[Education]/[정보보안] 악성코드 유형과 유입경로

[보안] 12. 악성코드 대응전략 프로세스 - 정책, 인식, 취약성 완화, 위협 완화, 방어 아키텍처, 침해사고대응 프로세스

starterr 2024. 10. 3. 11:00

A. 대응방안 요약

- 악성코드 사고 예방에 대한 정책을 준수

- 악성코드 사고 예방과 사후 대응을 인식 프로그램에 통합

- 악성코드 사고 예방하는데 도움 되는 취약성 안화 기능을 구현

- 악성코드 사고 예방하는데 도움되는 위협 완료 기능을 구현

- 악성코드 사고 영향을 줄이기 위해 방어 아키텍처 고려

- 악성코드 사고를 처리하는 강력한 침해 대응 프로세스를 구현

 

반응형

B. 정책(Policy)

1) 주요 이점과 쟁점

- 정책 구현의 유연성을 제공 / 잦은 업데이트를 하지 않아야 함

> 일반적이어야 하지만 정책의 의도와 범위를 명확하고 구체적으로 제작

 

- 기존 정책과 겹치는 경우

> 기존 정책을 유지하며 악성코드 대응을 위한 별도의 정책을 유지

 

- 정책 대상

> 조직에 방문하거나 조직에 접속하는 모든 사용자를 대상으로 구성

 

 

2) 핵심 고려사항

- 악성코드에 감염되기 전에 조직 외부를 통해 미디어를 검사

 

- 이메일 첨부 파일을 열기 전 검사를 요구

 

- 이메일을 통해 특정 파일(ex. exe파일)의 송수신을 금지

 

- 파일을 전송할 수 있는 응용프로그램의 사용을 제한하거나 금지

 

- 누구나 접근 가능한 시스템에 이동식 미디어(USB, 스마트폰 등) 사용 금지

 

- 여러 유형의 호스트를 파악 ( 서버, PC, 스마트폰 등 )

> 각 호스트에서 응용프로그램 파악 ( 이메일, 브라우저, 메신저 등 )

> 상황에 맞는 예상 소프트웨어 ( 백신, 컨텐츠 필터링 등 )

 

- 조직에서 발행한 모든 접근 방식을 외부에서 사용하는 것을 제한하거나 금지

 

 

 

반응형

C. 인식(Awareness)

 

1) 주요 이점과 쟁점

- IT 호스트를 사용하는 사용자의 인식을 개선

 

- 악성코드 사고 예방에 관한 지침을 제작

> 악성코드 감염 경로와 사고의 심각도를 줄일 수 있음

 

- 모든 IT 호스트 사용자가 인식해야 하는 정보

> 악성코드가 호스트에 침입하고 감염되는 방식

> 악성코드로 인해 발생할 수 있는 위험

> 사고를 방지하기 위한 기술 통제의 무능력한 부분

> 사회 공학 공격의 유형과 대응 방안

 

- 호스트 감염 여부 식별

 

- 의심스러운 사고 신고 방법

 

- 사고 처리자를 돕기 휘애 사용자가 해야 할 일을 가이드 제작

> 백신, 호스트에서 악성코드 검색

 

- 사회공학 기법에 대한 인식 활동의 일환으로 직원을 대상으로 교육

> 악성코드 예방에 댛나 기본 수준의 인식을 가짐

> 악성코드 방지 관련 작업에 대한 교육을 받아야 함

> 지속적으로 일부 IT 직원은 새로운 악성코드 위협 유형에 대한 정보를 받아 검토

> 위험 가능성을 평가하여 필요한 정보를 제공

> IT 직원에게 새로운 위협 요소를 알려 사고를 예방

 

2) 핵심 고려사항

- 알려지지 않은 발신자나 의심스러운 발신자로부터 받은 이메일 열람, 첨부 파일 실행하지 않음

> 의심스러운 링크를 클릭하여 웹 사이트 방문하지 않음

 

- 의심스러운 웹 브라우저 팝업 창을 클릭하지 않음

 

- 악성코드와 관련있을 수 있는 파일 확장명을 가진 파일을 실행하지 않음

 

- 악성코드 보안 제어 메커니즘을 비활성화하지 않음

> 백신, 콘텐츠 필터링, 개인 방화벽 등

 

- 호스트 작업 권한을 관리자 계정으로 사용하지 않음

- 신뢰할 수 없는 출처에서 응용 프로그램을 다운로드하거나 실행하지 않음

 

 

 

D. 취약성 완화(Vulnerability Mitigation)

 

1) 주요 이점과 쟁점

- 악성코드 감염에 주요 핵심 메커니즘

 

- 취약성을 완화하는 핵심은 패치를 위한 소프트웨어 업데이트

> 업데이트 시 서비스 가용성에 문제가 발생할 수 있음

 

- 취약한 문제를 일으키는 소프트웨어 재구성(비활성화 등)

 

- 취약성 완화를 위해 정책, 프로세스, 절차를 문서화

 

- 자동화 기술을 이용하여 운영

> 지속적으로 패치 모니터링

> 패치를 식별, 획득, 배포, 설치하기 위한 패치 관리 자동화

> 패치 관리 시스템(PMS, Patch Management System)

> 운영체제, 응용프로그램 목록화

> 패치 대상 파악

 

- 최소한의 권한 유지

> 공격자가 취약성을 악용하기 위해 관리자 수준의 권한이 필요할 수 있음

 

 

2) 핵심 고려사항

- 악성코드가 확산할 수 있는 불필요한 벡터가 될 수 있는 서비스를 비활성화하거나 제거

 

- 악성코드가 확산할 수 있는 안전하지 않은 파일 공유 제거

 

- 악성코드가 사용할 수 있는 호스트에 무단 접근할 수 있는 운영체제와 응용 프로그램의 기본(디폴트) 사용자 이름과 비밀번호를 제거

 

- 윈도우 호스트에서 자동 실행하는 것을 포함하여 바이너리와 스크립트 자동 실행을 비활성화

> 악성코드가 자주 사용하는 유형의 파일은 자동으로 실행되지 않도록 기본 실행 연결을 변경

 

- 호스트 강화

> 자주 사용하는 응용 프로그램에서 불필요한 기능을 비활성화

> 워드프로세스와 스프레드시트에 의한 매크로 언어 기능 제한

> 플러그인 설치하지 않도록 구성

 

 

E. 위협 완화(Threat Mitigation)

 

1) 주요 이점과 쟁점

- 조직은 악성코드가 대상에 영향을 미치기 전에 악성코드를 탐지할 필요가 있음

 

- 대부분의 취약성이 완화되었더라도 위협은 존재 가능

> 사회 공학에 의존한 공격

> 새로운 취약성에 사용할 패치가 없는 경우 ( 제로데이 공격 )

 

- 위협 완화를 위한 도구 운영

> 백신, 침해 방지 시스템, 방화벽, 콘텐츠 필터링 및 검사, 응용프로그램 화이트 리스팅 등

 

 

2) 핵심 고려사항 - 백신

- 가장 일반적인 위협 완화 통제 기술

> 시작 파일과 부트 레코드 등 주요 호스트 구성 요소 검색

> 의심스러운 활동 차단을 위해 실시간 활동 감시(On-Access 스캐닝)

> 일반적인 응용 프로그램 모니터링

> 모든 하드 드라이브에서 알려진 악성코드 정기적 검사(On-Demand 스캐닝)

> 악성코드 외 공격사 도구 식별(스캐닝 도구, 정보 조사 도구, 보안 테스팅 도구 등)

> 악성코드 치료(바이러스), 격리(트로이목마) 등 기능 구성 확인

> 호스트 기반과 네트워크 기반 백신 모두 사용

> 서로 다른 백신 운영을 위한 고려

> 중복되지 않는 악성코드 탐지 시그니처

> 라이선스, 하드웨어 및 소프트웨어 비용 등 고려

> 백신 시그니처 및 백신 자체 취약성 완화를 위한 자동화 운영

> 패치 관리 시스템 운영

> 체계적인 백신 관리를 위한 교육

> 백신이 탐지하지 못하는 알려지지 않은 악성코드에 대한 대응 방안 모색

 

 

3) 핵심 고려사항 - 침해 방지 시스템(IPS)

- 패킷 스니핑을 수행하고 네트워크 트래픽을 분석하여 의심스러운 활동을 식별하고 방지

 

- 일반적으로 인라인 방식으로 배포, 방화벽과 같은 역할을 수행

 

- 구성 우선 순위에 맞춰 진행

> 보통 방화벽 뒤에 침해 방지 시스템을 구현

> 예를 http와 https만 방화벽에서 허용하면 이 두 프로토콜을 통한 위협을 IPS로 대응

 

- 기존 악성코드 사례들을 IPS에 반영

> 이슈로 발생한 악성코드 사고의 시그니처를 제작

> 자주 발생하는 사고와 관련된 메타 데이터 기반 시그니처를 작성 - 제목, 첨부파일 이름 등

 

- NBA(Network Behavior Analysis)에 관한 고찰

 

 

4) 핵심 고려사항 - 방화벽 (Firewall)

- 명시적으로 허가받지 않고 들어오는 트래픽을 모두 거부

 

- 방화벽을 이용하여 네트워크 망분리를 진행

> 특성 부서에서 사고가 발생하면 방화벽으로 해당 부서 격리

 

 

5) 핵심 고려사항 - 응용프로그램 화이트 리스팅

- 허가된 응용프로그래만 사용하도록 화이트리스트 작성

 

- 작성 기술은 감사와 적용 두 가지 관점을 사용

> 적용(Enforcement )모드 - 위협이 높은 환경에서 사용

>> 화이트 리스트에 설정한 응용프로그램 외 모든 실행을 금지

>> 화이트 리스트에 없는 정상적인 응용프로그램도 차단 - 사용자 불편을 초래

> 감사(Audit) 모드 - 위협이 낮은 환경에서 사용

>> 화이트 리스트를 설정한 모든 응용프로글매 외 다른 응용프로그램 실행 허용

>> 화이트 리스트 외 응용프로그램 사용 모니터링 - 사고 시 빠른 침해대응조사 실행

 

 

반응형

F. 방어 아키텍처(Defensive Architecture)

 

1) 주요 이점과 쟁점

- 아무리 엄격한 취약성과 위협 완화 노력이 있어도 사고가 발생 가능

 

- 사고 영향을 줄이기 위해 방어 아키텍처를 고려

> 바이오스 보호

> 샌드박싱 (부분 & 완전 가상화를 통한 분리)

> 브라우저 분리

 

 

2) 핵심 고려사항- 바이오스 보호

 

- 바이오스 펌웨어 수정의 위험성

> 컴퓨터 시스템 영구적 서비스 거부 가능

> 악성코드가 영구적으로 운영 가능

 

- 이런 위험성이 가능한 이유

> UEFI처럼 통일된 사양을 기반으로 함

 

- 바이오스 보호와 무결성을 개선하기 위한 지침 제작

 

 

3) 핵심 고려사항 - 샌드박싱

 

- 운영체제나 응용프로그램을 수행할 수 있는 작업을 제한할 수 있는 환경을 의미

 

- 문제가 발생할 경우 초기 양호한 상태로 재구성할 수 있음

 

- 이 안에서 동작은 그 외부에 영향을 주지 않아야 함

> 구성한 샌드박싱이 안전하다는 증명이 필요

 

- 격리 운영하고, 운영되는 모든 행위를 기록

> 향후 침해사고 조사에 충분한 정보를 제공 가능

 

 

4) 핵심 고려사항 - 브라우저 분리

- 인터넷 익스플로러가 대부분의 사고의 주범

> 특히 익스플로러의 플러그인이 문제 ( 자바, 플래시 플레이어 등 )

 

- 일반적인 인터넷은 좀 더 안전한 크롬 브라우저를 사용

 

- 내부적인 인터넷은 호환성이 좋은 인터넷 익스플로러를 사용

 

 

 

G. 침해사고대응 프로세스

 

- 절차를 만들면 신속하게 행동할 수 있음

- 침해사고 대응 프로세스는 크게 네 가지 요소로 운영

 

1) 준비

- 악성코드 관련 기술 구축과 유지

- 담당자와 의사소통 미 조정

- 도구와 자원 지원 및 확보

 

2) 탐지와 분석

- 악성코드 사고 특성 확인

- 감염된 호스트 식별 ( 포렌식 방법론 적용 고려 )

- 사고 대응 우선순위 설정

- 악성코드 분석

침해사고대응 프로세스
침해사고대응 프로세스

 

3) 봉쇄

- 사용자 참여를 통한 봉쇄

- 자동 탐지를 통한 억제

- 서비스 비활성화를 통한 억제

- 연결 해제를 통한 억제

- 인수인계 권장 사항

 

4) 근절

- 복구

- 교훈과 반성

 


 

[보안] 01. 악성코드 정의, 악성코드 종류, 감염 위치, 네이밍 스키마

 

[보안] 01. 악성코드 정의, 악성코드 종류, 감염 위치, 네이밍 스키마

A. 악성코드 정의 1) 이론적 정의 - 악성코드는 악성 소프트웨어 (Malicious Software)의 줄임말 -> 컴퓨터 작동을 방해 -> 민감한 정보를 수집 -> 개인 컴퓨터에 불법 접근 - 일반적으로 악성코드는

infoofit.tistory.com

 

[CCNA] RIP & EIGRP - 개요, 구성, 특징, 검증, 명령어

 

[CCNA] RIP & EIGRP - 개요, 구성, 특징, 검증, 명령어

A. RIP1. 개요Distance Vector Protocolhop count 사용 (최대 15)RIP은 최대 4개의 ECMP를 기본으로 사용할 수 있다. 2. version 1과 21) vsersion 1레거시 프로토콜요즘엔 안 씀VLSM 미지원인증 미지원브로드캐스트 통

infoofit.tistory.com

 

[Fortinet] Fortigate SNMP 설정, 서버 연동 방법 - FGT 방화벽

 

[Fortinet] Fortigate SNMP 설정, 서버 연동 방법 - FGT 방화벽

Fortigate SNMP 설정 방법 SNMP는 SNMP Manager가 FortiGate로 정보를 요청하는 Polling(UDP 161) 방식과 FortiGate에서 이벤트가 발생할 경우 SNMP Manager로 Trap(UDP 162) 방식이 있다. 위 구성도에서 만약 FortiGate와 SN

infoofit.tistory.com

 

반응형