1) 개요
보안 시스템에서 발생한 이벤트의 정/오탐을 분석하는 일은 상당히 까다로운 일입니다.
사전 지식을 가지고 있는 탐지 패턴에 의해 탐지된 공격의 경우 비교적 쉽게 정/오탐에 대한 분석이 가능하지만.
사전 지식 없이 보안 시스템 벤더에서 제공된 패턴에 의해 탐지된 이벤트를 분석하는 경우는 제공되는 정책 설명 만을 읽고 추가 분석 없이 정/오탐을 가려내는 일은 거의 불가능에 가깝습니다.
이럴 때 보안 담당자는 고민이 많아지게 됩니다. 추가로 분석할만한 로그가 없으면 어쩌지? 이걸 시스템에 직접 들어가서 분석을 해야 하나?
물론 어느 정도 경력이 있다 보면 이게 침해에 의한 이벤트인지 아닌지 어느 정도 파악이 가능하겠지만 그마저도 완전히 확인을 하지 않으면 찜찜한 마음이 남는 것이 사실이니까요.
이러한 상황에서 시스템에 대한 직접 분석 전에 이벤트가 발생했던 시점의 네트워크 트래픽을 분석할 수 있다면 많은 도움이 되지 않을까요?
"Arkime"은 연동된 네트워크 트래픽 전부를 저장하고 주요 프로토콜에 대한 메타데이터를 추출하여 Elasticsearch에 저장하여 검색할 수 있게
공식 사이트 : https://arkime.com/
Demo Site : https://demo.arkime.com/ (arkime/arkime)
2) "Arkime"의 구성
"Arkime"는 크게 3개 아래 파트로 구성되어 있습니다.
- Capture : 전체 트래픽 캡처 및 저장하고 주요 프로토콜의 메타데이터를 추출하여 Elasticsearch로 인덱싱
- Elasticsearch : 추출된 메타데이터를 인덱싱하고 검색하는 역할
- VIewer : 사용자가 데이터를 검색하고 분석며 원본 패킷 파일을 다운로드할 수 있는 Web UI
운영을 위한 구성으로는 Capture + Viewr 1대, Elasticsearch 1대 이렇게 최소 2대의 서버가 필요하며 트래픽양에 따른 디스크 용량 산정은 아래 페이지에서 계산하실 수 있고 대규모 트래픽 환경에서는 스케일 아웃 가능합니다.
용량 산정 : https://arkime.com/estimators
3) 도입에 따른 이점
(1) 불필요한 시스템 분석 최소화
- 분석을 위한 임직원 PC회수를 최소화 하여 인적 리소스 절감
- 보안 이벤트 분석에 신뢰성 향상
- 불필요하게 운영 서버 분석중 발생할 수 있는 장애 리스크 절감
(2) 침해사고 분석 지원
- 내부 확산 정도 파악 및 유출된 데이터가 있는지 여부 확인
(3) 사고 예방 효과
- 보안 정책 위반 통신 조회 및 분석
- 이상 트래픽 조회 및 분석
(4) 오픈소스 사용에 따른 비용 절감
- 쉬운 구축 방법과 구축 이후에 특별한 유지보수 리소스 투입 불필요
4) 사용 후기
제가 실무에서 가장 자주 활용하였던 상황은 Network Base APT 장비 이벤트 대응 부분이었습니다.
모든 이벤트에 대해서 사용자 PC를 회수하거나 접근하여 분석하는 것은 쉽지 않은 일이기 때문에 사용자 PC를 분석하기 전에 Arkime를 통해 사전 분석을 하면 실제로 사용자 PC 분석이 필요한 케이스를 많이 줄일 수 있어서입니다.
물론 실제 침해 사고 케이스에서도 휘발성 데이터인 네트워크 통신 이력을 모두 분석 가능하다는 부분은 "Arkime"의 가장 큰 장점 중 하나입니다.
그리고 네트워크 전체 트래픽에 대한 조회 권한은 어떻게 보면 민감할 수 있는 부분이기 때문에 특정 IP 대역만 조회를 할 수 있도록 권한을 분리하거나 사용자가 어떠한 쿼리를 요청했는지에 대한 감사 로그도 지원합니다.
댓글