Sampling Work Flow |
이런 상황임에도 과거의 SIEM 만능론은 빅데이터, 인공지능 유행을 등에 업고 점점 더 확대되는 추세. 이왕 씌워진 콩깍지, 벗겨낼 수 없다면 잘 쓸 수 있는 방법을 찾아보자. 어떻게 하면 SIEM을 보안의 진정한 친구로 만들 수 있을까?
방법은 패턴매칭 로그와 일반로그 분석을 분리, 병행하는 것이다. '보안관제와 빅데이터의 접목'에서 이미 다 한 얘기. 재활용이 자꾸 느네
먼저 패턴매칭
투표 결과를 알고 싶을 때 제일 먼저 할 일은 투표 한 사람과 안 한 사람을 구분하는 것이다. 정확성을 보장할 수 없는 패턴매칭 로그 가지고 통계니, 관계 분석이니 힘 빼지 말자는 얘기. 다음은 힘만 빠지게 만드는 사례.
먼저 패턴매칭
투표 결과를 알고 싶을 때 제일 먼저 할 일은 투표 한 사람과 안 한 사람을 구분하는 것이다. 정확성을 보장할 수 없는 패턴매칭 로그 가지고 통계니, 관계 분석이니 힘 빼지 말자는 얘기. 다음은 힘만 빠지게 만드는 사례.
- 보안로그끼리의 상관분을 통해서 보안로그의 정확도를 높이겠다는 것. 그런데 패턴매칭 정확도가 보장이 된다면 상관분석이 필요 없음. 왜? 정확하니깐.
- 반대로 정확도 보장이 안 된다면 오탐끼리 상관분석을 하게 됨. 영원히 빠져나올 수 없는 닭과 달걀의 딜레마에 빠짐.
- 공격 로그가 발생했을 때 피해 시스템에서 에러 로그가 발생하면 공격이라는 식의, 보안/일반로그 간 상관분석. 이게 성공하려면 공격일 때만 에러 로그가 발생한다는 전제가 필요.
- 그러나 (보안로그의 오탐 가능성은 무시하더라도) 에러로그는 공격이 아닐 때도 얼마든지 발생. 확실한 기준이 없음.
패턴매칭 로그는 그저 정확도를 높이는 데만 집중하면 만사형통.
그리고 이상징후
시스템, 웹 등의 이상징후 분석은 쉽다. 사실관계가 기록된, 의심할 필요가 없는 로그이기 때문에 원하는 상태의 숫자만 세면 된다. 다음은 몇 가지 예시.
예시는 노가다로 시작해서 노가다로 끝나지만 빅데이터로 무장한 SIEM을 이용한다면 수월하지 않을까? 이런 시도들이 늘어나면서 쌓인 데이터와 경험은 보안 알파고의 밑거름이 되어 줄테고.
결국 패턴매칭 로그와 일반로그에 대한 분석 병행, 그리고 상호보완이 가능한 체계를 구축해야 한다. '알려진 공격'과 '알려지지 않은 공격'이란 두 마리 토끼를 잡고 싶다면.
그런데 누가 하나?
보통 시스템이 늘어나고, 업무가 늘어나도 사람은 잘 안 늘어난다. 사람은 그대론데 일이 늘면 역량은 자연스럽게 분산되기 마련. 이것도 적당히, 저것도 적당히가 되기 십상이란 얘기.
이런 사태를 막기 위해 필요한 건 전담 인력과 조직. 이왕 재활용하는 거 마지막으로 한 번 더.
보통 시스템이 늘어나고, 업무가 늘어나도 사람은 잘 안 늘어난다. 사람은 그대론데 일이 늘면 역량은 자연스럽게 분산되기 마련. 이것도 적당히, 저것도 적당히가 되기 십상이란 얘기.
인간은 걸으며 껌을 씹을 수 있지만 더 이상은 어렵다 - 우리는 왜 실수를 하는가 (115페이지)
빅데이터 분석이 성공하기 위해서는 패턴매칭을 이용하는 전통적 보안관제와 빅데이터를 이용한 보안관제가 병행과 상호보완이 가능한 체계를 구축해야 하며, 그러기 위해서는 전담 인력과 조직이 반드시 필요하다. 사실 나는 기회가 있을 때마다 빅데이터에 대한 부정적인 의견을 피력했었던, 빅데이터 회의론자다. 하지만 그럼에도 많은 정보보안 현장에 빅데이터가 구현되기를 희망한다. 데이터는 많을수록 좋다. 감당할 수 있는 인력과 조직만 있다면
해피엔딩이 될 수 있는 SIEM 활용법을 끄적여봤다. 그냥 내 생각. 다른 이들의 생각이 궁금하다.
관련 글
댓글 없음:
댓글 쓰기