본문 바로가기 주메뉴 바로가기

최신IT소식

스마트한 이벤트 로그 관리와 변경 감사 솔루션을 결합하면 더욱 좋은 5가지 이유

관리자 2018-11-29 조회수 46


Quest_thumb_20181114.jpg

 

스마트한 이벤트 로그 관리와 변경 감사 솔루션을 결합하면 더욱 좋은 5가지 이유

 

지속적인 보안 및 규정 준수를 보장하도록 IT 환경을 구성할 수 있다면 더할 나위 없이 좋을 것입니다. 방화벽과 안티바이러스를 배치하고, 모든 사용자와 컴퓨터 계정에 엄격한 최소 권한 원칙에 따라 권한을 부여하고, 조직의 고유한 요구사항에 맞게 그룹 정책을 조정한 다음 모든 것이 안전하고 모든 규정을 준수한다는 확신을 갖고 뻗고 편히 잠을 자면 됩니다.

그런데 한 가지 문제가 있습니다. 여러분의 IT 환경은 박물관에 전시된 작품이 아니라는 것입니다. IT 베스트 프랙티스 안내 책자에 나온 사례와도 다릅니다. IT 환경은 사용자와 애플리케이션에 의한 데이터 액세스와 변경이 수시로 발생하고, 계정이 프로비저닝/디프로비저닝되고, 시스템과 소프트웨어가 설치 및 제거되고, 데이터가 안팎으로 흐르는 매우 동적인 환경입니다. 게다가 이 모은 움직임이 정신 없을 만큼 빠른 속도로 진행됩니다. 특히 클라우드 기술을 도입한 경우 외부 환경과도 지속적으로 상호작용합니다. 물론 네트워크 내외부의 위협 환경도 계속해서 바뀝니다.

그 결과 
보안과 규정 준수를 위해서는 끊임없는 경계와 노력이 필요합니다. 여기서 가장 중요한 요소 중 하나는 온프레미스 시스템과 클라우드를 불문하고 관리자와 최종 사용자의 활동을 면밀히 주시하는 것입니다. 활동은 대부분 로깅되지만 이러한 로그는 환경 전반의 여러 지점에, 다양한 형식으로(대부분 알아보기 힘든 형식으로) 저장됩니다. 환경에서 어떤 일이 일어나는지, 또한 진짜 위협은 어디에 있는지를 정확히 파악하는 데 필요한 실시간 인사이트를 얻으려면 어떻게 해야 할까요?

스마트한 이벤트 로그 관리

이벤트 로그 관리가 해답의 일부가 되려면 
스마트 이벤트 로그 관리여야 합니다. 단순히 모든 로그를 수집하는 것이 아니라 데이터의 상관관계를 찾고 정규화해서 하나의 창에 요약해 제공할 수 있는 솔루션이 필요합니다. 그래야 손쉽게 사용자 활동의 전체적인 그림을 재구성할 수 있습니다. 물론 이 솔루션은 여러 해 동안 비용 효율적으로 데이터를 저장하고, 빠른 보고와 문제 해결, 보안 분석을 위해 손쉬운 검색도 가능해야 합니다. 퀘스트 인트러스트(InTrust)에서 이러한 모든 기능은 물론 그 이상을 얻을 수 있습니다.

스마트 변경 감사
그러나 고려해야 할 다른 중요한 측면으로
 변경 감사가 있습니다. AD, 익스체인지, 윈도우 파일 시스템, 애저(Azure) AD 및 오피스 365, SQL 서버, 셰어포인트(SharePoint) 등에서 주요 구성, 사용자 및 관리자 변경 사항을 주시해야 합니다. 그러나 기본 로그는 이러한 정보를 제공하지 못합니다. 

퀘스트의 
체인지 오디터(Change Auditor)는 가능합니다. 하나의 콘솔에서 완전한 실시간 변경 감사, 심층적인 포렌식, 변경 사항에 대한 포괄적인 보고 기능을 이용하고 사용자 로그온, 인증을 비롯한 기업 전반의 활동도 볼 수 있습니다. 각 이벤트와 모든 관련 이벤트가 알아보기 쉽게 모든 핵심 세부 사항과 함께 표시되므로 정확히 무슨 일이 발생했는지 손쉽게 파악할 수 있습니다. 또한 중요한 개체가 변경되지 않도록 아예 사전에 변경을 차단할 수도 있습니다.

함께 사용하면 더욱 효과적


체인지 오디터와 인트러스트는 개별적으로도 유용하지만 함께 사용할 때 진정한 빛을 발합니다. 두 솔루션을 결합하면 하이브리드 환경 전체를 위협 요소로부터 보호하고 공격이 발생하는 경우 신속하게 포렌식을 수행할 수 있으며 보안 담당자에게 보안 수단을 테스트하고 거의 모든 시스템 또는 애플리케이션을 감사할 수 있는 기능을 제공할 수 있습니다. 또한 결합된 솔루션은 비용 및 확장성 문제를 모두 완화하므로 SIEM의 보완 솔루션으로도 완벽합니다.

체인지 오디터와 인트러스트t를 함께 사용할 때 얻는 가장 중요한 5가지 혜택은 다음과 같습니다.

1. 세부적인 실시간 통찰력
체인지 오디터와 인트러스트는 기본 로그의 기능을 훨씬 더 뛰어넘어 모든 변경 및 액세스 시도에 관한 모든 측면을 포착합니다. 여기에는 5W(누가, 무엇을, 언제, 어디서, 어느 워크스테이션을 사용하여), 각 변경 이벤트의 이전 및 현재 값이 포함됩니다. 세션 지속 시간, 세션 시작 및 종료 방법을 포함해서 사용자 세션에 대해 기본 이벤트가 제공하는 것보다 훨씬 더 세부적인 정보를 얻을 수 있습니다. 게다가 체인지 오디터와 인트러스트 모두 실시간으로 이벤트를 수집하므로 적시에 대응해서 침해 또는 시스템 다운타임을 방지할 수 있습니다.

2. 경보
결합된 솔루션은 특정 이벤트(예를 들어 알려진 랜섬웨어와 일치하는 확장명의 파일), 임계값을 초과하는 일련의 이벤트(예를 들어 특정 사용자 계정에서 짧은 시간 동안 지나치게 많은 파일을 변경: 랜섬웨어 공격일 가능성이 있음)를 포함하여 잠재적인 위협을 실시간으로 알립니다.

3. 구글과 같은 검색 및 조사
체인지 오디터와 인트러스트에는 모두 더 신속한 보안 사고 대응 및 포렌식 분석을 가능하게 해주는 구글과 비슷한 검색 엔진인 IT Security Search가 포함됩니다. IT Security Search는 여러 퀘스트 보안 및 규정 준수 솔루션에서 데이터를 가져와 하나의 창으로 전달하므로 풍부한 시각화 및 이벤트 타임라인을 사용해 사용자 자격 획득, 활동, 이벤트 추세, 의심스러운 행동 패턴 등을 손쉽게 분석할 수 있습니다.

4. 자동화된 대응 및 객체 보호


체인지 오디터와 인트러스트는 많은 위협을 탐지 즉시 차단하므로 맬웨어, 도난당한 인증 정보 및 내부자 공격과 관련된 보안 위험을 완화할 수 있습니다. 또한 체인지 오디터는 AD, 익스체인지, 윈도우 파일 서버의 중요하고 민감한 데이터가 변경되지 않도록 보호할 수 있습니다.

5. SEIM 비용 절감


위에 언급했듯이 고품질 SIEM은 분명 유용한 도구이지만 이벤트 로그 관리 용도로는 값비싸고 비효율적입니다. 많은 벤더는 툴을 통과해서 흐르는 데이터의 양을 근거로 라이선스 비용을 부과하는데, 기본 로깅은 방대한 양의 이벤트를 생성합니다. 그 결과 SIEM의 비용이 너무 높아져 사용이 불가능하게 됩니다. 또한 모든 이벤트 데이터를 몇 년 동안 저장해야 하므로 비용은 더 증가합니다. SIEM 시스템이 매분 생성되는 수백만 개의 이벤트를 모두 수집하고 처리할 수 있다 해도 필요한 쿼리를 실행하는 데는 몇 시간이 소요될 수 있고 이 경우 적시에 위협을 차단하지 못하게 됩니다. 

인트러스트와 체인지 오디터를 결합한 솔루션은 SIEM을 완벽하게 보완합니다. 장기적인 이벤트 로그 데이터를 인트러스트로 저장하고 필터링을 통해 관련 데이터만 SIEM 솔루션으로 전달해 실시간 보안 분석을 수행할 수 있습니다. 또한 체인지 오디터는 몇 가지 작업을 특정 이벤트로 요약해서 불필요한 이벤트가 SIEM으로 전달되지 않도록 할 수 있습니다. 포렌식과 규정 준수를 위해 인트러스트에 저장하고 체인지 오디터를 사용해서 SIEM에 보안 시야를 제공할 수 있습니다. 결과적으로 SIEM이 흡수하는 데이터의 양과 부담하는 라이선스 비용을 비약적으로 줄일 수 있습니다. 예를 들어 한 포춘 500대 자동차 및 운송 기업은 인트러스트를 사용해서 매일 5만 개의 이벤트를 수집하지만 SIEM으로는 1,000개의 이벤트만 전송합니다.

이 외에도 검증된 엔터프라이즈 확장성, 최대 60%의 스토리지 절감, 빠른 가치 실현 시간, GDPR과 PCI DSS, SOX, HIPAA, FISM 및 기타 여러 일반적인 규정의 요구 사항에 대응하는 사전 정의된 풍부한 보고서 라이브러리 등을 얻을 수 있습니다.

체인지 오디터와 인트러스트에 관심이 있으시다면, 언제든 퀘스트 코리아에 문의 주시기 바랍니다.

 

  • 등록된 댓글이 없습니다.