SIEM은 보안 정보 및 이벤트 관리를 의미합니다. 실제로 SIEM 소프트웨어 솔루션은 보안 정보 관리(SIM)와 보안 이벤트 관리(SEM)의 이점을 앱과 하드웨어에서 생성된 보안 경보에 대한 실시간 분석을 제공할 수 있는 포괄적인 보안 솔루션으로 결합합니다.
SIEM은 조직이 애플리케이션, 보안 시스템 및 하드웨어 전반에 걸쳐 생성한 로그 및 이벤트 데이터로부터 정보를 수집함으로써 작동합니다. 이벤트와 규칙 및 분석 엔진을 대조함으로써 SIEM 시스템이 보안 위협을 실시간으로 탐지 및 분석할 수 있습니다. 또한 모든 것은 보안팀의 분석, 로그 관리 및 보고에 도움이 되는 검색을 위해 색인화됩니다.
무단 액세스
몇 번의 로그인 실패 시도도 가능합니다. 최대 100까지 다이얼하면 누군가 무차별 공격을 하고 있을 수 있습니다. SIEM 소프트웨어는 사용자 행동을 모니터링하고 비정상적인 액세스 시도를 식별할 수 있습니다.
내부자 위협
SIEM 시스템은 직원의 행동을 지속적으로 모니터링하여 우발적 및 악의적 내부자 위협을 탐지할 수 있습니다. 액세스 권한이 아직 취소되지 않은 이전 직원부터 민감한 정보를 훔치거나 유출하려는 악의적인 내부자, 우발적인 보안 변경에 이르기까지, SIEM 소프트웨어는 비정상적인 행동을 감지하여 분석을 위해 보안 분석가에게 에스컬레이션할 수 있습니다.
피싱
피싱 공격은 사람들이 신뢰할 수 있는 권한을 가장하여 개인 정보나 민감한 정보를 자발적으로 누설하도록 하기 위해 고안되었습니다. 가장 일반적인 형태의 피싱은 벤더, 관리자 또는 직원으로 가장한 공격자의 악성 링크 또는 첨부 파일이 포함된 이메일입니다. 보안 교육 외에도 SIEM 솔루션은 의심스러운 위치에서 비정상적인 시기에 직원 로그인을 감지할 수 있으며, 이는 직원 계정이 손상되었다는 징후일 수 있습니다. 그런 다음 직원이 액세스를 확인할 때까지 사용자 프로필을 잠가 손상을 방지할 수 있습니다.
DoS 및 DDoS 공격
서비스 거부(DoS) 공격은 시스템 리소스를 연결하고 충돌을 유발할 수 있는 충분한 트래픽으로 네트워크를 플러딩하여 서비스를 중단시킵니다. 이러한 위협의 빈도는 봇넷이 사용자들의 네트워크 디바이스를 분산 서비스 거부(DDoS) 공격을 수행하기 위한 자체 스웜으로 혼선을 일으킬 수 있기 때문에 증가하고 있습니다. SIEM 소프트웨어는 웹 서버 로그를 모니터링하여 DoS 또는 DDoS 공격을 나타낼 수 있는 비정상적인 트래픽 이벤트를 표시할 수 있습니다. 이러한 공격을 조기에 포착하면 보안팀이 방어 시스템을 설치하고 서비스 복구를 계획할 수 있습니다.
코드 삽입
코드 주입은 애플리케이션의 데이터베이스 또는 시스템에 액세스하기 위해 온라인 양식과 같은 클라이언트 측 입력 채널에 악성 코드를 주입하는 것을 포함합니다. 가장 일반적인 예는 SQL 명령을 비위생 입력에 삽입하여 공격자가 데이터베이스에서 직접 데이터를 수정하거나 삭제할 수 있도록 하는 SQL 삽입입니다. 웹 애플리케이션의 활동을 모니터링하면 비정상적인 이벤트에 플래그를 지정하고 이벤트 상관 관계를 사용하여 시스템에 변화가 발생했는지 확인할 수 있습니다.
Ransomware 및 기타 멀웨어
Ransomware, 바이러스, 웜, 트로이 목마 및 기타 유형의 멀웨어는 컴퓨터 시스템에 침투하고 악성 프로그램을 실행하도록 설계된 소프트웨어입니다. 이러한 공격에 대한 최선의 방어는 방어이며, SIEM 시스템은 보안 로그를 파악하고, 공격 벡터를 식별하며, 공격을 초래할 수 있는 비정상적인 행동을 포착하는 데 필요한 모니터링 기능을 제공합니다. SIEM은 악성코드 공격의 손상 범위를 파악하여 보안팀이 문제를 해결하는 데 필요한 정보를 제공합니다.
MITM 공격
MTM(man-in-the-middle) 공격은 악의적인 제3자가 정보를 훔치거나 조작하기 위해 두 호스트 간의 통신을 도청하는 것을 말합니다. 통신이 차단되면 공격자는 암호 입력을 스니핑하여 사용자 세션을 하이재킹하는 것부터 데이터 통신 스트림에 악성 패킷을 주입하는 것까지 다양한 기법을 사용할 수 있습니다. 익숙하지 않은 위치에 자주 연결되거나 연결이 끊어지면 MITM 공격이 발생할 수 있습니다. 따라서 SIEM은 도청자를 너무 늦기 전에 포착하는 데 도움이 되는 귀중한 도구가 될 수 있습니다.
SIEM 시스템은 모든 엔터프라이즈 보안 인프라의 핵심 구성 요소로 사용됩니다. SIEM 사용 사례의 몇 가지 예를 살펴보겠습니다.
데이터 표준 준수
SIEM 시스템은 이벤트 로그, 보안 툴 및 디바이스의 데이터를 전사적으로 집계합니다. 규정 준수 및 규제 보고서 생성을 지원하는 완벽한 도구입니다.
다음은 몇 가지 예입니다.
SIEM은 기업 전체에 걸쳐 로그 정보 및 보안 데이터에 대한 구조화된 액세스를 제공하기 때문에 규제 기관 및 개별 데이터 소유자를 위해 세부 보고서를 작성할 수 있습니다.
지능형 보안 위협 탐지
이전 섹션에서 자세히 설명한 바와 같이, “SIEM 솔루션이 탐지할 수 있는 위협의 예”인 SIEM 시스템은 지능형 보안 위협을 탐지하기 위해 만들어졌습니다. SIEM 시스템이 액티브 위협 헌팅을 지원하는 방법에 대한 일반적인 예를 살펴보겠습니다.
IoT 구축 보안
사물인터넷(IoT)은 각자 이벤트 로그를 실시간으로 스트리밍하는 분산 네트워크 디바이스로 존재합니다. SIEM 시스템은 IoT 구축을 보호하는 데 이상적입니다.
SIEM 시스템과 침입 탐지 시스템(IDS)의 주요 차이점은 SIEM이 예방적인 반면, IDS는 위협 이벤트가 발생할 때 이를 탐지하고 보고하도록 최적화되어 있다는 것입니다. 두 툴 모두 경보를 생성하고 로그를 생성하지만, SIEM 시스템만이 다양한 디바이스와 시스템에 걸쳐 해당 로그 정보를 중앙 집중화하고 상호 연관시켜 엔터프라이즈 보안에 대한 조감도를 확보할 수 있습니다.
기업들은 종종 SIEM과 IDS를 함께 사용합니다. IDS는 공격 시 도움이 됩니다. SIEM 솔루션은 이러한 IDS 로그를 다른 시스템 정보와 함께 사용할 수 있도록 하여 보안팀이 컴플라이언스 보고서를 생성하고 향후 공격을 방지할 수 있도록 합니다.
보안 오케스트레이션, 자동화 및 대응(SOAR)은 블록의 새로운 아이입니다. 또한 조사 경로 워크플로우를 자동화하여 SIEM의 기능을 확장합니다. 이를 통해 경보를 처리하는 데 필요한 시간을 줄일 수 있습니다.
SIEM은 방화벽, 애플리케이션, 서버 및 장치를 포함한 여러 소스의 정보를 상호 연관시켜 위협을 식별합니다. SIEM 솔루션은 보안팀에 가장 관련성이 높은 정보를 제공하고 복구를 위한 제안을 하기 위해 노력하지만, 보안팀이 잠재적인 위협의 원인을 추적하고 복구합니다.
SOAR 플랫폼은 조사 경로를 자동화하기 위한 추가 조치를 취함으로써 이 모든 것을 수행합니다. 이는 단순히 AI를 사용하여 패턴 행동을 배우고 오케스트레이션을 통해 위협을 자동으로 해결함으로써 보안팀에게 잠재적인 위협을 알리는 것 이상의 것입니다.
시중에 나와 있는 몇 가지 인기 SIEM 도구는 다음과 같습니다.
요약하면, SIEM은 보안 정보 및 이벤트 관리를 의미합니다. SIEM 툴은 코드 주입, 랜섬웨어 공격, DDoS 공격 등 다양한 위협을 탐지하고 방어하는 데 사용할 수 있습니다. 특히 무단 액세스, 의심스러운 로그인 시도 및 비정상적인 데이터 흐름과 같은 이상을 감지하는 데 유용합니다. 여러 소스의 로그를 하나의 중앙 위치로 집계하여 보안 분석을 수행할 수 있는 보안 플랫폼이 필요한 경우, SIEM 솔루션이 도움이 될 수 있습니다.
퓨어스토리지 제품이나 인증 관련 질문이나 코멘트가 있으신가요? 저희가 도와드립니다.
라이브 데모를 예약하고 퓨어스토리지가 데이터를 어떻게 강력한 결과로 전환해주는지 직접 확인해 보세요.