Embed Size (px)
Citation preview
2007. 10. 23 ㈜ 디지털씨큐장경수 연구소장
로그의 효율적인 관리방안
1금융산업 고객을 위한 통합로그관리 솔루션 세미나
디지털씨큐 소개
2004
2005
2006
2002
2003
· Logsaver Network Type 출시 (Logsaver Enterprise version)· 일본IBM과 OEM제품 공급계약체결· Logsaver Network Type 납품
- 국세청, 조달청, 한국원자력연구소, 공정거래위원회, 울산교육청, 레바논은행, 농협중앙회(1차), 국민연금공단, 대한주택공사, 자산관리공사, 해양경찰청, 인천대학교, 창원시청, 국방부 등
· Logsaver 특허등록· 서울지방 중소기업청 지정 벤처기업
· 한국 HP 통합보안관리 사업 공동 추진· 유럽 사무소 설립 (Digitalsecu EU)· 산자부 Korea Venture Center, 미국 Morgan Lewis & Blockius LLP 및
e인큐베이터 (미국) 최우수 입주 업체(1위) 심사 통과· 일본(Dreamware) 판매개시· 행정자치부 정부전산관리소 제품 납품
· Logsaver 일본특허등록· Logsaver Network Type 납품
- LG카드, 농협중앙회(2차), 산업은행, GS홈쇼핑, 청와대, 해군본부, 산업자원부, 한국수출입은행, 경남도청, 외국인카지노, 문화관광부
- 일본과학기술청· 국가정보원 정보보호시스템 보안성 검토 인정· 재정경제부 국가재정정보시스템(NAFIS) 보안강화 사업자로 선정 및 DBqr 납품
· Logsaver Network Type 납품- 한국가스공사, 대우증권, KT, 제일은행, 신한은행, 디지털예산기획단(기획예산처), 농협중앙회(3차, 4차)
등 록 번 호 : 0369535등 록 일 : 2003.1.13명 칭 : 통신망의 로그데이터 저장장치 및 방법출 원 번 호 : 특허 제2000-26975
2007 · Logsaver Network Type 납품 – 다음다이렉트보험, 현대증권, KT 등• 중국 법인 설립
2금융산업 고객을 위한 통합로그관리 솔루션 세미나
로그관리의 목적과 대상의 변화
•시스템 및 네트워크 성능 최적화•보안감사•사용자 행위 기록
■ 관리목적
■ 관리대상
Trouble Shooting
Phase Ⅰ
Phase Ⅱ
Phase Ⅲ
·Proprietary System- Banking System- Home Trading System- Business Application
·Operating System
·Firewall·IDS·Anti-Virus
보안제품
어플리케이션
운영시스템
·VPN·Access Control
·Network
· 서버의 가용성 보장 (HDD 공간 확보)· 장애원인 파악
3금융산업 고객을 위한 통합로그관리 솔루션 세미나
로그 수집의 목적
[참조 : The SANS 2007 Log Management Market Report]
0% 10% 20% 30% 40% 50% 60% 70%
To Assess IT Incidents and Minimize Downtime
Automatic Detection and Analysis of Security and Performance Incidents
IT Controls and Reporting to Prevent System Misuse, Forensics
Compliance with Industry Standards (COBIT,ISO,ITIL,NIC,PCOB,SANS)
Compliance and Prove Compliance withSOX, PCI, GLBA, HIPAA, etc
Need to Aggregate, Analyze, Alert on and Archive All Network Log Data
We Don’t Collect Logs
Other
4금융산업 고객을 위한 통합로그관리 솔루션 세미나
로그관리의 환경
Network Operation Center Security Operation Center
Network traffic,Network 작동 및가용성에 관심
사고 탐지 및 트래픽 안전에관한 보안에 관심
Regulation compliance에관심- Government regulation- Industry regulation…
5금융산업 고객을 위한 통합로그관리 솔루션 세미나
로그관리의 과제들 (1/3)
■ 로그의 생성과 저장
[참조 : The SANS 2007 Log Management Market Report]
21%
17%
16%
13%
11%
8%
14%
Collecting dataSearching dataReportingSecure StorageChain of CustodySharing Log DataThe Whole Lifecycle
Log Data Challengers
수많은 로그 소스들
일관성 없는 로그 내용
일관성 없는 타임스탬프
일관성 없는 로그 포맷
6금융산업 고객을 위한 통합로그관리 솔루션 세미나
로그관리의 과제들 (2/3)
사용자의 패스워드나 이메일 내용과 같은 민감한 정보들을 의도적, 혹은 부주의로 캡처할 수있는 가능성
저장, 전송 중에 부적절하게 관리된 로그의 의도적 또는 비의도적인 수정과 파괴의 가능성
악의적인 활동들이 감지되지 않고 증거를 조작하여 악의적 무리의 정체를 숨기도록 허용하는것을 포함하여 다양한 손상을 야기시킬 수 있는 가능성
원본 로그소스가 지탱할 수 있는 것보다 더 오래된 기간 동안 로그 파일의 복사본을 보관해야 할필요성
SVR.
■ 로그의 보호
TAPE
WORM
7금융산업 고객을 위한 통합로그관리 솔루션 세미나
로그관리의 과제들 (3/3)
71%
58%
57%
57%
55%
49%
49%
31%
Firewall logs
IDS/IPS logs
Antivirus logs
Router logs
Database logs
Enterprise applicationlogsHome grownapplicationsMainframe logs
■ 로그의 분석
[참조 : The SANS 2007 Log Management Market Report]
* Spring 2007 San Diego Log Management Summit 동안SANS팀이 IT 산업 종사자들을 대상으로 한 조사 (복수응답)
Log Data Type 선호도관리자의 다른 임무들 때문에경영진에 의해 우선순위가 낮은업무로 간주되기도 함
분석프로세스의 많은 부분을자동화하는데 효과적인 툴의 부재
요구되는 시간에 비해 이득이 적음
실시간으로 분석이 안됨
필요한 분석의 한계
타분야(회계, 관리등)과의 연계 및연동 방안 부재
8금융산업 고객을 위한 통합로그관리 솔루션 세미나
Log Management?
· 일부 방화벽에 대한 분석에특화
· 로그 데이터의 보호기능 부재
· 보안기능이 강화된 스토리지· 전문화된 로그관리 툴 부재
· 국내 ESM과 유사· 정해져있는 분석· 커스터마이징 불가
· 보안제품군에 한정된 분석· 보안장비의 관리 목적
· CRM을 위한 웹로그 분석에 특화· 시스템로그의 단편적인 분석
국내 로그관리 제품 현황
Log AnalysisTools
FirewallAnalysis
ESM
WORMStorage
OverseasProducts
9금융산업 고객을 위한 통합로그관리 솔루션 세미나
해외동향 (1/2)
Log Management
시스템, 네트워크 및어플리케이션 로그를
어떤 목적으로어떻게 관리하여
어떤 결과를 얻는가?
Security Information Management SIM
Security Event Management SEM
Security Information & EventManagement SIEM
Enterprise Security Management ESM
10금융산업 고객을 위한 통합로그관리 솔루션 세미나
해외동향 (2/2)
[출처: NETWORK COMPUTING, 2006]
Recommended Best Practices
1. 로그 관리 정책, 시행 그리고 기술2. 로그의 생성3. 로그의 보존 및 저장4. 로그의 분석5. 로그의 보호 및 보안
[참고 : NIST Special Publication 800-92, Guide to Computer Security Log Management,2006 and RSA White Paper]
12금융산업 고객을 위한 통합로그관리 솔루션 세미나
로그관리 정책, 시행 그리고 기술
정책을 위한 경영적 관리지원 제공
정책을 완전히 문서화하고 정기적인 검토를 수행하며 필요시 정책들을 업데이트
역할과 책임을 정하고 직원들을 위한 적절한 지원 제공
로그관리 정책과 관련된 다른 정책 및 절차들을 통합
확실한 업무분장
정책을 지원/유지하기 위한 로그관리 운영절차의 표준 수립
정책을 지원/유지하기 위한 로그관리 전용 인프라를 계획하고 구현
산업 전문가, 컨설턴트의 적극적인 활용
13금융산업 고객을 위한 통합로그관리 솔루션 세미나
로그의 생성과 획득
보안시스템, 네트워크 장비, 운영시스템과 상용 및 개발한 어플리케이션 모두 다 로깅이
가능하도록 보증
소스에서 로그들을 필터하지 말아야 함
수집한 로그들이 요구되는 중요 이벤트와 활동들을 포함하는지 보증
개별 사용자들을 추적할 수 있도록 고유한 사용자 식별정보 획득
모든 로그들이 완벽하고 정확하게 수집되었는지 로그관리 시스템을 테스트
타임스탬프의 동기화
패스워드, 이메일과 같은 민감한 데이터의 수집은 주의
조직내의 종업원 등 사용자 활동의 로깅을 설정할 때는 프라이버시 이슈들을 고려
14금융산업 고객을 위한 통합로그관리 솔루션 세미나
로그의 보존 및 저장
안전하고 잘 관리되는 스토리지 인프라에 로그들을 보유
저장된 데이터의 접근에 있어 ILM(정보생명주기:Information Lifecycle Management) 사용
로그데이터는 최소 15개월간 온라인에 보관 (1년 + ¼분기)
온라인 데이터의 백업데이터는 온라인 보관기간과 동일하게 near-line에 보관
최근 기록들(예.,5년까지)을 위해 near-line 스토리지를 사용하여 약 2~7+년간 유효한
아카이빙 데이터를 보관한 후 일부 중요한 기록들은 가능한 off-line 스토리지로 이전
로그보존정책이 법무 담당자들과 협의하여 개발되었는지 확인
원본 로그의 보호를 중요한 관점에서 취급
보존기한이 끝난 로그들의 폐기를 완전하게 처리
15금융산업 고객을 위한 통합로그관리 솔루션 세미나
로그의 분석
정기적으로 로그를 검토하고 분석
중앙식 로그관리 인프라를 사용하여 로그들을 통합
가능한 많은 로그분석 프로세스들을 자동화
통합분석과 오탐지를 최소화하기 위해 상관분석이 가능한 툴을 활용
로그검토의 편리성을 위해 자동화된 리포팅 툴을 사용
로그 데이터의 검토 시에는 로그 이벤트들의 실시간 모니터링을 포함
우선순위를 기반으로 경고시스템을 설정
비정상적 또는 악의적인 이벤트들을 탐지하기 위해 전형적인 로그 엔트리들의 기준을 개발
16금융산업 고객을 위한 통합로그관리 솔루션 세미나
로그의 보호 및 보안
로그 엔트리들을 생성하는 프로세스들을 보호
로그 데이터 전송을 위한 안전한 매커니즘 구현
저장 중에 있는 로그파일들을 보호
로그파일의 기밀성, 무결성 보호
로깅 매커니즘과 저장된 로그들을 위한 적절한 물리적 보안을 제공
로깅 서비스를 통한 사업연속성 유지
18금융산업 고객을 위한 통합로그관리 솔루션 세미나
Logsaver
telnet, rlogin
ftp
ssh, remote shell
TIOR 로그
시스템 로그(wtmp, sulog, syslog, xferlog 등)
loglist
미들웨어 로그(tuxedo, tmax, Weblogic, JEUS 등)
어플리케이션 로그(WAS, WEB Log 등)
patlist
시스템 주요 설정 파일 리스트감시
TCP 4010 (실시간 로그 파일 전송)
DVD 실시간 저장
HDD 실시간 저장
실시간 필터링
DB
실시간 모니터링
TCP 6020 (Logsaver 상태 정보)TCP 6030 (데이터 실시간 정보)TCP 6040 (설정 내역 전달, 검색)
LoRestorer
Log DVD Copy
LSAnalysis
로그 파일 복원
DVD 1대 1 복사본 생성
복원된 로그 파일 분석
Logsaver 상태 정보 확인
로그 파일 실시간 모니터링
로그 파일 검색
보고서 생성
서버그룹
19금융산업 고객을 위한 통합로그관리 솔루션 세미나
행위분석 – DB접속
DB서버로 통과하는 패킷을 TAP장비를 통해 패킷 수집서버에 저장패킷 수집서버에서 DB에 접속된 패킷을 추출 및 분석 저장 (DBqr 프로세스)분석된 내용을 로그 수집서버로 저장 (LogsaverNet 프로세스)DB접속 응용프로그램 (orange, golden, sqlplus)등 지원TAP 장비를 이용한 패킷 미러링 방식으로 DB서버 성능에 영향을 주지 않음접속한 DB 유저명, 사용자 IP, 접속시간, 사용한 sql문, 접속 응용프로그램 확인가능
DB서버로 통과하는 패킷을 TAP장비를 통해 패킷 수집서버에 저장패킷 수집서버에서 DB에 접속된 패킷을 추출 및 분석 저장 (DBqr 프로세스)분석된 내용을 로그 수집서버로 저장 (LogsaverNet 프로세스)DB접속 응용프로그램 (orange, golden, sqlplus)등 지원TAP 장비를 이용한 패킷 미러링 방식으로 DB서버 성능에 영향을 주지 않음접속한 DB 유저명, 사용자 IP, 접속시간, 사용한 sql문, 접속 응용프로그램 확인가능
스니핑
DB Login
터미널 Login
TAB장비
사용자계정접속
DB 서버
일반 서버
관리자
로그취합시스템
DB 사용자에 대한Audit Log 저장
DB 사용자에 대한Audit Log 저장
터미널 사용자에 대한Audit Log 저장
터미널 사용자에 대한Audit Log 저장
20금융산업 고객을 위한 통합로그관리 솔루션 세미나
행위분석-터미널접속
서버 팜
LogsaverNetTIOR
LogsaverNetTIOR
Logsaver Enterprise
실시간 모니터링 시스템
· 사용자가 Console 및 터미널을 이용해
서버에 로그인 시 Profile에 의해 자동
Keystroke 사용기록 프로세스 실행
· 사용자가 입력한 Keystroke을 실시간으로
저장
· 사용자가 접속한 tty 추적 방식을 적용하여
su 및 sqlplus에서 입력한 내용도 저장 가능
사용자가 터미널 접속 시 암호화 툴
(예 : SSH 등)을 사용하더라도 키 입력 가능
· Keystroke 사용기록 프로세스를 사용자가
강제로 종료시 사용자의 터미널 자동
로그아웃
불법적인 이용 방지
· vi 등 편집기를 이용한 사용 내역 저장
가능(국정원 보안성 검토 필 암호화 적용)
•터미널 사용기록 실시간 저장
•분석 수행
•실시간 모니터링•레포팅 수행
①
②
① 사용자가 시스템에 접속 후 수행한 모든 명령어 내역에 대한
로그를 실시간으로 기록하여 로그저장 시스템으로 네트워크를
통하여 실시간 저장
② 실시간 저장/분석된 결과를 모니터링 서버를 통하여 결과 확인
21금융산업 고객을 위한 통합로그관리 솔루션 세미나
로그의 저장
시스템에서 발생한 로그 데이터를 실시간으로 취합로그 데이터 생성 즉시 전송하므로 데이터의 무결성 보장위·변조 되지 않는 DVD-R 저장매체에 백업로그데이터의 압축 기능으로 저장매체에 대량의 데이터 저장 가능저장매체의 특성으로 반영구적 보관이 가능 (1:1복사 기능 지원으로 소산규정 만족)저장매체에 자동 라벨 지원으로 관리의 편의성 증대
최초 생성된Log File
실시간 Log File 감시/저장
위변조 불가능한 매체(DVD)
Log File생성
무결성의 Log File
Analysis
분석결과
백도어 설치!!!ROOT 권한 획
득
x월x일x시x분
IP : aa.bb.cc.xx
ID : cracker 접속
분석결과백도어 설치!!!ROOT 권한 획
득
x월x일x시x분
IP : aa.bb.cc.xx
ID : cracker 접속
최종 기록보관된Log File
변조 삭제된Log File해
킹위변조 가능한
매체에
주기적인Backup
Analysis
위변조된 Log File
분석결과
침입흔적없음
시스템상태
정상
분석결과
침입흔적없음
시스템상태
정상
최초 생성된Log File
최초 생성된Log File
실시간 Log File 감시/저장실시간 Log File 감시/저장
위변조 불가능한 매체(DVD)
Log File생성
무결성의 Log File
Analysis
분석결과
백도어 설치!!!ROOT 권한 획
득
x월x일x시x분
IP : aa.bb.cc.xx
ID : cracker 접속
분석결과백도어 설치!!!ROOT 권한 획
득
x월x일x시x분
IP : aa.bb.cc.xx
ID : cracker 접속
최종 기록보관된Log File
최종 기록보관된Log File
변조 삭제된Log File
변조 삭제된Log File해
킹위변조 가능한
매체에
주기적인Backup
Analysis
위변조된 Log File
분석결과
침입흔적없음
시스템상태
정상
분석결과
침입흔적없음
시스템상태
정상
22금융산업 고객을 위한 통합로그관리 솔루션 세미나
실시간 모니터링
수집서버에 저장된 터미널 사용기록, DB 사용기록, 시스템로그(wtmp, syslog, sulog, xferlog)를 실시간 모니터링한대의 모니터링 서버에서 다수의 로그 수집서버를 통합 모니터링 가능위험도 정의에 따른 색으로 가독성 향상로그세이버 구동 상태 모니터링 및 DVD사용 상태 모니터링 기능실시간 뷰어 사용자 정의로 위험도 레벨에 따른 모니터링 기능(터미널 사용기록의 Critical 위험도, DB사용기록의 Critical, Warning 레벨의 메시지 뷰어 가능)원격지에 위치한 로그수집서버를 하나의 모니터링 서버에서 관리 및 모니터링 가능
로그 수집 서버
Logsaver E-2000D
모니터링 서버
터미널 사용기록
DB 사용기록
시스템 로그(wtmp, syslog,sulog, xferlog)
수집서버-1 수집서버-2
23금융산업 고객을 위한 통합로그관리 솔루션 세미나
위험상황알림
DVD-R Tray Change 알람 기능로그 리스트의 파일 사이즈 변경 및 삭제 시 알람 발생터미널 사용기록 및 DB 사용기록에 대한 알람사용명령어 위험도 설정에 명령어 및 중요 파일을 설정해 두면 실시간 모니터링시 String match로Critical, Warning, Normal 메시지를 확인할 수 있음
24금융산업 고객을 위한 통합로그관리 솔루션 세미나
로그분석
다수의 이기종 서버에서 저장된 로그 파일의 통계 분석시스템 로그 파일 (wtmp, syslog, sulog, xferlog)의 패턴 분석 (High , Medium ,Low) 터미널 사용 내역 및 DB 사용 내역 분석Customizing 로그 분석(예, 수호신 방화벽 로그, SecureWorks 방화벽 로그, 기타 응용프로그램 로그)시간별, 유저별, ip대역별, Risk level 등의 조건식 분석으로 분석시간 단축
시스템 로그 분석
터미널 사용기록 /
DB 사용기록
로그 분석
25금융산업 고객을 위한 통합로그관리 솔루션 세미나
리포팅
터미널 사용 기록 및 DB 사용기록에 대한 다양한 리포팅 기능 제공종류(사용자별 Terminal 사용 내역, DB 사용자 Login 현황, DB 서버별 stmt Type 통계,DB 서버별 쿼리사용 통계)일간, 주간, 월간 통계 리포트 기능실시간 모니터링의 위험도 수준에 대한 리포트 기능
26금융산업 고객을 위한 통합로그관리 솔루션 세미나
Log Mgmt.
Report
Forensic
Alert
Correlation
Incident Mgmt.
SYSTEM
NETWORK
DATABASE
ENDPOINT
APPLICATION
CONTENTS
향후 발전 방향-Beyond Analysis
운영
보안
감사
LOG
MA
NA
GEM
ENT
LOG
MA
NA
GEM
ENT
Server Engineering
Business Operation
Compliance Audit
Risk Management
Security Operation
Network Operation
Application & Database
AggregationAggregation
AdoptionAdoption
An
aly
sis
An
aly
sis
27금융산업 고객을 위한 통합로그관리 솔루션 세미나
경청해 주셔서 감사합니다.
