[로그]
1. 서버 단위
Windows Server, Unix
window: Event Log [시스템, 애플리케이션, 보안], access.log, error.log, DB Log
Unix: Message Log, audit, auth, mail, access.log, error.log
2. 클라이언트
Windows: Event Log [시스템, 애플리케이션, 보안]
3. 네트워크 기반
스위치, 라우터, 공유기, 보안 솔루션들..
Unix 계열이기 때문에 1번에서 수집해야하는 로그 위주로 수집 + 각 장비별 특성에 따른 로그 수집
ex) 스위치: 통신 테이블 내역, port에 대한 on off 설정 정보들 (config 설정 정보)
FW, IDS/IPS, WAF + 1~3번에 해당되는 로그를 모두 수집 → Splunk DB로 수집 [SIEM]
SIEM을 구축한다
FW, IDS/IPS: WAZUH로 구현
WAF: MODSECURITY로 구현
[공격유형]
1. 네트워크
스니핑, 스푸핑, DoS, DDoS, 스캐닝 → 공격들이 임계치가 존재함
→ IDS/IPS로 차단이 가능 (비정상행위) (로그인 n번 실패시 비정상행위로 감지)
접근 통제가 필요한 서버(DB)
→ F/W(방화벽)
2. 웹: WAF (Request, Response)
SQLi, XSS, CSRF, SSRF, SSTI, FileUpload, LFI/RFI, Directory Listing..
3. 내부자
자료유출(메일, 프린터, 메신저) → DLP를 통해 가능
4. 악성코드
문서형(문서파일), 파일리스(Code 기반), 실행파일(exe)
파일리스 → powershell 코드 사용 → 바로 메모리에 적재 가능 → file less
→ AV, EDR
5. 물리형태
비인가 단말기 연결, USB사용
→ NAC
(tomcat)
인터넷 --------------- 라우터 --------------- FW/IDS/IPS --------------- WAF/DMZ --------------- WAS --------------- Private
(WEB, apache)) (DB)
|
FW
|
내부망
경영진, 정보보호팀 등등)
3 TIER (WAF /DMZ, WAS, Private)
1) 인터넷에서 WAS에 직접 연결 불가능
2) 인터넷에서 DB에 직접 연결 불가능