본문 바로가기
[도서 정리] 35. SIEM - 보안의 기본 35. SIEM - 보안의 기본 -SIEM( Security Information and Event Management )은 각종 로그를 총동원하여 해석하고, 보안상 위협이 되는 사건을 감지하는 장치이다.원래는 SIM(Security Information Management)과 SEM(Security Event Management)라는 별개의 장치였지만, 이 둘을 합쳐 SIEM 이라는 장치가 되었다. * SIEM 이 하는 일은 로그의 수집 및 관리와 위협 분석 지원 -SIEM 은 정보의 수집 및 관리를 하고(SIM), 수집한 정보를 분석하고 위협이 되는 사건의 감지를 지원한다.(SEM).SIEM 에서는 보통 각종 로그에 남아있는 정보를 이용하는 경우가 많지만, 수집 및 관리 대상이 되는 로그를 남기는 것.. 2019. 11. 14.
[android] Coding in Style: Static Analysis with Custom Lint Rules ( from Dev Summit 19 ) Coding in Style: Static Analysis with Custom Lint Rules ( from Dev Summit 19 ) * Initial project set-up - module 을 만들어서 java-library 로 지정하고, aar 로 패키징해서 배포한다. - apply plugin: 'java-library' apply plugin: 'kotlin' ext { lintVersion = "26.5.1" // android gradle version 에 23 을 더해준다. (걍 그렇게 되었다고 함) } dependencies { compileOnly "org.jetbrains.kotlin:kotlin-stdlib-jdk8" // Lint compileOnly "com.androi.. 2019. 11. 14.
[도서 정리] 34. 패킷 캡처 - 보안의 기본 34. 패킷 캡처 - 보안의 기본 -패킷 캡처는 패킷을 캡처(취득)하는 작업을 말한다.패킷이란 네트워크를 흐르는 데이터를 가리키는 경우가 많지만, 경우에 따라서는 USB 버스를 통과하는 데이터를 캡처하는 경우도 있다. * 패킷 캡처용 툴 -Linux 환경에서는 tcpdump 가 있다.Windows 환경에서는 MS 가 네트워크 모니터를 제공하고 있고, 이외 WInPcap, Win10Pcap 등도 이용 가능하다.Wireshark 같은 툴도 있다. (이 녀석이 WinPcap, Win10Pcap 등의 lib 으로 사용하여 패킷 캡처한다.) * 패킷 캡처를 하는 데 필요한 것 -캡처할 수 있는 패킷은 툴이 작동하고 있는 컴퓨터가 수신할 수 있는 통신 데이터만으로 제한된다.만약 특정 네트워크를 흐르는 모든 데이터를.. 2019. 11. 13.
[도서 정리] 33. 포렌식 - 보안의 기본 33. 포렌식 - 보안의 기본 -포렌식(Computer Forensic)이란 컴퓨터에 잔존하는 정보를 수집하여 해당 컴퓨터에서 무슨 일이 일어났는지를 나타내는 정보를 특정하고, 그 대응을 조사하는 작업을 말한다.그래서 포렌식을 하려면 OS 나 앱의 기본적인 사양이나 정보의 존재 위치를 알아 둘 필요가 있다. * 포렌식을 할 때 가장 먼저 생각해야 할 것 -가장 먼저 생각해야 할 것은 컴퓨터의 보전이다.보전이란 피해를 입은 컴퓨터의 전원을 끄고 피해를 발생했을 때의 상태 그대로 놓아두고 만지지 않는 것이다.컴퓨터의 전원을 켜 둔 채로 두면 기억 장치에 불필요한 변경이 일어날 가능성이 있기 때문에 반드시 먼저 전원을 끄고 피해 대상 컴퓨터에 의도하지 않은 변경이 발생하지 않도록 한다. * 포렌식에는 시간이 .. 2019. 11. 12.
[도서 정리] 32. 정적 해석 - 보안의 기본 32. 정적 해석 - 보안의 기본 -멀웨어를 실행시키지 않고 실제로 피해를 입은 컴퓨터에 남겨진 파일이나 메모리에 잔존하는 멀웨어 관련 정보 등의 내용을 보고 해석하는 방법이 정적 해석이다. * 정적 해석의 장단점 -작동시킬 멀웨어가 없어도 멀웨어의 해석을 진행할 수 있고, 특정 소프트웨어나 설정 파일 등을 준비할 필요도 없다. -정정 해석에는 다음의 단점들이 있다. 시간이 걸린다. 방대한 지식이 필요하다. 해석 대상 프로그램에 기술되어 있는 것 이상의 것은 알 수 없다. * 동적 해석과 정적 해석의 용도 -동적 해석과 정적 해석에는 각각 장단점이 있기 때문에, 두 해석 방법을 조합하여 사용하는 것이 권장된다. * 기타 -역 어셈블러 : 대부분의 프로그램을 프로그래머가 기술한 프로그램을 컴퓨터가 실행할 .. 2019. 11. 11.
[도서 정리] 31. 동적 해석 - 보안의 기본 31. 동적 해석 - 보안의 기본 -멀웨어의 해석 현장에서는 동적 해석이라는 말을 자주 사용한다.동적 해석이란 멀웨어를 실제로 작동시켜 그 움직임을 따라감으로써 멀웨어가 어떤 나쁜 행위를 하는지를 해석하는 방법이다.멀웨어를 작동시키는 해석 환경으로는 가상 환경 등을 사용하고, 프로그램의 움직임을 파악하기 위한 툴을 사용하여 멀웨어의 동작을 파악한다. * 동적 해석의 장단점 -동적 해석에서는 실제로 멀웨어를 작동시켜 그 동작을 해석하기 때문에 멀웨어의 실제 행동을 파악하기 쉽다.또한 정적 해석보다 해석 결과를 빨리 얻을 가능성이 높다. -동적 해석을 하려면 작동할 멀웨어(멀웨어 파일)가 필요하므로 이것이 남아있지 않으면 해석을 할 수 없다.또한 멀웨어 파일이 남아있는 경우라도 작동을 시키려면 멀웨어가 작동.. 2019. 11. 10.
[도서 정리] 30. 샌드박스 - 보안의 기본 30. 샌드박스 - 보안의 기본 -샌드박스는 수상한 소프트웨어를 자신의 환경에서 실행할 때 영향 범위를 한정하기 위한 장치이다.아이가 앉아 노는 모래밭을 샌드박스라고 하는데, 이와 마찬가지로 모래밭 안에서는 어떤 처리든지 허용되지만 모래밭 밖에는 일체 영향을 미치지 않도록 만들어진다. * ‘가상 머신 환경’은 샌드박스를 구현하는 장치 중 하나 -샌드박스를 구현하기 위한 전용 장치와 같은 것은 특별히 없다.그러나 일반적으로 외부에 영향을 미치지 않는 기술이나 기능을 사용하여 처리 내용을 확인할 수 있도록 만들어진 실행 환경을 샌드박스라고 한다.가상 머신 환경이 샌드박스의 일례이다. * 미지의 멀웨어에 대응하는 수단 -샌드박스를 구현하는 기술이나 기능을 모아서 샌드박스 제품으로 판매 및 배포하는 것도 있다... 2019. 11. 9.
[도서 정리] 29. CSIRT - 보안의 기본 29. CSIRT - 보안의 기본 -CSIRT(Computer Security Incident Response Team)는 발생한 보안 사고에 대해 전문적인 지식과 적절한 다른 사람과의 인터페이스를 가지고 대응하는 팀이다.한국어로 하면 컴퓨터 보안 사고 대응팀이다. -CSIRT를 구성하는 멤버에는 다양한 역할이 있다.가장 중요한 역할은 PoC(Point of Contact)와 커맨더이다. * 비상시 외에는 비상시를 줄이기 위해 힘쓴다. -CSIRT 는 보안 사고가 발생했을 때만 움직인다고 생각하는 사람도 많은데, 실제로는 사고 발생 시에만 움직이는 것이 아니다.대응한 보안 사고로부터 ‘이렇게 해 두면 일어나지 않는다’와 같이 구체적인 예방책이나 개선책을 검토하고, 실행에 옮겨가는 것도 CSIRT 의 역할.. 2019. 11. 8.
[도서 정리] 28. 각종 로그 - 보안의 기본 28. 각종 로그 - 보안의 기본 * 네트워크 기기의 로그 -네트워크 기기(라우터, 방화벽, 스위치 등)의 로그를 확인함으로써 보통은 발생할 수 없는 수상한 통신을 발견할 수 있다. * 서버 로그 -수상한 프로그램의 실행을 확인하는 데 도움이 된다.또한 성능 로그를 취득하도록 해 두면 부하의 추이를 남길 수 있다. * 로그에 기록할 내용이나 기간과 기록할 기기의 시각 동기화가 중요 -로그에는 뭐든지 저장하는 것이 아니라 적절한 기록 항목 및 기록할 기기를 고르는 것이 중요하다.그리고 로그를 기록할 기기는 시각을 동기화시켜 두고, 여러 로그 간에 발생된 정보를 대조하기 쉽도록 해 두는 것이 중요하다.그 외에 어떤 종류의 로그를 취득할 수 있는지를 가려내는 것도 중요하다.또한 무엇을 기록할지에 더해 어느 정.. 2019. 11. 7.
반응형

티스토리툴바