KR102585583B1 - 디지털 서비스 기반의 하위 기관 맞춤형 보안 대응 자동화 제공 서버, 방법 및 프로그램 - Google Patents
디지털 서비스 기반의 하위 기관 맞춤형 보안 대응 자동화 제공 서버, 방법 및 프로그램 Download PDFInfo
- Publication number
- KR102585583B1 KR102585583B1 KR1020230080919A KR20230080919A KR102585583B1 KR 102585583 B1 KR102585583 B1 KR 102585583B1 KR 1020230080919 A KR1020230080919 A KR 1020230080919A KR 20230080919 A KR20230080919 A KR 20230080919A KR 102585583 B1 KR102585583 B1 KR 102585583B1
- Authority
- KR
- South Korea
- Prior art keywords
- server
- information
- organization
- threatening
- threat
- Prior art date
Links
- 230000004044 response Effects 0.000 title claims abstract description 70
- 238000000034 method Methods 0.000 title claims description 33
- 230000008520 organization Effects 0.000 claims abstract description 117
- 238000004458 analytical method Methods 0.000 claims abstract description 63
- 238000004891 communication Methods 0.000 claims abstract description 63
- 238000001514 detection method Methods 0.000 claims description 19
- 230000000903 blocking effect Effects 0.000 description 26
- 230000008569 process Effects 0.000 description 20
- 238000012545 processing Methods 0.000 description 14
- 230000000644 propagated effect Effects 0.000 description 9
- 238000010586 diagram Methods 0.000 description 8
- 230000009471 action Effects 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 238000002955 isolation Methods 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 3
- 238000004422 calculation algorithm Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 230000014509 gene expression Effects 0.000 description 2
- 238000010295 mobile communication Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- XUIMIQQOPSSXEZ-UHFFFAOYSA-N Silicon Chemical compound [Si] XUIMIQQOPSSXEZ-UHFFFAOYSA-N 0.000 description 1
- 230000002547 anomalous effect Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000010219 correlation analysis Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 239000011521 glass Substances 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000001151 other effect Effects 0.000 description 1
- 238000007637 random forest analysis Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 238000004904 shortening Methods 0.000 description 1
- 229910052710 silicon Inorganic materials 0.000 description 1
- 239000010703 silicon Substances 0.000 description 1
- 239000010454 slate Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
본 개시는, 상위 기관의 서버 및 하위 기관의 서버와 통신을 수행하는 통신부; 및 디지털 서비스 기반의 하위 기관 맞춤형 보안 대응 가이드의 제공과 관련된 동작을 제어하는 프로세서; 를 포함하고, 프로세서는 통신부를 통해 하위 기관의 서버로부터 수신된 상세 분석이 필요한 해당 위협 정보를 통신부를 통해 상위 기관의 서버로 요청하고, 통신부를 통해 상위 기관의 서버로부터 수신된 해당 위협 정보에 대한 분석 결과 정보를 통신부를 통해 하위 기관의 서버로 전송하는 것을 특징으로 할 수 있다.
Description
본 개시는 하위 기관 맞춤형 보안 대응 자동화 제공 서버에 관한 것이다. 보다 상세하게는, 본 개시는 디지털 서비스 기반의 하위 기관 맞춤형 보안 대응 자동화 제공 서버, 방법 및 프로그램에 관한 것이다.
보안 관제 업무는, 경보 로그 및 이벤트에 대해 정확한 분석과 빠른 대응이 필요한 영역이다.
시도 지자체와 같은 상위 기관과, 하위 기관 형태의 조직 구성에서 상위 기관의 경우, 전문 보안관제 인원이 여러명 상주하며 24시간 보안관제를 운영하고 있다. 반면에, 하위 기관은 일반적으로 담당자 1인 근무 형태로 보안관제를 24시간 운영하고 있으나, 보안관제를 24시간 운영하는데에 한계가 있고, 보안 제품의 다양화에 따라 수많은 제품을 제대로 이해하고 운영하는데 한계가 있다.
상위 기관의 전문 인력은, SIEM 경보 룰 설정과, SOAR 선별 정책, 플레이북 제작을 직접할 수 있고, 경보 발생 현황과 침해 사건 대응 현황에 대한 모니터링을 수행할 수 있다.
그런데, 상위 기관에서는 최신 위협정보 및 AI 보안 예측 서비스를 구축하고 있으나, 하위 기관에서는 비용의 문제로 이런 모든 시스템을 구축할 수 없는 실정이다.
따라서, 최근에는 하위 기관 맞춤형 보안 대응 자동화를 제공하여, 1인 관제 형태의 하위기관에서도 SOAR 자동 대응을 통해 보안 관제의 효율성을 높이기 위한 연구가 지속적으로 행해져 오고 있다.
본 개시에 개시된 실시예는, 상위 기관과 하위 기관에 구축된 SOAR의 역할을 구분해서, 1인 관제 형태의 하위기관에서도 SOAR 자동 대응을 통해 보안 관제의 효율성을 높일 수 있는 것을 제공하는데 그 목적이 있다.
본 개시가 해결하고자 하는 과제들은 이상에서 언급된 과제로 제한되지 않으며, 언급되지 않은 또 다른 과제들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.
상술한 기술적 과제를 달성하기 위한 본 개시의 일 측면에 따른 디지털 서비스 기반의 하위 기관 맞춤형 보안 대응 자동화 제공 서버는, 상위 기관의 서버 및 하위 기관의 서버와 통신을 수행하는 통신부; 및 디지털 서비스 기반의 하위 기관 맞춤형 보안 대응 가이드의 제공과 관련된 동작을 제어하는 프로세서; 를 포함하고, 상기 통신부를 통해 상기 하위 기관의 서버로부터 수신된 상세 분석이 필요한 해당 위협 정보를 상기 통신부를 통해 상기 상위 기관의 서버로 요청하고, 상기 통신부를 통해 상기 상위 기관의 서버로부터 수신된 해당 위협 정보에 대한 분석 결과 정보를 상기 통신부를 통해 상기 하위 기관의 서버로 전송하는 것을 특징으로 할 수 있다.
또한, 상기 프로세서는 상기 하위 기관의 서버로부터 수신된 SIEM 탐지 룰 기반의 상세 분석이 필요한 해당 위협 정보, SOAR Playbook 기반의 상세 분석이 필요한 해당 위협 정보를 상기 통신부를 통해 상기 상위 기관의 서버로 요청하는 것을 특징으로 할 수 있다.
또한, 상기 프로세서는 상기 상위 기관의 서버로부터 수신된 SIEM 탐지 룰 기반의 해당 위협 정보에 대한 분석 결과 정보, SOAR Playbook 기반의 해당 위협 정보에 대한 분석 결과 정보를 상기 통신부를 통해 상기 하위 기관의 서버로 전송하는 것을 특징으로 할 수 있다.
또한, 상기 프로세서는 상기 해당 위협 정보에 상응하는 최신 위협 요소, AI 기반 정오탐 판단 결과 정보, 타 기관 공격 이력 현황 정보에 대한 분석 결과 정보를 상기 통신부를 통해 상기 하위 기관의 서버로 전송하는 것을 특징으로 할 수 있다.
또한, 상기 프로세서는 상기 통신부를 통해 상기 상위 기관의 서버로부터 수신된 분석결과 데이터를 기반으로 Playbook을 자동 대응 수행하는 것을 특징으로 할 수 있다.
또한, 본 개시의 다른 측면에 따른 하위 기관 맞춤형 보안 대응 자동화 제공 서버에 의해 수행되는 하위 기관 맞춤형 보안 대응 자동화 제공 방법은, 하위 기관의 서버로부터 수신된 상세 분석이 필요한 해당 위협 정보를 상위 기관의 서버로 요청하는 단계; 및 상기 상위 기관의 서버로부터 수신된 해당 위협 정보에 대한 분석 결과 정보를 상기 하위 기관의 서버로 전송하는 단계; 를 포함할 수 있다.
또한, 상기 해당 위협 정보를 상기 상위 기관의 서버로 요청하는 단계는, 상기 하위 기관의 서버로부터 수신된 SIEM 탐지 룰 기반의 상세 분석이 필요한 해당 위협 정보, SOAR Playbook 기반의 상세 분석이 필요한 해당 위협 정보를 상기 상위 기관의 서버로 요청하는 것을 특징으로 할 수 있다.
또한, 상기 분석 결과 정보를 상기 하위 기관의 서버로 전송하는 단계는, 상기 상위 기관의 서버로부터 수신된 SIEM 탐지 룰 기반의 해당 위협 정보에 대한 분석 결과 정보, SOAR Playbook 기반의 해당 위협 정보에 대한 분석 결과 정보를 상기 하위 기관의 서버로 전송하는 것을 특징으로 할 수 있다.
또한, 상기 분석 결과 정보를 상기 하위 기관의 서버로 전송하는 단계는, 상기 해당 위협 정보에 상응하는 최신 위협 요소, AI 기반 정오탐 판단 결과 정보, 타 기관 공격 이력 현황 정보에 대한 분석 결과 정보를 상기 하위 기관의 서버로 전송하는 것을 특징으로 할 수 있다.
또한, 상기 상위 기관의 서버로부터 수신된 분석결과 데이터를 기반으로 Playbook을 자동 대응 수행하는 단계; 를 더 포함할 수 있다.
이 외에도, 본 개시를 구현하기 위한 실행하기 위한 컴퓨터 판독 가능한 기록 매체에 저장된 컴퓨터 프로그램이 더 제공될 수 있다.
이 외에도, 본 개시를 구현하기 위한 방법을 실행하기 위한 컴퓨터 프로그램을 기록하는 컴퓨터 판독 가능한 기록 매체가 더 제공될 수 있다.
본 개시의 전술한 과제 해결 수단에 의하면, 상위 기관과 하위 기관에 구축된 SOAR의 역할을 구분해서, 1인 관제 형태의 하위기관에서도 SOAR 자동 대응을 통해 보안 관제의 효율성을 높일 수 있는 효과를 제공한다.
본 개시의 효과들은 이상에서 언급된 효과로 제한되지 않으며, 언급되지 않은 또 다른 효과들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.
도 1은 본 개시에 따른 하위 기관 맞춤형 보안 대응 자동화 제공 서버가 상위 기관의 서버 및 하위 기관의 서버에 연결된 상태를 나타낸 도면이다.
도 2 및 도 3은 본 개시에 따른 하위 기관 맞춤형 보안 대응 자동화 제공 방법을 나타낸 도면들이다.
도 4 및 도 5는 본 개시에 따른 SOAR 기반의 Playbook을 활용한 네트워크 보안 위협 자동 대응 과정을 일 예들로 나타낸 도면이다.
도 6은 본 개시에 따른 SOAR 기반의 네트워크 보안 위협 자동 대응 시스템을 일 예로 나타낸 도면이다.
도 2 및 도 3은 본 개시에 따른 하위 기관 맞춤형 보안 대응 자동화 제공 방법을 나타낸 도면들이다.
도 4 및 도 5는 본 개시에 따른 SOAR 기반의 Playbook을 활용한 네트워크 보안 위협 자동 대응 과정을 일 예들로 나타낸 도면이다.
도 6은 본 개시에 따른 SOAR 기반의 네트워크 보안 위협 자동 대응 시스템을 일 예로 나타낸 도면이다.
본 개시 전체에 걸쳐 동일 참조 부호는 동일 구성요소를 지칭한다. 본 개시가 실시예들의 모든 요소들을 설명하는 것은 아니며, 본 개시가 속하는 기술분야에서 일반적인 내용 또는 실시예들 간에 중복되는 내용은 생략한다. 명세서에서 사용되는‘부, 모듈, 부재, 블록’이라는 용어는 소프트웨어 또는 하드웨어로 구현될 수 있으며, 실시예들에 따라 복수의 '부, 모듈, 부재, 블록'이 하나의 구성요소로 구현되거나, 하나의 '부, 모듈, 부재, 블록'이 복수의 구성요소들을 포함하는 것도 가능하다.
명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 직접적으로 연결되어 있는 경우뿐 아니라, 간접적으로 연결되어 있는 경우를 포함하고, 간접적인 연결은 무선 통신망을 통해 연결되는 것을 포함한다.
또한 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.
명세서 전체에서, 어떤 부재가 다른 부재 "상에" 위치하고 있다고 할 때, 이는 어떤 부재가 다른 부재에 접해 있는 경우뿐 아니라 두 부재 사이에 또 다른 부재가 존재하는 경우도 포함한다.
제 1, 제 2 등의 용어는 하나의 구성요소를 다른 구성요소로부터 구별하기 위해 사용되는 것으로, 구성요소가 전술된 용어들에 의해 제한되는 것은 아니다.
단수의 표현은 문맥상 명백하게 예외가 있지 않는 한, 복수의 표현을 포함한다.
각 단계들에 있어 식별부호는 설명의 편의를 위하여 사용되는 것으로 식별부호는 각 단계들의 순서를 설명하는 것이 아니며, 각 단계들은 문맥상 명백하게 특정 순서를 기재하지 않는 이상 명기된 순서와 다르게 실시될 수 있다.
이하 첨부된 도면들을 참고하여 본 개시의 작용 원리 및 실시예들에 대해 설명한다.
본 명세서에서 본 개시에 따른 하위 기관 맞춤형 보안 대응 자동화 제공 서버는 연산처리를 수행하여 사용자에게 결과를 제공할 수 있는 다양한 장치들이 모두 포함된다. 예를 들어, 본 개시에 따른 하위 기관 맞춤형 보안 대응 자동화 제공 서버는, 컴퓨터, 서버 장치 및 휴대용 단말기를 모두 포함하거나, 또는 어느 하나의 형태가 될 수 있다.
여기에서, 상기 컴퓨터는 예를 들어, 웹 브라우저(WEB Browser)가 탑재된 노트북, 데스크톱(desktop), 랩톱(laptop), 태블릿 PC, 슬레이트 PC 등을 포함할 수 있다.
상기 서버 장치는 외부 장치와 통신을 수행하여 정보를 처리하는 서버로써, 애플리케이션 서버, 컴퓨팅 서버, 데이터베이스 서버, 파일 서버, 프록시 서버 및 웹 서버 등을 포함할 수 있다.
상기 휴대용 단말기는 예를 들어, 휴대성과 이동성이 보장되는 무선 통신 장치로서, PCS(Personal Communication System), GSM(Global System for Mobile communications), PDC(Personal Digital Cellular), PHS(Personal Handyphone System), PDA(Personal Digital Assistant), IMT(International Mobile Telecommunication)-2000, CDMA(Code Division Multiple Access)-2000, W-CDMA(W-Code Division Multiple Access), WiBro(Wireless Broadband Internet) 단말, 스마트 폰(Smart Phone) 등과 같은 모든 종류의 핸드헬드(Handheld) 기반의 무선 통신 장치와 시계, 반지, 팔찌, 발찌, 목걸이, 안경, 콘택트 렌즈, 또는 머리 착용형 장치(head-mounted-device(HMD) 등과 같은 웨어러블 장치를 포함할 수 있다.
본 개시에 따른 디지털 서비스 기반의 하위 기관 맞춤형 보안 대응 자동화 제공 서버는, 상위 기관의 서버 및 하위 기관의 서버와 통신을 수행하는 통신부; 및 디지털 서비스 기반의 하위 기관 맞춤형 보안 대응 자동화와 관련된 동작을 제어하는 프로세서; 를 포함하고, 프로세서는 통신부를 통해 하위 기관의 서버로부터 수신된 상세 분석이 필요한 해당 위협 정보를 통신부를 통해 상위 기관의 서버로 요청하고, 통신부를 통해 상위 기관의 서버로부터 수신된 해당 위협 정보에 대한 분석 결과 정보를 통신부를 통해 하위 기관의 서버로 전송할 수 있다.
이러한, 디지털 서비스 기반의 하위 기관 맞춤형 보안 대응 자동화 제공 서버는, 상위 기관과 하위 기관에 구축된 SOAR의 역할을 구분해서, 1인 관제 형태의 하위기관에서도 SOAR 자동 대응을 통해 보안 관제의 효율성을 높일 수 있다.
이하에서는, 디지털 서비스 기반의 하위 기관 맞춤형 보안 대응 자동화 제공 서버를 자세하게 살펴보기로 한다.
도 1은 본 개시에 따른 하위 기관 맞춤형 보안 대응 자동화 제공 서버가 상위 기관의 서버 및 하위 기관의 서버에 연결된 상태를 나타낸 도면이다.
도 1을 참조하면, 하위 기관 맞춤형 보안 대응 자동화 제공 서버(100)는 프로세서(110)와 메모리(120) 및 통신부(130)를 포함할 수 있다.
통신부(130)는 상위 기관의 서버(10) 및 하위 기관의 서버(20)와 통신을 수행할 수 있다. 이때, 통신부(130)는 유선 통신 모듈과 무선 통신 모듈 중 적어도 하나를 포함할 수 있다.
유선 통신 모듈은 지역 통신(Local Area Network; LAN) 모듈, 광역 통신(Wide Area Network; WAN) 모듈 또는 부가가치 통신(Value Added Network; VAN) 모듈 등 다양한 유선 통신 모듈뿐만 아니라, USB(Universal Serial Bus), HDMI(High Definition Multimedia Interface), DVI(Digital Visual Interface), RS-232(recommended standard232), 전력선 통신, 또는 POTS(plain old telephone service) 등 다양한 케이블 통신 모듈을 포함할 수 있다.
무선 통신 모듈은 와이파이(Wifi) 모듈, 와이브로(Wireless broadband) 모듈 외에도, GSM(global System for Mobile Communication), CDMA(Code Division Multiple Access), WCDMA(Wideband Code Division Multiple Access), UMTS(universal mobile telecommunications system), TDMA(Time Division Multiple Access), LTE(Long Term Evolution), 4G, 5G, 6G 등 다양한 무선 통신 방식을 지원하는 무선 통신 모듈을 포함할 수 있다.
메모리(120)는 본 장치 내의 구성요소들의 동작을 제어하기 위한 알고리즘 또는 알고리즘을 재현한 프로그램에 대한 데이터를 저장할 수 있다. 프로세서(110)는 메모리(120)와 통신을 수행하고, 메모리(120)에 저장된 데이터를 이용하여 전술한 동작을 수행할 수 있다. 여기에서, 프로세서(110)와 메모리(120)는 각각 별개의 칩으로 구현될 수 있다. 또한, 프로세서(110)와 메모리(120)는 단일 칩으로 구현될 수도 있다.
메모리(120)는 본 장치의 다양한 기능을 지원하는 데이터와, 본 장치 내의 구성요소들의 동작을 위한 프로그램을 저장할 수 있고, 입/출력되는 데이터들을 저장할 있고, 본 장치에서 구동되는 다수의 응용 프로그램(application program 또는 애플리케이션(application)), 본 장치의 동작을 위한 데이터들, 명령어들을 저장할 수 있다. 이러한 응용 프로그램 중 적어도 일부는, 무선 통신을 통해 외부 서버로부터 다운로드 될 수 있다.
이러한, 메모리(120)는 플래시 메모리 타입(flash memory type), 하드디스크 타입(hard disk type), SSD 타입(Solid State Disk type), SDD 타입(Silicon Disk Drive type), 멀티미디어 카드 마이크로 타입(multimedia card micro type), 카드 타입의 메모리(예를 들어 SD 또는 XD 메모리 등), 램(random access memory; RAM), SRAM(static random access memory), 롬(read-only memory; ROM), EEPROM(electrically erasable programmable read-only memory), PROM(programmable read-only memory), 자기 메모리, 자기 디스크 및 광디스크 중 적어도 하나의 타입의 저장매체를 포함할 수 있다.
메모리(120)는 디지털 서비스 기반의 하위 기관 맞춤형 보안 대응 자동화와 관련된 데이터를 저장할 수 있다. 프로세서(110)는 디지털 서비스 기반의 하위 기관 맞춤형 보안 대응 자동화와 관련된 동작을 제어할 수 있다.
프로세서(110)는 통신부(130)를 통해 하위 기관의 서버(20)로부터 수신된 상세 분석이 필요한 해당 위협 정보를 통신부(130)를 통해 상위 기관의 서버(10)로 요청할 수 있다. 이때, 프로세서(110)는 통신부(130)를 통해 하위 기관의 서버(20)로부터 수신된 SIEM 탐지 룰 기반의 상세 분석이 필요한 해당 위협 정보, SOAR Playbook 기반의 상세 분석이 필요한 해당 위협 정보를 통신부(130)를 통해 상위 기관의 서버(20)로 요청할 수 있다.
프로세서(110)는 통신부(130)를 통해 상위 기관의 서버(10)로부터 수신된 해당 위협 정보에 대한 분석 결과 정보를 통신부(130)를 통해 하위 기관의 서버(20)로 전송할 수 있다. 여기에서, 프로세서(110)는 통신부(130)를 통해 상위 기관의 서버(10)로부터 수신된 SIEM 탐지 룰 기반의 해당 위협 정보에 대한 분석 결과 정보, SOAR Playbook 기반의 해당 위협 정보에 대한 분석 결과 정보를 통신부(130)를 통해 하위 기관의 서버(20)로 전송할 수 있다. 이때, 프로세서(110)는 해당 위협 정보에 상응하는 최신 위협 요소, AI 기반 정오탐 판단 결과 정보, 타 기관 공격 이력 현황 정보에 대한 분석 결과 정보를 통신부(130)를 통해 하위 기관의 서버(20)로 전송할 수 있다.
도 2 및 도 3은 본 개시에 따른 하위 기관 맞춤형 보안 대응 자동화 제공 방법을 나타낸 도면들이다.
도 2를 참조하면, 하위 기관 맞춤형 보안 대응 가이드 제공 방법은, 실행 단계(S210), 요청 단계(S220), 전송 단계(S230)를 포함할 수 있다.
실행 단계는, 하위 기관의 서버(20)를 통해 경보 이벤트를 수집하고, 분석 요청을 위한 SOAR 플레이북을 실행할 수 있다(S210).
요청 단계는, 통신부(130)를 통해 하위 기관의 서버(20)로부터 수신된 상세 분석이 필요한 해당 위협 정보를 통신부(130)를 통해 상위 기관의 서버(10)로 요청할 수 있다(S220). 이때, 프로세서(110)는 통신부(130)를 통해 하위 기관의 서버(20)로부터 수신된 SIEM 탐지 룰 기반의 상세 분석이 필요한 해당 위협 정보, SOAR Playbook 기반의 상세 분석이 필요한 해당 위협 정보를 통신부(130)를 통해 상위 기관의 서버(20)로 요청할 수 있다. 즉, 하위 기관의 관리자는 하위 기관의 서버(20)를 이용하여 경보 발생시 상위 기관의 서버(10)에서 배포한 SIEM 탐지 룰과 SOAR Playbook 으로부터 경보 이벤트를 실시간으로 탐지하거나, SIEM 탐지 룰 기반의 상세 분석이 필요한 해당 위협 정보, SOAR Playbook 기반의 상세 분석이 필요한 해당 위협 정보를 하위 기관 맞춤형 보안 대응 가이드 제공 서버(100)를 통해 상위 기관의 서버(20)로 요청할 수 있다.
전송 단계는, 통신부(130)를 통해 상위 기관의 서버(10)로부터 수신된 해당 위협 정보에 대한 분석 결과 정보를 통신부(130)를 통해 하위 기관의 서버(20)로 전송할 수 있다(S230). 이때, 프로세서(110)는 통신부(130)를 통해 상위 기관의 서버(10)로부터 수신된 SIEM 탐지 룰 기반의 해당 위협 정보에 대한 분석 결과 정보, SOAR Playbook 기반의 해당 위협 정보에 대한 분석 결과 정보를 통신부(130)를 통해 하위 기관의 서버(20)로 전송할 수 있다. 여기에서, 프로세서(110)는 해당 위협 정보에 상응하는 최신 위협 요소, AI 기반 정오탐 판단 결과 정보, 타 기관 공격 이력 현황 정보에 대한 분석 결과 정보를 통신부(130)를 통해 하위 기관의 서버(20)로 전송할 수 있다.
이때, 상위 기관의 관리자는 상위 기관의 서버(10)를 이용하여 상위 기관의 서버(10)와 통신하는 다른 상위 기관의 서버들로부터 수신된 상세 분석이 필요한 해당 위협 정보들을 다양하게 확인할 수 있다. 즉, 프로세서(110)는 통신부(130)를 통해 상위 기관의 서버(10)로부터 추천된 상세 분석이 필요한 해당 위협 정보들에 대한 분석 결과 정보를 다양하게 수신받고, 추천된 상세 분석이 필요한 해당 위협 정보들에 대한 분석 결과 정보를 통신부(130)를 통해 하위 기관의 서버(20)로 전송할 수도 있다.
여기에서, 최신 위협 요소는, 위협적인 최신 IP, 위협적인 최신 Domain, 위협적인 최신 Url, 위협적인 최신 Email, 위협적인 최신 파일명, 위협적인 최신 src(시스템 참조 코드), 위협적인 최신 MD5(Message-Digest algorithm 5), 위협적인 최신 악성코드, 위협적인 최신 취약점 정보일 수 있다. 여기에서, 취약점 정보의 유형은, CCE(Common Configuration Enumeration), CVE(Common Vulnerabilities and Exposures), CWE(Common Weakness Enumeration) 등일 수 있다. 이때, CCE는 사용자에게 허용된 권한 이상의 동작을 허용하거나, 범위 이상의 정보 열람·변조·유출 등을 가능하게 하는 시스템 설정 상의 취약점 정보일 수 있고, CVE는 컴퓨터 하드웨어 또는 소프트웨어 결함이나 체계, 설계상의 취약점 정보일 수 있으며, CWE는 다양한 언어(C, C++, C#, Java, Go, Python) 및 아키텍처, 디자인 설계, 코딩 등의 개발 단계에서 발생가능한 취약점 정보일 수 있다.
또한, AI 기반 정오탐 판단 결과 정보는, 위협적인 IP, 위협적인 Domain, 위협적인 Url, 위협적인 Email, 위협적인 파일명, 위협적인 src, 위협적인 MD5, 위협적인 악성코드, 위협적인 취약점 정보에 대해, 정상적으로 탐지한 정탐 결과 정보와 탐지를 했지만 잘못 탐지한 오탐 결과 정보일 수 있다. 예를 들어, AI 기반 정오탐 판단 결과 정보는 Random Forest, Character-Level CNN, RF-CNN Stacking 기법을 이용한 지도 학습 기반의 IPS/TMS 이벤트를 정탐으로 판단한 결과 정보일 수 있고, 오탐으로 판단한 결과 정보일 수 있다. 이러한, AI 기반 정오탐 판단 결과 정보를 이용한 AI 시스템은, 경보 분석 시간 단축으로 보안 관제의 효율성을 향상시킬 수 있다. 다른 예를 들어, AI 기반 정오탐 판단 결과 정보는 Isolation Fores, Reconstructive tied-weight auto-encoderst, Parametric Statistics 기법을 이용한 비지도 학습 기반으로 임계치, 시그니처로 탐지 못한 위협 예측을 정탐으로 판단한 결과 정보일 수 있고, 오탐으로 판단한 결과 정보일 수 있다. 이러한, AI 기반 정오탐 판단 결과 정보를 이용한 AI 시스템은, 사용자 변칙 활동 로그 및 공격자 이상 행위 예측 로그 기반의 위협 헌팅(Threat Hunting)으로 잠재 위협을 발견할 수 있다.
또한, 타 기관 공격 이력 현황 정보는, 과거 동일 공격자 IP의 여부, 과거 동일 공격자 IP의 공격 횟수, 최근 위협된 공격자들 IP, 다른 보안 장비에서의 유사한 접속 이력 로그일 수 있다.
도 3을 참조하면, 하위 기관 맞춤형 보안 대응 가이드 제공 방법은, 제1 판단 단계(S240), 제1 수행 단계(S250), 제2 판단 단계(S260), 제2 수행 단계(S270), 제3 수행 단계(S280)를 포함할 수 있다.
제1 판단 단계는, 하위 기관의 서버(20)를 통해, 해당 위협 정보가 둘 이상이 아닌지를 판단할 수 있다(S240). 제1 수행 단계는, 하위 기관의 서버(20)를 통해, 해당 위협 정보가 둘 이상이 아닐 경우, 해당 위협 정보를 바로 차단하도록, 네트워크 보안을 수행할 수도 있다(S250). 이때, 하위 기관의 서버(20)는, 방화벽 차단, NAC 격리, 서비스 차단(IPS), 계정 잠금을 통해 해당 위협 정보를 바로 차단할 수 있다.
예를 들어, 하위 기관의 서버(20)는 해당 위협 정보가 둘 이상이 아닐 경우, 네트워크 트래픽, 네트워크 부하, 네트워크에 연결된 서버 다운 발생, 네트워크에 연결된 웹 페이지 로딩 오류 발생, 네트워크에 연결된 웹 페이지 로딩 속도 중 어느 하나에 영향을 주는 위협적인 IP, 위협적인 Domain, 위협적인 Url, 위협적인 Email, 위협적인 파일명, 위협적인 src, 위협적인 MD5, 위협적인 악성코드, 위협적인 취약점 정보, 위협요소의 접근 횟수에 해당하는 위협 정보를 바로 차단하도록, 네트워크 보안을 수행할 수 있다. 여기에서, 네트워크에는 전자기기, IOT 기반의 기계 중 적어도 하나와 연결될 수 있다. 이때, 하위 기관의 서버(20)는, 네트워크를 통해 연결된 전자기기, IOT 기반의 기계 중 적어도 하나에 대해 네트워크 보안 위협 대응을 수행할 수 있다.
제2 판단 단계는, 하위 기관의 서버(20)를 통해, 해당 위협 정보가 둘 이상일 경우, 둘 이상의 해당 위협 정보가 기 설정된 우선 차단 리스트 내 우선 차단 순위에 포함된 것인지를 판단할 수 있다(S260). 제2 수행 단계는, 하위 기관의 서버(20)를 통해, 해당 위협 정보가 우선 차단 리스트 내 우선 차단 순위에 포함되지 않을 경우, 둘 이상의 해당 위협 정보를 동시에 차단하도록, 네트워크 보안을 수행할 수도 있다(S270). 이때, 하위 기관의 서버(20)는, 방화벽 차단, NAC 격리, 서비스 차단(IPS), 계정 잠금을 통해 둘 이상의 해당 위협 정보를 동시에 차단할 수 있다.
예를 들어, 하위 기관의 서버(20)는 둘 이상의 해당 위협 정보가 우선 차단 리스트 내 우선 차단 순위에 포함되지 않을 경우, 네트워크 트래픽, 네트워크 부하, 네트워크에 연결된 서버 다운 발생, 네트워크에 연결된 웹 페이지 로딩 오류 발생, 네트워크에 연결된 웹 페이지 로딩 속도 중 적어도 둘 이상에 영향을 주는 위협적인 IP, 위협적인 Domain, 위협적인 Url, 위협적인 Email, 위협적인 파일명, 위협적인 src, 위협적인 MD5, 위협적인 악성코드, 위협적인 취약점 정보, 위협요소의 접근 횟수에 해당하는 둘 이상의 해당 위협 정보를 동시에 차단하도록, 네트워크 보안을 수행할 수 있다. 여기에서, 네트워크에는 전자기기, IOT 기반의 기계 중 적어도 하나와 연결될 수 있다. 이때, 하위 기관의 서버(20)는, 네트워크를 통해 연결된 전자기기, IOT 기반의 기계 중 적어도 하나에 대해 네트워크 보안 위협 대응을 수행할 수 있다.
제3 수행 단계는, 하위 기관의 서버(20)를 통해, 해당 위협 정보가 우선 차단 리스트 내 우선 차단 순위에 포함된 경우, 둘 이상의 해당 위협 정보를 순차적으로 차단하도록, 네트워크 보안을 수행할 수도 있다(S280). 이때, 하위 기관의 서버(20)는, 방화벽 차단, NAC 격리, 서비스 차단(IPS), 계정 잠금을 통해 둘 이상의 해당 위협 정보를 순차적으로 차단할 수 있다.
예를 들어, 하위 기관의 서버(20)는 둘 이상의 해당 위협 정보가 우선 차단 리스트 내 우선 차단 순위에 포함된 경우, 네트워크에 연결된 서버 다운 발생에 영향을 주는 둘 이상의 해당 위협 정보를 첫번째로 차단하고, 첫번째 차단 이후 또는 첫번째 차단이 아닌 경우 네트워크에 연결된 웹 페이지 로딩 오류 발생에 영향을 주는 둘 이상의 해당 위협 정보를 두번째로 차단하고, 두번째 차단 이후 또는 두번째 차단도 아닌 경우 네트워크에 연결된 웹 페이지 로딩 속도에 영향을 주는 둘 이상의 해당 위협 정보를 세번째로 차단하고, 세번째 차단 이후 또는 세번째 차단도 아닌 경우 네트워크 트래픽에 영향을 주는 둘 이상의 해당 위협 정보를 네번째로 차단하고, 네번째 차단 이후 또는 네번째 차단도 아닌 경우 네트워크 부하에 영향을 주는 둘 이상의 해당 위협 정보를 다섯번째로 차단하도록, 네트워크 보안을 수행할 수 있다. 이때, 둘 이상의 해당 위협 정보는, 위협적인 IP, 위협적인 Domain, 위협적인 Url, 위협적인 Email, 위협적인 파일명, 위협적인 src, 위협적인 MD5, 위협적인 악성코드, 위협적인 취약점 정보, 위협요소의 접근 횟수 중 적어도 둘을 포함할 수 있다.
도 4 및 도 5는 본 개시에 따른 SOAR 기반의 Playbook을 활용한 네트워크 보안 위협 자동 대응 과정을 일 예들로 나타낸 도면이다.
도 4를 참조하면, 본 개시에 따른 SOAR 기반의 Playbook을 활용한 네트워크 보안 위협 자동 대응 과정은, 경보가 수신된 경우(401), 출발지 국가 정보를 조회하고(402), 공격 IP 외부 평판을 분석하며(403), 공격 IP 내부 평판을 분석하고(404), 목적지 자산 여부를 조회할 수 있다(405).
이 후, 본 개시에 따른 SOAR 기반의 Playbook을 활용한 네트워크 보안 위협 자동 대응 과정은, 국가를 확인할 수 있고(406), 국가가 국내인 경우 공격 시도는 맞으나 국내 IP로 무시 처리할 수 있는 것에 대한 티켓 완료를 수행하고(407), 국가가 해외인 경우 IP 유해 여부를 판단할 수 있다(408).
이 후, 본 개시에 따른 SOAR 기반의 Playbook을 활용한 네트워크 보안 위협 자동 대응 과정은, 정상 IP인 경우 E-mail 상황 전파인지를 판단하고(409), 해외 유해 IP가 공격을 시도하는 것에 대한 티켓 완료를 수행할 수 있다(410).
반면에, 본 개시에 따른 SOAR 기반의 Playbook을 활용한 네트워크 보안 위협 자동 대응 과정은, 유해 IP인 경우 공격 이력 여부를 판단할 수 있다(411).
이 후, 본 개시에 따른 SOAR 기반의 Playbook을 활용한 네트워크 보안 위협 자동 대응 과정은, 미탐 IP인 경우 CORE 방화벽 차단을 수행하며(412), SMS 상황 전파인지를 판단하고(413), 과거 IPS에 탐지 이력이 있는 IP가 재공격하는 것에 대한 티켓 완료를 수행할 수 있다(414).
반면에, 본 개시에 따른 SOAR 기반의 Playbook을 활용한 네트워크 보안 위협 자동 대응 과정은, 탐지 IP인 경우 자산 정보 여부를 판단할 수 있다(415).
이 후, 본 개시에 따른 SOAR 기반의 Playbook을 활용한 네트워크 보안 위협 자동 대응 과정은, 미자산 IP인 경우 인터넷 FW에서 차단을 수행하고(416), E-mail 상황 전파인지를 판단하고(417), 목적지 IP가 자산 IP가 아닌 것에 대한 티켓 완료를 수행할 수 있다(418).
반면에, 본 개시에 따른 SOAR 기반의 Playbook을 활용한 네트워크 보안 위협 자동 대응 과정은, 자산 IP인 경우 DMZ 방화벽 차단을 수행하고(419), SMS 상황 전파인지를 판단하며(420), E-mail 상황 전파인지를 판단하고(421), 목적지 IP가 자산 IP인 것에 대한 티켓 완료를 수행할 수 있다(422).
도 5를 참조하면, 본 개시에 따른 SOAR 기반의 Playbook을 활용한 네트워크 보안 위협 자동 대응 과정은, 경보가 수신된 경우(501), 사이버 위협 IP 정보를 분석하고(502), 자산 정보를 분석하며(503), IPS/TMS에 대한 Raw Search를 수행하고(504), 복합 공격 여부를 판단할 수 있다(505).
이 후, 본 개시에 따른 SOAR 기반의 Playbook을 활용한 네트워크 보안 위협 자동 대응 과정은, 복합 공격을 미탐지한 경우, 단순 위협 시도로 유효성 없음을 판단하여 종결하는 것에 대한 티켓 완료를 수행하고(506), 복합 공격을 탐지한 경우, WAF에 대한 Raw Search를 수행하고(507), 복합 공격 여부를 판단할 수 있다(508).
이 후, 본 개시에 따른 SOAR 기반의 Playbook을 활용한 네트워크 보안 위협 자동 대응 과정은, 복합 공격을 미탐지한 경우, 단순 위협 시도로 유효성 없음을 판단하여 종결하는 것에 대한 티켓 완료를 수행하고(509), 복합 공격을 탐지한 경우, WEB에 대한 Raw Search를 수행하고(510), 이상 접근 확인 여부를 판단할 수 있다(511).
이 후, 본 개시에 따른 SOAR 기반의 Playbook을 활용한 네트워크 보안 위협 자동 대응 과정은, 이상 접근이 아닌 경우, 방화벽 차단을 수행하고(512), SMS 상황 전파인지를 판단하며(513), E-mail 상황 전파인지를 판단하고(514), 조치 완료한 것에 대한 티켓 완료를 수행할 수 있다(515).
반면에, 본 개시에 따른 SOAR 기반의 Playbook을 활용한 네트워크 보안 위협 자동 대응 과정은, 이상 접근인 경우, 서버 로그인 성공 여부 확인을 위한 Raw Search를 수행하고(516), 서버 접속 여부를 판단할 수 있다(517).
이 후, 본 개시에 따른 SOAR 기반의 Playbook을 활용한 네트워크 보안 위협 자동 대응 과정은, 서버 접속이 실패한 경우, 조치 완료한 것에 대한 티켓 완료를 수행하(518), 서버 접속이 성공한 경우, FW에 대한 Raw Search를 수행하며(519), 최근 1주일 접근 여부를 판단할 수 있다(520).
이 후, 본 개시에 따른 SOAR 기반의 Playbook을 활용한 네트워크 보안 위협 자동 대응 과정은, 최근 1주일 접근이 아닌 경우, 조치 완료한 것에 대한 티켓 완료를 수행할 수 있다(521).
반면에, 본 개시에 따른 SOAR 기반의 Playbook을 활용한 네트워크 보안 위협 자동 대응 과정은, 최근 1주일 접근인 경우, 방화벽 차단을 수행하고(522), SMS 상황 전파인지를 판단하며(523), E-mail 상황 전파인지를 판단하고(524), 조치 완료한 것에 대한 티켓 완료를 수행할 수 있다(525).
도 6은 본 개시에 따른 SOAR 기반의 네트워크 보안 위협 자동 대응 시스템을 일 예로 나타낸 도면이다.
도 6을 참조하면, SOAR 기반의 네트워크 보안 위협 자동 대응 시스템(600)은, SIEM 처리부(630)에서 업무망, 인터넷망, DMZ, 사용자망, 공사/공단등의 외부 네트워크(610)를 통해 실시간 로그 수집된 데이터를 수신받을 수 있고, 통계와 상관 분석 및 빅데이터 분석을 기반으로 공격 IP를 수동 차단 또는 자동 차단할 수 있다. 여기에서, SIEM 처리부(630)는 AI Edition 처리부(650)로부터 예측 결과 정보를 수신받을 수 있고, AI Edition 처리부(650)에 학습 데이터를 제공할 수 있다. 또한, SIEM 처리부(630)는 식별 정보, 위협 정보, 자산 정보, 인사 정보등을 포함하는 국내외 위협 정보(620)를 수신받을 수 있고, SOAR 처리부(640)에 이벤트(경보)를 제공할 수 있으며, SOAR 처리부(640)로부터 수신된 데이터를 조회할 수 있다.
또한, SOAR 기반의 네트워크 보안 위협 자동 대응 시스템(600)은, SOAR 처리부(640)에서 SIEM 처리부(630)를 통해 이벤트(경보)를 수신받을 수 있고, 식별 정보, 위협 정보, 자산 정보, 인사 정보등을 포함하는 국내외 위협 정보(620)를 수신받을 수 있으며, 스마트 가드 처리부(660)를 통해 조회된 자산 및 취약점 정보에 대한 데이터를 수신받을 수 있다. 여기에서, SOAR 처리부(640)는 이벤트(경보), 국내외 위협 정보, 조회된 자산 및 취약점 정보에 대한 데이터를 기반으로, Playbook을 자동 실행하여 네트워크 보안 위협 자동 대응 과정을 수행할 수 있다.
또한, SOAR 기반의 네트워크 보안 위협 자동 대응 시스템(600)은, 통합대시보드 처리부(670)에서 SOAR 처리부(640)를 통해 경보 발생 신호를 수신받을 수 있고, 식별 정보, 위협 정보, 자산 정보, 인사 정보등을 포함하는 국내외 위협 정보(620)를 수신받을 수 있으며, 위협 현황에 대한 데이터와 대응 현황에 대한 데이터 및 보안 현황에 대한 데이터를 표시할 수 있다. 여기에서, 식별 정보는 SIEM 로그에서 탐지할수 있는 유해IP, URL, 도메인정보, 포트번호, 해시값등일 수 있다. 이때, 보안 현황에 대한 데이터는, 공격자 IP 행위 분석, 단일 보안 장비, 침해 분석 보고서등일 수 있다.
본 개시는, 상위 기관의 서버(10)로부터 자동 배포된 SIEM 룰과 SOAR Playbook으로 보안 위협정보 자동 탐지 및 상위 기관의 서버(10)에 상세 분석을 요청하여 보안 관제의 효율성을 높일 수 있다.
본 개시에서, 하위 기관의 서버(20)는 상위 기관의 서버(10)로부터 수신된 분석결과/AI 판단결과등을 토대로, 자동화 대응을 위해 하위 기관의 Playbook을 자동으로 실행할 수 있다. 즉, 하위 기관의 SOAR는 상위 기관의 서버(10)로부터 수신된 분석결과/AI 판단결과를 기준으로, Playbook으로 위협IP 방화벽 자동차단, 관리자 대응결과 알림 및 보고서, 침해대응 이력 기록 등과 같은 자동대응을 수행할 수 있다.
도 1, 도 4 내지 도 6에 도시된 구성요소들의 성능에 대응하여 적어도 하나의 구성요소가 추가되거나 삭제될 수 있다. 또한, 구성 요소들의 상호 위치는 시스템의 성능 또는 구조에 대응하여 변경될 수 있다는 것은 당해 기술 분야에서 통상의 지식을 가진 자에게 용이하게 이해될 것이다.
도 2 및 도 3은 복수의 단계를 순차적으로 실행하는 것으로 기재하고 있으나, 이는 본 실시예의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 실시예가 속하는 기술분야에서 통상의 지식을 가진 자라면 본 실시예의 본질적인 특성에서 벗어나지 않는 범위에서 도 2 및 도 3에 기재된 순서를 변경하여 실행하거나 복수의 단계 중 하나 이상의 단계를 병렬적으로 실행하는 것으로 다양하게 수정 및 변형하여 적용 가능할 것이므로, 도 2 및 도 3은 시계열적인 순서로 한정되는 것은 아니다.
한편, 개시된 실시예들은 컴퓨터에 의해 실행 가능한 명령어를 저장하는 기록매체의 형태로 구현될 수 있다. 명령어는 프로그램 코드의 형태로 저장될 수 있으며, 프로세서에 의해 실행되었을 때, 프로그램 모듈을 생성하여 개시된 실시예들의 동작을 수행할 수 있다. 기록매체는 컴퓨터로 읽을 수 있는 기록매체로 구현될 수 있다.
컴퓨터가 읽을 수 있는 기록매체로는 컴퓨터에 의하여 해독될 수 있는 명령어가 저장된 모든 종류의 기록 매체를 포함한다. 예를 들어, ROM(Read Only Memory), RAM(Random Access Memory), 자기 테이프, 자기 디스크, 플래쉬 메모리, 광 데이터 저장장치 등이 있을 수 있다.
이상에서와 같이 첨부된 도면을 참조하여 개시된 실시예들을 설명하였다. 본 개시가 속하는 기술분야에서 통상의 지식을 가진 자는 본 개시의 기술적 사상이나 필수적인 특징을 변경하지 않고도, 개시된 실시예들과 다른 형태로 본 개시가 실시될 수 있음을 이해할 것이다. 개시된 실시예들은 예시적인 것이며, 한정적으로 해석되어서는 안 된다.
100: 제공 서버 110: 프로세서
120: 메모리 130: 통신부
120: 메모리 130: 통신부
Claims (10)
- 상위 기관의 서버 및 하위 기관의 서버와 통신을 수행하는 통신부; 및
디지털 서비스 기반의 하위 기관 맞춤형 보안 대응 자동화와 관련된 동작을 제어하는 프로세서; 를 포함하고,
상기 프로세서는,
상기 통신부를 통해 상기 하위 기관의 서버로부터 수신된 SIEM 탐지 룰 기반의 상세 분석이 필요한 해당 위협 정보, SOAR Playbook 기반의 상세 분석이 필요한 해당 위협 정보를 상기 통신부를 통해 상위 기관의 서버로 요청하고,
상기 통신부를 통해 상기 상위 기관의 서버로부터 수신된 SIEM 탐지 룰 기반의 해당 위협 정보에 대한 분석 결과 정보, SOAR Playbook 기반의 해당 위협 정보에 대한 분석 결과 정보를 상기 통신부를 통해 상기 하위 기관의 서버로 전송하되,
상기 해당 위협 정보에 상응하는 최신 위협 요소, AI 기반 정오탐 판단 결과 정보, 타 기관 공격 이력 현황 정보에 대한 분석 결과 정보를 상기 통신부를 통해 상기 하위 기관의 서버로 전송하고,
상기 AI 기반 정오탐 판단 결과 정보는, 위협적인 IP, 위협적인 Domain, 위협적인 Url, 위협적인 Email, 위협적인 파일명, 위협적인 src, 위협적인 MD5, 위협적인 악성코드, 위협적인 취약점 정보에 대해, 정상적으로 탐지한 정탐 결과 정보와, 탐지를 했지만 잘못 탐지한 오탐 결과 정보이고,
상기 타 기관 공격 이력 현황 정보는, 과거 동일 공격자 IP의 여부, 과거 동일 공격자 IP의 공격 횟수, 최근 위협된 공격자들 IP, 다른 보안 장비에서의 유사한 접속 이력 로그인 것을 특징으로 하는, 디지털 서비스 기반의 하위 기관 맞춤형 보안 대응 자동화제공 서버. - 삭제
- 삭제
- 삭제
- 제1항에 있어서,
상기 프로세서는,
상기 통신부를 통해 상기 상위 기관의 서버로부터 수신된 분석결과 데이터를 기반으로 Playbook을 자동 대응 수행하는 것을 특징으로 하는, 디지털 서비스 기반의 하위 기관 맞춤형 보안 대응 자동화 제공 서버. - 하위 기관 맞춤형 보안 대응 자동화 제공 서버에 의해 수행되는 하위 기관 맞춤형 보안 대응 자동화 제공 방법에 있어서,
하위 기관의 서버로부터 수신된 SIEM 탐지 룰 기반의 상세 분석이 필요한 해당 위협 정보, SOAR Playbook 기반의 상세 분석이 필요한 해당 위협 정보를 상위 기관의 서버로 요청하는 단계; 및
상기 상위 기관의 서버로부터 수신된 SIEM 탐지 룰 기반의 해당 위협 정보에 대한 분석 결과 정보, SOAR Playbook 기반의 해당 위협 정보에 대한 분석 결과 정보를 상기 하위 기관의 서버로 전송하되,
상기 해당 위협 정보에 상응하는 최신 위협 요소, AI 기반 정오탐 판단 결과 정보, 타 기관 공격 이력 현황 정보에 대한 분석 결과 정보를 상기 하위 기관의 서버로 전송하는 단계; 를 포함하고,
상기 AI 기반 정오탐 판단 결과 정보는, 위협적인 IP, 위협적인 Domain, 위협적인 Url, 위협적인 Email, 위협적인 파일명, 위협적인 src, 위협적인 MD5, 위협적인 악성코드, 위협적인 취약점 정보에 대해, 정상적으로 탐지한 정탐 결과 정보와, 탐지를 했지만 잘못 탐지한 오탐 결과 정보이고,
상기 타 기관 공격 이력 현황 정보는, 과거 동일 공격자 IP의 여부, 과거 동일 공격자 IP의 공격 횟수, 최근 위협된 공격자들 IP, 다른 보안 장비에서의 유사한 접속 이력 로그인 것을 특징으로 하는, 하위 기관 맞춤형 보안 대응 자동화 제공 방법. - 삭제
- 삭제
- 삭제
- 제6항에 있어서,
상기 상위 기관의 서버로부터 수신된 분석결과 데이터를 기반으로 Playbook을 자동 대응 수행하는 단계; 를 더 포함하는, 하위 기관 맞춤형 보안 대응 자동화 제공 방법.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020230080919A KR102585583B1 (ko) | 2023-06-23 | 2023-06-23 | 디지털 서비스 기반의 하위 기관 맞춤형 보안 대응 자동화 제공 서버, 방법 및 프로그램 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020230080919A KR102585583B1 (ko) | 2023-06-23 | 2023-06-23 | 디지털 서비스 기반의 하위 기관 맞춤형 보안 대응 자동화 제공 서버, 방법 및 프로그램 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR102585583B1 true KR102585583B1 (ko) | 2023-10-06 |
Family
ID=88296031
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020230080919A KR102585583B1 (ko) | 2023-06-23 | 2023-06-23 | 디지털 서비스 기반의 하위 기관 맞춤형 보안 대응 자동화 제공 서버, 방법 및 프로그램 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR102585583B1 (ko) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2017064226A (ja) | 2015-09-30 | 2017-04-06 | 大王製紙株式会社 | 使い捨ておむつ |
| KR102222377B1 (ko) * | 2020-08-25 | 2021-03-03 | 주식회사 로그프레소 | 위협 대응 자동화 방법 |
| KR102433830B1 (ko) * | 2021-11-10 | 2022-08-18 | 한국인터넷진흥원 | 인공지능 기반 보안위협 이상행위 탐지 시스템 및 방법 |
| KR102516819B1 (ko) * | 2022-10-25 | 2023-04-04 | (주)시큐레이어 | 빅데이터를 기반으로 위협 이벤트를 분석하고 대응하도록 지원하는 방법 및 이를 이용한 서버 |
-
2023
- 2023-06-23 KR KR1020230080919A patent/KR102585583B1/ko active IP Right Grant
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2017064226A (ja) | 2015-09-30 | 2017-04-06 | 大王製紙株式会社 | 使い捨ておむつ |
| KR102222377B1 (ko) * | 2020-08-25 | 2021-03-03 | 주식회사 로그프레소 | 위협 대응 자동화 방법 |
| KR102433830B1 (ko) * | 2021-11-10 | 2022-08-18 | 한국인터넷진흥원 | 인공지능 기반 보안위협 이상행위 탐지 시스템 및 방법 |
| KR102516819B1 (ko) * | 2022-10-25 | 2023-04-04 | (주)시큐레이어 | 빅데이터를 기반으로 위협 이벤트를 분석하고 대응하도록 지원하는 방법 및 이를 이용한 서버 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11785040B2 (en) | Systems and methods for cyber security alert triage | |
| Joo et al. | S-Detector: an enhanced security model for detecting Smishing attack for mobile computing | |
| US11757920B2 (en) | User and entity behavioral analysis with network topology enhancements | |
| Varshney et al. | A phish detector using lightweight search features | |
| US20220201042A1 (en) | Ai-driven defensive penetration test analysis and recommendation system | |
| US11856011B1 (en) | Multi-vector malware detection data sharing system for improved detection | |
| US8181253B1 (en) | System and method for reducing security risk in computer network | |
| US8429751B2 (en) | Method and apparatus for phishing and leeching vulnerability detection | |
| US11824878B2 (en) | Malware detection at endpoint devices | |
| US11086983B2 (en) | System and method for authenticating safe software | |
| US20190230098A1 (en) | Indicator of compromise calculation system | |
| US9652597B2 (en) | Systems and methods for detecting information leakage by an organizational insider | |
| US20210344693A1 (en) | URL risk analysis using heuristics and scanning | |
| EP3704585B1 (en) | Consumer threat intelligence service | |
| KR102575129B1 (ko) | 언어 모델을 이용한 보안 위협 탐지 보고서 생성 장치 및 방법 | |
| US20200389496A1 (en) | Automated identification of security issues | |
| US10474810B2 (en) | Controlling access to web resources | |
| US10367835B1 (en) | Methods and apparatus for detecting suspicious network activity by new devices | |
| KR102584141B1 (ko) | 디지털 서비스 기반의 네트워크 보안 위협 대응 서버, 방법 및 프로그램 | |
| KR101968633B1 (ko) | 실시간 최신 악성코드 및 침해 진단 서비스 제공 방법 | |
| KR102585583B1 (ko) | 디지털 서비스 기반의 하위 기관 맞춤형 보안 대응 자동화 제공 서버, 방법 및 프로그램 | |
| US20230156020A1 (en) | Cybersecurity state change buffer service | |
| US20230068946A1 (en) | Integrated cybersecurity threat management | |
| Aldea et al. | Software vulnerabilities integrated management system | |
| Mohanty et al. | Cybersecurity and AI |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |