보안정보

차세대 통합보안관리 기업
이글루시큐리티 보안정보입니다.

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루시큐리티 보안정보입니다.

블로그 상세
IP 차단 기능을 통한 침해대응역량 강화 2020.06.30 2 8746


 

 

 

 

01. 개요

 

전세계적으로 특정 전염성 질병이 최악의 수준으로 유행하는 것을 팬데믹이라고 한다. 팬데믹은 그리스어로, ‘팬’은 ‘모두’를, ‘데믹’은 ‘사람’을 의미한다. 즉 모든 사람이 전염된다는 뜻을 지니고 있다. 최근 주요 APT공격 그룹들이 전 세계적으로 유행하는 코로나19를 사이버 공격에 이용하는 등 신종 사회공학적 기법이 수반되는 만큼, 사이버 위협에 선제적인 대응을 하기 위해 정보 공유 체계를 더욱 강화 시킬 필요가 있다. 하지만 사이버보안관제센터는 나날이 증가하는 위협IP에 대응하기 위해 매일 수십, 수백 개의 IP를 차단해야 하는 어려움을 겪고 있다. 당사의 통합보안관제시스템 SPiDER TM V5.0은 지능화되고 고도화되는 사이버 위협에 대응하기 위해 방화벽 차단IP 기능을 제공하고 있다. 이러한 기능을 활용하여 보안관제 업무량을 줄일 수 있는 방법을 알아보자. 

 


[그림 1] IGLOOSEC 사이버위협인텔리전스

 

02. 탐지부터  분석, 차단까지 모든 것이 통합보안관제시스템에서 가능하다면?

 

기존 네트워크 장비의 IP 차단 업무 방식은 유해 IP 차단 목록이 생성됨에 따라 각각의 망에 구축 된 방화벽 GUI에 개별 접속하여 등록 해야만 했다. 그러나 방화벽이 점점 늘어남에 따라 유해IP를 방화벽에 등록하는 일에 적지 않은 시간이 소요되고 있다. 

 

 

[그림 2] MF2 방화벽 차단IP 등록 화면

 

03. SPiDER TM V5.0의 IP 차단 기능

 

그렇다면 통합보안관제시스템과 방화벽간의 API연계를 통한 차단 기능에 대해 알아 보도록 하자.

침해사고대응 > 차단 요청 장비 설정 메뉴를 통해 방화벽의 장비명, URL, ID, PW 정보만 입력 한다면 연동 설정이 끝난다. (장비 수에 따라 복수 등록 가능)

 


[그림 3] SPiDER TM V5.0 차단 요청 장비 설정 화면

 

1) 단일 차단 IP 기능



 

① IP : 차단IP 등록(대역 IP는 등록 불가)

② 차단 사유

③ 차단 시간 옵션 : 영구(~2070.12.31), 1시간, 1일, 사용자 정의 

 


[그림 4] SPiDER TM V5.0 차단IP 등록 및 결과

 


[그림 5] 방화벽 UI 접속 후 블랙리스트 정상 입력 결과

 

2) 차단IP 일괄 등록 기능



 

단일IP가 아닌 복수의 IP 차단을 위해 “차단 IP 양식” 다운로드 후 정보 입력 

(차단IP, 차단일, 해제일, 차단 사유) → 입력된 CSV형태 파일 업로드를 통해 일괄 등록 가능

 

[그림 3-6] SPiDER TM V5.0 차단IP 일괄 등록

 


[그림 6] SPiDER TM V5.0 차단IP 일괄 등록

 


 

[그림 7] SPiDER TM V5.0 방화벽 차단 IP 등록 결과

 

3) IP 차단 기간 수정



 

IP 차단일 변경이 필요할 경우 차단 기간 수정을 통해 실시간 반영 가능 (차단일 ~ 해제일)

 



[그림 8] SPiDER TM V5.0 차단 IP 차단일 수정 결과

 

4) IP 차단 해제



 

등록된 차단 IP목록에서 원하는 IP에 대해 체크 후 해제 버튼 클릭 하여 삭제

 


[그림 9] SPiDER TM V5.0 방화벽 차단IP 해제

 

04. 결론

 

그 동안 수십만 개의 IP를 차단함에도 불구하고 매일 같이 수십여 개의 IP를 차단하는 정책을 입력 하고 있다. 이러한 작업의 소요시간을 예측한다면 아래와 같은 수치가 나올 것이다.

 


 

기존 업무 방식에서 벗어나 통합보안관제시스템의 IP 차단 기능을 통해 다수의 네트워크 경계를 더욱 신속하고 정확하게 처리해 업무 효율을 높일 수 있을 것이다. 또한 침해대응역량 강화를 위해서 선제 대응에 필요한 적극적인 정보수집 활동이 필요하며, 이글루시큐리티에서 제공하는 CTI(Cyber Threat Intelligence) 정보를 적극 활용하기를 권한다.

 

이전글, 다음글 목록
다음글 SIEM의 새로운 대시보드 활용방법
이전글 일반로그 수집을 통한 시스템 모니터링

원하시는 계정으로 로그인 후 댓글을 남겨 주세요.

사용자 이미지
0/ 250 byte