| 美 해군 사이버 방어 운영본부의 SIM | 2006.10.31 | |||
美 해군 사이버 방어 운영본부 경보와 분석
<NCDOC 기술 지휘관 짐 그랜저 (Jim Grandger)> 미국 해군의 컴퓨터 네트워크 모니터링을 담당하는 해군 사이버 방어 운영 본부(NCDOC)는 가능한 공격을 탐지하기 위해 새로운 센서들을 추가하자 몹시 바쁘게 됐다. 추가된 네트워크와 센서들로 인해 데이터가 쇄도했기 때문이다. “쏟아지는 데이터들은 사람들이 처리할 수 있는 능력을 훨씬 초과했다”고 NCDOC 기술 지휘관인 짐 그랜저(Jim Grandger)씨는 말했다. NCDOC은 모든 보안사건 데이터를 관리할 시스템이 필요했고, 백 엔드에서 SAS 데이터 웨어하우스와 결합된 e-씨큐리티로부터 소프트웨어 솔루션을 정하기로 결정했다. 노벨(Novell)은 2006년 4월에 e-시큐리티를 취득했다. “e-시큐리티는 실시간에 가까운 프론트 엔드(Front End)를 제공하고, 다양한 차별화된 데이터 소스를 취할 수 있고, 감시 사령관에게도 즉시 실행 가능한 경보를 제공할 수 있다. 그러면 우리는 장기 트렌드 분석을 통해 우리의 SAS 데이터 웨어하우스 백 엔드 안으로 e-시큐리티의 자료를 분리해 보내기 시작한다”고 그랜저씨는 말했다. 배치는 처음에 파일럿 프로젝트로 시작돼 뫼비우스로 다듬어지고, 이제 프로메테우스라고 불리는 본격적인 시스템으로 성장했다. e-시큐리티 제품은 일부 방화벽과 라우터와 함께 일차적으로 IPS로부터 사건 자료를 수집하지만, NCDOC는 그것을 취약성 평가 스캐너와 호스트 기반 보안 시스템 같은 더 많은 장치들에 공급할 계획이다. 150테라바이트의 SAN으로, 프로메테우스(Prometheus)는 NCDOC로 쏟아지는 엄청난 양의 자료를 분석해서 “낮고 느린” 프로빙을 포함해 가능성 있는 사이버 공격에 대해 경고하도록 했다고 그랜저씨는 말한다. 그 도구가 강력한 것으로 증명됐지만, 그랜저씨는 그것을 성공시킴으로써 그것을 사용하는 선원들과 민간인들에게 신뢰를 주었다. NCDOC 운용자들은 효과적인 시스템을 개발하기 위해 e-시큐리티와 SAS 엔지니어들과 긴밀히 협조했다. e-시큐리티를 그것의 사고 추적 시스템과 더 긴밀히 통합하는 것이 필수적이라고 그랜저씨는 말한다. “대부분의 초기 SIM 기술은 ‘우리가 한 스크린에 70개의 센서를 추가할 것’에 대한 것이었다. 장기적 사고의 상태, 피드백을 추적하고, 저장하고, 이 데이터들을 분류하여 수 개월 또는 수 년 후 접근 가능하도록 할 필요가 있다.”
독립 전기 시스템 운영자 SIM의 전력
보안 위협 상황을 파악해야 하는 중요성이 그 조직이 네트워크 보안 장치가 만들어낸 사건을 수집, 분석, 보고하는 자동화된 시스템을 원한 한 가지 이유였다. 또 다른 추진자는 북미전력신뢰성위원회(NERC; North American Electric Reliability Council)가 제안한 보안감사 요건이었다.
감사원은 이 단순한 문구를 지니고 있다. ‘기록이 되어 있지 않다면, 그런 일이 없었다’라고 온타리오주의 전력 시스템을 관리하는 비영리 IESO의 보안 컨설턴트인 데이빗 르위스(David Lewis)씨는 말한다. 그래서 고고학적 배경을 가지고 있는 르위스씨는 그가 SIM에 대해 발견할 수 있는 무엇이든지 파고 들어가기 시작했다. 13 공급자들로부터 르위스씨와 그의 보안 팀은 매우 비싼 소수의 공급자들을 빠르게 제외했다. 그리고 나서 그들은 제품 특징들을 검토하고, 결국 네트워크 인텔리전스의 인비전 어플라이언스(enVision Appliance)를 선택했다. 그 제품의 무대행 성질이 중요한 요인이라고 르위스씨는 말한다. 시스템들이 요즘 고생하고 있는 것 중의 하나가 거만한 에이전트이다. 당신은 침입을 탐지하고자 패치를 롤아웃하기 위해 에이전트를 가질 것이다. 나는 마침내 말했다, “충분해요!” 모두 결정한 것은 아니지만 여전히 중요한 것은 어플라이언스를 사용하는 것이었다. 또 다른 공급자는 유사한 가격에 솔루션을 제안했지만, 그것은 소프트웨어 기반이어서, IESO는 또한 비용을 더 들여 하드웨어를 살 필요가 있었다. “그것은 별로 실용적인 것 같지 않았다.”라고 르위스씨는 말한다. “나는 어플라이언스를 드롭인(Drop In)하고 완성되게 하는 능력을 좋아한다.” 사실, 르위스씨는 그의 팀이 얼마나 빨리 장치를 배치할 수 있는지에 놀랐다. 그리고 웹 기반 프론트 엔드로, IESO 직원들은 사실상 어디에서건 어플라이언스를 쉽게 관리할 수 있다. 여러 다른 SIM 제품들에는 많은 “관리와 자금”이 필요했다고 르위스씨는 말한다. “당신은 그 골치아픈 문제를 돌보고, 에이전트와 시스템 구성을 유지하기 위해 많은 시간을 투자해야 할 것이다.” 적소에 있는 SIM과 함께, IESO는 이제 보안 기반 구조에 대해 NERC 감사 요건을 충족하는 방법을 가지고 있다. “우리는 우리가 기록을 수집하고 있고 기록이 검토되고 있다는 것을 보여줄 수 있다.” 기술이 또한 가능한 한 실시간에 가깝게 보안 경보를 제공한다고 르위스씨는 말한다. 인비전 대시보드(enVision Dash Board)는 네트워크 운영 직원들이 뭔가 잘못되고 있는 것을 빨리 알아차리고 대응할 수 있게 한다. 이전에 그 조직은 사건기록을 수집하기 위해 시스로그(Syslog) 서버를 사용했었고, 르위스가 말하는 과정은 ‘고뇌’로 가장 잘 설명된다. 네트워크 인텔리전스의 사전 보고는 IESO가 다양한 보고를 만들 수 있도록 해준다. 예를 들어, 방화벽 경보에 관한 보고는 그 조직이 변경되어서는 안 되었던 방화벽 규칙 변경을 발견할 수 있게 했다. 르위스의 혼자만의 SIM에 대한 후회는 시작부터 더 큰 저장 용량을 구입한 것이 아니라 주로 컴플라이언스 목적에 대한 것이다. 그는 2012년까지 지속될 충분한 저장 용량을 가지고 있지만, 여전히 더 많은 투자를 할 것이다. [보안뉴스(info@boannews.com)] <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지> |
||||
 |
