보안/사고대응, 인텔리전스

보안 통제 / 보안 원칙

나야, 웅이 2024. 4. 17. 22:27
728x90
반응형
SMALL

#보안통제 분류

행위에 의한 분류

1. 예방적 통제

  • 이벤트 발생전
  • 논리적 보안통제, 파일 백업, 물리적 통제, 최소권한 정책, 보안 인식 제고 및 훈련 등

2. 탐지적 통제

  • 이벤트 동안
  • 감사 추적(로그), 침입탐지시스템, 감사(로그) 증적, 바이러스 탐지, 시스템 성능 모니터링

3. 수정적 통제

  • 이벤트 이후
  • 복구 절차, 사고 처리, 연속성 계획

특성에 의한 분류

1. 물리적 통제

  • 물리적 위협으로부터 자산을 보호
  • 비인가자에 대한 접근 통재, 주요 시설물 설계 등 정보 시스템에 관련된 물리적 대책 ex) 펜스, 문, 잠금장치

2. 관리적 통제

  • 조직 내부의 정보보호 체계를 정립 → 인원 관리, 정보 시스템 이용 관리에 대한 절차 수립, 비상 사태 대응 계획 수립 ex) 사고대응 프로세스, 보안인식제고 및 교육, 사업장 출입관리, 자료 백업, 자산 반출입 관리 등

3. 기술적/논리적 통제

  • 기술적으로 마련할 수 있는 정보보호 대책
  • 물리적 보안을 수행할 수 있도록 하는 모든 기반 기술, 정보화 역기능에 대한 탐지/예방/조치 기술 ex) 사용자 인증, 접근제어, 안티바이러스, 방화벽 등

4. 법적 통제

  • 법, 규정

 

#주요 보안 원칙

보안 원칙

  • 개념적인 아이디어임 어떻게 설계, 구현 및 유지보수를 하는지에 대한 일반적인 가이드라인
  • 보안 아키텍처, 개념을 설계하고, 이해하고 논의하는 데 도움을 줌
  • 특정 아키텍처 또는 프로그래밍 언어에 독립적임
  • 구체적인 해결책과 메커니즘은 보안 원칙으로부터 파생되어야 함

주요 보안 원칙

1. Defense-in-depth

  • 여러 보안 조치를 사용하여 공격자가 시스템을 침해하고자 할 때, 여러 보안 메커니즘을 극복해야만 하도록 함

장점

  • 다수의 보안 조치가 서로의 약점을 보완함
  • 시스템이 손상되기 전 앞쪽의 방어선에 가해진 공격을 감지할 수 있음

단점

  • 시스템의 복잡성 증가
  • 많은 비용 → 보안의 경제성을 고려하여 다수의 보안 조치를 적용해야함
  • 보안 메커니즘의 중복을 정당화시키는 것이 어려움 → 경영진의 승인이 필요함
  • keep in simple과 상충됨

2. Keep it simple

  • 단순하게 적용하라

규칙

  1. 모듈화와 같은 최소한의 시스템 설계와 소프트웨어 아키텍처를 선택
  2. 추상적인 루틴을 사용하거나 하는 방식으로 구현의 세부사항을 숨김
  3. 불필요한 기능을 피하거나 비활성화함
  4. 소스 코드를 단순하고 명확하게 유지
  5. 최소한의 사용하기 쉬운 인터페이스를 정의
  6. 서브 시스템을 정의 하는 등의 방식으로 복잡성을 줄임

장점

  • 구축 용이, 분석 용이
  • 취약점이 도입될 가능성이 낮음
  • 유지하기 쉬움
  • 효과적인 패치 가능
  • 취약점을 쉽게 감지

단점

  • Defense-indepth와 상충
  • 최소 권한의 원칙과 같은 다른 보안 메커니즘의 세분화를 제한

3. Least privilege

  • ACL 접근제어리스트 검토하고 역할 및 권한 모니터링 등을 이용하여 지속적으로 접근 제어 시스템을 감사하고 사용되지 않는 권한 혹은 역할을 제거하거나 폐지
  • 역할 및 권한 데이터 베이스의 무결성을 보호하는 등의 방법을 통해 접근 제어 시스템 자체를 보호
  • 책임 추적 기술을 통해 유저의 권한 확대 방지 → 보안 감사 증적에서 인가되지 않은 활동들은 모두 추적

장점

  • 시스템 내결함성 증가
  • 한 부분에 대한 공격이 다른 부분으로 쉽게 퍼지는 것을 방지

단점

  • 작업을 수행하는 데 필요한 최소한의 권한을 결정하는 알고리즘 없음
  • 시스템의 각 프로세스에 대한 권한을 정교한 방식으로 구현하는 것이 현실적으로 어려움

4. Separation of duties

  • 권한과 작업을 분리해야함
  • Four-eyes rule → 권한 있는 사람들을 분리해놓음
  • 이 복잡성은 내부의 적에 대한 방어를 위해 인위적으로 도입하기도 함

장점

  • 개별 유저 및 프로세스의 권한과 영향을 줄일 수 있음
  • 책임이 상충되는 것을 피할 수 있음
  • 유저 수준에서 적용되면, 사회 공학의 위협 감소

단점

  • 시스템의 작업 흐름이 복잡해짐
  • 직무를 엄격하게 분리하는 것은 비용이 많이 드는 작업임 → 직원이 늘어남?
728x90
반응형
LIST
저작자표시 비영리 변경금지

'보안 > 사고대응, 인텔리전스' 카테고리의 다른 글

사이버 킬 체인(Cyber Kill Chain)  (1) 2024.04.18
침해사고 / 사고 대응(Incident Response, IR)  (1) 2024.04.18
절차모델 OODA / 인텔리전스 주기  (1) 2024.04.18
정보보안 거버넌스 / 보안 프레임워크 / 보안 조직  (0) 2024.04.17
인텔리전스  (0) 2024.04.17

'보안/사고대응, 인텔리전스'의 다른글

  • 현재글보안 통제 / 보안 원칙

관련글

티스토리툴바