2019.07.23

네트워크 트래픽 분석 도구의 6가지 필수 기능

Jon Oltsik | CSO
위협 탐지 및 대응을 위해서는 네트워크 행동을 이해하는 것이 매우 중요하다. ESG 조사에 따르면, 87%의 조직이 위험 탐지 및 대응을 위해 네트워크 트래픽 분석(Network Traffic Analysis, NTA) 도구를 사용하고 있으며 43%는 NTA가 위협 탐지 및 대응을 위한 “제 1방어선”이라고 말한다. 
 
ⓒ Getty Images Bank 

사이버보안 전문가들이 흔히 말하듯이 "네트워크는 거짓말을 하지 않는다." 사이버 공격에는 악성코드 배포, 명령 및 통제, 데이터 탈취 등에 네트워크 통신이 이용되므로, 숙달된 전문가들이라면 적절한 도구와 시간, 감독을 통해 악의적인 행동을 발견할 수 있어야 한다.

이처럼 NTA가 보안 분석과 운영에 필수적인 도구라면, 보안운영센터(SOC) 직원들에게 가장 중요한 NTA 기능은 무엇일까. ESG는 사이버보안 전문가 347인을 대상으로 바로 이 질문을 해 다음과 같은 결과를 얻었다.

- 44%는 내장형 분석(built in analytics) 기능이라고 응답했다. 이는 위협 탐지 기능과 속도를 개선하기 위해서이다. 이 분석 기능은 머신러닝 알고리즘, 휴리스틱, 스크립트 등을 통해 구축할 수 있다. 여기서 핵심은 잡음이 없는 고충실도(High Fidelity) 알림 기능과 데이터 입력 기능이다.

- 44%는 위협 인텔리전스 서비스와 통합이라고 응답했다. 이는 의심스러운/악의적인 네트워크 행동과 “황야에 있는” 이미 알고 있는 위협을 서로 비교하기 위해서이다. MAF(MITRE ATT&CK framework)에 대한 관심이 커진 것을 봐도 알 수 있듯이, 위협 인텔리전스는 모든 보안 도구에 매우 중요한 기능이 되었다. 따라서, NTA 도구에는 처음부터 위협 정보가 들어가 있어야 한다.

- 38%는 사물인터넷(IoT) 트래픽과 프로토콜, 장치 등에 대한 감시 기능이라고 응답했다. 이는 비교적 새로운 기능인데 필자가 볼 때 향후 1년 내지 1년 반 내에 기업의 모든 NTA 도구에 IoT 지원이 요구될 것이라고 본다.

- 37%는 연결된 네트워크 노드 전부를 감시하고 새로운 네트워크 노드가 연결될 때 알려 주는 기능이라고 응답했다. 즉, 전통적인 NAC 기능도 하면서 인가되지 않은 장치가 연결될 때는 알려 주는 NTA 도구를 원하는 것이다.

- 37%는 문서화 및 테스트를 거쳐 다른 종류의 보안 기술과 통합하는 것이라고  응답했다. 필자의 경험에 따르면, NTA 도구는 악성코드 샌드박스, EDR, SIEM , 그리고 앞서 언급한 것처럼 시기적절하고 정확한 위협 정보와 긴밀히 통합되어야 한다.

- 37%는 클라우드 트래픽을 감시하고 위협과 이상 행동을 신고하는 기능이라고 응답했다. 아마존은 최근 리인포스(re:Inforce) 컨퍼런스에서 클라우드 네트워킹에 가시성을 제공하는 새로운 VPC 트래픽 감시 기능을 발표했다. 이것이 바로 사용자들이 원하는 지속적인 클라우드 네트워크 감시 기능이다. NTA 도구는 아마존 웹 서비스, 마이크로소프트 애저, 구글 클라우드 플랫폼 등에서 엔드투엔드 네트워크 보안 가시성을 제공하도록 이런 클라우드 네트워크 감시 기능을 활용할 수 있어야 한다.

훌륭한 NTA 도구들이 많이 나와 있다. 해당 기업 요건에 맞는 것을 선택하려면 어떻게 해야 할까. CISO들에게 해 줄 수 있는 말은 NTA 도구가 앞서 설명한 6대 기능을 충족하거나 넘어서는지 확인하는 것으로 RFI/RPF 과정을 시작하라는 것이다. editor@itworld.co.kr 


2019.07.23

네트워크 트래픽 분석 도구의 6가지 필수 기능

Jon Oltsik | CSO
위협 탐지 및 대응을 위해서는 네트워크 행동을 이해하는 것이 매우 중요하다. ESG 조사에 따르면, 87%의 조직이 위험 탐지 및 대응을 위해 네트워크 트래픽 분석(Network Traffic Analysis, NTA) 도구를 사용하고 있으며 43%는 NTA가 위협 탐지 및 대응을 위한 “제 1방어선”이라고 말한다. 
 
ⓒ Getty Images Bank 

사이버보안 전문가들이 흔히 말하듯이 "네트워크는 거짓말을 하지 않는다." 사이버 공격에는 악성코드 배포, 명령 및 통제, 데이터 탈취 등에 네트워크 통신이 이용되므로, 숙달된 전문가들이라면 적절한 도구와 시간, 감독을 통해 악의적인 행동을 발견할 수 있어야 한다.

이처럼 NTA가 보안 분석과 운영에 필수적인 도구라면, 보안운영센터(SOC) 직원들에게 가장 중요한 NTA 기능은 무엇일까. ESG는 사이버보안 전문가 347인을 대상으로 바로 이 질문을 해 다음과 같은 결과를 얻었다.

- 44%는 내장형 분석(built in analytics) 기능이라고 응답했다. 이는 위협 탐지 기능과 속도를 개선하기 위해서이다. 이 분석 기능은 머신러닝 알고리즘, 휴리스틱, 스크립트 등을 통해 구축할 수 있다. 여기서 핵심은 잡음이 없는 고충실도(High Fidelity) 알림 기능과 데이터 입력 기능이다.

- 44%는 위협 인텔리전스 서비스와 통합이라고 응답했다. 이는 의심스러운/악의적인 네트워크 행동과 “황야에 있는” 이미 알고 있는 위협을 서로 비교하기 위해서이다. MAF(MITRE ATT&CK framework)에 대한 관심이 커진 것을 봐도 알 수 있듯이, 위협 인텔리전스는 모든 보안 도구에 매우 중요한 기능이 되었다. 따라서, NTA 도구에는 처음부터 위협 정보가 들어가 있어야 한다.

- 38%는 사물인터넷(IoT) 트래픽과 프로토콜, 장치 등에 대한 감시 기능이라고 응답했다. 이는 비교적 새로운 기능인데 필자가 볼 때 향후 1년 내지 1년 반 내에 기업의 모든 NTA 도구에 IoT 지원이 요구될 것이라고 본다.

- 37%는 연결된 네트워크 노드 전부를 감시하고 새로운 네트워크 노드가 연결될 때 알려 주는 기능이라고 응답했다. 즉, 전통적인 NAC 기능도 하면서 인가되지 않은 장치가 연결될 때는 알려 주는 NTA 도구를 원하는 것이다.

- 37%는 문서화 및 테스트를 거쳐 다른 종류의 보안 기술과 통합하는 것이라고  응답했다. 필자의 경험에 따르면, NTA 도구는 악성코드 샌드박스, EDR, SIEM , 그리고 앞서 언급한 것처럼 시기적절하고 정확한 위협 정보와 긴밀히 통합되어야 한다.

- 37%는 클라우드 트래픽을 감시하고 위협과 이상 행동을 신고하는 기능이라고 응답했다. 아마존은 최근 리인포스(re:Inforce) 컨퍼런스에서 클라우드 네트워킹에 가시성을 제공하는 새로운 VPC 트래픽 감시 기능을 발표했다. 이것이 바로 사용자들이 원하는 지속적인 클라우드 네트워크 감시 기능이다. NTA 도구는 아마존 웹 서비스, 마이크로소프트 애저, 구글 클라우드 플랫폼 등에서 엔드투엔드 네트워크 보안 가시성을 제공하도록 이런 클라우드 네트워크 감시 기능을 활용할 수 있어야 한다.

훌륭한 NTA 도구들이 많이 나와 있다. 해당 기업 요건에 맞는 것을 선택하려면 어떻게 해야 할까. CISO들에게 해 줄 수 있는 말은 NTA 도구가 앞서 설명한 6대 기능을 충족하거나 넘어서는지 확인하는 것으로 RFI/RPF 과정을 시작하라는 것이다. editor@itworld.co.kr 


X