2017년 8월 29일 화요일

2017년 8월 22일 화요일

Elasticsearch 활용(Snort 데이터베이스 연동)

패턴매칭 로그 대시보드를 아무리 잘 꾸며봐야 별 의미는 없지만, 그래도 보기는 좋으니깐. 예쁘게 꾸며진 대시보드를 바라보고 있으면 왠지 일 다 한 것 같은 기분도 들고(..)

보고만 있어도 좋구나^O^

다음은 Snort 데이터베이스를 엘라스틱서치로 연동해주는 Logstash 설정. 참고로 데이터베이스 연동을 안 하는 Snort는 경보와 패킷 페이로드를 따로 저장하는데, 두 개의 로그를 하나로 합쳐서 연동하는 방법은 모르겠다(..)

보안의 오랜 친구 SIEM? - 2nd

지난 글에서 SIEM의 한계를 살펴봤다. 그리고 그 한계 때문에 대부분의 현장에서 실무자들은 SIEM을 로그 샘플링 용도로 활용한다. 오탐 홍수라도 막기 위해서.

Sampling Work Flow

이런 상황임에도 과거의 SIEM 만능론은 빅데이터, 인공지능 유행을 등에 업고 점점 더 확대되는 추세. 이왕 씌워진 콩깍지, 벗겨낼 수 없다면 잘 쓸 수 있는 방법을 찾아보자. 어떻게 하면 SIEM을 보안의 진정한 친구로 만들 수 있을까?

2017년 8월 21일 월요일

보안의 오랜 친구 SIEM?


국내에 ESM(Enterprise Security Management)이란 제품이 알려지기 시작한 게 2000년 말쯤이었으니 틀린 말은 아니다. SIEM으로 시작하더니 ESM은 또 뭘까? 그냥 같은 말이다. 포장지가 달라졌다고 보면 됨.

개인적으로 SIEM과 보안의 만남은 불행한 결말이 예정된 수순이라고 생각한다. 다들 좋다고 찬양인데 나는 왜 새드엔딩이라고 어깃장을 놓는 걸까(..)


2017년 8월 13일 일요일

Elasticsearch 활용(winlogbeat 사용이 힘들 때 - 2nd)

어제 텍스트 형태로 수집된 윈도우 이벤트 로그를 Elasticsearch와 연동하는 과정을 진행했었다. 그런데 한글이 깨진다. 어쩌나?

사실 이벤트 로그는 ID 번호의 의미가 고정돼있기 때문에 메시지가 크게 중요하진 않다. 해당 로그를 구성하고 있는 다른 필드들의 관계를 파악하는 게 더 중요.

하지만 그래도 찝찝하니 깨지는 한글을 복구해보자. 일단 Logstash는 연동되는 로그를 UTF-8로 기본 인식하는 듯하다. 그래서 한글을 복구하려면 연동 대상 로그를 처음부터 UTF-8로 인코딩하거나,


2017년 8월 12일 토요일

Elasticsearch 활용(winlogbeat 사용이 힘들 때)

윈도우 이벤트 로그를 Elasticsearch와 연동할 때, winlogbeat를 이용하면 이래도 되나 싶을 정도로 편하다. 이벤트 로그의 모든 필드를 알아서 정규화해주기 때문. 이래저래 이벤트 로그는 다루기 참 편한 것 같다. Logparser만 있어도 거의 RDB 수준으로 분석할 수 있으니까.

그런데 nxlog 등을 통해 이미 이벤트 로그를 수집하고 있다면, winlogbeat를 이용한 재구축은 번거로울 것이다. 이미 텍스트 형태로 수집된 로그를 Elasticsearch와 연동할 때, 로그 필드 정규화가 필요하다면 grok 필터가 최선. 다음은 nxlog를 이용해서 수집된 윈도우 이벤트 로그.


2017년 8월 6일 일요일

보안이 허술해 보이는 이유

요즘 '난 단지 치킨을 주문했을 뿐인데 범죄의 대상이 될 수 있다니'란 글을 읽고 놀란 분들이 많을 듯하다. 보안 위협이 어제 오늘 일은 아니지만 이렇게 생활 가까이에서 벌어질 거라는 생각을 하는 사람은 많지 않으니까.

그런데 여러 논란의 결론이 주로 사이트를 개발한 사람의 무능력, 비윤리를 질타하는 쪽으로 모아지는 듯해서, 보안 분야에 종사한 죄로 변명을 좀 해볼까 한다.

때는 2000년으로 거슬러 올라간다. 당시 한풀 꺾인 벤처 열풍에도 불구하고 꽤 많은 IT 벤처들이 있었는데, 그중에서도 확실한 수익 모델을 자랑하던 것이 IJ(인터넷 자키)란 신종 직업으로 이슈가 됐던 인터넷 성인방송국.

당시 나는 유료 성인만화를 공짜로 보는 재미에 빠져 있었는데, 무슨 대단한 해킹씩이나 한 건 아니고, 맛보기 후 뜨는 결제 페이지 무시하고, URL 파라미터를 'bla.com/bla.asp?name=bla&page=10'에서 'bla.com/bla.asp?name=bla&page=11'로 고치는 식이었다. 배달앱 고발 글에서 지적한 바로 그 취약점.

크리에이티브 커먼즈 라이선스