시큐리티백

파이썬 공식 홈페이지 방문

https://www.python.org/downloads/

아래 화면 처럼 Phython 3.7.2 다운로드 ( 버전은 다를 수 있습니다. )

다운로드 받기

이 후 설치 완료 후

IDLE 파일 실행 화면

완료우~ 이제 실습 가즈아~

 말 그대로 엔드포인트 위협 탐지 및 대응을 목적으로 하는 솔루션입니다.

여기서 엔드포인트란 단말기를 의미합니다. 즉 클라이언트 pc, 스마트폰, 태블릿 등을 의미합니다.

EDR의 영역은 컨슈머 보안 영역(일반 사용자 영역)과 엔터프라이즈 보안 영역(기업 시스템을 사용하는 사용자들의 영역)으로 나뉘며, 현재는 기업 시스템을 사용하는 사용자들을 위한 보안이 일반적입니다. 이 영역에서 EDR 솔루션은 정보의 인증이나 암호화가 아닌 공격에대한 탐지와 그것에 대한 대응하는 영역입니다.

그렇다고 EDR이 백신이나, HIPS는 아닙니다.

백신도 단말기 안에 설치된 어플, 악성코드, 바이러스 등르 탐지하고 제거, 격리 하는 역할을 합니다. 둘이 같은 거 아냐? EDR에 일부 아니야 라고 생각 될 수 있지만 다릅니다.

백신같은 경우 아직까지 시그니쳐, 패턴 매칭 방식으로 파일을 백신의 패턴과 비교해 바이러스를 판단하여 제거, 격리 하는 역할을 합니다.

이러한 패턴이나 시그니처는 이미 피해를 입은 단말기를 분석해서 뽑아내는데, 사후 처리 방식으로 새로운 패턴의 악성코드나 바이러스에는 대응하지 못한다는 문제점을 가지고 있습니다. 지식 기반 탐지가 아닌 행위 기반, 즉 바이러스나 악성코드라고 의심이 되는 상황을 예측하는 백신들도 있지만 오탐율이 굉장히 높아 안쓰는 상황입니다. 공격이 아닌데 공격으로 판단하는 상황이 많다는 의미입니다.

HIPS( 호스트 침입 방지 시스템 )은 단말기로 들어오는 네트워크를 검사해서 대응하는 솔루션입니다. 백신은 파일을 기준으로 검사한다는 점에서 차이가 있습니다. 하지만 HIPS 역시 룰 기반으로 시그니처, 패턴을 비교해서 맞거나 비슷하면 차단하는 시스템입니다. IPS와 달리 HIPS는 시스템 인프라에 설치 되되는 것이 아닌 PC에 설치 됩니다. HIPS 역시 백신과 같이 새로운 공격에는 대응 하기 어렵다는 문제점을 갖습니다.

이 두 솔루션 뿐만 아니라 인프라 보안 쪽 솔루션들(IPS, IDS, FW) 역시 룰 기반으로 선제 대응에 어려움을 가집니다.

이러한 솔루션들은 새로운 공격에는 업데이트 전까지 속수 무책으로 공격을 당해야하는 상황입니다. 이로인해 EDR 솔루션이 각광 받고 있습니다.

EDR의 가장 큰 특징은 탐지하는 방식이 한가지 방식이 아니라는 것입니다.

 앞서 말한 솔루션 들도 탐지하는 방식 2~3개 이상이 되지만 EDR은 사용자의 활동과 행동을 관찰하고 뿐만아니라 백그라운드에 동작하는 어플들의 활동을 관찰하여 위협을 판단하는 능동적 탐지를 수행합니다. 이러한 탐지 수행을 위해 빅데이터 기법, 머신러닝 기법, 인공지능 기법 등이 활용됩니다.

기본의 사후 대비적 성격의 보안이 아닌 모든 상황을 가정하고 테스트 함으로써 공격을 사전 차단하려는 기술입니다.

BAS를 설명하기에 앞서 사이버 킬체인을 알아 보겠습니다.

 현재 관제에서는 탐지 패턴에만 의존하여 기술적 한계가 많습니다.

 이러한 문제로 웹크롤링을 통해서 공격 위협을 사전에 인지하고 반영하거나 머신러닝 기술 등을 접목한 이상징후 패킷 탐지 기술을 접목하려는 시도가 있어 왔으며 이러한 노력으로 탄생한 것이 BAS라고 할 수 있습니다.

BAS는 다양한 공격 시나리오를 기반으로 사내 인프라와  자산에 대하여 예상 가능한 모든 위협을 사전에 체크하고 제거하는데 그 목표를 두고 있습니다.

사이버킬체인에서 구현하고자 햇던 것들을 BAS를 통해 실체적으로 구현 사전에 모두 테스트해 방화벽 등을 통해서 불필요한 모든 접근 방식을 제거, 모든 프로토콜 테스트를 합니다.

설령 침투되어도 추가 확장 공격이나 위협이 확대되지 않도록 사전에 방어하고자 하며 시뮬레이션을 통한 내부망에 대한 보안 검증을 실시합니다.

 OA망이란 Office Automation의 약자로 사내망을 의미합니다.

시물레이터를 바탕으로 아래 형태의 공격을 테스트 할 수 있습니다.

◎ 내부망침투 - 외부에서 내부로의 접근을 테스트 할 수 있다.

◎ 외부로의 정보 유출 - 내부에서 외부로의 연결을 테스트 할 수 있다.

◎ 전이 공격 - 시스템으로 공격을 확장하는 것,  테스트하는 이유는 어떤 침해가 발생했을 경우, 전파의 범위를 확인하기 위함이다.

◎ apt 공격 - 메일을 이용, 백신, 보안 프로그램이 잘 차단하는지 테스트 등을 테스트할 수 있다.

무엇보다 중요한 것은 시나리오 입니다! 따라서 최신의  시나리오를 신속하게 반영해 주는 것이 핵심이라고 할 수 있습니다.

 모의 해킹 - 어플리케이션(서비스) 자체에만 국한해 문제점을 찾아 제거하려합니다.

 BAS - 모든 행위에 대응하는, 네트워크 전체의 문제점을 다루는 사이버 킬체인을 목표로 합니다.

 기존 IT서비스에 전혀 영향을 미치지 않습니다.

다양한 서비스 형태를 지원합니다. ( 온프라미스, 클라우드 등, 다양한 os)

추가 비용 없이 기존 시스템의 보안성을 강화할 수 있습니다.

이러한 BAS는 기본 defensice security와 달리 offensive security입니다. 

가트너는 "향후 10년간 BAS가 가장 중요한 보안 제품군이 될 것" 전망하고 있다고 합니다.

 컴퓨터끼리 통신( 데이터 송수신 )하기 위해 필요한 통신 규약, 통신 방식에 대한 약속입니다.

 프로토콜이 같은 것끼리만 통신이 가능합니다.

1. TCP/IP

 패킷 통신 방식의 인터넷 프로토콜인 IP (인터넷 프로토콜)와 전송 조절 프로토콜인 TCP (전송 프로토콜)로 이루어져 있습니다.

 IP는 패킷 전달 여부를 보증하지 않고, 패킷을 보낸 순서와 받는 순서가 다를 수 있습니다.

TCP는 IP보다 상위계층에서 동작하는 프로토콜로, 데이터의 전달을 보증하고 보낸 순서대로 받게 해줍니다.

UDP로 통신하는 경우 전송을 조절하는 역할을 하지 않습니다.

 HTTP, FTP, SMTP 등 TCP를 기반으로 한 많은 수의 애플리케이션 프로토콜들이 IP 위에서 동작하기 때문에, 묶어서 TCP/IP로 부르기도 한다.

TCP/IP 와 OSI 7 Layer 비교

1-1) 네트워크 접근 계층

네트워크 하드웨어, 장치드라이버로 구성되어 있습니다.

물리 주소를 사용해 통신, 물리 주소는 네트워크 방식에 따라 다르며

상호 호환되지 않습니다.(= TCP/IP 프로토콜끼리만 호환, 다른 통신 프로토콜과는 호환되지 않는다.)

1-2) 인터넷 계층

데이터를 목적지 호스트까지 전달하는 역할을 합니다.

논리주소인 IP 주소를 패킷에 달아 목적지까지 보내는 역할을 합니다.

전 세계적으로 유일성을 보장한다.

1-3) 전송 계층

최종 목적지 까지 오류 없이 데이터를 전송하는 역할을 합니다.

프로세스를 지정하는 포트 번호 사용하여 전송합니다.

이러한 전송계층은 TCP와 UDP로 나뉩니다. 

TCP, UDP

TCP - 연결형 프로토콜, 신뢰성 있는 데이터 전송, 일대일 통신, 바이트 스트림 서비스

UDP - 비연결형 프로토콜, 신뢰성 없는 데이터 전송(흐름제어 x), 일대일, 일대 다 통신, 데이터 그램 서비스

1-4) 응용 계층

다수의 프로토콜과 이 프로토콜을 사용하는 응용프로그램을 포함합니다.

2. IPX

 내부 네트워크에서 사용됩니다. 파일을 한곳에 두고 호스트들끼리 서로 정보를 공유할 수 있는 파일 서버와 통신에 사용되는 프로토콜입니다.

IPX에 존재하는 SAP( Service Advertising Protocol )은 사용 가능한 네트워크 자원을 모든 네트워크 서버나 라우터들과 브로드캐스트를 사용해서 정보 공유합니다.

IP주소와 같은 class구분이 없습니다.

TCP/IP에서 사용하는 것과는 달라 상호간에 호환성이 없다.

3. Appletalk

 매킨토시들이 서로간의 통신을 위해 사용하는 프로토콜입니다. 구내 정보 통신망입니다.

AppleTalk Zones - 컴퓨터들의 논리적인 그룹 파일과 프린터 자원을 공유하는 zone입니다.

Protocol Suit - MAC 시스템을 연결하는 역할을 합니다. 

 국제 표준화 기준( 이하 ISO ) 컴퓨터 네트워크 프로토콜 디자인과 통신을 계층별로 나눈 모형입니다.

OSI 7 계층은 네트워크에서 통신이 일어나는 과정을 7단계로 나눈 것을 말합니다.

 데이터가 어떻게 전송되는지 구조를 보기 쉽습니다.

문제 해결이 편리합니다.

 ( Ping보내서 성공하면 1~3계층에는 문제가 없다는 것을 파악가능하다. ping이 네1트워크 계층(3계층)에서 동작하는 명령어이기 때문이다.)

물리계층( Physical Layer )

 전기적, 기계적, 기능적 특성 이용하는 계층입니다.

통신 단위 : bit ( 0, 1 )

데이터 전달 목적, 내용이나 애러, 효율성은 판단하지 않습니다.

Ex) 통신 케이블, 리피터, 허브

데이터 링크 계층 ( Data Link Layer )

맥주소를 가지고 물리계층에서 받은 정보를 전달하는 계층입니다.

송수신 정보의 오류, 흐름 관리 ( 안전한 정보 전달 )

MAC 주소 부여합니다.

통신 단위: 프레임

오류 찾고 재전송 기능을 합니다.

Ex) 브릿지, 스위치(L2)

네트워크 계층 ( NetWork Layer )

목적지까지 안전하고 빠르게 전달 목적인 계층입니다.

통신 단위 : 패킷

경로 설정, 전달

IP 주소를 부여합니다.

Ex) 라우터, 스위치(L3)

전송 계층 ( Trasport Layer )

통신 단위 : 세그먼트

양 끝단(End to end)의 사용자들이 신뢰성있는 데이터를 주고 받을 수 있도록 해 주어,

상위 계층들이 데이터 전달의 유효성이나 효율성을 생각하지 않도록 해줍니다.

TCP/ UDP
TCP 프로토콜 : 신뢰적인 전송을 보장, 연결 지향적이다. 헤더 20BYTE

UDP 프로토콜 : 신뢰성이 낮은 프로토콜, 비연결성이고, 순서화 되지 않은 Datagram서비스 제공합니다. 실시간 통신에 사용합니다. 헤더 8BYTE

세션 계층 ( Session Layer )

데이터가 통신하기 위한 논리적인 연결을 말합니다. 통신의 대문역할을 합니다.

동시 송수신 방식(duplex), 반이중 방식(half-duplex), 전이중 방식(Full Duplex)

통신하는 사용자들을 동기화하고 오류복구 명령들을 일괄적으로 다룹니다.

표현 계층 ( Presentation Layer )

 데이터 표현이 상이한 응용 프로세스의 독립성을 제공하고, 암호화 합니다. 코드 간의 번역을 담당하여 사용자 시스템에서 데이터의 형식상 차이를 다루는 부담을 응용 계층으로부터 덜어 줍니다.

응용 계층 ( Application Layer )

 응용 프로세스와 직접 관계하여 일반적인 응용 서비스를 수행합니다.

데이터 링크 계층에서 할당되며 네트워크 상에서 서로를 구분하기 위한 주소입니다. 

세계 유일한 주소로 장치마다 다릅니다.

(= 물리적 주소)

48bit로 구성되어 있습니다.

8bit : 8bit : 8bit : 8bit : 8bit : 8bit

(앞에 24bit는 제조사 번호입니다.)

cmd창에 ipconfig /all로 확인 가능합니다.

 IP주소를 MAC주소와 대응시키기 위해 사용합니다.

목적지 주소를 모를 때 네트워크상 모든 노드에 브로드캐스트를 이용하여 MAC 주소를 획득하는 주소 결정 프로토콜입니다.

만약 다른 네트워크에 있는 경우 라우터 주소를 목적지 주소를 받아 전송합니다.

여기서 라우터는 브로드 캐스트를 막는 성질을 같습니다.

유니캐스트( Unicast ) - 특정 목적지 주소 하나만 가지고 통신, MAC주소 대조 후 다를시 버림, CPU 성능 저하가 없습니다.

브로드캐스트( Broadcast ) – 같은 네트워크 상 모든 노드에 전송합니다. 노드들이 무조건 받아 CPU에서 대조 후 버립니다. 이는 PC 성능의 저하를 유발합니다.

● CSMA/CD방식으로 메시지를 전송할 때

● 스위치 테이블에 목적지 주소의 MAC주소가 없을 때

● 라우터끼리 정보를 교환할 때, 서버가 클라이언트들에게 서비스 제공 사실을 알릴 때

멀티캐스트( Multicast ) – 특정 그룹에 전송합니다. PC에 영향을 주지 않으며, 라우터나 스위치 같은 경우 멀티캐스트 기능을 지원하는 경우만 사용 가능합니다.

 인터넷망을 통해 침투하는 외부 공격으로부터 업무망을 지키기 위해 업무망과 인터넷망을 분리하는 것 입니다.

물리적 망분리와 논리적 망분리로 두가지 방법으로 나뉩니다.

물리적 망분리는 실제로 망을 업무망과 인터넷망 두 개를 운영하는 것입니다.

보안의 이점이 높지만, 신규 망구축 및 각각의 PC가 필요해 고비용이 소요됩니다.

관리 부담 또한 상대적으로 높습니다.

논리적 망분리는 실제 망을 하나 두고 2개처럼 사용하는 방법입니다.

이런한 논리적 망분리는 2가지로 분류될 수 있습니다.

2012년 8월 정보통신망 이용촉진 및 정보보호 등에 관한 법률이 개정되면서 100만 명 이상의 개인정보를 보유하거나 연매출 100억 원 이상의 정보통신 서비스 사업자의 경우 망분리를 의무화했습니다.

망분리를 했다고 해서 절대로 안전하다는 보장은 없습니다. 인터넷망을 사용해야 하는 업무의 경우 그대로 사이버 공격에 노출되어 있습니다. 게다가 PC 두 대를 쓰는 사용자가 망을 혼동해서 쓰는 경우도 종종 발생하며, 데이터를 옮겨 담는 USB를 통해 폐쇄망이 감염되기도 합니다.

 ※ 보안기사 12회 서술형 문제