오영택 이글루시큐리티 인프라컨설팅팀 차장

▲ 오영택 이글루시큐리티 인프라컨설팅팀 차장
[컴퓨터월드] 최근 한 국내 대기업이 이메일 해킹 무역 사기, 이른바 ‘스캠’에 의해 수십억 원대의 피해를 본 사실이 밝혀지면서 주요 기관과 기업을 노린 사이버 위협에 대한 경각심이 한층 커지고 있다. 경찰청 자료에 따르면 지난해에는 150여건의 이메일 해킹 무역 사기가 발생했고, 올해 4월까지 벌써 40여건의 피해 사고가 접수된 것으로 나타나 충격을 자아냈다.

이메일 해킹 무역 사기와 더불어 기업의 주요 자료, 업무 기밀 등을 암호화하고 이를 해제하는 대가로 금전을 요구하는 랜섬웨어 공격도 한층 증가하는 추세다. 많은 보안전문가들은 해커들이 랜섬웨어를 이용해 높은 금전적 수익을 올리고 있는 만큼, 이를 성장 원동력으로 삼고 개인을 넘어 기업을 겨냥하는 더욱 진화된 형태의 공격을 감행할 것이라 내다보고 있다.

앞선 사례에서 확인했듯이, 기업, 기관을 노린 보안 위협이 장기간의 공격을 통해 더 많은 정보를 빼내고, 더 많은 금전적 손실을 입히는 방향으로 진화하고 있다. 실제로, 이탈리아 보안 전문가 파울로 파세리(Paolo Passeri)가 올해 4월 블로그 hackmageddon.com에 발표한 사이버 공격 통계에 따르면, 사이버 공격의 동기는 사이버 범죄(73.9%), 핵티비즘(12.0%), 사이버 스파이 행위(3.3%) 순으로 사이버 범죄가 큰 비중을 차지하고 있음을 확인할 수 있었다.

▲ 사이버 공격 동기 (출처: hackmageddon.com)

주요 기관, 기업을 노린 사이버 위협에 대한 경각심이 날로 높아지고 있는 만큼, 새로운 보안 솔루션 도입을 통해 수많은 보안 위협에 대처하고자 하는 움직임도 가속화되고 있다. 엔드포인트 또는 네트워크 단에서 유출 경로에 대한 사전적 통제를 통해 내부정보의 유출을 예방하거나, 기업의 중요 문서를 암호화하는 것이 대표적인 예이다.

그러나 신기술로 무장한 보안 솔루션 도입에도 기업, 기관을 노린 사이버 공격은 지속적으로 증가하고 있으며, 이에 따른 피해 규모 역시 점점 늘어나는 상황이다. 포네몬 연구소(Ponemon Institute)가 2009년부터 2015년에 걸쳐 미국 기업을 대상으로 조사하여 발표한 보고서에 의하면, 사이버 공격 대응을 위해 기업 당 투입하는 평균 비용은 2009년(190만 달러)에서 2015년(6,500만 달러) 사이 무려 82%나 증가했지만, 사이버 공격으로 인한 피해 규모는 감소하지 않고 매년 20%씩 증가한 것으로 나타났다.

국내 보안 환경도 유사한 흐름을 보이고 있다. 2013년 발생한 3.20 사이버 테러 이후, 많은 기업, 기관들이 기업의 정보보안 수준을 점검하고, 다양한 보안 장비를 새롭게 도입하면서 안전한 정보보안체계 구축에 박차를 가했지만, 한국수력원자력 내부 자료 유출을 비롯한 대규모의 사이버 공격이 잇달아 발생하는 등 단기적 대책에 불과하다는 목소리가 나왔던 것이 사실이다.

고도화된 보안 위협에 대응하기 위한 보안관제의 중요성

신기능, 고성능으로 무장한 보안 솔루션 도입에도 더 많은 보안 사고가 발생하고 있는 이유는 무엇일까? 우선적으로, 상당수의 기업들이 경계 기반에 집중된 수동적이고 제한적인 방어 전략을 고수하고 있다는 것에서 문제점을 찾을 수 있다. 기업의 IT환경에 대한 가시성을 확보하지 않은 채 외부에서 내부로 들어오는 경계에만 집중하고 있는 만큼, 침입 경로를 수시로 바꾸고, 임직원처럼 겉모습을 위장하며, 기업 내부 시스템들을 수개월 동안 옮겨 다니다 취약점을 간파해 공격을 감행하는 지능적인 공격자의 행위를 탐지하기에는 한계가 있을 수밖에 없다. 침입자는 이미 집 안에 들어왔는데, 문단속만 철저하게 하는 식이다.

또한, 표준화 된 보안관제 프로세스가 마련되지 않았다는 점 역시 문제로 지적된다. 고도화된 사이버 공격은 시간과의 싸움이다. 정보 수집부터 분석, 사고 대응, 보고, 후속 조치에 달하는 일련의 대응 프로세스가 확립되지 않았다면, 공격을 탐지해도 빠르게 대응하지 못해 공격에 따른 피해가 확산될 우려가 있다. 일련의 대응 프로세스를 주체적으로 확립할 수 있는 기업과 기관은 매우 드물다. 사이버 공격의 최전방에서 쌓아온 실전 경험이 부재하며, 예산의 문제로 지속적인 대응 훈련을 실시하기도 어렵기 때문이다.

무엇보다도, 보안 솔루션 운영 및 관리, 탐지/분석/대응, 예방 업무를 모두 아우를 수 있는 검증된 전문 인력 확보가 어렵다는 점에 주목해야 한다. 보안시스템에서 발생하는 이벤트나 이상 징후를 알아차리고, 이것이 위협인지 아닌지를 정확하게 판단하기 위해서는 전문적인 역량과 지식, 경험을 갖춘 인력 개입이 필수적으로 요구된다. 그러나 현실적으로 모든 기업이 대용량의 보안 데이터를 효율적으로 수집 분석하고, 보안 위협에 선제적으로 대응할 수 있는 전문 인력을 확보하기에는 한계가 있는 것이 사실이다.

이와 같은 관점에서, 기업, 기관의 내부 IT 인프라가 보안 위협에 노출되지 않도록 24시간 365일 지켜보고, 위험요소 발견 시 즉각 대처할 수 있도록 정보보호시스템에 대한 운영 및 관리를 대행하는 보안관제 서비스에 대한 수요가 점점 높아지고 있다. 다년간 축적된 경험과 전문 지식에 기반해 기업 전반에 걸친 가시성을 확보하고, 보안 관리의 복잡성을 해소하며, 위협에 맞서 보다 정확하고 빠른 의사결정을 내리기 위해서다. 이에 보안관제 서비스의 영역과 형태, 핵심 구성 요소에 대해 알아보는 시간을 가지고자 한다.

<표 1> 대한민국 보안관제 전문 업체 지정 현황 (출처: 한국인터넷진흥원)

1 (주)이글루시큐리티 8 (주)윈스
2 한국통신인터넷기술㈜ 9 롯데정보통신㈜
3 (주)안랩 10 (주)에이쓰리
4 한전KDN㈜ 11 (주)시큐어원
5 (주)싸이버원 12 한솔넥스지㈜
6 에스케이인포섹㈜ 13 (주)포스코ICT
7 유넷시스템㈜ 14 (주)ktds

보안관제 핵심 업무 영역 및 제공 형태

일반적으로 보안관제 업무는 업무 성격에 따라 크게 3가지로 구분된다.

첫째, 보안 장비, 시스템의 장애를 파악하고 이력을 점검하며 보안 규제 준수 여부를 살펴보는 일련의 활동을 포함하는 ‘운영 및 관리’ 업무이다. 각종 보안 장비가 기업의 IT환경에 맞게 제대로 작동되고 있는지, 정책이 올바르게 설정되어 있는지, 각종 보안 장비를 수시로 관리하고 적절하게 운용 할 수 있는 능력이 요구된다. 방화벽, IDS, IPS, UTM, WAF, DDoS 대응 장비 등 여러 보안 장비에 대한 지식과 사용 경험, 최신 보안 규제에 대한 지식이 뒷받침돼야 함은 물론이다.

둘째, 공격자의 행위를 빠르게 탐지하고 이중 우선적으로 해결해야 할 이슈, 위협 요소, 사고를 빠르게 판별해 대응하는 ‘탐지/분석/대응’ 업무이다. 오늘날 공격이 지능화되고 다양화되고 있는 만큼, 네트워크 전반에 걸친 모든 정보의 흐름을 보다 빠르고 정확하게 인지해 다양한 위협을 확인하고 이에 대처할 수 있는 능력이 요구된다. 침해사고 발생, 악성코드/링크를 포함한 이메일 수신, 내부 정보 유출, 기업을 대상으로 한 디도스 공격 감행 여부 파악 등이 이에 해당된다.

셋째, 사고가 발생하는 것을 막고, 발생하는 경우에는 기민하게 대응해 피해를 최소화하기 위한 ‘예방 업무’이다. 알려진 공격은 물론 알려지지 않은 위협에도 기민하게 대응할 수 있도록 서버, 애플리케이션, 네트워크, SW 취약점을 점검하고, 유해 IP와 악성 URL 등 최신 위협 정보를 업데이트하며, 임직원을 대상으로 한 모의 훈련을 실시하는 등 고도화된 위협에 대한 방어력을 높이고 임직원의 정보보안 인식을 제고하는데 주안점을 두고 있다.

보안관제 업무는 대응 프로세스에 따라 구분될 수도 있다. 일반적으로, ▲이기종의 보안 장비에서 나오는 다양한 보안 데이터를 수집하는 ‘정보 수집 단계’ ▲경보 발생에 따른 침해사고 및 해킹 패턴을 분석하고 다양한 장비에서 생성된 보안 데이터와 내·외부에서 수집된 최신 보안 위협 정보를 상관 분석하는 ‘모니터링/분석 단계’ ▲공격으로 판단되는 이벤트에 대한 원인 및 대응책을 마련해 대응하는 ‘대응/조치 단계’ ▲침해사고 처리 및 장애 처리 결과를 정리하고 이를 관련 부서에 전달하는 ‘보고 단계’의 4단계로 나눠진다.

▲ 보안관제 서비스 프로세스 (출처: 이글루시큐리티)

일반적으로, 보안관제 서비스는 고객의 특성을 고려한 서비스 제공 형태에 따라 크게 3가지 유형으로 제공되고 있다. ▲관제센터에서 고객사의 보안 시스템을 원격으로 운영, 관리하는 형태로 비용효율성이 뛰어난 ‘원격관제’ ▲보안관제 인력이 고객사에 상주하며 서비스를 제공해 침해/장애 발생 시 즉각적인 조치가 가능한 ‘파견관제’ ▲기본적으로 원격에서 관제하되 침해 사고나 장애가 발생할 시에는 인력을 파견하여 빠르게 조치를 취하는 ‘혼합형 관제’로 구분되고 있다.

▲ 보안관제 서비스 종류 (출처: 이글루시큐리티)

보안관제의 핵심 구성 요소 - 시스템, 프로세스, 인력의 유기적인 결합

이렇듯 보안관제 업무의 범위와 형태가 한층 넓어지고 세분화됨에 따라, 보안관제의 핵심 구성요소인 관제시스템, 관제프로세스, 관제인력 역시 변화를 거듭하고 있다. ▲기업 경계 및 내부의 각 연결지점에 있는 이기종의 정보보호시스템에서 방대한 보안 데이터를 수집하고(관제시스템) ▲이렇게 수집된 데이터를 검색, 분석하여 공격의 유효성을 검증하고 대응 우선순위를 정하며(관제인력) ▲우선순위에 의해 공격을 차단하고, 대응하여 피해를 최소화 하는 프로세스(관제프로세스)가 마련돼야 하기 때문이다.

보안관제의 주요한 무기가 되는 보안관제 시스템

우선적으로 요구되는 것은 각 포인트 단에서 취합된 보안 데이터를 한 곳에 수집해 모든 정보의 흐름을 한눈에 직관적으로 인지할 수 있는 통합된 관제 환경 구성이다. 사소한 공격 하나라도 기업 전체를 치명적인 위협에 빠뜨릴 수 있는 보안홀이 생길 수 있는 만큼, 일어나는 모든 일을 지켜보고, 이상 징후를 발견 즉시 전파하며, 허술한 곳은 없는지 낱낱이 살펴보고 빈틈을 메워 놓을 수 있게 하는 것이다.

기존 ESM 솔루션의 경우 모든 로그가 한 곳에 수집되지 않아, 분석을 수행할 시에는 해당 보안 장비의 로그를 다시 확인해야 했던 불편함이 있었던 것과 달리, 최신 보안관제 시스템은 방화벽, IDS, IPS, UTM, WAF, DDoS 대응 장비 등 다양한 이기종의 보안 장비로부터 생성되는 기가바이트 급의 보안 데이터를 한 곳에 빠짐없이 수집·저장하고, 이를 분석해 취약점과 위협 요인을 보다 빠르게 탐지하고 위험을 대응하는 형태로 진화하고 있다. 공격자의 활동 시간을 단축시켜 더 큰 피해가 발생하는 것을 방지하는 것이다.

특히, 이기종의 보안 장비에서 생성되는 방대한 분량의 보안 데이터를 다양한 관점에서 분석하는 ‘상관분석’ 기능 구현 측면에서 주목할 만한 변화를 보이고 있다. 기존 단일 로그 중심 분석에서 나아가, 이기종의 보안 장비에서 생성되는 모든 로그, 네트워크 데이터, 시스템 이벤트를 수집하고 이를 내·외부 위협정보와 함께 통합적으로 분석함으로써 공격의 유효성을 검증하여 관제의 정확성을 높이는 형태다.

▲ 보안관제 솔루션의 필수 요건 (출처: 이글루시큐리티)

보안관제의 나사 역할을 하는 보안관제 프로세스

지속적인 훈련을 통해 정립된 ‘프로세스’ 역시 보안관제 체계 구축에 있어 중요한 요소로 꼽힌다. 표준화 된 관제 절차 부재로 공격에 빠르게 대처하지 못했다면 피해가 눈덩이처럼 불어날 수 있기 때문이다.

보안관제 프로세스는 정보 수집부터 분석, 사고 대응, 보고, 후속 조치까지 실전 공격과 위기 상황에 보다 기민하게 대응하기 위해 진화하고 있다. 실제 환경과 흡사한 형태의 모의 대응 훈련을 지속적으로 실시해 관제 룰셋 및 대응 프로세스를 점검하고, 유관 기관과의 협력 및 공동 대응 여부를 확인하며, 각 단계별로 담당자 역할은 명확하게 정의되어 있는지 점검하는 것이 대표적 예이다.

고도화된 공격에 기민하게 맞설 수 있는 보안 인력

고도화된 사이버 공격에 보다 기민하게 맞서기 위한 보안 인력 역시 보안관제에서 빼 놓을 수 없는 핵심 요소 중 하나다. 보안 장비는 경보를 보낼 뿐 이를 스스로 분석하지 않기 때문에 경보를 확인하는 것에서 더 나아가 이것이 공격인지 아닌지, 공격이라면 어느 공격이 더 위험한지 빠르고 정확하게 분석하고 대응할 수 있는 전문 보안 인력 확보가 필수적으로 요구된다.

이에 이글루시큐리티를 비롯한 주요 보안관제 서비스 제공업체들은 지능화된 최신 위협에 대한 교육 및 시나리오 기반의 복합 훈련을 정기적으로 실시하고 있다. 보안 이벤트 간의 상관관계를 통찰력 있게 바라보고 현재의 위협은 물론 잠재적인 미래의 위협에도 대처할 수 있는 전문 역량을 확보하기 위해서다.

날로 지능화되는 사이버 위협, 선제적인 보안관제 체계 구축으로 맞서야

‘1:29:300’

대형사고 1건이 일어나기 전에 그와 관련된 경미한 사고가 29번 발생하고, 이에 앞서 300건 이상의 사소한 징후가 나타난다는 하인리히 이론이다. 정보 보안 분야 역시 이 이론에서 예외는 아니다. 초기 단순한 바이러스로 시작되었던 사이버 공격이 점차 다양해지고 정교해지고 있는 만큼, 단 1건의 이상 행위를 놓치는 것만으로도 기업 인프라 전체가 다운되거나 주요 정보가 유출되는 막대한 피해가 발생할 수 있기 때문이다.

날로 지능화되는 오늘날의 사이버 위협은 관제 시스템, 관제 프로세스, 관제 인력이 유기적으로 결합된 보안관제 체계를 구축할 것을 요구하고 있다. 기업의 IT 환경을 노리는 위협에 대한 가시성을 확보하고, 방대한 보안 데이터에 대한 분석을 통해 공격에 빠르게 대처하는 지능형 보안관제 체계 구축은 기업의 성장과 영속성에 큰 영향을 주는 필수 요건이 될 것이라 생각한다.

 

<Contribution>

Security Monitoring Standing at the Forefront of Cyber Attacks


▲ Oh Young Taek Deputy General Manager, Infra Consulting Team, IGLOO SECURITY, Inc.
[Computerworld] Due to a recent news story that a major conglomerate in S. Korea suffered from a financial damage amounting to several millions of US dollars by an email-hacking trading fraud, so to speak, a ‘scam’, alerts to cyber threats targeting major organizations and corporations have been heightened. According to Korean National Police Agency, more than 150 email-hacking trading frauds occurred last year, and until April this year, more than 40 damaging incidents have already been reported, shockingly.

Along with email-hacking trading frauds, ransomeware attacks that encrypt important documents and business secrets, and request money as a reward for decrypting them is also increasing further. Many security experts predict that since hackers make significant monetary profits using ransomeware, there will be more advanced ways of attacking, taking advantage of this trend as a growth momentum to target corporations beyond individuals.

As we have witnessed in the aforementioned episode, security threats aiming at corporations, and organizations by employing long-term attacks have progressed towards retrieving more information, thus inflicting more financial losses. Indeed, according to the cyber attack stats that an Italian security expert, Paolo Passeri, published in his blog, hackmageddon.com, April this year, the motives of cyber attacks are cyber crimes(73.9%), hacktivism(12.0%), and cyber espionage(3.3%), in order, and from this, we may know that cyber crimes cover a large portion amongst them.

▲ Cyber Attack Motives (Source: hackmageddon.com)

As the alerts towards cyber threats to major organizations and corporations have increased, efforts to cope with numerous security threats through the introduction of new security technology solutions have been accelerated. Typical examples are preventing the leakage of inside information via preemptive controls over leakage routes at end points or in the network end, or encrypting important documents of a corporation.

However, despite the introduction of security solutions armed with new technologies, cyber attacks on organizations and corporations have continually increased, and the size of damages resulting from such attacks is also on the rise. According to the report that Ponemon Institute published after surveying American corporations from 2009 to 2015, although the average cost spent on grappling with cyber attacks per corporation has increased 82% from 1.9million dollars in 2009 to 65million dollars in 2015, the scale of damages from cyber attacks has not decreased. It has rather increased 20% per annum.

Domestic security environments exhibit similar trends. After the 3.20 Cyber Terror that took place in 2013, many corporations and organizations checked their information security levels and expedited establishing safe information security systems via procuring a variety of new security equipment. However, a voice came out criticizing that those are only short-term measures as large-scale cyber attacks, such as the inside material leakage from Korea Hydro & Nuclear Power(KHNP), have continually occurred.


The Importance of Security Monitoring to Counteract Advanced Security Threats 

What would be the reason that more security accidents are still happening in the teeth of the introduction of security solutions loaded with new capabilities and high performance?

First, we may locate problems in that a significant number of corporations keep passive and limited defense strategies only concentrated on the warning basis. Because they focus on warnings only alerted from outside to inside without securing visibility over a corporation’s IT environment, there must be limitations in detecting behaviors of an intelligent attacker who changes intrusion routes frequently, disguises oneself as an employee, and moves across internal systems of a corporation over several months to find vulnerable points. It is like an intruder is already inside, yet only trying to keep the doors locked.

Also, the fact that standardized security monitoring processes were not established was pointed out as a problem. Advanced cyber attacks are a wrestle with time. If a series of reactive processes, which range from information collection to analysis, response to an accident, reports, and follow-ups, are not established, there is a potential risk that damages caused by an attack may spread further due to the inability to counteract speedily despite the detection of the attack.

The corporations and organizations capable of establishing a set of reactive processes independently are very rare. For there are a lack of real situation experiences gained from the forefront of cyber attacks as well as difficulty to conduct reactive exercises continuously due to the budget issue.

Above all, we should pay attention to the point that it is difficult to acquire proved professional human resources able to do the complete spectrum of security solution operations and managements, detections/analyses/response, and preemptive tasks. The intervening by such people equipped with professional ability, knowledge, and experience is necessary by all means to perceive an event raised from security systems along with any abnormal symptoms and accurately determine whether it is a threat or not.

However, realistically, it is true that there are limitations imposed for all corporations with regard to collecting and analyzing large-sized security data efficiently as well as acquiring professional human resources who are able to preemptively act against security threats.

From this point of view, the demand for security monitoring services that act as an agent for operation and management of information protection systems to monitor for 24x365 to keep the internal IT infra of corporations and organizations from being exposed to security threats and to immediately counteract in case of discovering any hazardous factor.

This is for securing visibility across an entire corporation based upon accumulated experiences and professional knowledge over many years, resolving complexity of security managements, and making a fast and accurate decision against threats. In this regard, let us take a time to get to know the areas and types of security monitoring services and core building blocks.

<Table 1> - Status of Designated Professional Security Monitoring Enterprises in S. Korea (Source: Korea Internet & Security Agency)

1 IGLOO SECURITY 8 Wins
2 ICT Intelligent Security 9 Lotte Data Communication
3 Ahnlab 10 A3 Security
4 Korea Electric Power Knowledge Data Network 11 SecureOne
5 CyberOne 12 Hansol NexG
6 SK Infosec 13 POSCO ICT
7 UNET system 14 KT DS


The Core Work Areas and the Offering Types of Security Monitoring

Generally, depending upon the work nature, security monitoring works are largely categorized into 3 areas.

First, it is the ‘Operation and Management’ work, which includes a set of activities such as diagnosing system faults, checking histories, and checking the compliance with security regulations. Required is the ability to frequently manage and properly operate diverse security equipment to see whether or not various security equipment are properly operating for the IT environment of a corporation and whether or not policies are correctly configured. Of course, knowledge as per different security equipment such as firewalls, IDS, IPS, UTM, WAF, and DDoS counteracting equipment as well as usage experiences, and knowledge of latest security regulations should be underpinned.

Second, it is the work of ‘detections/analyses/counteractions’ that detects behaviors of an attacker quickly and decides priority issues, threat elements, and accidents quickly as well to counteract. As much as attacks are getting intelligent and diverse nowadays, the ability to check the flow of information across overall networks faster and more accurately to identify different threats, and to counteract accordingly are required. Intrusion incidents, receiving emails including malicious codes/links, leakages of inside information, and DDoS attacks against corporations correspond to this category.

Third, it is the ‘preventive’ work to prevent occurrences of accidents and minimize damages by counteracting nimbly in case of an occurrence. Its primary focuses are to increase defense capabilities against advanced threats and to improve awareness of information security to employees such as checking vulnerable points of servers, applications, networks, and software to swiftly counteract both known and unknown threats, updating latest threat information such as harmful IPs, and malicious URLs, and performing mock exercises for the employees.

Security monitoring tasks can also be categorized in accordance with reactive processes. Generally, it is divided into 4 steps: ▲‘Information Collection Process’, which gathers various security data from disparate security equipment ▲‘Monitoring/Analysis Process’, which analyzes intrusion incidents and hacking patterns following alarms alerted and cross-examines the security data created from various equipment and the latest security threat information collected from inside and outside ▲‘Response/Actions Process’, which prepares causes and counteractive measures with regard to events determined as attacks, and then performs counteractions ▲‘Report Process’, which organizes the results of processing intrusion incidents and faults, and forwards them to the relevant departments.

▲ Security Monitoring Service Process (Source: IGLOO SECURITY)

Generally, security monitoring services can be roughly categorized into 3 patterns according to the types of service offered, considering the attributes of customers. ▲‘Remote Monitoring’, the type that remotely operates and manages security systems of customers from the monitoring center, hence showing excellence in cost efficiency ▲‘Dispatch Monitoring’, which enables immediate reactions in times of intrusions/faults by having security monitoring staff always stay at the customer premise. ▲‘Hybrid Monitoring’, which remotely monitors ordinarily, but dispatch its fleet quickly in times of intrusion or faults to counteract.

▲ Security Monitoring Service Types (Source: IGLOO SECURITY)

Core Building Blocks of Security Monitoring - Organic Combination of Systems, Processes, and Fleets 

As such, as the scopes and the types of security monitoring works broaden and refine, core building blocks of security monitoring such as monitoring systems, monitoring processes, and monitoring fleets reiterate changes likewise. ▲A Monitoring System that gathers a vast amount of security data from disparate information security systems at the boundaries of a corporation as well as each internal linkage point; ▲a Monitoring Fleet who searches and analyzes such collected data, verifies validity of attacks, and sets priorities of countermeasures; and ▲a Monitoring Process that minimizes damages by blocking and responding to attacks according to the priorities, must be prepared.

Security Systems That Become a Major Weapon of Security Monitoring

What’s required on priority is to set up an integrated monitoring environment that enables intuitive recognition at a glance of the flow of all the information by collecting security data gathered at each point end to one place. As it is possible that a security hole, which can endanger an entire corporation to a fatal threat by a trivial attack, can happen, it is necessary to monitor all events taking place, to spread any abnormal signs as soon as they are discovered, to check thoroughly to see if there is any vulnerable defense point, and to mend such a point if found.

In case of previous ESM solutions, in which inconveniences existed because they have to re-check the log of the corresponding security equipment while doing an analysis due to the fact that all logs were not collected in one place, recent security monitoring systems are evolving toward the type in which security data at the gigabyte level created from various disparate security equipment such as firewalls, IDS, IPS, UTM, WAF, and DDOS counteraction equipment can be collected and stored at one place, analyze them to detect vulnerable points and threat elements a step ahead, and react to such hazards. It is to reduce the activity time of attackers so as to prevent bigger damages occurring.

Especially, a number of noteworthy changes have been made in the aspect of implementing ‘correlation analysis’ function that analyzes a vast amount of security data created from disparate security equipment. Advancing from existing singular log analysis, it is the type in which the accuracy of monitoring is increased by collecting all logs, network data, and system events created from disparate security equipment, and analyzing them with threat information from both inside and outside collectively to verify the effectiveness of the attack.

▲ Essential Conditions of Security Monitoring Solutions (Source: IGLOO SECURITY)

Security Monitoring Processes That Play a Role as a Screw

‘Processes’ streamlined through continuous trainings are also considered to be an important element in establishing a security monitoring system. If not reacted to attacks quickly enough due to the lack of standardized monitoring processes, damages can be snowballing.

Security monitoring processes have been evolving to react to real attacks and crisis situations more nimbly from information collection to analysis, responding to incidents, reports, and follow-ups. Typical examples are to check monitoring rule sets and response processes via continuous mock exercises of counteractions similar to real environments, to check whether or possible to collaborate with related organizations and to jointly react, and check if the roles are clearly defined for officers in each stage.

Security Fleets Capable of Nimbly Reacting to Advanced Attacks

The security fleet to counteract to advanced cyber attacks more nimbly is also an indispensable core building block in security monitoring. Since security equipment just triggers alarms, and not analyze them by themselves, professional security fleets, in addition to checking alarms, are required to accurately analyze whether they are attacks or not, and if they are attacks, to determine exactly which attack is more hazardous, to be followed by necessary counteractions.

Hence, major security monitoring service enterprises such as IGLOO SECURITY regularly conduct combined mock exercises based upon education and scenarios for latest intelligent threats. It is to secure professionals who have the insights for the correlation between the security events, and to respond to the present threats as well as potential future threats.


Must Stave Off Cyber Threats Getting Intelligent Daily by Establishing Preemptive Security Monitoring Systems 


‘1:29:300’

It is Heinrich’s theory that in a workplace, for every accident that causes a major injury, there are 29 related accidents that cause minor injuries and prior to that, more than 300 minor signs. Information security field is also no exception to this theory. As cyber attacks that started as simple viruses at the beginning are getting more diverse and refined, slipping a single abnormal behavior may cause a massive damage such as an entire corporation's infra getting down or a leakage of highly important information.

Today’s cyber threat that gets intelligent day by day requires establishing a security monitoring system that organically integrates a monitoring system, a monitoring process, and a monitoring fleet. To secure visibility of the threats aiming at corporations’ IT environments, and to build an intelligent security monitoring system capable of swiftly counteracting to attacks via analyzing a vast amount of security data seems an undeniably indispensable requirement, which affects heavily on the growth and long-lasting existence of corporations.

저작권자 © 아이티데일리 무단전재 및 재배포 금지