개요
침입 감지 및 방지 시스템(IDPS)은 네트워크를 모니터링하여 위협을 감지하고 감지한 모든 위협을 차단하기 위한 대응을 수행하는 솔루션입니다.
IDPS는 침입 감지 시스템(IDS)과 밀접한 관련이 있습니다. 두 시스템 모두 위협을 감지하고 그에 대한 경고를 전송한다는 공통점이 있지만 IDPS는 감지한 위협 해결을 시도합니다.
IDPS를 침입 감지 시스템(IPS)이라고 부르기도 합니다. IDPS와 IPS라는 용어는 흔히 구분 없이 사용하지만 IPS를 언급할 때는 IDPS의 위협 헌팅 기능을 가리키는 경우가 많습니다.
IDPS의 작동 원리
IDPS는 공급업체, 선택한 배포 방법, IDPS를 배포하는 조직의 요구 사항 등에 따라 여러 가지 방식으로 작동합니다.
IDPS의 유형
네트워크 기반 IDPS
네트워크 기반 IDPS(NIPS)는 네트워크 내의 특정 지점에 설치되어 해당 네트워크의 모든 트래픽을 모니터링하고 위협을 스캔하는 IDPS의 한 유형입니다. NIPS는 주로 활동을 분석하고 보안 전문가가 수동으로 구성한 알려진 공격의 데이터베이스에 해당 활동을 대조합니다. 활동이 데이터베이스에 있는 알려진 위협과 일치하는 경우 네트워크 안으로 진입할 수 없습니다. NIPS는 라우터나 모뎀 내, 방화벽 뒤, 네트워크 원격 액세스 지점과 같은 네트워크 경계에 배포되는 경우가 많습니다.
NIPS에는 다음과 같은 2개의 하위 범주가 있습니다.
- 무선 침입 감지 시스템(WIPS)은 네트워크의 무선 주파수를 분석하여 네트워크에 비인가 액세스 지점과 인식되지 않는 기기가 있는지 모니터링합니다. WIPS는 무단 무선 액세스에 취약한 위치와 무선 네트워크에 배포됩니다.
- 네트워크 동작 분석(NBA) 시스템은 네트워크 트래픽에 비정상적인 활동 패턴이 있는지 확인합니다. 예를 들어 분산 서비스 거부 공격(DDOS)에서는 수천 개의 요청이 네트워크로 전송되어 네트워크에 과부하를 일으킵니다. 이러한 요청이 하나만 있어도 공격이 성립될 것으로 보이는데 수천 개가 모이면 문제가 가시화됩니다. NBA 시스템은 종종 조직의 내부 네트워크에서 더 표준적인 NIPS를 강화합니다.
호스트 기반 IDPS
호스트 기반 IDPS(HIPS)는 단일 호스트(주로 중요 데이터가 포함된 키 서버) 또는 조직 내부 네트워크의 게이트웨이인 공용 서버에 배포됩니다. HIPS는 특히 자체 호스트 시스템에서 트래픽 흐름을 모니터링합니다. HIPS는 일반적으로 호스트 운영 체제 활동과 인터넷 프로토콜 제품군(TCP/IP) 활동을 감지하기 위해 설정됩니다.
감지 방법
구축된 IDPS는 다양한 기술을 사용해 위협을 식별합니다. 이러한 기술은 크게 3개 범주로 나뉩니다.
- 서명 기반 위협 감지는 과거에 식별된 위협의 서명(고유 패턴 또는 식별자)으로 채워진 데이터베이스에 모니터링된 활동을 대조합니다. 이 방법은 잘 알려진 위협을 감지하는 데 유용하지만 새로운 위협은 감지하지 못합니다.
- 이상 기반 위협 감지는 무작위로 선택한 네트워크 활동을 네트워크 활동의 기준점이 되는 표준과 대조합니다. 무작위로 선택한 네트워크 활동이 기준점에서 충분히 동떨어진 경우 위협이 대응을 트리거합니다. 이 감지 방식은 새로운 위협을 포착할 수는 있지만 서명 기반 위협 감지에 비해 더 많은 오탐이 발생하기도 합니다. IDPS에서 이상 기반 위협 감지는 인공지능 및 머신 러닝 알고리즘의 발전으로 인해 가장 발전된 측면입니다.
- 프로토콜 기반(또는 정책 기반) 위협 감지는 서명 기반 위협 감지와 유사하지만, 조직에서 정의하는 구체적인 프로토콜의 데이터베이스를 사용하고 해당 프로토콜을 위반하는 모든 활동을 차단합니다. 프로토콜은 보안 전문가가 직접 구성해야 합니다.
방지 대응
IDPS가 인지된 위협을 감지하면 설정 방법과 감지된 위협의 유형에 따라 몇 가지 대응을 수행할 수 있습니다. 공격에 대한 일반적인 방지 대응의 목적은 다음과 같습니다.
- 관리자에게 경고. 가장 기본적인 유형의 대응으로, IDPS는 마치 침입 방지 시스템처럼 인간 보안 관리자에게 경고를 보냅니다. 이러한 경고는 자동 대응이 적절하지 않을 수 있거나 시스템에서 오탐 여부를 확신하지 못할 때 생성됩니다.
- 선제적 차단 사용. IDPS가 이러한 대응을 수행하면 위협적인 IP 주소로부터 트래픽 또는 플래그가 지정된 사용자를 차단함으로써 인시던트 발생 가능성을 방지할 수 있습니다. 흔한 예로는 비밀번호 오류 횟수가 지나치게 많은 IP 주소를 차단하는 것이 있습니다.
- 보안 환경 변경. 선제적 차단과 유사한 기법으로, IDPS가 네트워크 보안 설정을 변경하여 위협의 액세스를 차단합니다. 이러한 대응의 예시로는 방화벽 재구성이 있습니다.
- 공격 콘텐츠 수정. 이 기법에는 공격 콘텐츠의 자동 수정이 포함됩니다. 예를 들어 의심스러운 이메일에 플래그가 지정되면 IDPS는 이메일 첨부 파일 등 네트워크에 악의적인 콘텐츠를 포함할 수 있는 이메일의 모든 측면을 제거합니다.
IDPS의 장점
IDPS는 기업 보안 팀과 조직 전체에 유용한 툴이 될 수 있습니다. IDPS를 통해 다음을 수행할 수 있습니다.
- 인적 개입 없이 활동을 스캔하고 위협에 대응합니다. 복잡한 위협은 사람이 개입해야 하는 경우가 많지만 IDPS는 좀 더 단순한 위협에 대해 체계적이고 신속한 대응을 지원합니다. 반면 복잡한 위협에는 사람이 개입할 수 있도록 더 신속하게 플래그를 지정할 수 있습니다. 그러면 보안 팀은 피해 발생 전에 위협에 대응하고 늘어나는 위협을 처리할 수 있습니다.
- 놓칠 수 있는 위협을 찾습니다. IDPS는 특히 이상 기반 감지를 사용하는 경우 인간 보안 전문가가 놓칠 수 있는 위협에 플래그를 지정할 수 있습니다.
- 사용자 및 보안 정책을 지속적으로 실행합니다. IDPS는 룰을 기반으로 하기 때문에 위협 감지가 일관되게 적용됩니다.
- 컴플라이언스 요구 사항을 충족합니다. IDPS를 사용하면 개인 정보를 취급하는 직원이 줄어들기 때문에 여러 산업의 규제 요구 사항을 충족할 수 있습니다.
Red Hat의 지원 방식
Red Hat® Ansible® Automation Platform은 플레이북, 로컬 디렉터리 서비스, 통합 로그, 외부 애플리케이션을 사용하여 보안 솔루션을 자동화하고 IT 보안 팀이 유기적으로 통합된 방식으로 위협에 대응할 수 있도록 지원합니다.
보안 팀은 Ansible Automation Platform을 사용하여 엔터프라이즈 방화벽, 보안 정보 및 이벤트 관리(SIEM) 시스템, IDPS, 권한 있는 액세스 관리(PAM) 솔루션 등 여러 엔터프라이즈 보안 솔루션을 오케스트레이션하고 이러한 이기종 툴들을 통합 보안 장치에 연결합니다.
IDS 또는 IDPS가 포함된 Ansible Automation Platform을 사용해야 하는 이유
Ansible Automation Platform은 다양한 보안 기술의 통합을 위한 중앙 허브의 역할을 하여 조직의 보안 솔루션 자동화를 지원합니다. Ansible Automation Platform은 Ansible Playbook을 사용하여 어느 한 보안 툴의 출력을 다른 보안 툴이 자동으로 읽을 수 있게 합니다. 여러 보안 툴 간 통신은 IDPS의 중심 기능인 위협 헌팅의 핵심 요소에 해당합니다. Ansible Automation Platform을 통해 조직은 다음을 수행할 수 있습니다.
- 새로운 IDPS 룰을 신속하고 유연하게 배포한 뒤 새로운 IDPS 룰과 해당 규칙에 수반되는 SIEM 사이에 구성을 자동화합니다.
- 서명 관리가 쉬워지므로 보안 게시판이 출처인 서명을 사용하여 자동 업데이트와 IDPS를 통합할 수 있습니다.
- SIEM 시스템 내에서 검색과 이벤트 자동화 간 상호 연관성을 수립합니다. 그러면 분석가가 다른 보안 기기에서 실행된 대응이나 변경 사항을 바탕으로 새로운 경고를 생성할 수 있습니다.
Ansible Automation Platform은 보안 솔루션을 조직 인프라와 네트워크의 나머지 부분과 연결할 수 있습니다. 따라서 다양한 보안 솔루션이 자동화되고 통합되어 모듈, 롤, 플레이북의 엄선된 컬렉션을 사용해 유기적인 통합 방식으로 기업 전반의 위협에 대응할 수 있습니다.
또한 팀은 Red Hat과 Red Hat 파트너가 인증한 신뢰할 수 있는 인증 콘텐츠 컬렉션을 활용할 수 있습니다. Ansible Automation Platform은 사용자가 IT 환경 및 관리 프로세스의 모든 측면을 자동화하도록 지원하는 수백 개 모듈에 액세스하여, 보안 팀이 협업을 통해 복잡한 보안 경계 보호를 강화하도록 지원할 수 있습니다.