보안

고삐 풀린 보안 경고를 재조정하라

Antone Gonsalves | CSO 2014.05.16
기업들은 매일 보안 시스템으로부터 발생하는 터지는 경고의 범람으로 업무를 진행할 수 없는데, 이는 보안 시스템에서 일부 옵션을 조정하면 제어권을 회복하고 네트워크 방어를 향상시킬 수 있다.

보안개발업체 담발라의 최근 보고서에 따르면, 일반적인 북미 기업들은 총 15만 건의 네트워크 경고와 함께 일일 평균 1만 건 경고와 싸워야 했다. 이 수치는 ISP 업체와 기업들의 트래픽 분석으로부터 나왔다.

이는 경고의 대부분을 발생시킨 SIEM(security information and event management) 제품군의 책임이다. SIEM은 기업 네트워크에서 하드웨어와 소프트웨어의 비정상을 감지해 경고 방아쇠를 당긴다.

경고의 범람과 싸우기 위해 기업들은 다른 악성코드 탐지용 모델로 전환하거나 자사가 갖고 있는 SIEM 시스템을 좀더 잘 사용하기 위해 별도로 교육을 받아야 한다.

컨설팅업체 시큐어스테이트 전략 기획 이사 매튜 닐리는 "결국 기업들은 감지 비용을 줄이고 대체 기술로 전환할 것"이라고 충고했다.

닐리는 "나는 기업 고객이 소유한 기술을 아주 유용하게 사용하게 만드는 걸 아주 좋아한다.
한때 고객들은 기술들을 아주 잘 사용했다. 그래서 좀더 나은 가시성을 줄 수 있는 다른 기술들도 찾게 됐다"고 설명했다.

시큐어 아이디어 수석 컨설턴트 제이슨 우드는 "SIEM 시스템을 사용하기 위해서는 기본적인 세팅을 해야 하는데, 기업들은 기술을 너무 믿고 있다"고 말했다.

일부 기업들은 이 기기를 도입하면서 그들의 환경을 맞춰 무언가를 해주고, 그들이 알아야 하는 것이 무엇인지 마법처럼 말해주기를 바라고 있다.

우드는 "문제는 이 제품들이 이런 일들을 자동적으로 하지 못한다는 데 있다. 이를 유용하게 사용하기 위해서는 누군가 시스템에 작업을 해야 한다"고 설명했다.

우드는 매일 각 시간대별로 정상적인 보안 리뷰와 로그 데이터, 데이터와 이벤트를 측정해 네트워크 내 설정을 한 뒤, 비정상적인 것만 시스템 경고를 할 수 있도록 규명하는 것이 중요하다고 권고했다.

우드는 "이 환경에서 시스템을 훈련함으로써 우리는 이벤트에 대한 좀더 나은 자동 반응을 얻을 수 있다. 우리는 실제로 기업에 중요하고 의미가 있는 것에 초점을 맞출 수 있다"고 덧붙였다.

닐리는 민감한 데이터가 저장된 곳을 파악해 모니터링을 그곳에 집중시켜 잡음을 없애는 방법을 좋아한다.

닐리는 "추가적으로 우리는 기업들에게 매우 중요한 시스템을 보호되는 네트워크 내로 이전할 것을 권고한다. 이 네트워크는 좀더 높은 보호 단계를 갖고 있어야 하며 모니터링 초점을 맞춰야 하는 곳이기도 하다"고 설명했다.

NSS 랩 연구 이사 크리스 모랄레스는 기업들은 전통적인 SIEM 시스템보다 소수의 경고를 만들어내는 아웃바운드 트래픽 모니터 기술을 채택하는 것을 권고했다. editor@itworld.co.kr
 Tags SIEM

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.