2013년 8월 30일 금요일

보안솔루션 기반 기술, 패턴매칭

IDS는 구식? DPI는 신식?

지난 연재에서 IDS 로그 전수 검사를 통해 룰의 문제점을 찾아 수정함으로써 침입 탐지 정확도를 향상시킨 사례를 살펴봤었다. IDS? 어떤 이는 생소하게 느꼈을 것이고, 어떤 이는 '트렌드에 안 맞게 왠 IDS? 그 구식 보안솔루션 아직도 쓰나?' 라며 의아하게 생각했을지도 모르겠다

이 시간에는 네트워크 기반의 최초이자 본격 패턴매칭 기반 보안솔루션임에도 '구식'이란 오명을 쓰고 있는 IDS와 핵심 기술인 '패턴매칭'에 대해서 알아볼까 한다.

1980년대에 처음 개념이 제시된 침입탐지시스템, IDS(Intrusion Detection System)는 크게 '비정상 행위' '오용 행위' 기반으로 나뉘는 동작 모델을 가지고 있었다.

2013년 8월 24일 토요일

How to response against false positive?

This is my experience. Following rule is one of the ids rules to detect sql injection.

alert tcp any any -> any 80 (content:"%20and%20"; nocase; http_uri;)

That rule made 6,078 logs for a week. Is it attack if the pattern matches all? Strings '%20and%20' is the just part of URI(Uniform Resource Identifier).

It means pattern of rule is possible to be pattern of attack. But matching patterns is not an unconditional attack. So you must analyze entire log messages including rule pattern. By the way, Even though you analyze one log for one minute, you can just analyze 1,440 logs for a day. (A day is 1,440 minutes) The entire log analyzing is very difficult.

2013년 8월 17일 토요일

빅데이터에 의한 보안, 빅데이터를 위한 보안

최근 미국 정부의 대국민 사찰 프로젝트 ‘프리즘‘이 이슈가 되면서 ‘빅데이터’에 대한 우려도 함께 커지고 있다. 빅데이터에 의해 조지 오웰의 소설 ’1984′에 등장하는 ‘빅브라더’가 현실화되는 것 아니냐는 목소리가 높아지고 있는 것이다

산업계 전반에서 빅데이터 열풍이 거세지고 있는 현 시점에서 이는 시기적절한 이슈다. 원자폭탄이 핵의 안전한 사용을 위해 다양한 조치를 시도하게된 계기가 됐던 것처럼, 열풍에서 한 걸음 물러서 차분히 빅데이터를 바라볼 수 있는 계기가 되기를 바라기 때문이다.

빅데이터가 2012년에 갑자기 튀어나온 것 같지만, 사실 데이터는 늘상 있어 왔다. 현재 빅데이터 논의의 대부분이 수집, 저장, 처리 기술에 치중해 있지만 빅데이터의 핵심은 데이터를 ‘새롭게 바라볼 때 새로운 가치가 나타난다’는 것이다

2013년 8월 15일 목요일

IDS 로그 분석

룰과 로그

대표적인 웹 해킹 공격으로 파일 업로드 및 URL 삽입 등을 이용한 웹쉘 공격이 있다. 웹쉘은 웹 기반에서 시스템을 조작할 수 있는 도구의 통칭인데, 2008 5KISA에서 운영하는 인터넷 침해대응센터에서 ASP 기반에서 동작하는 웹쉘의 실행 여부를 확인할 수 있는 다음과 같은 시그니처를 배포한 적이 있다. 

그리고 해당 시그니처를 기반으로 Snort 룰 옵션을 이용하여 다음과 같은 IDS 탐지룰이 만들어진 사례가 있다.

alert tcp any any -> any 80 (content:"?Action="; nocase; pcre:"/\?Action\=(MainMenu|Show|Course|getTerminalInfo|ServerInfo|Cmd1?Shell|EditFile|Servu|sql|Search|UpFile|DbManager|proxy|toMdb)/i";)

보안사고 재발의 악순환을 막으려면

알고도 당했다는 ‘사이버 6.25′가 발생했다. 곧 국가적 차원의 원인 규명이 시도될 것이다. 그리고 잊혀질 것이다. 3.20 대란’, 7.7 DDoS, 1.25 대란’, 그 외 셀 수 없는 개인정보 유출 사고들… 많은 보안 사고들이 발생했고, 성공했다

그리고 발생한 사고의 원인 규명이 이루어졌다. 소 잃고 원인 규명하고, 또 잃고 원인 규명하고… 사전 예방이 아닌 사고 수습에 집중된 대한민국 사이버 보안의 현주소다.

수없이 원인 규명을 하고 있는데 왜 사고는 재발할까? 원인 규명이 원인 규명만으로 끝난 결과일 것이다. 사전 예방이 가능한 사이버 보안 체계를 구축하는데 우리가 놓치고 있는 것이 분명히 있다. 그것은 무엇일까? 답을 찾기 위해서는 먼저 사이버 세계의 구조를 알아야 한다.

빅데이터와 보안

빅데이터? 보안? 

관리 주체의 활용 역량을 초과하는 대량의 데이터, 2012년에 갑자기 등장한 빅데이터에 대한 간단한 정의이다. 구글 등 정말 특별한 역량을 가진 조직만이 접근할 수 있었다던 빅데이터는 왜 갑자기 이슈가 되었을까? 아마도 구글에서 출발한 ‘하둡’ 등의 빅데이터 처리기술이 성숙하면서 기술 벤더들이 제품화에 자신감을 갖게 된 결과일 것이다. 

이러한 배경 속에서 보안 업계 역시 차세대 핵심기술로 빅데이터에 주목하고 있으며, 빅데이터를 앞세운 제품과 기술이 앞 다투어 발표되고 있는 상황이다. 그렇다면 과연 빅데이터는 업계의 주장 또는 희망처럼 차세대 보안을 이끌어갈 핵심기술이 될 수 있을까? 

빅데이터 이전에 먼저 우리는 데이터가 가지는 의미에 대해서 생각해볼 필요가 있다. 위키백과를 보면 ‘아마존(구매 리스트를 이용한 상품 추천)’, ‘구글(검색 기록을 이용한 맞춤 광고)’, ‘대한민국 19대 총선(SNS 메시지를 이용한 여론 분석)’ 등 다양한 빅데이터 활용사례가 나온다.

빅데이터와 보안(slideshare)


크리에이티브 커먼즈 라이선스