[칼럼] 소스파이어♡시스코, IPS(침입차단시스템)의 한계를 끌어올리다

 

정관진, 시스코코리아 보안 스페셜리스트  

 

IPS(침입탐지시스템, Intrusion Prevention System)의 업계표준으로 불리는

'스노트(Snort)'를 제작한 소스파이어가 시스코와 한 가족이 되었다는 소식,

이미 시스코 코리아 블로그에서 만나보셨을 텐데요. 

 

오늘은 소스파이어의 핵심 기능을 통해 IPS 의 기준을 새롭게 제시한

시스코의 보안 이야기를 풀어보려고 합니다.

침입탐지시스템으로 유명한 오픈소스인 스노트 엔진을 기반으로 하고 있는 시스코 IPS 제품은

업계 최고의 침입탐지 시스템으로 실시간 상황인식과 네트워크의 전체 가시성 확보

그리고 지능적인 보안, 뛰어난 성능과 확장성 등 다양한 특징을 자랑합니다.

 

이 스노트를 만들어서 관리하고 있는 곳이 바로 소스파이어라는 회사로,

스노트뿐만 아니라 ClamAV, Razorback 오픈소스도 개발했으며

속적으로 오픈소스에 많은 기여를 하고 있습니다 

 

시스코는 이런 보안 업계의 노른자같은 소스파이어를 보안의 중요성과 솔루션 강화를 위해

2013년 전격 인수를 발표했습니다. 이제 저희와 한 가족이 된 것이죠.

그렇다면 소스파이어의 주요 기능들을 조금 쉬운 이야기로 살펴보도록 하겠습니다.

 

 

 

 

 

[소스파이어 기능 첫번째] 실시간 상황정보 파악

여러분의 네트워크 환경에서 어떤 일들이 벌어지고 있는지

시원하게 들여다 볼 수 있다면 어떨까요?

아마, 잘 보이는 만큼 더 정확하게 대응할 수 있겠지요.

효과적인 침입탐지를 위해서는 이런 기능이 꼭 필요합니다.

특히 실시간으로 에이전트 없이 네트워크 트래픽 정보만을 가지고

시스템 자원들을 판단할 수 있어야 합니다.

관리자는 소스파이어를 통해 단말의 IP를 중심으로 사용 중인

운영체제, 애플리케이션, 사용자, 위협정보, 취약점 정보 등을 한눈에 볼 수 있습니다.

 

[소스파이어 기능 두번째] 시그니처의 가치를 더하다 - 인텔리전트 튜닝

IPS를 운영하는 담당자들의 공통되는 고민은 오탐을 줄이고,

과도한 이벤트를 효과적으로 관리하고, 기업환경에 최적화된 시그너처 패턴을 적용하는 것입니다.

그 중 시그너처를 벤더에서 일방적으로 제공해 주는 방식이 아니라

고객 환경의 자산을 분석하고 그 자산을 기반으로 적용할 시그너처를

권고해 주는 기능이 바로 인텔리전트 튜닝입니다.

이로 인해 불필요한 시그너처를 제외시켜 오탐을 줄여주고 불필요한 이벤트를 감소시키니,

결과적으로 고객 운영 환경에 최적화된 시그너처를 제공할 수 있게 됩니다.

중요한 또 한가지 사실은 시그너처 패턴 정보가 모두 공개되어 있어

직접 오탐/정탐의 탐지 근거를 자세히 확인할 수 있다는 점입니다.

 

[소스파이어 기능 세번째] 위협 영향도 분석

소스파이어는 보안 문제를 운영자에게 더욱 효과적으로 알리기위해,

위협영향도를 자동으로 판단해 줍니다 이 영향도를 어떻게 판단하냐구요?

바로 자산 인식 정보가 열쇠입니다. 현재 설치된 장비의 용도(이건 메일서버다! 웹서버다!)

자동으로 파악하여, 분석된 패턴이 서비스에 얼마나 영향을 주는지를 자동 감지하고,

이를 통해 이벤트 발생량을 90% 이상 줄일 수 있게됩니다.

 

[소스파이어 기능 네번째] 모든 정보 간의 연결고리 생성

이벤트 정보와 자산 정보 그리고 사용자 정보까지 더해져

데이터들의 상관관계를 만들어 활용할 수가 있습니다.

예를 들어 (1) 침입탐지 이벤트가 발생했고, (2)해당 이벤트의 위협 영향도가 높음이고,

(3)운영체제가 윈도우7 인 경우 자동으로 경고의 의미를 가진 관계를 만들 수 있는 것입니다.

또한 API 를 이용하여 별도의 추가적인 행동을 모듈로 만들 수도 있습니다.

 

 

 

 

Better Together

소스파이어의 탐지엔진은 오픈소스로 부터 시작된 스노트 엔진을 기반으로,

전세계의 개발자들이 함께 기능을 개선하기 위한 노력을 하고 있습니다.

또한 침입탐지/차단 시스템의 한계를 끌어올리기 위한 노력도 지속되고 있습니다.

 

이제는 IPS 시스템이 왜 자산인식 기능이 필요하지? 라는 의아함을 갖는 것이 아니라

고객의 환경이 각기 다르고 최적화된 시그너처 제안이 필요한 것처럼,

시스코의 보안에 대한 생각은 고객의 관점에서 만들어지고 있습니다.

 

시스코의 차세대 네트워크 플랫폼을 통해

공격의 . . 후를 전방위적으로 방어 수 있는 기능을 갖춘 소스파이어.

단독의 포인트인 솔루션이 아닌 유연함과 확장성 그리고 뛰어난 위협차단 기능까지 더해진 시스코의 야심작입니다. 

 

소스파이어에 대한 더 많은 정보는 소스파이어 공식 홈페이지(www.sourcefire.com/)나

존 스튜어트(John Stewart)수석 부사장의 글  

Sourcefire in Our Data Center – The First Inline Production Deployment at Cisco 에서 확인해 보실 수 있습니다.