[T academy]데이터 분석 관점에서의 네트워크 보안 (네트워크 보안 개념)

[1강] 네트워크 보안 역사 (paros를 이용한 파라미터변조)

보안의 역사	컴퓨터의 발전 -> 해커의 시작(1980s) : 케빈 미트닉, 로버트 모리스, 클리포드 스톨 등 * 해킹이란? => 기술의 허점을 악용 + a => 법 제도의 허점을 악용
해킹 사례	Paros를 이용한 파라메터 변조 아이핀 본인인증 무력화 통해 해킹 코레일 홈피 보안 허술 -> 고객 정보 해킹 T Mobile이라는 통신사 해킹을 통한 parameter 값을 변환하여 사용자 정보 유출 등등 => 똑같은 취약점에 의해 반복되는 사건 多 => 보안은 기술만 가지고 해결하기 어렵다
보안의 시작

 

 

---

[2강] 네트워크 보안 방법론(패턴매칭, 이상징후 분석)

네트워크 보안 비중	백신을 제외하고 방화벽, VPN, WAF 등 네트워크 보안을 많이 사용한다. 미국 역시 네트워크를 활용한 보안을 하고 있다 그렇다면  왜 네트워크 관련된 보안을 할까?  * 네트워크가 없다면 해커들은 해킹이 굉장히 어려워 진다. * 네트워크가 없다면 물리적인 보안만 잘하면 된다. BUT 현실은 전세계가 연결된 네트워크이다. (네트워크는 국경이 없다) - 물리적 제약이 적다 == 쉬운 해킹 - 피아 식별이 어렵다 == 어려운 방어 그럼에도 불구하고 네트워크 보안은 효율적이다!
방화벽	IP와 PORT를 가지고 동작한다.  EX) 우리가 열어줘여야 할 포트만 열어주고 나머지는 막는다 => 운영과정에서 쉽다. BUT 인터넷(WEB)의 등장 웹서비스가 대중화가 되면서 대부분의 해킹은 웹을 향해서 발전하게 되었다.
IDS의 등장 (Intrusion Detection  System)	이전의 방화벽이 봉투만 가지고 했다면, IDS는 편지 속 내용(DATA)를 검사한다는 개념! - EX) 도청 : 적군의 기밀 문서를 살펴보면 상대적 우위를 점할 수 있다.
패턴매칭	오랜 학습으로 경험한 가장 효과적인 정보 수집/분석 방법 특징 > 주고 받는 패턴으로 상호관계 파악 가능 * 침입탐지 모델 오용행위 분석이 패턴매칭을 말한다 오용행위 = Black List 비정상행위 = White list 장점> (알려진) 공격 정의가 쉽다 단점> 알려지지 않은 공격은 패턴을 정의하기가 어렵다 EX > IDS, IPS 등등 요새는 white list와 black list을 혼횽하여 사용한다. 위 두가지 방법론들이 네트워크 보안 장치에 적용되고 있다. why 패턴 매칭?  - 컴퓨터 역시 사람과 똑같은 방식으로 소통 - 주고 받는 패턴으로 정상/비정상 파악 가능 따라서 대부분의 보안 장식은 패턴매칭을 기반으로 한다(아래 참고) * 패턴매칭의 단점 오탐문제 양치기 소년 -> 공격이라고 알람을 하지만 실제로는 공격이 아닌 경우 有 = 사람들이 이를 믿을 수 없다. issue - haystack 프로젝트 : 덤불에서 바늘을 찾는 것과 같다! - 패턴매칭을 시스템이 완벽하지 않다. 왜냐하면 경보가 대단히 많이 발생하기 때문이다. - 수십만, 수백만 로그를 하나하나 꼼꼼히 봐야한다. 왜냐하면 진짜인지 아닌지 모르기 때문이다. ============================================================ 트래픽 = 문자 = 그래서 혼용될 수 있다. uname 패턴을 탐지하는 rule을 만들었더니 아래와 같은 정탐과 오탐이 발견된다. => 단 몇개의 문자열에 의해서 수십만개의 오탐이 발생될 수밖에 없다  작곡가가 표절하지 않았음에도 표절 시위가 있는 것 = 모든 노래는 다 한정된 음계로 만들어지고, 이에 우연의 일치로 비슷한 음절이 만들어지는 것이다 => 패턴 매칭에도 똑같은 현상이 발생한다. 그러나 해당 문제는 아직 해결이 잘 안되고 있다. 버라이즌의 데이터 침해 사고 보고서에 따르면 다른 로그가 너무 많아서 실제 로그를 더 빨리 발견했으면 해결되었을 사고가 전체의 90%에 달한다. 도입효과가 실망스러운 솔루션 = IDS but 가장 유용하게 활용되는 솔루션도 IDS 심지어 Most Popular tools이다. * 해결책 실시간 대응과 rule의 정확도 개선이 바로 바로 적용되면 좋아진다 => 그러나 현장에서는 이것이 바로 적용되기 어렵다.
이상징후 분석	빅데이터가 유행하면서 더 많이 보게 되었다. 위 사진은 정규표현식에 등장하는 단어들을 시각화한 것이다. 이는 평상시에 관련된 행동을 다 기록해야한다는 것이 필요하다는 것이다.  이상징후 분석 = 통계 = 빅데이터를 분석한다  통계 : 어떤 현상을 종합적으로 한 눈에 알아보기 쉽게 일정한 체계에 따라 숫자로 나타냄 이러한 통계 분석이 성공하려면 rule num1 : 정확한 데이터의 숫자를 세어야 한다! => 구글 검색이 성공할 수 있었던 이유 == 사람들이 검색할 때 거짓말하지 않기 때문이다! 보안분야에서도 정확한 숫자를 세어야 한다. 보안에서 발생한 데이터들은 패턴을 통해 filtering된 데이터이다. 반면 유의미한 통계가 가능한 것이 전통적으로 우리가 보안에 소외된 분야들(방화벽, 서버 로그 등)은 시스템 속도도 느리고 검사해야할 데이터가 너무 많아서 못해왔다. 그러나 빅데이터의 발전에 따라 이렇게 대량으로 발생한 로그에 대한 통계분석까지 가능하다. 이는 곧 알려지지 않은 공격에 대해서 통계분석을 통한 해결이 가능하다는 것이다! ex) 카카오의 이상징후 분석 => 발표 자료 보면 카카오는 이런 식으로 빅데이터 분석을 하고 있당! - 근데 마지막에 resource에 보면 빅데이터가 아무리 좋더라도 적절한 지원과 분배가 없다면 힘들다.

결론적으로 패턴매칭과 이상징후를 네트워크 보안에 사용하는데, 여기서 이상징후가 그전에는 잘 안되었다.

그러나 빅데이터 발전에 따라 이상징후가 더 발전하고 있는 중이라고 했는데, 기왕 빅데이터를 배웠으니 이러한 부분을 활용하여 이상징후를 좀 더 공부해봐야겠다.