KR20190119239A - It보안 위험 관리 장치 - Google Patents
It보안 위험 관리 장치 Download PDFInfo
- Publication number
- KR20190119239A KR20190119239A KR1020180039906A KR20180039906A KR20190119239A KR 20190119239 A KR20190119239 A KR 20190119239A KR 1020180039906 A KR1020180039906 A KR 1020180039906A KR 20180039906 A KR20180039906 A KR 20180039906A KR 20190119239 A KR20190119239 A KR 20190119239A
- Authority
- KR
- South Korea
- Prior art keywords
- vulnerability
- network
- vulnerabilities
- external
- asset
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
IT 보안 위험 관리 장치 및 방법이 개시된다 실제 기업이 보유한 IT 자산의 취약점에 대한 공격 경로의 분석을
통해, IT 자산이 가지는 보안 위험을 효율적으로 관리하기 위한 T 보안 위험관리 장치는 네트워크 구성 정보 수
집부, 취약점 정보 수집부, 및 공격 경로 분석부를 포함한다 네트워크 구성 정보 수집부는 IT 보안 위험 관리를
수행하고자 하는 네트워크의 구성 형태, 네트워크를 구성하고 있는 네트워크 장치들의 종류, 및 네트워크 장치들
의 IP 주소를 포함하는 네트워크 구성 정보를 수집하고, 취약점 정보 수집부는 네트워크 내의 IT 자산이 포함하
고 있는 취약점 정보를 수집하며, 공격 경로 분석부는 네트워크 구성 정보 및 취약점 정보를 IP 주소를 기반으로
서로 연계하여, IT 자산이 포함하고 있는 취약점들 각각에 대해 외부 공격자로부터의 접근 가능 여부를
분석하고, 외부 공격자가 접근 불가능한 취약점들을 관리 대상에서 배제한다 이로 인해, IT 자산이 가지는 취약
점에 대해 위협의 공격 경로를 자동적으로 분석하여 외부 공격자가 접근 불가능한 취약점들을 관리 대상에서 배
제함으로써, 관리 대상 취약점의 개수를 줄일 수 있으므로, 보안 투자비용을 감소시킬 수 있으며, 공격 경로 분
석을 통해 취약점에 대한 위협 발생 가능성 순위를 설정하여, 설정된 순위에 따라 조치를 취하게 함으로써, IT
자산의 침해 사고 발생 가능성 및 침해 사고에 의한 영향을 최소화할 수 있다
통해, IT 자산이 가지는 보안 위험을 효율적으로 관리하기 위한 T 보안 위험관리 장치는 네트워크 구성 정보 수
집부, 취약점 정보 수집부, 및 공격 경로 분석부를 포함한다 네트워크 구성 정보 수집부는 IT 보안 위험 관리를
수행하고자 하는 네트워크의 구성 형태, 네트워크를 구성하고 있는 네트워크 장치들의 종류, 및 네트워크 장치들
의 IP 주소를 포함하는 네트워크 구성 정보를 수집하고, 취약점 정보 수집부는 네트워크 내의 IT 자산이 포함하
고 있는 취약점 정보를 수집하며, 공격 경로 분석부는 네트워크 구성 정보 및 취약점 정보를 IP 주소를 기반으로
서로 연계하여, IT 자산이 포함하고 있는 취약점들 각각에 대해 외부 공격자로부터의 접근 가능 여부를
분석하고, 외부 공격자가 접근 불가능한 취약점들을 관리 대상에서 배제한다 이로 인해, IT 자산이 가지는 취약
점에 대해 위협의 공격 경로를 자동적으로 분석하여 외부 공격자가 접근 불가능한 취약점들을 관리 대상에서 배
제함으로써, 관리 대상 취약점의 개수를 줄일 수 있으므로, 보안 투자비용을 감소시킬 수 있으며, 공격 경로 분
석을 통해 취약점에 대한 위협 발생 가능성 순위를 설정하여, 설정된 순위에 따라 조치를 취하게 함으로써, IT
자산의 침해 사고 발생 가능성 및 침해 사고에 의한 영향을 최소화할 수 있다
Description
현재 많은 기업에서 사용하고 있는 다양한 IT 자산(소프트웨어, 운영체제 등)은 벤더의 제품 출시부터 보안 취
약점을 보유하게 되는데, 통계에 따르면 매 1,000라인의 소프트웨어 코드마다 약 5개 정도의 잠재 보안 취약점
이 포함되어 출시되는 것으로 알려져 있다
[0003] 이러한 취약점들은 125 인터넷 대란, 77 DDoS 대란과 같이 악성코드 및 악의적인 해커들의 목표가 되고 있다
(최근에는 이러한 취약점이 알려지자마자 공격이 이루어지는 "Zero-day 위협" 형태의 공격이 성행하기에 이르고
있다)
[0004] CERT, CSI/FBI 등의 통계 자료에 따르면 이러한 취약점들은 지속적으로 발견되고 있고, IT 자산이 다양해지고
복잡해지면서 꾸준히 증가(매년 20~50%씩 증가)하고 있으며, 이에 따른 피해비용도 더불어 증가하고 있다
[0005] 따라서, IT 보안 위험 관리는 기업 운영 전반에 걸쳐 중요한 문제로 부각되고 있으며, 다양한 보안 솔루션을 설
치함으로써 이러한 피해를 줄이기 위해 노력하고 있다
[0006] 하지만, 보안 솔루션의 설치에도 불구하고 대부분의 기업에서는 여전히 IT 자산의 보안 취약점 증가에 따라 지
속적인 악성 코드나 보안 침해사고 또한 비례하여 증가하고 있는데, 이러한 이유는 기존 보안 솔루션들이 주로
알려진 공격 위주의 방어에 초점이 맞추어져 있으며, 이외에도 전체 IT 자산이 가진 위험을 효율적으로 관리하
는 데에는 다음과 같은 많은 어려움이 따르고 있기 때문이다
[0007] 일단, 기업에서 사용되고 있는 비즈니스 애플리케이션의 개수는 수십 ~ 수백 종에 이르고 있으며, 수 천대의 서
버, 라우터, 방화벽, 침입방지 시스템 등이 사용되고 있으므로, 다수의 IT 자산이 가지고 있는 보안 취약점은
수 만개에 다다른다고 볼 수 있다
[0008] 또한, 현재 IT 자산에 존재하는 보안 취약점뿐만 아니라, 매일 10개 이상의 각종 신규 취약점이 발견되고 있으
며, 지속적으로 네트워크 구성이 변경되므로, IT 자산이 가지고 있는 보안 취약점은 그 수를 정확하게 헤아리기
힘들다고 볼 수 있다
[0009] 이로 인해, 취약점 스캐너라는 솔루션을 이용한다 하더라도, 이는 다수의 취약점을 찾아 관리자에게 단순히 알
려주는 것에 불과하므로, 관리자는 어떠한 취약점을 먼저 해결해야 하는지에 대한 정보를 전혀 얻을 수 없으며,
그러한 정보를 얻기 위하여 수주일에서 수개월에 이르는 수작업에 의한 분석을 수행해야 한다
[0010] 하지만, 많은 시간과 비용을 소비하여 분석을 수행하였다 하더라도, 발견된 보안 취약점 전체를 해결하는 것은
실질적으로 불가능하다고 볼 수 있으므로, 취약점을 관리함에도 불구하고 보안 수준은 점차 저하되고 있는 실정
이다
[0011] 따라서, 기업 IT 자산이 가진 취약점으로 인한 보안 피해를 줄일 수 있는 구체적이고 명확한 해결책을 제시하는
것이 시급하다고 할 수 있다
본 발명은 이와 같은 종래의 문제점을 해결하기 위해 안출된 것으로서, IT 자산이 가지는 취약점에 대해 위협
(공격자)의 공격 경로를 자동적으로 분석하여 보안 위험 분석 시간을 단축시키며, 보안 투자비용을 감소시키는
것을 목적으로 한다
[0013] 또한, 공격 경로 분석을 통해 취약점에 대한 위협 발생 가능성 순위를 설정하여, 설정된 순위에 따라 조치를 취
하게 함으로써, IT 자산의 침해 사고 발생 가능성 및 침해 사고에 의한 영향을 최소화하는 것을 목적으로 한다
본 발명에 의해 IT 자산이 가지는 취약점에 대해 위협의 공격 경로를 자동적으로 분석하여 보안 위험 분석 시간
을 단축시킬 수 있고, 보안 투자비용을 감소시킬 수 있으며, 공격 경로 분석을 통해 취약점에 대한 위협 발생
가능성 순위를 설정하여, 설정된 순위에 따라 조치를 취하게 함으로써, IT 자산의 침해 사고 발생 가능성 및 침
해 사고에 의한 영향을 최소화할 수 있다
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 설명한다 발명의 [0027] 이해를 보다 명확하게 하기 위해
동일한 구성요소에 대해서는 상이한 도면에서도 동일한 부호를 사용하도록 한다
[0028] 도 1은 본 발명에 따른 IT 보안 위험 관리 장치(100)가 설치된 전체 네트워크 구성의 일 실시예를 개략적으로
나타낸 도면이다
[0029] IT 보안 위험 관리를 수행하고자 하는 전체 네트워크의 구성은 공격 소스(외부 공격자)가 될 수 있는 인터넷
(200)이 외부 라우터 1, 2(310, 320)와 연결되어 있고, 외부 라우터 1, 2(310, 320)는 외부 방화벽(400)과 연
결되어 있다 이때, 외부 방화벽(400)부터 내부 네트워크(10)에 포함된다
[0030] 외부 방화벽(400)에 구성되어 있는 DMZ 서버(500)에는 FTP 서버(510) 및 웹 서버(520)가 설치되어 있으며, 외부
방화벽(400)은 다시 내부 라우터 1, 2(610, 620)와 연결되어 있고, 내부 라우터 1, 2(610, 620)는 내부 방화벽
(700)과 연결되어 있으며, 내부 방화벽(700)은 복수의 서버들(서버 1(810), 서버 2(820), 내지 서버 n(830))과
연결되어 있다
[0031] 이러한 도 1의 전체 네트워크 구성에서 본 발명의 IT 보안 위험 관리 장치(100)는 내부 방화벽(700)과 복수의
서버들(서버 1(810), 서버 2(820), 내지 서버 n(830)) 사이에 위치하고 있지만, 전체 네트워크 내에서 네트워크
의 IT 보안 위험 관리를 수행할 수 있는 어떠한 위치에도 위치할 수 있음이 바람직할 것이다
[0032] 도 2는 본 발명에 따른 IT 보안 위험 관리 장치(100) 구성의 일 실시예를 개략적으로 나타낸 블록도이다
[0033] 본 발명에 따른 IT 보안 위험관리 장치(100)는 네트워크 구성 정보 수집부(110), 접근 통제 정책 수집부(120),
취약점 정보 수집부(130), 공격 경로 분석부(140), 비즈니스 영향도 분석부(150), 및 취약점 조치 우선 순위 설
정부(160)를 포함한다
[0034] 네트워크 구성 정보 수집부(110)는 네트워크 매퍼(mapper)로서, IT 보안 위험 관리를 수행하고자 하는 네트워크
의 구성 형태, 네트워크를 구성하고 있는 네트워크 장치들의 종류, 및 네트워크 장치들의 IP 주소를 포함하는
네트워크 구성 정보를 수집한다
[0035] 네트워크 장치들의 종류로는 라우터, 서버, PC, 방화벽, 스위치 등이 있을 수 있다
[0036] 접근 통제 정책 수집부(120)는 네트워크 장치들 중, 일부 장치들에 개별적으로 적용되어 있는 접근 통제 정책
(ACL, Access Control Lists)을 수집한다
[0037] 즉, 네트워크 구성 정보 수집부(110)에서 수집된 네트워크 구성 정보를 기반으로, SSH, Telnet 등의 크리덴셜
(Credential)로 로그인하여 네트워크 장치들 중, 방화벽 및 라우터에 개별적으로 적용되어 있는 접근 통제 정책
을 수집한다
[0038] 취약점 정보 수집부(130)는 네트워크 내의 IT 자산이 포함하는 취약점 정보를 수집한다
[0039] 취약점 정보 수집부(130)는, 공격자가 취약점을 찾기 전에 IT 자산이 포함된 네트워크 장치의 모든 취약점을 찾
아서 표시하는 취약점 스캐너가 될 수 있다
[0040] 이때, IT 자산은 기업이 사용하고 있는 모든 소프트웨어(예컨대, 데이터베이스, 운영체제, 애플리케이션 등)를
의미하며, IP 주소를 가지는 네트워크 장치에 포함되므로, 취약점 정보 수집부(130)에서 찾은 취약점들은 각각
에 대응되는 IT 자산의 IP 주소(IT 자산이 설치된 네트워크 장치의 IP 주소)와 매칭된다
[0041] 공격 경로 분석부(140)는 네트워크 구성 정보, 접근 통제 정책, 및 취약점 정보를 IP 주소를 기반으로 서로 연
계하여, IT 자산의 취약점들 각각에 대해 외부 공격자로부터의 공격 경로를 분석한다공격 경로 분석부(140)는 다음과 같은 과정으로 [0042] 공격 경로를 분석할 수 있다
[0043] 먼저, 네트워크 구성 정보 및 취약점 정보를 이용하여, 발견된 취약점들 각각에 대해 외부 공격자의 접근 가능
여부를 분석하고, 외부 공격자에 의해 접근 불가능한 취약점들은 관리 대상에서 배제시킨다
[0044] (단, 내부 사용자 또는 악성 코드에 의해 악용될 수 있는(접근 가능한) 취약점인 경우에는 해당 취약점은 유효
한 것으로 간주한다)
[0045] 다음으로, 네트워크 구성 정보, 취약점 정보, 및 접근 통제 정책을 IP 주소를 기반으로 서로 연계하여, 외부 공
격자에 의해 접근 가능한 취약점이, 네트워크 장치들 각각에 설정된 접근 통제 정책에 의해 외부 공격자가 접근
가능한 취약점인지 여부를 분석하고, 외부 공격자들이 접근 통제 정책에 의해 접근 불가능한 취약점들은 관리
대상에서 배제시킨다(IT 자산이 해당 취약점을 가지고 있다 하더라도 외부 접근이 불가능하므로 배제시킴)
[0046] 즉, 상술한 두 과정(외부 공격자의 접근 가능 여부 분석 및 접근 통제 정책에 의한 접근 가능 여부 분석)을 거
치며 발견된 취약점들은 '외부 접근 가능(관리 대상에 포함)' 및 '외부 접근 불가능(관리 대상에서 배제)'으로
분류될 수 있다
[0047] 그리고나서, '외부 접근 가능'으로 분류된 취약점들을 외부 공격자가 직접 접근 또는 간접 접근이 가능한지 여
부를 분석한다
[0048] 직접 접근 가능한 취약점은 외부에서 공격자가 직접 해당 취약점에 접근 가능한 취약점을 의미한다(즉, 외부 공
격자 -> 해당 취약점)
[0049] 또한, 간접 접근 가능한 취약점은 외부에서 공격자가 직접 해당 취약점에 접근하는 것은 불가능 하나, 내부의
다른 장치(서버 등)의 취약점을 통하여 접근 가능한 취약점을 의미한다(즉, 외부 공격자 -> 다른 장치의 취약점
-> 해당 취약점)
[0050] 외부 공격자가 직접 접근 가능한 취약점의 경우는 침해사고 발생 가능성이 높은 것으로 분석하고, 외부 공격자
가 간접 접근 가능한 취약점의 경우는 침해사고 발생 가능성이 상대적으로 낮은 것으로 분석할 수 있다
[0051] 즉, 공격 경로의 분석 결과는 발견된 취약점들을 '외부 접근 불가능(관리 대상에서 배제)', '외부 직접 접근 가
능', 및 '외부 간접 접근 가능'으로 분류한 것이 될 수 있다
[0052] 도 3은 도 1의 전체 네트워크 구성에서 외부 공격자(공격 소스)의 공격 경로 분석 과정을 나타낸 도면이다
[0053] 도 1 및 도 3을 참조하여 상술한 공격 경로 분석 과정을 설명하면, 네트워크 구성 정보 수집부(110)는 네트워크
의 구성 형태 및 네트워크 장치들의 종류(외부 라우터 1(310), 외부 라우터 2(320), 외부 방화벽(400), 내부 라
우터 1(610), 내부 라우터 2(630), 및 공격 목표(서버 1(810), 서버 2(820), 또는 서버 n(830))로 구성됨), 각
각의 네트워크 장치들에 대응하는 IP 주소와 같은 네트워크 구성 정보를 수집한다
[0054] 접근 통제 정책 수집부(120)는 외부 라우터 1(310), 외부 라우터 2(320), 외부 방화벽(400), 내부 라우터
1(610), 내부 라우터 2(630) 각각에 적용되어 있는 접근 통제 정책을 수집한다
[0055] 이때, 외부 라우터 1(310), 외부 라우터 2(320), 외부 방화벽(400), 내부 라우터 1(610), 또는 내부 라우터
2(630)와 같은 접근 통제 장치는 "IP 주소, 프로토콜(TCP 또는 UDP), 포트번호"로 외부에서 내부로의 접근을 통
제(허용 또는 거부)하는 장치이다
[0056] 그러므로, 도 3의 '접근 통제 정책 x 허용', '접근 통제 정책 z 허용', 또는 '접근 통제 정책 y 허용'의 예를
들어보면, "TCP any * any 80 Allow", "TCP any * any 25 Deny"등이 될 수 있다 "TCP any * any 80 Allow"는
임의의 외부 IP 주소(any)에서 임의의 포트(*)를 가지고 임의의 내부 IP 주소(any)의 80(웹 서버) 포트에 접근
허용과 같은 정책을 의미하며, "TCP any * any 25 Deny"는 모든 외부 IP 주소(any)에서 임의의 포트(*)를 가지
고 임의의 내부 IP 주소(any)의 25(이메일 서버) 포트에 접근 허용과 같은 정책을 의미한다
[0057] 취약점 정보 수집부(130)는 공격 목표(서버 1(810), 서버 2(820), 또는 서버 n(830))가 포함하고 있는 IT 자산
들에 대한 취약점 정보를 수집한다
[0058] 공격 경로 분석부(140)는 네트워크 구성 정보, 접근 통제 정책, 및 취약점 정보를 IP 주소를 기반으로 서로 연
계하여, 공격 목표(서버 1(810), 서버 2(820), 또는 서버 n(830))가 포함하고 있는 IT 자산들에 대한 취약점들
각각에 대해, 인터넷(200)과 같은 외부의 공격 소스(외부 공격자, 200)가 접근 가능한 취약점이라면, 외부의 공
격 소스(200)가 외부 라우터 1(310) 또는 외부 라우터 2(320)의 접근 통제 정책에 의해 취약점에 접근 가능한지여부를 분석한다
외부의 공격 소스(200)가 외부 라우터 1(310) 또는 외부 라우터 2(320)의 접근 [0059] 통제 정책에 의해 취약점에 접근
가능하다면, 외부의 공격 소스(200)가 다음 네트워크 장치인 외부 방화벽(400)의 접근 통제 정책에 의해 취약점
에 접근 가능한지 여부를 분석하고, 외부의 공격 소스(200)가 외부 방화벽(400)의 접근 통제 정책에 의해 취약
점에 접근 가능하다면, 외부의 공격 소스(200)가 내부 라우터 1(610) 또는 내부 라우터 2(630)의 접근 통제 정
책에 의해 취약점에 접근 가능한지 여부를 분석한다
[0060] 외부의 공격 소스(200)가 내부 라우터 1(610) 또는 내부 라우터 2(630)의 접근 통제 정책에 의해 취약점에 접근
가능하다면, 해당 취약점이, 외부의 공격 소스(200)가 직접 접근 또는 간접 접근이 가능한 취약점인지 여부를
분석한다
[0061] 외부의 공격 소스(200)가 다른 내부 서버의 취약점을 통해 해당 취약점에 접근 가능할 경우, 해당 취약점을 간
접 접근이 가능한 취약점으로 분류할 수 있다
[0062] 외부의 공격 소스(200)가 직접 접근 가능한 취약점의 경우는 침해사고 발생 가능성이 높은 것으로 분석하고, 외
부의 공격 소스(200)가 간접 접근 가능한 취약점의 경우는 침해사고 발생 가능성이 상대적으로 낮은 것으로 분
석할 수 있다
[0063] 다시 도 2를 참조하면, 비즈니스 영향도 분석부(150)는 외부 공격자가 직접 접근 또는 간접 접근 가능한 취약점
들이 위치하는 IT 자산에 대한 IT 자산의 가치 정도와, 외부 공격자가 직접 접근 또는 간접 접근 가능한 취약점
들의 위협 심각도(CVSS, Common Valnerablilty Scoring System)를 곱하여 각 취약점들의 비즈니스 영향도
(business impact)를 분석할 수 있다
[0064] 모든 취약점들에는 표준화된 위협 심각도가 정량적으로 표현되어 있는데, 위협 심각도는 해당 취약점이 침해되
었을 때 발생할 수 있는 피해의 크기가 정량화된 값(1~10)으로 표현된 국제 표준값이다
[0065] 해당 취약점이 발견된 IT 자산의 가치와 위협 심각도를 곱하면 비즈니스 영향도 분석이 가능하다
[0066] (즉, 비즈니스 영향도 = IT 자산의 가치 × 위협 심각도)
[0067] 이때, IT 자산의 가치는 정보 도난, 장애, 파손되었을 경우의 피해복구 비용과 이로 인해 업무를 수행하지 못했
을 때의 손해 비용의 합으로 볼 수 있으며, 미리 설정된 값을 입력하거나, 관리자에 의해서 직접 입력될 수 있
다
[0068] 취약점 조치 우선 순위 설정부(160)는 외부 공격자에 의해 간접 접근 및 직접 접근 가능한 취약점들에 대해 비
즈니스 영향도를 연계·분석하여 취약점들의 조치 우선 순위를 설정할 수 있다
[0069] 조치 우선 순위는 정량적인 가치(정확한 수치) 또는 정성적인 가치(매우 높음, 높음, 보통, 낮음)로 표현될 수
있다
[0070] 상술한 바와 같은 IT 자산이 가지는 취약점에 대한 외부 공격자의 공격 경로 분석을 자동화할 경우, 보안 위험
분석 시간을 획기적으로 단축할 수 있고, 관리 대상 취약점의 개수를 줄일 수 있으므로, 보안 투자비용을 감소
시킬 수 있다(단, IT 자산의 가치가 관리자에 의해 직접 입력되는 경우는 제외)
[0071] 또한, 공격 경로 분석 및 비즈니스 영향도 분석을 통해, 정확도 높은 취약점에 대한 침해 발생 가능성 순위(=
조치 우선 순위)를 설정할 수 있다
[0072] 또한, 설정된 침해 발생 가능성 순위에 따라 핵심 IT 자산이 가지는 심각한 위협을 완화할 수 있는 적절한 조치
를 취하게 함으로써, IT 자산의 침해 사고 발생 가능성 및 침해 사고에 의한 영향을 최소화할 수 있으며, 이로
인해 IT 보안 위험 관리 과정을 획기적으로 개선할 수 있다
[0073] 또한, 기존의 IT 보안 위험 관리에 있어서 발생하고 있는 문제점들인, 발견된 취약점이 관리되지 않는 문제, 예
방 가능한 보안 침해 사고들이 발생하는 문제, 비핵심 자산에 투자되는 불필요한 자원 낭비(예컨대, 비핵심 자
산에 지나친 패치 적용) 문제 등을 해결할 수 있다
[0074] 도 4는 본 발명에 따른 IT 보안 위험 관리 방법의 일 실시예를 개략적으로 나타낸 흐름도이다
[0075] 먼저, IT 보안 위험 관리를 수행하고자 하는 네트워크의 구성 형태, 네트워크를 구성하고 있는 네트워크 장치들
의 종류, 및 네트워크 장치들의 IP 주소를 포함하는 네트워크 구성 정보를 수집한다(S100)수집된 네트워크 구성 정보를 기반으로, 네트워크 장치들 중, 일부 장치들([0076] 방화벽 및 라우터)에 개별적으로 적
용되어 있는 접근 통제 정책을 수집한 후(S200), 네트워크 내의 선택된(또는 전체) IT 자산이 포함하고 있는 취
약점 정보를 수집한다(S300)
[0077] (단계 S200은 후술하는 도 6의 단계 S420이 수행되기 전의 어떠한 단계에서든 수행될 수 있다)
[0078] 만약, 선택된 IT 자산이 192111123의 IP 주소를 가지는 서버에 설치되어 있다면, 도 5과 같이 192111123
에 설치된 모든 IT 자산의 모든 취약점 정보가 수집된다
[0079] 도 5는 하나의 서버에 대한 취약점 정보 수집의 일 실시예를 나타낸 도면이다
[0080] 도 5에서는 총 20개의 취약점이 발견되었음을 볼 수 있으며, 진한 색상의 취약점들이 위협 심각도가 높은 취약
점들임을 알 수 있다
[0081] 선택된 취약점의 위협 심각도는 6으로 보통이고, TCP 포트 3389번에서 대기하고 있음을 알 수 있다
[0082] (도 5에서는 IT 자산의 가치는 반영되지 않고, 단순히 위협 심각도 만이 적용되어 분류된 것이므로, 조치 우선
순위의 정확도가 낮다)
[0083] 다시 도 4를 참조하면, 수집된 네트워크 구성 정보, 접근 통제 정책, 및 취약점 정보를 IP 주소를 기반으로 서
로 연계하여, IT 자산의 취약점들 각각에 대해 외부 공격자로부터의 공격 경로를 분석하는데(S400), 도 6 및 도
7을 참조하여 공격 경로 분석 단계(S400)를 상세히 설명하고자 한다
[0084] 도 6은 도 4의 공격 경로 분석 단계(S400)를 상세히 나타낸 흐름도이고, 도 7은 공격 경로 분석 결과 및 비즈니
스 영향도 분석 결과를 나타낸 도면이다
[0085] 수집한 취약점 정보로부터 취약점 각각에 대해, 해당 취약점이 외부 공격자가 접근 가능한지 여부를 분석한다
(S410)
[0086] 외부 공격자가 접근 불가능한 취약점일 경우는, 해당 취약점을 외부에서 접근 불가능한 취약점으로 간주하여 관
리 대상에서 배제하고(S412), 외부 공격자가 접근 가능한 취약점일 경우는, 해당 취약점에 대해 외부 공격자가
접근 통제 정책에 의해 접근 가능한지 여부를 분석한다(S420)
[0087] 외부 공격자가 접근 가능하지만 접근 통제 정책에 의해 접근 불가능한 취약점일 경우는, 해당 취약점을 외부에
서 접근 불가능한 취약점으로 간주하여 관리 대상에서 배제하고(S412), 외부 공격자가 접근 가능하며 접근 통제
정책에 의해서도 접근 가능한 취약점일 경우는, 해당 취약점에 대해 외부 공격자가 직접 접근 가능한지 여부를
분석한다(S430)
[0088] 외부 공격자가 직접 접근 가능한 취약점일 경우는, 해당 취약점을 외부에서 직접 접근 가능한 취약점으로 간주
하고(S432), 외부 공격자가 직접 접근 불가능한 취약점일 경우, 다른 IT 자산의 취약점을 통해 해당 취약점에
접근 가능하다면 해당 취약점을 외부에서 간접 접근 가능한 취약점으로 간주한다(S434)
[0089] 즉, 공격 경로 분석 단계(S400)의 결과로, 도 7에서와 같이 수집된 취약점들이 '외부 접근 불가능', '외부 직접
접근 가능', 및 '외부 간접 접근 가능'으로 분류될 수 있으며, '외부 접근 불가능'으로 분류된 취약점들은 관리
대상에서 배제시키고, '외부 직접 접근 가능'으로 분류된 취약점들은 '외부 간접 접근 가능'으로 분류된 취약점
들보다 상대적으로 피해 사고 발생 가능성이 높은 것으로 분석할 수 있다
[0090] 다시 도 4를 참조하면, 취약점들에 대한 공격 경로 분석 단계(S400)가 종료되면, 취약점들에 대한 비즈니스 영
향도 분석이 수행된다(S500)
[0091] 비즈니스 영향도는 '외부 직접 접근 가능', 및 '외부 간접 접근 가능'으로 분류된 취약점들이 위치하는 IT 자산
에 대한 IT 자산의 가치 정도와, '외부 직접 접근 가능', 및 '외부 간접 접근 가능'으로 분류된 취약점들의 위
협 심각도(CVSS)를 곱하여 분석할 수 있으며, 정량적인 수치(정확한 수치)로 나타내거나, 도 7에서와 같이 정성
적인 수치(매우 높음, 높음, 중간, 낮음)로 나타낼 수 있다
[0092] 이때, 비즈니스 영향도의 분석은 상술한 바와 같이, '외부 직접 접근 가능' 및 '외부 간접 접근 가능'으로 분류
된 취약점들에 대해서 분석될 수 있지만, 수집된 취약점들 전체에 대해서 분석될 수도 있다
[0093] 마지막으로, '외부 직접 접근 가능', 및 '외부 간접 접근 가능'으로 분류된 취약점들에 대해 비즈니스 영향도를
연계·분석하여 취약점들의 조치 우선 순위를 설정한다(S600)즉, 도 7을 다시 참조하면, IT 자산을 포함하고 있는 서버의 취약점이 20개라면, [0094] 일반적인 취약점 스캐너는 20
개의 취약점을 단순히 나열하기만 하므로, 종래의 방식에서는 나열된 취약점들을 관리자가 수작업으로 분석해야
했다
[0095] 이 경우, 서버 1 대당 20개의 취약점이 발견되었으므로, 서버가 1,000 대인 대형 네트워크에서는 취약점이 총
20,000개가 되어, 모든 작업을 수작업으로 진행한다면 많은 시간과 노력이 소요될 수밖에 없었다
[0096] 하지만, 본 발명을 적용하면, '공격 경로 분석-비즈니스 영향도 분석'이 '외부 직접 접근 가능-매우 높음'인 취
약점일 경우 최우선적으로 조치를 취해야 하는 취약점으로 설정되고, '외부 간접 접근 가능-낮음'인 취약점일
경우 가장 마지막으로 조치를 취해야하는 취약점으로 설정될 수 있으므로, '외부 직접 접근 가능-매우 높음'인
취약점인 2개의 취약점만 우선적으로 조치하면 된다
[0097] 즉, 서버 1 대당 2개, 총 2,000개의 취약점만 조치하면 되므로 약 90%의 관리 비용을 경감시킬 수 있다
[0098] (공격 경로 분석 및 비즈니스 영향도 분석의 가중치는 관리자의 설정에 따라 달라질 수 있으므로, '외부 직접
접근 가능-매우 높음' 및 '외부 간접 접근 가능-낮음'을 제외한 다른 경우의 조치 우선 순위는 관리자가 설정한
가중치에 따라 달리질 수 있다)
[0099] 본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다
컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기
록장치를 포함한다 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크,
광데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도
포함한다 또한, 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으
로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다
[0100] 이제까지 본 발명에 대하여 그 바람직한 실시예들을 중심으로 살펴보았다 본 발명이 속하는 기술 분야에서 통
상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될
수 있음을 이해할 수 있을 것이다 그러므로 개시된 실시예들은 한정적인 점이 아니라 설명적인 관점에서 고려
되어야 한다 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에
있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다
Claims (1)
- IT 보안 위험 관리를 수행하고자 하는 네트워크의 구성 형태, 상기 네트워크를 구성하고 있는 네트워크 장치들
의 종류, 및 상기 네트워크 장치들의 IP 주소를 포함하는 네트워크 구성 정보를 수집하는 네트워크 구성 정보
수집부;
상기 네트워크 내의 IT 자산이 포함하고 있는 취약점 정보를 수집하는 취약점 정보 수집부; 및
상기 네트워크 구성 정보 및 상기 취약점 정보를 상기 IP 주소를 기반으로 서로 연계하여, 상기 IT 자산이 포함
하고 있는 취약점들 각각에 대해 외부 공격자로부터의 접근 가능 여부를 분석하고, 상기 외부 공격자가 접근 불
가능한 취약점들을 관리 대상에서 배제하는 공격 경로 분석부; 를 포함하는 것을 특징으로 하는 IT 보안 위험
관리 장치
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020180039906A KR20190119239A (ko) | 2018-04-05 | 2018-04-05 | It보안 위험 관리 장치 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020180039906A KR20190119239A (ko) | 2018-04-05 | 2018-04-05 | It보안 위험 관리 장치 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR20190119239A true KR20190119239A (ko) | 2019-10-22 |
Family
ID=68420022
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020180039906A KR20190119239A (ko) | 2018-04-05 | 2018-04-05 | It보안 위험 관리 장치 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR20190119239A (ko) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20210074891A (ko) * | 2019-12-12 | 2021-06-22 | 국방과학연구소 | 공격 그래프 기반의 공격 대상 예측 방법 및 그를 위한 장치 |
| CN114528554A (zh) * | 2022-01-25 | 2022-05-24 | 国网湖北省电力有限公司孝感供电公司 | 一种信息安全运行场景监控展示平台 |
| CN114726642A (zh) * | 2022-04-26 | 2022-07-08 | 东北电力大学 | 一种基于电力监控系统网络威胁的量化系统 |
| CN115695044A (zh) * | 2022-11-29 | 2023-02-03 | 贵州电网有限责任公司 | 一种it资产安全管控平台及管理方法 |
-
2018
- 2018-04-05 KR KR1020180039906A patent/KR20190119239A/ko unknown
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20210074891A (ko) * | 2019-12-12 | 2021-06-22 | 국방과학연구소 | 공격 그래프 기반의 공격 대상 예측 방법 및 그를 위한 장치 |
| CN114528554A (zh) * | 2022-01-25 | 2022-05-24 | 国网湖北省电力有限公司孝感供电公司 | 一种信息安全运行场景监控展示平台 |
| CN114528554B (zh) * | 2022-01-25 | 2023-03-10 | 国网湖北省电力有限公司孝感供电公司 | 一种信息安全运行场景监控展示平台 |
| CN114726642A (zh) * | 2022-04-26 | 2022-07-08 | 东北电力大学 | 一种基于电力监控系统网络威胁的量化系统 |
| CN114726642B (zh) * | 2022-04-26 | 2023-09-22 | 东北电力大学 | 一种基于电力监控系统网络威胁的量化系统 |
| CN115695044A (zh) * | 2022-11-29 | 2023-02-03 | 贵州电网有限责任公司 | 一种it资产安全管控平台及管理方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CA3055978C (en) | Prioritized remediation of information security vulnerabilities based on service model aware multi-dimensional security risk scoring | |
| Bejtlich | The practice of network security monitoring: understanding incident detection and response | |
| US20190251260A1 (en) | Cyber security using one or more models trained on a normal behavior | |
| US20200322371A1 (en) | Scoring the performance of security products | |
| Alhassan et al. | Information security in an organization | |
| US20100199345A1 (en) | Method and System for Providing Remote Protection of Web Servers | |
| Cho et al. | Cyber kill chain based threat taxonomy and its application on cyber common operational picture | |
| KR20190119239A (ko) | It보안 위험 관리 장치 | |
| Miloslavskaya | Security operations centers for information security incident management | |
| Metzger et al. | Integrated security incident management--concepts and real-world experiences | |
| Beigh et al. | Intrusion Detection and Prevention System: Classification and Quick | |
| Kim et al. | DSS for computer security incident response applying CBR and collaborative response | |
| Almadhoob et al. | Cybercrime prevention in the Kingdom of Bahrain via IT security audit plans | |
| Johansen | Digital forensics and incident response: Incident response techniques and procedures to respond to modern cyber threats | |
| Casey et al. | Forensic analysis as iterative learning | |
| KR20110130203A (ko) | It 보안 위험 관리 장치 및 방법 | |
| Lippmann et al. | Threat-based risk assessment for enterprise networks | |
| Fry et al. | Security Monitoring: Proven Methods for Incident Detection on Enterprise Networks | |
| Aljurayban et al. | Framework for cloud intrusion detection system service | |
| Broucek et al. | Technical, legal and ethical dilemmas: distinguishing risks arising from malware and cyber-attack tools in the ‘cloud’—a forensic computing perspective | |
| US11979416B2 (en) | Scored threat signature analysis | |
| Benzekri et al. | Dynamic security management driven by situations: An exploratory analysis of logs for the identification of security situations | |
| Schneidewind | Metrics for mitigating cybersecurity threats to networks | |
| Alsmadi et al. | Incident response | |
| Gheorghică et al. | A new framework for enhanced measurable cybersecurity in computer networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| N231 | Notification of change of applicant |