정보 보안 이야기6 Elastalert 활용, 보안 위협 이벤트 탐지 방법 소개 정보 보안 현업에서는 매일 지속적으로 발생하는 보안 위협 이벤트에 대해 정.오탐을 분류하는 업무는 매우 힘들고 지치는 일입니다. 이와 같은 이유로 대부분 위협이라고 판단할만한 이벤트에 대해서는 알람을 걸어 모니터링을 진행하고 있는데요. 이번 시간에는 Elasticsearch에 저장되는 보안 이벤트를 실시간으로 감시하여 정해진 Rule에 매칭되면 알람 통해 알려주는 오픈소스 Elastalert에 대해 살펴보고 실제 저희 회사에서 정해놓은 몇가지 Rule을 소개해드리도록 하겠습니다. Elastalert 오픈 소스 소개 ElastAlert는 Elasticsearch 데이터에서 이상 징후, 급격한 변화 또는 주목할 만한 패턴을 감지하고 알림을 제공하는 간단한 프레임워크입니다. Yelp는 데이터와 로그의 양이 지.. 정보 보안 이야기 2025. 4. 18. 더보기 ›› SECaaS(서비스형 보안) 이란? 현재 시장은? 이번 포스팅에서는 최근 몇 년전 부터 부각되고 있는 SECaaS란 무엇인지에 대해서 살펴보고 현재 시장은 얼마나 발전하고 있는지 확인해보는 시간을 갖도록 하겠습니다. 현재 저희 회사에서도 일부 보안 서비스를 SECaaS 형태로 유료로 사용중인 부분이 있는데요. 초기 큰 비용 부담이 없다는게 큰 장점으로 느끼고 있습니다. SECaaS란 무엇인가요? 보안 서비스형 소프트웨어(Security as a Service, SECaaS)는 보안 관련 서비스를 클라우드 기반의 인터넷을 통해 필요할 때마다 제공하는 서비스 모델입니다. 이를 이용하는 고객들은 고가의 초기 장비 설치 없이 보안 전문가들이 운영하는 다양한 보안 서비스를 저렴한 월정액 구독 모델로 제공합니다. 이는 특히, 보안 인력에 대한 투입 비용을 절감하.. 정보 보안 이야기 2025. 4. 12. 더보기 ›› Elastalert를 이용한 보안 위협 탐지 방법 소개 제가 근무중인 회사에서는 평일 기준 평균적으로 엘라스틱서치 클러스터에 축적되는 전체 서비스 보안 이벤트 로그의 상황은 다음과 같은데요. 일별로 기록되는 문서(Document) 수는 약 4억 ~5억건 건 수준이며, 해외의 불특정 다수 IP로부터 스캔성 공격 시도가 지속적으로 발생할 경우 보안 이벤트 로그가 좀더 증가하는 경우도 있습니다. 이와같이 방대한 보안 이벤트 로그를 사람이 개별적으로 일일이 분석하고 검토하는 것은 실질적으로 바닷가 모래사장에서 바늘 찾기에 비유할 수 있을 정도로 비효율적입니다. 보안 위협 로그를 보다 효율적으로 식별할 수 있는 방법은 무엇일까요? 실제 어떻게 보안 위협 이벤트를 식별하고 탐지하는지 사례를 통해 설명드리도록 하겠습니다. 현재 저희 회사 보안 환경은 IDC 전체 트래픽 .. 정보 보안 이야기 2025. 4. 7. 더보기 ›› 파워쉘(Powershell)을 이용한 파일리스 공격 사례 현재 제가 근무하는 보안팀에서 운영중인 특정 솔루션이 보안 취약점으로 인해 랜섬웨어 감염 사례가 빈번히 발생했던 경험을 공유하고자 합니다. 공격자는 해당 솔루션의 취약점을 악용하여 운영 중인 서버에 침투해 피해를 입혔으며, 이에 대한 공격 벡터와 구체적인 공격 방식에 대해 사례를 중심으로 자세히 살펴보겠습니다. 실제 침해사고 분석을 통해 확인된 주요 공격 벡터는 윈도우 명령 프롬프트(cmd)의 권한을 악용한 뒤, 파워쉘(PowerShell)을 사용하여 악성코드를 설치하는 방식입니다. 처음 침투 시에는 파일형식이 없는(Fileless) 형태로 악성코드를 시스템 메모리에 로드하였으며, 이후 실제로 생성된 악성 파일(.ps 파일 등)은 삭제하는 특성을 보였습니다. 이러한 방식은 피해자의 시스템에서 흔적을 최소.. 정보 보안 이야기 2025. 4. 4. 더보기 ›› APT 장비 기반 보안 위협 탐지 룰 설정 예시 실시간으로 발생하는 사이버 보안 위협에 효과적으로 대응하기 위해서는 위협 이벤트에 대한 즉각적인 조치가 필수적입니다. 끊임없이 변화하는 사이버 위협 환경에서 효율적으로 문제를 해결하기 위해서는 보안 위협 이벤트를 탐지할 수 있는 규칙을 설정하고 이를 처리하는 명확하고 체계적인 프로세스를 구축하는 것이 가장 중요한 과제입니다. 이 글에서는 실제 실무에서 보안 위협 탐지를 수행한 사례를 중심으로, 중요한 보안 설정 규칙을 활용한 대응 및 처리 과정에 대해 설명드리겠습니다. 이는 정보 보안 분야에서 종사하시는 분들께 조금이라도 실질적인 도움이 되기를 바라는 마음으로 작성되었습니다. 본문 내용은 저희 회사의 사례를 예로 든것으로 절대적인 정답으로 받아들이기보다는 다양한 관점에서 활용하시기 바랍니다. 해당 내용은.. 정보 보안 이야기 2025. 4. 4. 더보기 ›› 이전 1 2 다음
