오늘 공부한 내용
오늘 공부한 내용:
- ### **[보안관제 수업 총정리]** #### **1. 보안관제의 핵심 개념** * **정의:** 조직의 정보 시스템을 사이버 공격으로부터 보호하기 위해 **24시간 365일 실시간으로 모니터링**하고 대응하는 업무입니다. * **3요소:** 전문 **인력(People)**, 체계적인 **프로세스(Process)**, 그리고 이를 지원하는 **기술/시스템(Technology)**의 조화가 필수적입니다. * **기본 흐름:** 탐지 및 분석 → 초동 조치 → 사후 대응 및 보고의 사이클을 가집니다. #### **2. 보안 인프라와 주요 장비** * **네트워크 구성:** 외부 접점인 **DMZ 구간**과 보호 대상인 **내부망**을 분리하여 보안 장비를 배치합니다. * **주요 솔루션:** * **방화벽(Firewall):** 접근 제어의 기본. * **IDS/IPS:** 네트워크 침입 탐지 및 차단. * **WAF(웹 방화벽):** 웹 서비스 타겟 공격(SQL Injection 등) 전문 방어. * **로그(Log):** 모든 장비가 남기는 기록이며, 보안관제 분석의 가장 기초적인 데이터가 됩니다. #### **3. 통합 분석 시스템, SIEM** * **SIEM의 역할:** 수많은 보안 장비의 로그를 하나로 모아 **상관분석(Correlation)**을 수행하는 '보안의 브레인' 역할을 합니다. * **탐지 효율화:** * **정탐(True Positive)**과 **오탐(False Positive)**을 구분하여 실제 위협을 가려냅니다. * **화이트리스트/블랙리스트** 관리를 통해 불필요한 알람을 줄이고 관제 효율을 높입니다. #### **4. 공격 시나리오와 대응 전략** * **공격 단계 이해:** 공격자의 **정찰(Reconnaissance)** 단계부터 **침투 및 권한 상승**까지의 과정을 시나리오로 구성하여 탐지 정책을 세웁니다. * **정책 수립:** 특정 수치 이상의 트래픽을 잡아내는 **임계치(Threshold) 설정**과 특정 공격 코드를 식별하는 **패턴 매칭** 기법을 활용합니다. * **최종 목표:** 탐지된 위협에 대해 논리적인 근거를 바탕으로 분석 보고서를 작성하고 재발 방지 대책을 수립하는 능력을 기릅니다.