퓨어 지식 (Pure Knowledge)
SIEM이란? 정의 및 작동 방식

SIEM이란? 정의 및 작동 방식

SIEM은 보안 정보 및 이벤트 관리를 의미합니다. 실제로 SIEM 소프트웨어 솔루션은 보안 정보 관리(SIM)와 보안 이벤트 관리(SEM)의 이점을 앱과 하드웨어에서 생성된 보안 경보에 대한 실시간 분석을 제공할 수 있는 포괄적인 보안 솔루션으로 결합합니다.

SIEM은 어떻게 작동하나요?

SIEM은 조직이 애플리케이션, 보안 시스템 및 하드웨어 전반에 걸쳐 생성한 로그 및 이벤트 데이터로부터 정보를 수집함으로써 작동합니다. 이벤트와 규칙 및 분석 엔진을 대조함으로써 SIEM 시스템이 보안 위협을 실시간으로 탐지 및 분석할 수 있습니다. 또한 모든 것은 보안팀의 분석, 로그 관리 및 보고에 도움이 되는 검색을 위해 색인화됩니다.

SIEM 솔루션이 탐지할 수 있는 위협의 예

무단 액세스

몇 번의 로그인 실패 시도도 가능합니다. 최대 100까지 다이얼하면 누군가 무차별 공격을 하고 있을 수 있습니다. SIEM 소프트웨어는 사용자 행동을 모니터링하고 비정상적인 액세스 시도를 식별할 수 있습니다.

내부자 위협

SIEM 시스템은 직원의 행동을 지속적으로 모니터링하여 우발적 및 악의적 내부자 위협을 탐지할 수 있습니다. 액세스 권한이 아직 취소되지 않은 이전 직원부터 민감한 정보를 훔치거나 유출하려는 악의적인 내부자, 우발적인 보안 변경에 이르기까지, SIEM 소프트웨어는 비정상적인 행동을 감지하여 분석을 위해 보안 분석가에게 에스컬레이션할 수 있습니다.

피싱

피싱 공격은 사람들이 신뢰할 수 있는 권한을 가장하여 개인 정보나 민감한 정보를 자발적으로 누설하도록 하기 위해 고안되었습니다. 가장 일반적인 형태의 피싱은 벤더, 관리자 또는 직원으로 가장한 공격자의 악성 링크 또는 첨부 파일이 포함된 이메일입니다. 보안 교육 외에도 SIEM 솔루션은 의심스러운 위치에서 비정상적인 시기에 직원 로그인을 감지할 수 있으며, 이는 직원 계정이 손상되었다는 징후일 수 있습니다. 그런 다음 직원이 액세스를 확인할 때까지 사용자 프로필을 잠가 손상을 방지할 수 있습니다.

DoS 및 DDoS 공격

서비스 거부(DoS) 공격은 시스템 리소스를 연결하고 충돌을 유발할 수 있는 충분한 트래픽으로 네트워크를 플러딩하여 서비스를 중단시킵니다. 이러한 위협의 빈도는 봇넷이 사용자들의 네트워크 디바이스를 분산 서비스 거부(DDoS) 공격을 수행하기 위한 자체 스웜으로 혼선을 일으킬 수 있기 때문에 증가하고 있습니다. SIEM 소프트웨어는 웹 서버 로그를 모니터링하여 DoS 또는 DDoS 공격을 나타낼 수 있는 비정상적인 트래픽 이벤트를 표시할 수 있습니다. 이러한 공격을 조기에 포착하면 보안팀이 방어 시스템을 설치하고 서비스 복구를 계획할 수 있습니다.

코드 삽입

코드 주입은 애플리케이션의 데이터베이스 또는 시스템에 액세스하기 위해 온라인 양식과 같은 클라이언트 측 입력 채널에 악성 코드를 주입하는 것을 포함합니다. 가장 일반적인 예는 SQL 명령을 비위생 입력에 삽입하여 공격자가 데이터베이스에서 직접 데이터를 수정하거나 삭제할 수 있도록 하는 SQL 삽입입니다. 웹 애플리케이션의 활동을 모니터링하면 비정상적인 이벤트에 플래그를 지정하고 이벤트 상관 관계를 사용하여 시스템에 변화가 발생했는지 확인할 수 있습니다.

Ransomware 및 기타 멀웨어

Ransomware, 바이러스, 웜, 트로이 목마 및 기타 유형의 멀웨어는 컴퓨터 시스템에 침투하고 악성 프로그램을 실행하도록 설계된 소프트웨어입니다. 이러한 공격에 대한 최선의 방어는 방어이며, SIEM 시스템은 보안 로그를 파악하고, 공격 벡터를 식별하며, 공격을 초래할 수 있는 비정상적인 행동을 포착하는 데 필요한 모니터링 기능을 제공합니다. SIEM은 악성코드 공격의 손상 범위를 파악하여 보안팀이 문제를 해결하는 데 필요한 정보를 제공합니다.

MITM 공격

MTM(man-in-the-middle) 공격은 악의적인 제3자가 정보를 훔치거나 조작하기 위해 두 호스트 간의 통신을 도청하는 것을 말합니다. 통신이 차단되면 공격자는 암호 입력을 스니핑하여 사용자 세션을 하이재킹하는 것부터 데이터 통신 스트림에 악성 패킷을 주입하는 것까지 다양한 기법을 사용할 수 있습니다. 익숙하지 않은 위치에 자주 연결되거나 연결이 끊어지면 MITM 공격이 발생할 수 있습니다. 따라서 SIEM은 도청자를 너무 늦기 전에 포착하는 데 도움이 되는 귀중한 도구가 될 수 있습니다.

SIEM을 예제와 함께 사용해야 하는 경우

SIEM 시스템은 모든 엔터프라이즈 보안 인프라의 핵심 구성 요소로 사용됩니다. SIEM 사용 사례의 몇 가지 예를 살펴보겠습니다.

데이터 표준 준수

SIEM 시스템은 이벤트 로그, 보안 툴 및 디바이스의 데이터를 전사적으로 집계합니다. 규정 준수 및 규제 보고서 생성을 지원하는 완벽한 도구입니다.

다음은 몇 가지 예입니다.

GDPR: 유럽연합(EU)은 유럽연합 시민의 개인 데이터를 보호하기 위해 GDPR(General Data Protection Regulation)을 제정했습니다.
HIPAA : 건강보험의 양도성과 책임에 관한 법률(Health Insurance Portability and Accountability Act, HIPAA)은 민감한 환자 건강 정보를 보호하기 위해 미국 입법부에 의해 제정되었습니다.
PCI : 결제 카드 산업 데이터 보안 표준(PCI DSS)은 주요 신용카드 회사가 고객을 보호하기 위해 의무화하는 정보 보안 표준입니다.
SOX 준수: 사베인스-옥슬리(SOX)법은 기업 회계 사기를 대상으로 하는 미국 규정입니다. 이는 상장 기업 이사회, 경영진 및 회계 회사에 적용되며, 민감한 정보가 저장되는 장소, 접근 가능한 사람 및 사용 방법에 대한 정확한 보고를 요구합니다.

SIEM은 기업 전체에 걸쳐 로그 정보 및 보안 데이터에 대한 구조화된 액세스를 제공하기 때문에 규제 기관 및 개별 데이터 소유자를 위해 세부 보고서를 작성할 수 있습니다.

지능형 보안 위협 탐지

이전 섹션에서 자세히 설명한 바와 같이, “SIEM 솔루션이 탐지할 수 있는 위협의 예”인 SIEM 시스템은 지능형 보안 위협을 탐지하기 위해 만들어졌습니다. SIEM 시스템이 액티브 위협 헌팅을 지원하는 방법에 대한 일반적인 예를 살펴보겠습니다.

이상 식별: 행동 분석 및 이벤트 상관 관계는 보안팀의 면밀한 검사를 위해 이상 징후를 표시할 수 있습니다.
데이터 유출: 데이터가 어떻게 사용되는지 조감도 있게 파악하면 내부자 위협 및 기타 허가 없이 조직 외부로 민감한 정보를 전송하려는 무단 시도를 방지할 수 있습니다.
새로운 취약점에 대한 대응: 새로운 제로데이 익스플로잇 또는 시스템 취약점이 확인되면, SIEM 솔루션은 취약점의 범위를 신속하게 파악하여 이를 종료할 수 있도록 지원합니다.
과거의 사고에 대해 알아보세요: 사고가 발생하면 이전에 발생한 적이 있는지 신속하게 확인할 수 있습니다. 과거의 문제 처리 경험은 향후 발생을 예방하거나 반복되는 사건을 더 빠르게 처리하는 데 도움이 될 수 있습니다.
위협 인텔리전스: 보안 데이터 및 로그에 AI를 적용하여 IT 시스템의 공격을 지능적으로 탐지하세요. 패턴은 알려진 공격 시그니처를 이력 데이터와 일치시킵니다.
조사 안내: 분석가가 SIEM 플랫폼을 통한 데이터 탐색을 통해 가설을 테스트할 수 있도록 지원합니다.

IoT 구축 보안

사물인터넷(IoT)은 각자 이벤트 로그를 실시간으로 스트리밍하는 분산 네트워크 디바이스로 존재합니다. SIEM 시스템은 IoT 구축을 보호하는 데 이상적입니다.

IoT 디바이스 모니터링: IoT 디바이스는 DDoS 공격을 수행하기 위해 봇넷으로 하이재킹하는 주요 표적입니다. SIEM 시스템에서 지속적으로 모니터링하면 손상된 디바이스를 나타내는 비정상적인 동작이 발생할 수 있습니다.
데이터 흐름 모니터링: IoT 장치는 암호화되지 않은 프로토콜을 통해 서로 통신합니다. SIEM 솔루션은 IoT 네트워크의 노드 간 비정상적인 트래픽 패턴을 감지하고 민감한 정보가 침해될 때 보안팀에 알릴 수 있습니다.
액세스 제어: IoT 디바이스에 액세스하는 사람과 의심스러운 활동 또는 연결에 대한 정보를 제공하는 시점을 모니터링하세요.
취약성 관리: SIEM 솔루션은 기존 운영 체제와 디바이스의 IoT 디바이스에서 패치되지 않은 취약점을 감지하는 데 도움이 될 수 있습니다. 또한, 민감한 데이터나 중요한 기능에 대한 액세스 포인트가 있는 디바이스와 같이 공격받을 가능성이 가장 높은 디바이스를 격리하는 데 도움이 될 수 있습니다.

SIEM은 IDS와 어떻게 다릅니까?

SIEM 시스템과 침입 탐지 시스템(IDS)의 주요 차이점은 SIEM이 예방적인 반면, IDS는 위협 이벤트가 발생할 때 이를 탐지하고 보고하도록 최적화되어 있다는 것입니다. 두 툴 모두 경보를 생성하고 로그를 생성하지만, SIEM 시스템만이 다양한 디바이스와 시스템에 걸쳐 해당 로그 정보를 중앙 집중화하고 상호 연관시켜 엔터프라이즈 보안에 대한 조감도를 확보할 수 있습니다.

기업들은 종종 SIEM과 IDS를 함께 사용합니다. IDS는 공격 시 도움이 됩니다. SIEM 솔루션은 이러한 IDS 로그를 다른 시스템 정보와 함께 사용할 수 있도록 하여 보안팀이 컴플라이언스 보고서를 생성하고 향후 공격을 방지할 수 있도록 합니다.

SIEM vs. SOAR: 차이점은?

보안 오케스트레이션, 자동화 및 대응(SOAR)은 블록의 새로운 아이입니다. 또한 조사 경로 워크플로우를 자동화하여 SIEM의 기능을 확장합니다. 이를 통해 경보를 처리하는 데 필요한 시간을 줄일 수 있습니다.

SIEM은 방화벽, 애플리케이션, 서버 및 장치를 포함한 여러 소스의 정보를 상호 연관시켜 위협을 식별합니다. SIEM 솔루션은 보안팀에 가장 관련성이 높은 정보를 제공하고 복구를 위한 제안을 하기 위해 노력하지만, 보안팀이 잠재적인 위협의 원인을 추적하고 복구합니다.

SOAR 플랫폼은 조사 경로를 자동화하기 위한 추가 조치를 취함으로써 이 모든 것을 수행합니다. 이는 단순히 AI를 사용하여 패턴 행동을 배우고 오케스트레이션을 통해 위협을 자동으로 해결함으로써 보안팀에게 잠재적인 위협을 알리는 것 이상의 것입니다.

일반적인 SIEM 사이버 보안 벤더

시중에 나와 있는 몇 가지 인기 SIEM 도구는 다음과 같습니다.

결론

요약하면, SIEM은 보안 정보 및 이벤트 관리를 의미합니다. SIEM 툴은 코드 주입, 랜섬웨어 공격, DDoS 공격 등 다양한 위협을 탐지하고 방어하는 데 사용할 수 있습니다. 특히 무단 액세스, 의심스러운 로그인 시도 및 비정상적인 데이터 흐름과 같은 이상을 감지하는 데 유용합니다. 여러 소스의 로그를 하나의 중앙 위치로 집계하여 보안 분석을 수행할 수 있는 보안 플랫폼이 필요한 경우, SIEM 솔루션이 도움이 될 수 있습니다.