기업 및 기타 조직은 적대적인 정보 보안 환경에서 운영되고 있으며, 컴퓨팅 및 스토리지 자원은 공격자가 침입 시스템을 사용하여 악의적인 공격을 하는 대상이 됩니다. 그 중 개인 기밀 정보가 도난되어 지하 시장에서 판매되는 반면, 국가가 지원하는 공격으로 대량의 데이터 유출이 발생했다. 이 경우 기업은 대용량 데이터 보안 분석 도구를 구축해야 합니다.
회사의 귀중한 자원을 보호하다.
정보 보안의 상당 부분은 서버, 네트워크 및 기타 디바이스의 데이터를 모니터링하고 분석하는 것입니다. 오늘날 빅 데이터 분석의 진행 상황은 보안 모니터링에도 적용되며 이를 사용하여 보다 광범위하고 심층적인 분석을 수행할 수 있습니다. 기존의 정보 보안 분석과 크게 다릅니다. 이 문서에서는 두 가지 측면에서 빅 데이터 보안 분석의 새로운 특징과 기업이 빅 데이터 분석 기술을 선택할 때 고려해야 할 핵심 요소에 대해 설명합니다.
빅 데이터 보안 분석의 특성
여러면에서 빅 데이터 보안 분석은 SIEM 및 관련 기술의 확장입니다. 분석 중인 데이터의 양과 유형에만 수량 차이가 있지만 보안 장치와 응용 프로그램에서 추출한 정보 유형에는 품질 차이가 있습니다.
빅 데이터 보안 분석 도구는 일반적으로 SIEM 과 성능 및 가용성 모니터링 (PAM) 의 두 가지 기능 범주로 구성됩니다. SIEM 툴은 일반적으로 로그 관리, 이벤트 관리 및 동작 분석, 데이터베이스 및 애플리케이션 모니터링을 포함합니다. PAM 도구는 운영 관리에 중점을 둡니다. 그러나 빅 데이터 분석 도구는 단순히 SIEM 과 PAM 도구를 함께 두는 것보다 더 많은 기능을 가지고 있습니다. 이들의 목적은 대규모 데이터를 실시간으로 수집, 통합 및 분석하는 것입니다. 이를 위해서는 몇 가지 추가 기능이 필요합니다.
SIEM 과 마찬가지로 빅 데이터 분석 도구는 네트워크의 장치를 정확하게 검색할 수 있습니다. 경우에 따라 구성 관리 데이터베이스가 자동으로 수집된 데이터의 품질을 보완하고 향상시킬 수 있습니다. 또한 LDAP 또는 ActiveDirectory 서버 및 기타 타사 보안 도구와 대용량 데이터 분석 툴을 통합할 수 있어야 합니다. 이벤트 응답 워크플로우 지원은 SIEM 도구에는 중요하지 않을 수 있지만 일일 기록 및 기타 소스의 보안 이벤트 데이터에 많은 양의 데이터가 있는 경우 필요합니다.
빅 데이터 정보 보안 분석과 다른 분야의 보안 분석의 차이는 주로 다섯 가지 주요 특징에 나타난다.
주요 특징 1: 확장성
빅 데이터 분석의 주요 특징 중 하나는 확장성입니다. 이러한 플랫폼은 실시간 또는 거의 실시간에 가까운 데이터 수집 기능을 갖추고 있어야 합니다. 네트워크 루프는 지속적인 패킷 스트림이며 데이터 분석 속도는 데이터 수집만큼 빨라야 합니다. 이러한 분석 도구는 분석이 필요한 패킷의 백로그를 따라잡기 위해 네트워크 루프를 중지할 수 없습니다.
큰 데이터의 보안 분석은 패킷을 검사하거나 심층 패킷 분석을 수행하는 무상태형 방법일 뿐만 아니라 이 문제에 대한 이해도 중요합니다. 이들은 매우 중요하고 필요하지만 시간과 공간을 가로 지르는 이벤트 상관 관계는 빅 데이터 분석 플랫폼의 핵심입니다. 즉, 짧은 시간만 소요되며 웹 서버와 같은 디바이스에 기록된 이벤트 흐름은 최종 사용자 디바이스의 이벤트에 해당될 수 있습니다.
주요 특징 2: 보고 및 시각화
빅 데이터 분석의 또 다른 중요한 기능은 분석 보고 및 지원입니다. 보안 전문가는 오랫동안 보고 도구를 통해 비즈니스 및 규정 준수 보고를 지원해 왔습니다. 또한 사전 구성된 안전 표시기가 있는 대시보드를 통해 주요 성능 지표에 대한 상위 수준 개요를 제공합니다. 기존의 두 가지 도구는 필요하지만 대용량 데이터의 요구를 충족시키기에는 충분하지 않습니다.
보안 분석가의 경우 큰 데이터에서 얻은 정보를 안정적이고 신속하게 시각화할 수 있는 시각화 도구가 필요합니다. 예를 들어 Sqrrl 은 시각화 기술을 사용하여 분석가가 웹 사이트, 사용자 및 HTTP 트랜잭션 정보와 같은 상호 연결 데이터의 복잡한 관계를 이해할 수 있도록 지원합니다.
주요 특징 3: 영구 대용량 데이터 저장소
빅 데이터 보안 분석이라는 이름의 유래는 다른 보안 도구와 달리 뛰어난 저장 및 분석 기능을 제공하기 때문입니다. 대용량 데이터 보안 분석을 위한 플랫폼은 일반적으로 HDFS (Hadoop 분산 파일 시스템) 및 더 긴 지연 파일 스토리지, 백엔드 처리 및 효과적인 배치 컴퓨팅 모델 MapReduce 와 같은 대형 데이터 스토리지 시스템을 사용합니다. 그러나 MapReduce 가 반드시 효과적인 것은 아니며 매우 집중적인 I/O 오버헤드가 필요합니다. 아파치 스파크 (Apache Spark) 는 MapReduce 의 대안이 될 수 있는 인기 있는 도구이다. MapReduce 보다 메모리를 더 효율적으로 사용할 수 있는 보다 일반적인 처리 모델입니다.
MapReduce 및 Spark 와 같은 대용량 데이터 분석 시스템은 보안 분석의 컴퓨팅 요구 사항을 해결합니다. 또한 장기 영구 스토리지는 일반적으로 관계형 또는 NoSQL 데이터베이스에 따라 달라집니다. 예를 들어 SplunkHunk 플랫폼은 Hadoop 및 NoSQL 데이터베이스에서 분석 및 시각화를 지원합니다. 이 플랫폼은 조직의 비관계형 데이터 저장소와 애플리케이션 환경의 나머지 부분 사이에 있습니다. Hunk 어플리케이션은 보조 메모리 스토리지로 옮길 필요 없이 데이터 저장소를 직접 통합합니다. Hunk 플랫폼에는 대용량 데이터 분석을 위한 다양한 도구가 포함되어 있습니다. 맞춤형 대시보드와 Hunk 애플리케이션 개발을 지원하며 HDFS 환경과 어댑티브 검색 및 시각화 도구를 직접 구축할 수 있습니다.
빅 데이터 보안 분석 플랫폼의 또 다른 중요한 특징은 지능형 피드백, 취약점 데이터베이스, 보안 블로그 등의 뉴스 소스 구축, 잠재적으로 유용한 정보를 지속적으로 업데이트할 수 있다는 점입니다. 대형 데이터 보안 플랫폼은 다양한 출처에서 데이터를 추출할 수 있으며 맞춤형 데이터 수집 방법을 사용하여 위협 알림 및 관련 정보를 복제할 수 있습니다.
주요 특징 4: 정보 환경
보안 사건으로 인해 많은 데이터가 생성되기 때문에 분석가 및 기타 정보 보안 전문가에게 큰 위험을 초래하고 중요한 이벤트를 식별할 수 있는 능력을 제한할 수 있습니다. 유용한 대용량 데이터 보안 분석 도구는 특정 사용자, 장치 및 시간 환경의 데이터를 분석합니다.
이 배경이 없는 데이터는 쓸모가 없어 더 높은 오보율로 이어질 수 있다. 배경 정보는 또한 동작 분석 및 이상 탐지의 품질을 향상시킬 수 있습니다. 배경 정보에는 특정 부서에서 근무하는 특정 직원과 같은 비교적 정적인 정보가 포함될 수 있습니다. 또한 시간이 지남에 따라 변경될 수 있는 일반적인 사용 패턴과 같은 더 많은 동적 정보를 포함할 수 있습니다. 예를 들어, 월요일 아침에 대량의 데이터 액세스 데이터 웨어하우스가 있는 것은 정상입니다. 경영진은 주간지에 설명된 사건을 더 잘 이해하기 위해 임시 쿼리가 필요하기 때문입니다.
주요 특징 5: 다재다능함
빅 데이터 보안 분석의 마지막 주목할만한 특징은 기능이 매우 광범위한 보안 영역을 포괄한다는 것입니다. 물론 빅 데이터 분석은 인터넷을 통해 TCP 또는 IP 네트워크에 연결된 모든 장치 (노트북, 스마트폰 또는 모든 사물인터넷 장치 포함) 인 터미널 장치로부터 데이터를 수집합니다. 물리적 장치와 가상 서버 외에도 대용량 데이터 보안 분석은 소프트웨어 관련 보안을 늘려야 합니다. 예를 들어, 취약성 평가는 주어진 환경에서 가능한 모든 보안 취약점을 파악하는 데 사용됩니다. 네트워크는 Cisco 가 개발한 NetFlow 네트워크 프로토콜과 같은 정보와 표준의 풍부한 원천이며 지정된 네트워크에서 트래픽 정보를 수집하는 데 사용할 수 있습니다.
또한 빅 데이터 분석 플랫폼은 침입 탐지 제품을 사용하여 시스템 또는 환경 행동을 분석하여 악의적인 활동을 발견할 수 있습니다.
빅 데이터 보안 분석은 다른 형태의 보안 분석과 질적으로 다릅니다. 확장성이 필요하고, 다양한 유형의 데이터를 통합하고 시각화하는 도구가 필요하며, 환경 정보가 점점 더 중요해지고, 보안 기능의 보편성으로 인해 공급업체는 고급 데이터 분석 및 스토리지 도구를 정보 보안에 적용할 수 있게 되었습니다.
적절한 대용량 데이터 보안 분석 플랫폼을 선택하는 방법
빅 데이터 보안 분석 기술은 고급 보안 이벤트 분석 기능과 사고 관리 시스템 기능 (SIEM) 을 결합하여 많은 기업 사례에 적용되지만 전부는 아닙니다. 빅 데이터 분석 플랫폼에 투자하기 전에 빅 데이터 보안 시스템을 사용하는 기관의 역량 수준을 고려해 보십시오. 보호해야 할 IT 인프라에서 더 많은 보안 제어 구축에 이르는 비용 및 이점에 대해 고려해야 할 몇 가지 요소가 있습니다.
인프라 규모
대규모 IT 인프라를 보유한 조직은 대규모 데이터 보안 분석의 주요 후보입니다. 어플리케이션, 운영 체제 및 네트워크 장치는 악의적인 활동의 흔적을 포착할 수 있습니다. 단일 유형의 데이터는 사전 예방적 위협을 식별할 수 있는 충분한 증거를 제공하지 못하며, 다양한 데이터 소스의 조합은 공격 상태에 대한 보다 포괄적인 관점을 제공합니다.
기존 인프라 및 보안 제어는 원시 데이터를 생성하지만 대규모 데이터 분석 어플리케이션은 모든 정보를 수집, 수집 및 분석할 필요가 없습니다. 몇 대의 장치만 있고 네트워크 구조가 복잡하지 않은 환경에서는 빅 데이터 보안 분석이 필요하지 않을 수 있습니다. 이 경우 전통적인 SEIM 으로 충분할 수 있습니다.
거의 실시간 모니터링
빅데이터 보안 분석 요구를 추진하는 또 다른 요인은 거의 실시간으로 사고 정보를 수집할 필요성이다. 실시간 모니터링은 금융 서비스, 의료, 정부 기관 등 고부가가치 데이터를 저장하고 심각한 공격에 취약한 환경에서 특히 중요합니다.
버라이즌 (WHO) 의 최근 연구에 따르면 60% 의 사건에서 공격자는 몇 분 안에 시스템을 정복할 수 있었지만 며칠 만에 허점을 탐지한 비율도 매우 낮았다. 탐지 시간을 줄이는 한 가지 방법은 인프라 전체에서 실시간으로 다양한 데이터를 수집하고 공격 사건과 관련된 데이터를 즉시 필터링하는 것입니다. 이것은 빅 데이터 분석의 핵심 사용 사례입니다.
상세한 내역 데이터
최선을 다했지만 일정 기간 동안 공격이 감지되지 않을 수 있습니다. 이 경우 히스토리 로그 및 기타 이벤트 데이터를 액세스할 수 있어야 합니다. 충분한 데이터를 사용할 수 있는 한 법의학 분석을 통해 공격이 어떻게 발생했는지 확인할 수 있습니다.
경우에 따라 포렌식 분석은 취약점을 식별하거나 보안 약점을 수정할 필요가 없습니다. 예를 들어, 중소기업이 공격을 받을 경우 가장 비용 효과적인 구제책은 보안 컨설턴트를 고용하여 현재 구성 및 관행을 평가하고 수정 권장 사항을 제시하는 것입니다. 이 경우 큰 데이터 보안 분석이 필요하지 않습니다. 다른 보안 조치는 효과적이고 저렴할 수 있습니다.
로컬 및 클라우드 인프라
이름에서 알 수 있듯이, 빅 데이터 보안 분석은 다양한 유형의 데이터를 수집하고 분석해야 합니다. 예를 들어, 네트워크의 모든 트래픽을 캡처하는 기능은 보안 이벤트 정보 캡처에 대한 제한 사항이 대용량 데이터 보안 분석 시스템에서 얻은 정보 품질에 심각한 영향을 줄 수 있습니다. 이는 클라우드 환경에서 특히 두드러집니다.
클라우드 공급자는 네트워크 트래픽에 대한 액세스를 제한하여 네트워크 공격의 위험을 줄입니다. 예를 들어 클라우드 컴퓨팅 고객은 네트워크 패킷에 대한 종합적인 데이터를 수집하기 위해 네트워크 세그먼트를 개발할 수 없습니다. 빅 데이터 보안 분석의 잠재 사용자는 클라우드 컴퓨팅 공급업체가 분석 범위를 억제하기 위해 제한을 가하는 방법을 고려해야 합니다.
경우에 따라 대용량 데이터 보안 분석은 클라우드 인프라에 유용하지만 클라우드에 로그인하여 생성된 데이터에 특히 유용합니다. 예를 들어 Amazon 웹 서비스는 CloudWatch 라는 성능 모니터링 서비스와 CloudTrail 이라는 클라우드 API 호출 감사 로그를 제공합니다. 클라우드의 운영 데이터에는 다른 데이터 소스의 상세 데이터가 없을 수 있지만 다른 데이터 소스를 보완할 수 있습니다.
데이터 사용 능력
빅 데이터 보안 분석은 대량의 데이터를 흡수하고 연관시킵니다. 데이터를 요약하고 요약하더라도 데이터 해석은 어려울 수 있습니다. 빅 데이터 분석에서 생성된 정보의 품질은 분석가가 데이터 기능을 해석하는 지표입니다. 기업이 보안 사건에 휘말릴 때 공격 링크를 차단하고 네트워크 트래픽 및 운영 체제 이벤트를 이해할 수 있는 보안 분석가가 필요합니다.
예를 들어 분석가는 데이터베이스 서버의 의심스러운 활동에 대한 경고를 받을 수 있습니다. 이것은 공격의 첫 번째 단계가 아닐 수도 있습니다. 분석가가 경고를 보내고 내역 데이터를 탐색하여 관련 이벤트를 찾아 이것이 실제로 공격인지 확인할 수 있습니까? 그렇지 않다면 조직은 빅 데이터 보안 분석 플랫폼의 이점을 인식하지 못합니다.
기타 보안 제어
빅 데이터 보안 분석을 수행하기 전에 기업은 보안 관행에 대한 전반적인 성숙도를 고려해야 합니다. 즉, 더 싸고 간단한 다른 컨트롤은 1 위에 놓아야 합니다.
명확한 ID 및 액세스 관리 정책을 정의, 구현 및 모니터링해야 합니다. 예를 들어 운영 체제와 어플리케이션은 정기적으로 패치해야 합니다. 가상 환경의 경우 최신 패치가 통합되도록 정기적으로 시스템 이미지를 재구성해야 합니다. 경고 시스템을 사용하여 의심스러운 이벤트나 중요한 환경 변경 사항 (예: 서버에 관리자 계정 추가) 을 모니터링해야 합니다. 웹 응용 프로그램 방화벽을 배포하여 주입 공격 및 기타 응용 프로그램 기반 위협의 위험을 줄여야 합니다.
대용량 데이터 보안 분석의 이점은 특히 포괄적인 방어 전략을 구현한 인프라스트럭처에 구축할 경우 큰 이점을 얻을 수 있습니다.
빅 데이터 보안 분석의 비즈니스 사례
빅 데이터 보안 분석은 새로운 정보 보안 제어 기술입니다. 이러한 시스템의 주요 목적은 여러 소스의 데이터를 결합하고 솔루션의 수동 통합 요구 사항을 줄이는 것입니다. 또한 여러 데이터 소스에서 쿼리하는 것과 같은 다른 보안 컨트롤의 단점도 해결되었습니다. 대용량 데이터 분석 시스템은 여러 소스에서 데이터 스트림을 캡처하여 중요한 법의학 세부 사항을 수집할 수 있는 기회를 증가시킵니다.