야 보안로그가 최종적으로 엘라스틱 스택에 저장 보관되는것입니다. 벤더별 수많은 보안 장비 Syslog 형태는 모두 다르며, logstash 서버에서 filter … 더 읽기
해킹 공격의 종류에는 매우 다양한 형태가 있습니다. 외부에서 초기 취약점 분석을 위한 스캔성행위, 정찰 행위, 침투 후 내부적으로 더 깊이 파고들고자 하는 행위, 내부에 침투 성공 후 외부로 데이터를 유출하려는 행위 등 나열하기 힘들 정도로 다양한 공격 행위들이 있습니다. 이번 포스팅에서는 이와 같은 행위별 대표적인 해킹 공격에는 어떤 종류가 있는지 자세하게 알아보도록 하겠습니다. C&C 통신 (C2 통신) External Remote Access : 외부에서의 원격접속으로 공격하는 행위를 말합니다. Hidden HTTPS Tunnel : 외부 호스트와 일반적인 프로토콜로 위장하여 통신 (복호화 없이 데이타 사이언스 … 더 읽기
웹 서비스를 운영중이다보면 작은 실수로 인하여 회사의 귀중한 자산 탈취나 개인정보 노출등 매우 위험한 해킹사고를 당할 경우가 있습니다. 그중 대표적으로 웹 서비스 운영시 관리자 admin과 같은 페이지를 실수로 외부에 노출하는 경우가 대표적인 사례인데요 실제 본문 내용의 사례를 통하여 이와 같은 취약점을 미리 대비하는데 도움이 되었으면 합니다. 만약 웹 소스나 방화벽 등 IP제한을 하지 않은 상태라면 … 더 읽기
윈도우 플랫폼 기반 서비스에서 최근 유행하는 Powershell 코드를 악용하는 Powersploit 공격이 종종 발생되고 있습니다. 보안 관제 관점에서도 최근 몇년사이 급격하게 동일한 형태의 공격이 자주 모니터링 되고 있습니다. 실제 위와 같은 형태의 공격으로 피해를 입은 사례가 자주 발생되고 있습니다. powersploit 공격의 주요 특징은 windows OS 내부 명령어 Powershell.exe를 악용합니다. 파워쉘 실행 권한을 탈취하게되면 파워쉘 명령어를 사용하여 … 더 읽기