일반적으로 보안관제 관련 프로세스를 언급할 때에 업무 프로세스에 대해 도식화하고 설명합니다. 

프로세스 관련하여 서비스와 업무로 구분하였는데,

보안관제 업무 수행 시 정보의 흐름과 연계하여 이해하시면 도움이 될 듯 합니다. 

 

보안관제 서비스 프로세스

 

<출처 : 이글루시큐리티>

- ‘정보 수집 단계’에서는 이기종의 보안 장비에서 나오는 다양한 보안 데이터를 수집하고 있으며

-  ‘모니터링/분석 단계’에서는 수집된 다양한 보안 데이터(경보 발생에 따른 침해사고 및 해킹 패턴)를 기반으로 분석하고, 생성된 보안 데이터와 내·외부에서 수집된 최신 보안 위협 정보를 상관 분석함으로써 

- ‘대응/조치 단계’에서는 분석된 이벤트에 대한 원인 및 대응책을 마련해 기술적/정책적으로 대응함으로써  

- ‘보고 단계’에서 침해사고 처리 및 장애 처리 결과를 보고 및 공유할 수 있도록 합니다. 

 

보안관제 업무 프로세스

 

일반적으로 보안관제 업무 프로세스는 5단계로 구분화하고 있으며, 보안관제 업무를 5단계에 맞춰 수행하고 있습니다. 

그러나 보안관제 업무 프로세스의 5단계에 대한 정의는 표준화되어 있지 않습니다. 

 

예방 -> 감시/탐지 -> 분석 -> 대응 -> 보고

예방 -> 탐지/분석 -> 대응 -> 포렌식

예방 -> 탐지 -> 분석 -> 대응 -> 관리

예방 -> 탐지 -> 대응 -> 보고 -> 공유 및 개선

사전준비 -> 진단 및 예방 -> 모니터링 및 탐지 -> 분석 및 대응 -> 보고 및 감사

수집 탐지 -> 분석 협의 -> 전파 발령 -> 대응 복구

예방 -> 정보수집 -> 모니터링 -> 대응조치 -> 보고

 

위에서 나열한 내용은 모두 전문 기관 및 업체에서 정의하고 있는 프로세스입니다. 

 

저는 보안관제의 역할 중 중요한 요소인 "침해사고에 대한 공유"가 포함되어져야 한다고 생각합니다. 

따라서, 이와 같은 개념을 가진 프로세스에 대해서 설명하고자 합니다. 

 

<참조 : 에스케이인포섹>


예방 : 중요 시스템, 네트워크 및 웹 서비스 등의 취약점을 사전에 파악하여 침해 사고를 예방합니다. 

- 사이버위협 정보를 사전에 공지하여 방어토록 하며, 최신 위협 및 해킹 등 보안동향 정보를 제공하고

- 침입차단시스템, 침입탐지시스템, 웹 방화벽 등 보안 시스템에 대한 보안정책 및 시스템자원의 최적화를 통해 효율적인 사이버공격 탐지를 지원할 수 있도록 합니다. 


탐지 : 보안 시스템에 대한 24시간×365일 실시간 감시 탐지 및 분석을 의미합니다.

- 네트워크 트래픽 정보 및 내부 정보를 절취하기 위한 사이버공격 시도 행위를 사전에 알아내는 행위로서 
- 네트워크 패킷 및 다양한 보안 이벤트(공격자정보, 공격시간, 공격방법 등) 등을 종합적으로 상관 분석하여 재발 방지 및 확산을 방지하기 위한 방안을 강구합니다.


대응 : 기관의 시스템 환경을 고려한 보안 정책 설정 및 보안관제 업무 시 발견된 비정상 네트워크 및 시스템에 대한 초기 대응 그리고 사이버 공격 발생 시 신속히 조치 대응하는 것을 의미합니다.

- 해당 기관의 시스템 환경을 고려하여 보안 정책을 설정하고

- 보안관제 업무 시 발견된 비정상적인 네트워크 및 시스템에 대해 기술적 및 정책적으로 대응할 수 있도록 하며

- 사이버 공격 발생 시 관련 사실을 해당 기관에 통보하고 피해 시스템의 유무 파악 및 정상적으로 운영될 수 있도록 전문 기술 지원과 유사한(동일한) 공격을 방지할 수 있도록 보안관제 업무에 활용할 수 있도록 합니다. 

 

보고 : 관제 일지, 취약점 정보, 침해 사고 대응 분석 보고서 등을 보고 및 관리합니다. 

- 보안관제 업무 수행 시, 정기보고서(일간/주간/월간) 및 수시보고서를 통해 현재의 상태를 관리하고

- 보안사고 사고 및 장애 발생 시, 관련 처리 보고서를 작성 및 보고함으로써 발생한 사고의 원인, 대응, 결과를 통해 향후 대책을 마련할 수 있습니다. 

 

공유 및 개선 : 보안관제 주요 업무 중 정보 공유의 원칙에 따라 타 기관에게 정보를 제공합니다. 

- 사이버 공격으로 인한 피해가 타 기관으로 확산되는 것을 방지하기 위하여 관계 법령에 위배되지 않는 범위에서 보안 관제 관련 정보를 공유하고

- 해당 보안 문제가 발생되지 않도록 기술적이고 정책적으로 개선 조치하여 보안 사고가 발생되지 않도록 예방할 수 있도록 합니다. 

+ Recent posts