Cover Story

SIMS｜정보 보호와 이벤트 관리 시스템

이벤트 상관관계 기능을 중심으로 다양한 성능을 자랑하며 치열한 경쟁을 하고 있는 SIMS 제품들 중에 단연 돋보이는 제품은 시만텍의 Security Information Manager, 아크사이트(www.arcsight.com)의 Enterprise Security Manager, CA의 Security Command Center 등이다.

시만텍의 Security Information Manager가 이벤트 상관관계, 아카이빙, 배치의 편리함으로 극찬을 받으며 이벤트 관리 분야에서 최고의 위치를 차지했다. 윈도우 기반 SIEM 어플라이언스는 대상 시스템에 배치된 센서를 사용해 이벤트 데이터를 수집하고 관리한다.

이 소프트웨어는 또한 수집된 데이터에 위험 분석 매트릭스를 적용함으로써 보안 위협 발생에 대응하는데 도움이 된다. 그리고 나면 이것은 단체의 구체적인 설정, 패치 레벨, 그리고 자사 글로벌 인텔리전스 네트워크를 통해 시만텍이 추적한 알려진 취약성을 기반으로 위협 리스트의 우선 순위를 정한다.

빌트인 티켓팅과 워크플로우 기능 또한 위협이 식별되면 재빠르게 치유하기 위한 대응 프로세스를 기록하는데 기여한다. 시만텍은 하드웨어나 스토리지에 대한 막대한 투자가 필요치 않은 로그 스토리지 기능을 사용하는 이 툴이 기업들이 PCI나 SOX 및 기타 규제를 준수하는데 도움이 될 수 있다고 설명했다. 이 제품으로 사용자들은 검사하고 분석을 수행하며 데이터 기반으로 리포트를 구축할 수 있다. 또한 시만텍은 최근 이 제품에 변칙 탐지, 로지컬 그룹화, 강화 아카이빙을 추가했다.

아크사이트의 Enterprise Security Manager는 이벤트 상관관계 기능, 그리고 단체의 고유한 정책 세트와 컴플라이언스 규제에 대한 정보를 매핑하는 기능으로 좋은 평가를 받았다.

ESM이 ArcSight Logger와 함께 작동하는 이것은 이벤트 데이터를 수집하고 통일하며 사용자에 의해 생성된 규칙을 기반으로 보안 이벤트를 보고한다. 이 툴은 에이전트리스며 로그 데이터를 수집하기 위해 이벤트 소스 커넥터를 사용한다. 수집된 데이터는 파일 기반 레포지토리에 압축되고 저장된다. 아크사이트에 따르면 이것은 통일된 이벤트 데이터와 가공되지 않은 이벤트 데이터를 모두 저장할 수 있다.

ESM은 로깅 데이터를 취해 그것을 분석하고 아크사이트 콘솔에 이벤트를 표시하며 경고를 촉발한다. 또한 아크사이트는 자사의 ESM 툴이 고유의 애플리케이션과 물리적인 보안 시스템을 포함하는 커스텀 데이터 소스와 통합된다고 밝혔다. ESM의 상호관계 기능은 특정한 개인 및 사용자의 비즈니스 역할과 단체 멤버십에 연결된 이벤트를 식별할 수 있다. 이것은 또한 모든 IP 주소 기반 이벤트와 기업의 물리적인 인프라스트럭처의 이벤트를 결합시킬 수 있다.

한편 CA가 결합시킨 Security Command Center와 Audit 어플라이언스가 이벤트 상관관계와 유연한 정책 정의로 상당히 선호되고 있다.

CA Audit은 감사 로그의 역할을 하며 보안 이벤트 수집과 데이터 레포지토리를 담당한다. 이것은 데이터 수집을 위해 대상 시스템에 설치된 에이전트를 사용한다. 이 소프트웨어는 이벤트 데이터를 수집하고 걸러내며 의심스러운 행위 이벤트가 있을 시 자동으로 경고를 발송한다. 또한 집중화된 역할 기반 정책 관리와 경고 관리를 제공한다. 이 툴은 윈도우, 리눅스, 유닉스 플랫폼을 지원한다.

데이터는 CA Audit을 통해 수집된 후 Security Command Center로 보내지는데 이것은 위협 대응을 돕기 위해 이벤트를 분석하고 모니터한다. 커맨드 센터는 패턴들을 실패한 로그온 시도와 연관짓고 밝혀낼 수 있으며 의심스러운 패턴을 드러내기 위해 데이터베이스와 메인프레임 데이터를 분석할 수 있다. 결과 데이터는 사용자의 역할을 기반으로 최적화된 집중화 단일 콘솔에 표시된다. 한편, 가트너에 따르면 CA의 2006년 시장 점유율은 17%로 SIM 분야 최고였다.

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>