최근 기존 정보보호시스템을 우회하는 공격 기법의 발달로 사용자가 인식하지 못하는 형태의 정보자산에 대한 지속적인 공격으로 위협이 되고 있다. 이는 기존 시스템의 단일 대응이 어려운 APT 공격, 우회접근공격 및 암호화 패킷에 대한 공격 등에 대한 침해예측 시도에 대한 즉각적인 대응을 지원하고 공격지표 위주의 방어 전략으로 정보보호 시스템에 대한 지속적인 모니터링의 수행이 요구되고 있다. 본 논문에서는 지능형지속위협 공격경로차단을 위해 정보자산에 대한 업무영향평가를 통한 예방통제로 중요한 자산 식별하고 위험을 미리 제거하기 위하여 취약성 분석, 위험분석을 통한 정보통제 정책을 수립하고 서버접근에 대한 내 외부 우회네트워크 통제, 암호화통신 감시를 통해 탐지통제를 수립하고 백업과 복구를 통해 연계 제어된 교정통제를 하여 지능화된 침해대응 할 수 있도록 중앙집중식 지능형 정보보호시스템을 제안한다.
최근 기존 정보보호시스템을 우회하는 공격 기법의 발달로 사용자가 인식하지 못하는 형태의 정보자산에 대한 지속적인 공격으로 위협이 되고 있다. 이는 기존 시스템의 단일 대응이 어려운 APT 공격, 우회접근공격 및 암호화 패킷에 대한 공격 등에 대한 침해예측 시도에 대한 즉각적인 대응을 지원하고 공격지표 위주의 방어 전략으로 정보보호 시스템에 대한 지속적인 모니터링의 수행이 요구되고 있다. 본 논문에서는 지능형지속위협 공격경로차단을 위해 정보자산에 대한 업무영향평가를 통한 예방통제로 중요한 자산 식별하고 위험을 미리 제거하기 위하여 취약성 분석, 위험분석을 통한 정보통제 정책을 수립하고 서버접근에 대한 내 외부 우회네트워크 통제, 암호화통신 감시를 통해 탐지통제를 수립하고 백업과 복구를 통해 연계 제어된 교정통제를 하여 지능화된 침해대응 할 수 있도록 중앙집중식 지능형 정보보호시스템을 제안한다.
Recently, due to the development of attack techniques that can circumvent existing information protection systems, continuous threats in a form unrecognized by the user have threatened information assets. Therefore, it is necessary to support the prompt responses to anticipated attempts of APT attac...
Recently, due to the development of attack techniques that can circumvent existing information protection systems, continuous threats in a form unrecognized by the user have threatened information assets. Therefore, it is necessary to support the prompt responses to anticipated attempts of APT attacks, bypass access attacks, and encryption packet attacks, which the existing systems have difficulty defending against through a single response, and to continuously monitor information protection systems with a defense strategy based on Indicators of Attack (IOA). In this paper, I suggest a centralized intelligent information protection system to support the intelligent response to a violation by discerning important assets through prevention control in a performance impact assessment about information properties in order to block the attack routes of APT; establishing information control policies through weakness/risk analyses in order to remove the risks in advance; establishing detection control by restricting interior/exterior bypass networks to server access and monitoring encrypted communications; and lastly, performing related corrective control through backup/restoration.
Recently, due to the development of attack techniques that can circumvent existing information protection systems, continuous threats in a form unrecognized by the user have threatened information assets. Therefore, it is necessary to support the prompt responses to anticipated attempts of APT attacks, bypass access attacks, and encryption packet attacks, which the existing systems have difficulty defending against through a single response, and to continuously monitor information protection systems with a defense strategy based on Indicators of Attack (IOA). In this paper, I suggest a centralized intelligent information protection system to support the intelligent response to a violation by discerning important assets through prevention control in a performance impact assessment about information properties in order to block the attack routes of APT; establishing information control policies through weakness/risk analyses in order to remove the risks in advance; establishing detection control by restricting interior/exterior bypass networks to server access and monitoring encrypted communications; and lastly, performing related corrective control through backup/restoration.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
제안 방법
공격이 예측되는 APT 공격의 호스트 역할을 하는 C&C 서버 IP 목록을 관리하고 공격자가 중요 자산에 접속할 때 관리자가 의도한 접근인지를 파악하기 위해 해당 그림 5의 서버 접속 빈도와 서버의 접속 시간 및 포트를 정하는 공지 메시지를 탐지하여 관제시스템에 전송하고 중요 자산에 대한 모든 네트워크 트래픽을 로깅하기 위해 멀리 프로세싱 기법을 적용한 고성능 모니터링과 공격 이용 대상이 될 수 있는 클라이언트 PC의 탐지와 APT 공격 의심 여부를 파악하기 위해 네트워크 트래픽을 분석하고 제거하는 역할을 수행하다.
관리자 계정을 관리하고 모니터링 하는 것으로 APT에 대응하려면 최대한 빨리 위협을 감지할 수 있어야 한다. 듀얼 인증관리를 통한 사용자 업무 데이터 관리, 주요보안 사항 로그관리, 주기적 점검사항 로그관리를 통한 비정상적 암호화 패킷 모니터링을 하며 유해사이트 및 P2P 접근관리, 권한 상승, 권한 무단 사용 시도 감시 및 기록을 통한 통제정책을 관리하고 모니터링 한다.
현재 발생하고 있는 대부분의 사이버침해가 지능형 지속 위협 (Advanced Persistent Threat)공격을 시작하여 공격대상을 찾아 침투하여 주요정보 및 접근권한을 탈취하는 방식으로 사이버침해를 하고 있다[4]. 본 논문에서는 지능 형지속위협 공격경로차단을 위한 예방통제(Prevention Control)로 중요한 자산 식별하고 위험을 미리 제거하기 위하여 취약성 분석, 위험분석을 통한 정보통제 정책을 수립하고 서버접근통제, 암호화통신 감시를 통해 탐지통제(Detection Control)를 수립하고 패킷 태깅, 보안플랫폼, 시스템백업 복구를 통해 교정통제 (Corrective Control)를 하여 지능화된 침해대응 (Intelligent Violation of Response) 할 수 있도록 정보보호시스템 설계를 제안한다.
안정적 시스템 운영하기 위하여 보안 관리에 집중 대상이 되는 중요 자산을 식별하고 정보자산의 조사 및 등록을 위해 각 사이트 특성에 맞는 정보자산에 대한 조사 양식 문서를 생성하고 관리, 정보자산 분석가에 의해 식별된 중요 자산에 대해 취약성 분석 도구를 이용하여 잠재적 위험 요소를 분석을 통해 위험 분석 후예방통제를 마친 중요 자산에 대해 탐지통제를 수행할 수 있도록 통제정책 관리 기능과 공격자가 중요 자산의 통제 정책을 무단으로 변경하지 못 하도록 관리자 Log 을 통한 안전한 정책 설정으로 사고 발생 시 감사를 위한 통제정책에 대한 내부 결제 및 감사 로그 저장 및 검색 기능을 제공되어 내재되어 있는 잠재적 위험을 제거 하는 기능을 수행한다.
초기 시스템에 침입이 발생했을 때 최적의 전략을 결정하고 관리자 승인을 획득하여 실행하는 것으로 액세스되고 사용되고 이동하며 저장되는 데이터를 파악하여 관련 데이터를 수집하고 침입 탐지 로그와 데이터 식별을 위한 네트워크 기반의 로그 분석과 동시에 네트 워크 구조와 접근 통제 리스트를 분석하여 통제정책과 시스템 구성 정보 기반의 회피 기법을 비교 분석을 한다[6, 7].
2 GHz 8-Core, Memory : 32GB, HDD : 2 x 600GB, 랜카드 : 4-port 10/100/1000 Copper, 전원 : Dual, Throughput : 250Mbps 이다. 프로그램은 Windows 환경에서 Visual Studio 2010 툴을 사용하여 C# 언어로 프로그램하고 Windows 서버와 MS SQL Server로 작성하였으며, IEEE802.16 ITU, ITU-T, IEEE, ITU-R IETF, ITU-T IETF 등이 가능한 표준화 설계를 하였다.
후속연구
그러므로 지능형지속위협 공격경로차단을 위한 예방통제와 탐지통제를 통해 교정통제 된 침해대응 할 수 있도록 네트워크 침입과 악성코드에 대응하며 디지털 포렌식에 표준화되었으며 유무선 접속에 보안이 강화된 정보의 보안관리 된 지능형 정보보호시스템 운영관리 하여야 한다. 향후에는 IOA 기반의 지능형지속위협 공격경로차단 기법에 대한 수집 및 공격에 대한 자동보호시스템을 연구할 것이다.
질의응답
핵심어
질문
논문에서 추출한 답변
APT는 무엇인가?
정교한 수준의 전문 기술 또는 방대한 리소스를 가진 공격자가 명확한 목적을 가지고 특정 대상을 겨냥하여 지능적이고 복합적인 방법을 동원하여 지속적으로 공격하는 위협형태의 목표를 지속적으로 추구하는 것을 말한다. 이러한 APT의 의미는 지능형(Advanced), 지속형(Persistent), 위협(Threat)으로 정의할 수 있다[5, 6].
공격의 성공 여부는 무엇에 의해 결정되는가?
APT에 대응하는 데 반드시 필요한 핵심은 방어책이다. 거의 모든 공격의 성공 여부는 권한 있는 아이덴티티에 대한 액세스 권한을 확보하는 중간 단계에 의해 결정된다.
현재 발생하는 사이버침해는 어떤 방식으로 행해지는가?
또한 단일 보안 기술로는 모든 보안위협을 제거할 수 있는 방안을 기대하기는 현실적으로 불가능하다[2, 3]. 현재 발생하고 있는 대부분의 사이버침해가 지능형 지속 위협 (Advanced Persistent Threat)공격을 시작하여 공격대상을 찾아 침투하여 주요정보 및 접근권한을 탈취하는 방식으로 사이버침해를 하고 있다[4]. 본 논문에서는 지능 형지속위협 공격경로차단을 위한 예방통제(Prevention Control)로 중요한 자산 식별하고 위험을 미리 제거하기 위하여 취약성 분석, 위험분석을 통한 정보통제 정책을 수립하고 서버접근통제, 암호화통신 감시를 통해 탐지통제(Detection Control)를 수립하고 패킷 태깅, 보안플랫폼, 시스템백업 복구를 통해 교정통제 (Corrective Control)를 하여 지능화된 침해대응 (Intelligent Violation of Response) 할 수 있도록 정보보호시스템 설계를 제안한다.
참고문헌 (10)
M. G. Lee, and C. S. Bae, "Next Generation Convergence Security Framework for Advanced Persistent Threat," Journal of The Institute of Electronics Engineering of Korea, vol. 50, no. 9, pp. 92-99, Sep. 2013.
Y. S. Lim, "Review on the Cyber Attack by Advanced Persistent Threat," Journal of The Korean Association for Terrorism Studies, vol. 6, no. 2, pp. 158-178, Jun. 2013.
S. H. Lee, and M. S. Han, "A Study of Defense Method through APT(Advanced Persistent Threat) Penetration Path Analysis in Industrial Network," The Journal of Korean Association for Industry Security, vol. 5, no. 1, pp. 223-253, Jun. 2015.
M. S. Gu, and Y. Z. Li, "A Study of Countermeasures for Advanced Persistent Threats attacks by malicious code," Journal of IT Convergence Society for SMB, vol. 5, no. 4, pp. 37-42, Aug. 2015.
H. W. Kim, J. S. Ryu, and D. S. Kim, "Personal Information Protection by Privacy Impact Assessment in Information System Audit," The Journal of the Korea Contents Association, vol. 11, no. 3, pp. 84-99, Mar. 2011.
NIA, 2015 National Informatization White Paper, National Information Society Agency, 2015.
KISA, 2016 the first quarter Cyber Threat Trend Report, Korea Internet & Security Agency, 2016.
CA Technologies. Target Attack 2012 [Internet]. Available: http://www.ca.com/.
C. S. Ryu, "Operation Plan for the Management of an Information Security System to Block the Attack Routes of Advanced Persistent Threats," in Proceeding of the 39th Conference of the Korea Institute of Information and Communication Engineering, Catholic University of Pusan, pp. 759-761, 2016.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.