2018년 1년간의 침해대응 보안관제 활동 통계를 통해 침해대응 활동의 핵심업무인 악성 IP 차단활동과 관련된 업무량 분석을 수행한다. 이를 통해 확인된 보안관제 위협대응 업무활동들에 대하여 최소, 평균, 최대시간을 적용하여 내부 위협정보 탐지대응시간 IIDRT, 외부 위협정보 탐지대응시간 EIDRT, 전체 위협정보 탐지대응시간 TIDRT 계산식을 제안하고 현재의 보안관제의 개선점을 도출하고자 한다.
효율적인 보안관제 및 침해대응 활동을 위해서는 사이버 공격에 노출되는 정보자산들을 최대한 줄여서 전체 정보자산에 대한 근본적인 위험의 크기를 줄여야 할 것이다. 이를 통해 IPS에 의해 탐지되는 보안이벤트 발생량을 줄이고 악성 IP차단 업무를 감소시키는 등 집중 보안관제 여건을 개선해야 한다. 본 연구에서는 주요정보통신기반시설을 비롯하여 각 기관에서 운영하는 중요한 정보자산들의 사이버 위협 방어체계 효율화를 위해 불필요한 해외 사이버 위협을 차단하고 보안이벤트 발생량을 줄여 보안관제가 꼭 필요한 정보자산들에 대하여 집중 보안관제를 수행할 수 있는 ...
2018년 1년간의 침해대응 보안관제 활동 통계를 통해 침해대응 활동의 핵심업무인 악성 IP 차단활동과 관련된 업무량 분석을 수행한다. 이를 통해 확인된 보안관제 위협대응 업무활동들에 대하여 최소, 평균, 최대시간을 적용하여 내부 위협정보 탐지대응시간 IIDRT, 외부 위협정보 탐지대응시간 EIDRT, 전체 위협정보 탐지대응시간 TIDRT 계산식을 제안하고 현재의 보안관제의 개선점을 도출하고자 한다.
효율적인 보안관제 및 침해대응 활동을 위해서는 사이버 공격에 노출되는 정보자산들을 최대한 줄여서 전체 정보자산에 대한 근본적인 위험의 크기를 줄여야 할 것이다. 이를 통해 IPS에 의해 탐지되는 보안이벤트 발생량을 줄이고 악성 IP차단 업무를 감소시키는 등 집중 보안관제 여건을 개선해야 한다. 본 연구에서는 주요정보통신기반시설을 비롯하여 각 기관에서 운영하는 중요한 정보자산들의 사이버 위협 방어체계 효율화를 위해 불필요한 해외 사이버 위협을 차단하고 보안이벤트 발생량을 줄여 보안관제가 꼭 필요한 정보자산들에 대하여 집중 보안관제를 수행할 수 있는 프로세스 모델을 제안한다. 이를 통해 해외로부터의 직접적인 공격시도 가능성 자체를 감소시켜 전체 조직의 사이버 안전성을 개선하고 악성 IP 차단 업무량을 줄여 지능화되고 고도화되는 사이버 공격에 대한 침해대응 역량을 강화하고자 한다.
정보시스템별 차단을 위한 의사결정을 합리적으로 수행하기 위하여 해외 사이버 위협 차단 영향도 평가를 객관적으로 수행하는 것이 필요할 것이다. 본 논문에서는 보안관제 ESC모델을 제안한다. ESC모델은 해외 사이버 위협 차단 영향도를 평가하여 차단 순위를 결정하기 위한 Blocking Prioritization 프로세스가 핵심이다. Blocking Prioritization을 위해서는 먼저 각 기관별로 공인 IP를 보유하면서 인터넷과 연결되는 정보시스템들이 어떤 것들이 있는지 정확하게 식별되어야 한다. Blocking Prioritization 평가는 각 정보시스템들에 대해 해외 연관도, 실제 접속도, 차단 복잡도, 중단 허용도, 외부 연계도, 중지 파급도 6가지 요인에 대해 각각 0~2점을 정성적으로 평가 후 합산하여 BID(차단 영향도, Blocking Impact Degree)를 도출한다. 낮은 BID로 평가된 정보시스템들을 우선적으로 차단하는 단계가 Enhanced Security Operation 단계이며 BID가 10인 경우를 DOA(Degree of Assurance, 위험 수용)로 설정하여 BID 10이상의 정보시스템들은 차단보다는 기존의 보안관제를 좀더 집중적으로 수행하여 보안관제 여건을 개선할 수 있을 것이다. 차단 순위는 실무부서와의 협의를 통해 재조정할 수 있을 것이다.
2018년 1년간의 침해대응 보안관제 활동 통계를 통해 침해대응 활동의 핵심업무인 악성 IP 차단활동과 관련된 업무량 분석을 수행한다. 이를 통해 확인된 보안관제 위협대응 업무활동들에 대하여 최소, 평균, 최대시간을 적용하여 내부 위협정보 탐지대응시간 IIDRT, 외부 위협정보 탐지대응시간 EIDRT, 전체 위협정보 탐지대응시간 TIDRT 계산식을 제안하고 현재의 보안관제의 개선점을 도출하고자 한다.
효율적인 보안관제 및 침해대응 활동을 위해서는 사이버 공격에 노출되는 정보자산들을 최대한 줄여서 전체 정보자산에 대한 근본적인 위험의 크기를 줄여야 할 것이다. 이를 통해 IPS에 의해 탐지되는 보안이벤트 발생량을 줄이고 악성 IP차단 업무를 감소시키는 등 집중 보안관제 여건을 개선해야 한다. 본 연구에서는 주요정보통신기반시설을 비롯하여 각 기관에서 운영하는 중요한 정보자산들의 사이버 위협 방어체계 효율화를 위해 불필요한 해외 사이버 위협을 차단하고 보안이벤트 발생량을 줄여 보안관제가 꼭 필요한 정보자산들에 대하여 집중 보안관제를 수행할 수 있는 프로세스 모델을 제안한다. 이를 통해 해외로부터의 직접적인 공격시도 가능성 자체를 감소시켜 전체 조직의 사이버 안전성을 개선하고 악성 IP 차단 업무량을 줄여 지능화되고 고도화되는 사이버 공격에 대한 침해대응 역량을 강화하고자 한다.
정보시스템별 차단을 위한 의사결정을 합리적으로 수행하기 위하여 해외 사이버 위협 차단 영향도 평가를 객관적으로 수행하는 것이 필요할 것이다. 본 논문에서는 보안관제 ESC모델을 제안한다. ESC모델은 해외 사이버 위협 차단 영향도를 평가하여 차단 순위를 결정하기 위한 Blocking Prioritization 프로세스가 핵심이다. Blocking Prioritization을 위해서는 먼저 각 기관별로 공인 IP를 보유하면서 인터넷과 연결되는 정보시스템들이 어떤 것들이 있는지 정확하게 식별되어야 한다. Blocking Prioritization 평가는 각 정보시스템들에 대해 해외 연관도, 실제 접속도, 차단 복잡도, 중단 허용도, 외부 연계도, 중지 파급도 6가지 요인에 대해 각각 0~2점을 정성적으로 평가 후 합산하여 BID(차단 영향도, Blocking Impact Degree)를 도출한다. 낮은 BID로 평가된 정보시스템들을 우선적으로 차단하는 단계가 Enhanced Security Operation 단계이며 BID가 10인 경우를 DOA(Degree of Assurance, 위험 수용)로 설정하여 BID 10이상의 정보시스템들은 차단보다는 기존의 보안관제를 좀더 집중적으로 수행하여 보안관제 여건을 개선할 수 있을 것이다. 차단 순위는 실무부서와의 협의를 통해 재조정할 수 있을 것이다.
According to a lot of cyber attacks from abroad, there has been a lot of constructions of security control centers to protect against cyber attacks. As one of efforts, there have been numerous constructions of security operation center (SOC) to protect against cyber-attacks. Unfortunately, it is too...
According to a lot of cyber attacks from abroad, there has been a lot of constructions of security control centers to protect against cyber attacks. As one of efforts, there have been numerous constructions of security operation center (SOC) to protect against cyber-attacks. Unfortunately, it is too difficult to protect from cyber-attacks, because there are too many security events to analyse and respond.
Reducing security events are very essential to improve the efficiency of incidents response. I studied four years cyber threats against a Korean electric power organization by analysing IPS and FW raw data. As a result of this analysis, I found that 95% of all cyber-attacks were from foreign nations.
If an IT system is not related with foreign business, I should think about blocking unnecessary foreign IP ranges. So, I propose the Enhanced Security Control (ESC) model with Blocking Prioritization (BP) process for critical infrastructures to improve daily incidents response activities.
This ESC model has a BP process with six factors to consider when deciding which IT systems to be blocked from foreign IP ranges: foreign relation, real login, blocking complexity, stop tolerance, outer relation and stop impact. By considering these six factors, the ESC model can make it possible to prioritize Blocking Impact Degree (BID) of IT systems and help making decision to block from unnecessary foreign IP ranges. This ESC model will reduce security events and make a better condition for concentration on the remaining unblocked and crucial IT systems.
According to a lot of cyber attacks from abroad, there has been a lot of constructions of security control centers to protect against cyber attacks. As one of efforts, there have been numerous constructions of security operation center (SOC) to protect against cyber-attacks. Unfortunately, it is too difficult to protect from cyber-attacks, because there are too many security events to analyse and respond.
Reducing security events are very essential to improve the efficiency of incidents response. I studied four years cyber threats against a Korean electric power organization by analysing IPS and FW raw data. As a result of this analysis, I found that 95% of all cyber-attacks were from foreign nations.
If an IT system is not related with foreign business, I should think about blocking unnecessary foreign IP ranges. So, I propose the Enhanced Security Control (ESC) model with Blocking Prioritization (BP) process for critical infrastructures to improve daily incidents response activities.
This ESC model has a BP process with six factors to consider when deciding which IT systems to be blocked from foreign IP ranges: foreign relation, real login, blocking complexity, stop tolerance, outer relation and stop impact. By considering these six factors, the ESC model can make it possible to prioritize Blocking Impact Degree (BID) of IT systems and help making decision to block from unnecessary foreign IP ranges. This ESC model will reduce security events and make a better condition for concentration on the remaining unblocked and crucial IT systems.
AI-Helper
※ AI-Helper는 부적절한 답변을 할 수 있습니다.