2017년 8월 29일 화요일

2017년 8월 22일 화요일

Elasticsearch 활용(Snort 데이터베이스 연동)

패턴매칭 로그 대시보드를 아무리 잘 꾸며봐야 별 의미는 없지만, 그래도 보기는 좋으니깐. 예쁘게 꾸며진 대시보드를 바라보고 있으면 왠지 일 다 한 것 같은 기분도 들고(..)

보고만 있어도 좋구나~^o^

보안의 오랜 친구 SIEM? - 2nd

지난 글에서 SIEM의 한계를 살펴봤다. 그리고 그 한계 때문에 많은 현장에서 SIEM은 로그 샘플링 용도로 전락한다. 사실 오탐 홍수를 막아야겠다는 생각을 한다는 자체가 기본은 하는 현장이라는 증거.

Sampling Work Flow

2017년 8월 21일 월요일

보안의 오랜 친구 SIEM?


국내에 ESM(Enterprise Security Management)이란 제품이 알려지기 시작한 게 2000년 말쯤이었으니 틀린 말은 아니다. SIEM으로 시작하더니 ESM은 또 뭘까? 그냥 같은 말이다. 포장지가 달라졌다고 보면 됨.

개인적으로 SIEM과 보안의 만남은 불행한 결말이 예정된 수순이라고 생각한다. 다들 좋다고 찬양인데 나는 왜 새드엔딩이라고 어깃장을 놓는 걸까(..)


2017년 8월 13일 일요일

Elasticsearch 활용(winlogbeat 사용이 힘들 때 - 2nd)

어제 텍스트 형태로 수집된 윈도우 이벤트 로그를 Elasticsearch와 연동하는 과정을 진행했었다. 그런데 한글이 깨진다. 어쩌나?

사실 이벤트 로그는 ID 번호의 의미가 고정돼있기 때문에 메시지가 크게 중요하진 않다. 해당 로그를 구성하고 있는 다른 필드들의 관계를 파악하는 게 더 중요.

하지만 그래도 찝찝하니 깨지는 한글을 복구해보자. 일단 Logstash는 연동되는 로그를 UTF-8로 기본 인식하는 듯하다. 그래서 한글을 복구하려면 연동 대상 로그를 처음부터 UTF-8로 인코딩하거나,


2017년 8월 12일 토요일

Elasticsearch 활용(winlogbeat 사용이 힘들 때)

윈도우 이벤트 로그를 Elasticsearch와 연동할 때, winlogbeat를 이용하면 이래도 되나 싶을 정도로 편하다. 이벤트 로그의 모든 필드를 알아서 정규화해주기 때문. 이래저래 이벤트 로그는 다루기 참 편한 것 같다. Logparser만 있어도 거의 RDB 수준으로 분석할 수 있으니까.

그런데 nxlog 등을 통해 이미 이벤트 로그를 수집하고 있다면, winlogbeat를 이용한 재구축은 번거로울 것이다. 이미 텍스트 형태로 수집된 로그를 Elasticsearch와 연동할 때, 로그 필드 정규화가 필요하다면 grok 필터가 최선. 다음은 nxlog를 이용해서 수집된 윈도우 이벤트 로그.


2017년 8월 6일 일요일

보안이 허술해 보이는 이유

해당 글을 보고 놀란 분들이 꽤 많은 듯하다. 보안 위협이 어제 오늘 일은 아니지만 이렇게 생활 가까이에서 벌어질 거라는 생각을 하는 사람은 많지 않으니까.

그런데 여러 논란의 결론이 주로 사이트 개발자의 무능력, 비윤리를 질타하는 쪽으로 모아지는 듯해서, 보안 분야에 종사한 죄로 변명을 좀 해볼까 한다.

때는 2000년으로 거슬러 올라간다. 당시 한풀 꺾인 벤처 열풍에도 불구하고 꽤 많은 IT 벤처들이 있었는데, 그중에서도 확실한 수익 모델을 자랑하던 것이 IJ(인터넷 자키)란 신종 직업으로 이슈가 됐던 인터넷 성인방송국.

당시 나는 유료 성인만화를 공짜로 보는 재미에 빠져 있었는데, 무슨 대단한 해킹을 한건 아니고, 맛보기 후 뜨는 결제 페이지 무시하고, URL 경로 및 파라미터를 어림잡아 고쳐보는 식이었다. 세션 관리 안하드라 배달앱 고발 글이 지적한 바로 그 취약점.

2017년 8월 2일 수요일

크리에이티브 커먼즈 라이선스