ESM에서 SIEM으로의 발전은 더 많은 데이터를 기반으로 상관분석을 할 수 있게 되었다. 취약점 진단에서 발견된 소프트웨어 취약점을 CWE와 같은 분류 표준으로 수집을 한다면, 로그 분석 및 취합, 보안관제 및 운용 과정 등에서 통일된 유형의 메시지를 활용함으로써 초기대응단계에서의 귀중한 시간절약으로 신속하게 대응할 수 있고, 모든 대응 단계에서 일관성을 유지하여 처리할 수 있게 된다. 취약점 진단과 모니터링 단계에서 CCE, CPE, CVE, CVSS 정보를 공유하여, 사전에 정의된 위협에 대해서만 탐지하지 않고, 각 자산이 가지고 있는 소프트웨어 취약점을 유기적으로 반영할 수 있도록 하고자 하였다. 이에 본 논문에서는 SIEM의 빅데이터 분석 기법을 활용하여 소프트웨어 취약점에 대한 위협을 효과적으로 탐지하고 대응할 수 있는 모델을 제안하고 적용해본 결과 기존의 방법으로 탐지할 수 없었던 소프트웨어 취약점을 탐지함으로서 효과적임을 확인하였다.
ESM에서 SIEM으로의 발전은 더 많은 데이터를 기반으로 상관분석을 할 수 있게 되었다. 취약점 진단에서 발견된 소프트웨어 취약점을 CWE와 같은 분류 표준으로 수집을 한다면, 로그 분석 및 취합, 보안관제 및 운용 과정 등에서 통일된 유형의 메시지를 활용함으로써 초기대응단계에서의 귀중한 시간절약으로 신속하게 대응할 수 있고, 모든 대응 단계에서 일관성을 유지하여 처리할 수 있게 된다. 취약점 진단과 모니터링 단계에서 CCE, CPE, CVE, CVSS 정보를 공유하여, 사전에 정의된 위협에 대해서만 탐지하지 않고, 각 자산이 가지고 있는 소프트웨어 취약점을 유기적으로 반영할 수 있도록 하고자 하였다. 이에 본 논문에서는 SIEM의 빅데이터 분석 기법을 활용하여 소프트웨어 취약점에 대한 위협을 효과적으로 탐지하고 대응할 수 있는 모델을 제안하고 적용해본 결과 기존의 방법으로 탐지할 수 없었던 소프트웨어 취약점을 탐지함으로서 효과적임을 확인하였다.
With the advancement of SIEM from ESM, it allows deep correlated analysis using huge amount of data. By collecting software's vulnerabilities from assessment with certain classification measures (e.g., CWE), it can improve detection rate effectively, and respond to software's vulnerabilities by anal...
With the advancement of SIEM from ESM, it allows deep correlated analysis using huge amount of data. By collecting software's vulnerabilities from assessment with certain classification measures (e.g., CWE), it can improve detection rate effectively, and respond to software's vulnerabilities by analyzing big data. In the phase of monitoring and vulnerability diagnosis Process, it not only detects predefined threats, but also vulnerabilities of software in each resources could promptly be applied by sharing CCE, CPE, CVE and CVSS information. This abstract proposes a model for effective detection and response of software vulnerabilities and describes effective outcomes of the model application.
With the advancement of SIEM from ESM, it allows deep correlated analysis using huge amount of data. By collecting software's vulnerabilities from assessment with certain classification measures (e.g., CWE), it can improve detection rate effectively, and respond to software's vulnerabilities by analyzing big data. In the phase of monitoring and vulnerability diagnosis Process, it not only detects predefined threats, but also vulnerabilities of software in each resources could promptly be applied by sharing CCE, CPE, CVE and CVSS information. This abstract proposes a model for effective detection and response of software vulnerabilities and describes effective outcomes of the model application.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
그 이후에 탐지된 이벤트의 소프트웨어 취약점이 해당 자산에 있는지 여부를 확인한다. Rules 기반의 탐지에서는 CVE 취약점이 있을 경우 모니터링 요원에게 Alert을 발생시키고, Rules로 설정되어 있지 않은 이벤트인 경우 사전에 정의된 가중치를 CVSS에 반영하여 기존의 SIEM 로직을 적용하게 된다.
취약점 분석 도구와 침입탐지 시스템은 표준화된 취약점 관리체계의 각 컴포넌트를 제공하고 있지 않는다. 따라서 현재 상황에서 비교적 빠르게 적용할 수 있고 소프트웨어 취약점에 대한 탐지 및 대응에 효과적일 수 있는 CCE, CPE, CVE, CVSS 정보를 이용하여 효과적인 소프트웨어 취약점 탐지 모델을 제안하고자 한다.
본 논문에서 SIEM을 이용한 소프트웨어 취약점을 효과적으로 탐지하고 대응할 수 있는 모델을 제안해 보았다. 자산이 가지고 있는 취약점에 대한 위협을 탐지하는 Risk = Vulnerability + Threat의 개념에 충실한 모델이다.
적용범위는 Rules 기반의 탐지에서 취약점 DB에서 CVE를 기준으로 확인된 소프트웨어 취약점이 있을 경우 Alert을 발생시키도록 하였다. 이로 인하여 기존에 탐지하지 못한 소프트웨어 취약점을 탐지할 수 있는지 여부와 해당 모델을 사용하지 않고 해당 소프트웨어 취약점을 탐지하려고 하였을 경우 발생되는 Alert의 양을 파악하여 효율적인지를 보고자 하였다.
이에 본 논문에서는 취약점 진단에서 수집된 정보를 활용하여 자산마다 가지고 있는 소프트웨어의 취약점을 반영하여 효과적으로 탐지가 가능한 모델을 제안하고자 한다.
탐지는 사전에 알려진 공격들을 분석, 특징을 추출하여 탐지패턴을 만드는 것부터 시작된다. 전반적인 트래픽 급증, 급감 및 내부 정보를 절취하기 위한 해킹 시도 및 악성코드 유포와 같은 공격 시도를 SIEM을 이용하여 사전에 탐지하는 업무와 보호자산 서비스의 단절, 지연, 오류 등의 현상을 파악하고 악성코드 유포지로 사용되지 않도록 보안취약점을 찾는 것이다.
취약점 진단 없무는 자산의 위험을 측정하고 취약점의 잠재 위협수준을 파악하는 것에 목적이 있다. 따라서 취약점 진단을 수행하는 부서에서 소프트웨어 취약점 결과를 공유할 때는 아래와 같은 사항[9]이 고려되어야 한다.
제안 방법
Vulnerability Analysis 단계에서는 취약점 분석도구를 이용하여 각 자산이 가지고 있는 소프트웨어 취약점을 진단을 한다. Identification 단계에서 획득한 정보를 기반으로 취약점 진단을 진행하며, 장비 설정상의 취약점인 CCE와 CVE 취약점을 진단한다.
미국은 체계적인 취약점 관리를 위해 사이버보안 정보공유 프로젝트(CSISP:Cyber Security Information Sharing Project)를 추진하여 정부와 민간부분의 정보공유 모델을 제공하고 있고, 국토안보부의 책임 하에, MITRE社, NIST를 중심으로 국가 취약점 DB인 NVD(National Vulnerability Database), CWE(Common Weakness Enumeration) 체계를 구축하여 효율적으로 통합 관리하고 있다[5]. NVD의 정보가 많아지고, 같은 취약점에 대한 정보가 상이할 경우를 대비하여 취약점 식별자 체계인 CVE를 구축하였다[22]. 또한, 취약점들을 효과적으로 분류하기 위하여 약점 분류체계인 CWE를 구축하였다[23].
각 취약점 진단도구를 개발한 벤더에서 제공하는 정보를 기반으로 서로 다른 취약점 진단도구의 결과물을 동일한 형태의 표준으로 수집을 진행하였다.
기존의 SIEM에서 사용하던 탐지로직에 추가된 로직은 이벤트가 수신되면, 별도의 시그니처-CVE-OS가 저장된 DB에서 탐지된 이벤트의 시그니처가 있는지를 확인한다. 시그니처와 CVE가 연결되지 않는 시그니처도 다수 있기 때문에 DB부하를 줄이기 위해서는 시그니처에 대한 비교를 먼저 진행하게 된다.
NVD의 정보가 많아지고, 같은 취약점에 대한 정보가 상이할 경우를 대비하여 취약점 식별자 체계인 CVE를 구축하였다[22]. 또한, 취약점들을 효과적으로 분류하기 위하여 약점 분류체계인 CWE를 구축하였다[23].
많은 수의 위협이 OS취약점을 이용하고 있기 때문에 취약점 진단에서 수집된 시그니처 정보와 연결된 OS정보를 비교하여 해당 위협이 실제 위험으로 영향을 줄 수 있는지 여부를 파악한다.
먼저 취약점 진단을 통하여 취약점 DB에 IP, OS, 서비스, CVE, 취약점정보를 수집하였다. 취약점 진단도구에 따라 DB에 저장되는 형태가 서로 다르기 때문에 별도의 변환과정이 필요하다.
본 논문에서 제안한 소프트웨어 취약점 탐지 모델의 일부를 실제 서비스에서 적용해 보았다. 적용범위는 Rules 기반의 탐지에서 취약점 DB에서 CVE를 기준으로 확인된 소프트웨어 취약점이 있을 경우 Alert을 발생시키도록 하였다.
본 논문에서는 제시하는 모델은 보안위협 전체에서 효과적으로 위협을 탐지하는 것이 아니며, 빅데이터를 이용하여 소프트웨어 취약점을 효과적으로 탐지하고 대응하는 것으로 범위를 제한하였다. 취약점 분석 도구와 침입탐지 시스템은 표준화된 취약점 관리체계의 각 컴포넌트를 제공하고 있지 않는다.
본 논문에서 제안한 소프트웨어 취약점 탐지 모델의 일부를 실제 서비스에서 적용해 보았다. 적용범위는 Rules 기반의 탐지에서 취약점 DB에서 CVE를 기준으로 확인된 소프트웨어 취약점이 있을 경우 Alert을 발생시키도록 하였다. 이로 인하여 기존에 탐지하지 못한 소프트웨어 취약점을 탐지할 수 있는지 여부와 해당 모델을 사용하지 않고 해당 소프트웨어 취약점을 탐지하려고 하였을 경우 발생되는 Alert의 양을 파악하여 효율적인지를 보고자 하였다.
이는 추후 SIEM과 정보 공유에 있어서 고유한 식별자 역할을 하게 된다. 추가적으로 SIEM에서 수집된 이벤트와 상관분석을 하기 위해 nmap과 같은 자동화된 도구를 이용하여 IP, Port, Service를 파악한다.
취약점 DB의 서비스와 탐지된 이벤트의 서비스(목적지 Port)를 비교하게 된다. 목적지 IP와 동일하게 출발지, 목적지가 반대로 탐지되는 경우와 오탐에 의해 사용하지 않는 서비스에서 탐지가 발생할 수 있다.
성능/효과
따라서 본 논문에서 제안한 소프트웨어 취약점 탐지 모델은 소프트웨어 취약점을 효과적으로 탐지하는 것으로 확인 하였다.
실서비스에 적용 후 한달간 데이터 분석을 해본 결과 Table 10과 같이 기존의 시스템에서 탐지하지 못한 124건을 탐지한 것을 확인하였다. 124건중 48%인 60건이 실제 위협이벤트였으며, 이는 60건의 미탐을 추가로 발견했음을 의미한다.
위 프로세스를 운영중인 SIEM에 적용하여 기존에 Rules이 설정되어 있지 않은 이벤트가 발생됨을 확인하였다.
물론 취약점 진단결과를 기반으로 소프트웨어 취약점에 대해서만 추가로 탐지를 하기 때문에 기존의 Rules보다 정탐율이 높을 수 밖에 없다. 하지만 기존에 탐지하지 못했던 소프트웨어 취약점을 추가적으로 탐지하면서도 오탐율을 높이지 않는다는 것이 입증되었다.
후속연구
향후 연구과제로서 NVD가 활성화 될 수 있도록 각 요소에 대한 활용방안에 대한 연구가 필요하다. 추가적으로 논문의 모델은 취약점 진단에서 수집 된 정보를 소프트웨어 취약점을 탐지하는데 활용한 것이고, 보안시스템의 설정을 Customizing하고 관리하는 방안에 대한 연구도 필요하다.
향후 연구과제로서 NVD가 활성화 될 수 있도록 각 요소에 대한 활용방안에 대한 연구가 필요하다. 추가적으로 논문의 모델은 취약점 진단에서 수집 된 정보를 소프트웨어 취약점을 탐지하는데 활용한 것이고, 보안시스템의 설정을 Customizing하고 관리하는 방안에 대한 연구도 필요하다.
질의응답
핵심어
질문
논문에서 추출한 답변
취약점 진단을 수행하는 부서에서 소프트웨어 취약점 결과를 공유할 때에는 어떤 사항들을 고려해야 하는가?
- 취약점 분류체계의 수립 : 미국의 CWE를 그대로 수용하거나 새로운 분류체게를 도입할 것인지 결정 - 취약점 DB에 유지할 정보 : 미국의 NVD, CVE, CWE를 참조하여 결정하여야 한다.
- 국산/해외 취약점 DB 구분 : 국산과 해외 제품의 취약점 DB를 구분하여 해외기관과의 호환성을 유지하면서 국내 취약점 DB를 효과적으로 관리 해야 한다.
- 사용자에 따른 설명 수준 : 개발자의 경우는 소프트웨어 취약점의 위치나 API(Application Programming Interface)를 알려 주어야 하지 만, 일반 사용자는 단순히 패치정보만을 공유하면 된다.
- 공개/비공개 여부 결정 : 악용 될 소지가 있는 Zero-day 취약점은 패치가 될 때까지 공개되지 않아야 하며, 바로 악용될 수 있는 공격코드의 공개여부를 결정해야 한다.
- 유연한 DB구축 : 새로운 소프트웨어 취약점은 계속해서 나오고 분류방법 또한 변화하게 된다. 새로운 취약점 분류체계를 반영할 수 있도록 유연하게 구축되어야 한다.
- 언어의 선택 : 소프트웨어 취약점 정보를 국문 및 영문으로 서비스 하여, 정보공유의 활용도를 높여야 한다[9]. 현재의 최종 산출되는 보고서는 산업표준이나 규정 별로 생성해 주고 있으나, 통일된 산출물에 대한 분류가 없다. 따라서 각각 산출된 보고서를 기준으로 소프트웨어 취약점을 제거하거나 보고 하는 업무를 수행하게 된다.
취약점 점검은 무엇인가?
취약점 진단의 주요 업무는 table 1과 같이 서비스 환경 분석, 자산 식별 및 취약점 진단, 보안계획 수립, 보안시스템 구축 및 사후관리의 절차로 진행하게 된다. 정보보호조치에 관한 지침에 의하면, “취약점 점검” 이라 함은 컴퓨터의 하드웨어 또는 소프트웨어의 결함 이나 체계 설계상의 허점으로 인해 사용자에게 허용된 권한 이상의 동작이나 허용된 범위 이상의 정보 열람· 변조·유출을 가능하게 하는 약점에 대하여 점검하는 것을 말한다고 정의되어 있다[4].
취약점 진단은 어떤 절차로 진행하게 되는가?
취약점 진단의 주요 업무는 table 1과 같이 서비스 환경 분석, 자산 식별 및 취약점 진단, 보안계획 수립, 보안시스템 구축 및 사후관리의 절차로 진행하게 된다. 정보보호조치에 관한 지침에 의하면, “취약점 점검” 이라 함은 컴퓨터의 하드웨어 또는 소프트웨어의 결함 이나 체계 설계상의 허점으로 인해 사용자에게 허용된 권한 이상의 동작이나 허용된 범위 이상의 정보 열람· 변조·유출을 가능하게 하는 약점에 대하여 점검하는 것을 말한다고 정의되어 있다[4].
Sangyong Choe, "Reconstruction of the hacking incident," Acorn
Myeonghun Gang, "Completion of IDS and security control seen as a big data analysis," Wowbooks
"Guidelines for Information Security Measures", (KoreaCommunicationsCommission 2013-3, 2013.01.17)
Dongjin Gim, Seongje Jo, "An Analysis of Domestic and Foreign Security Vulnerability Management Systems based on a National Vulnerability Database," 1(2), pp. 3-5, Nov 2010
Huijin Jang, "Comprehensive analysis system for intrusion detection and response," Agency for Defense Devlopment, pp. 16-19
ITU-T Q.4/17 Proposed initial draft text for Rec. ITU-T X.cybex, Cybersecurity information exchange framework (TD503)
"Requirements for Distribution and Sharing of Information in the Vulnerability DB", (Technical Report), TTAR-12.0016, Telecommunications Technology Association, pp 9-10, Dec 2012
Seongjin An, I Gyeongho, Bak Wonhyeong, "Security Monitoring&Control,EHANMEDIA," pp. 16-55, Apr 2014
Young-Jin Kim, Su-yeon Lee, Hun-Yeong Kwon, Jong-in Lim, "A Study on the Improvement of Effectiveness in National Cyber Security Monitoring and Control Services," korea institute of information security and cryptology, pp. 2-3, Feb 2009
Si-Jang Park, Jong-Hoon Park, "Current Status and Analysis of Domestic Security Monitoring Systems, korea institute of electronic communication science," pp. 2-3, Sep 2014
Ji Hong Kim, Huy Kang Kim, "Automated Attack Path Enumeration Method based on System Vulnerabilities Analysis," korea institute of information security and cryptology, pp. 3-4, Oct 2012
"A Study on Construction of A vulnerability Management System for New Information Technologies," KISA-WP-2010-0018, pp. 36, Aug 2010
Gim Gyeonggi, "Research of improved CVSS for vulnerability management in financial ISAC," pp. 27, Jun2008
※ AI-Helper는 부적절한 답변을 할 수 있습니다.