정의
|
- 조직의 다종, 다수의 보안장비를 통합하여 일관된 방식으로 운영, 관리하는 중앙 집중적 보안 통제 시스템(보안관제 서비스)
- 전사적 측면에서 일관된 보안정책을 기반으로 보안관리 프로세스의 효율성과 보안성을 향상시키기 위한 보안관제, 운영 및 관리를 지원하는 통합보안관리 체계
|
구조
|
- ESM Agent : 관리대상시스템에 탑재, 로그 및 이벤트 정보 수집
- ESM Manager : 중앙통제 모듈, 경보 및 보안정책 적용, 데이터 취합, 저장, 분석
- ESM Console : Manage 와 Agent 제어, 암호화 및 비암호화 통신, 모니터링, 분석, 경보, 보고서 생성
|
구성요소
|
- Agent : 보안장비, 시스템장비, 네트워크 장비등에 탑재 사용, 사전에 정의된 규칙에 의한 이벤트 수집,보안정책 반영, 수집된 이벤트 데이터를 Manager로 전달 및 통제 받음
- Manager : 사전에 정의된 규칙에 의한 이벤트 데이터 분석 및 저장, 정책에 대한 분석, 저장 및 관리자 Console로 리포팅
- Console : Manager에 의해 전달된 자료의 시각적 정보 전달, 판단, Manager에 대해 규칙을 설정하도록 통제
|
주요기능
|
- 정보수집 모듈 : Firewall, IDS, VPN, NW장비 로그 및 이벤트 정보를 수집
- 정보 분석 : 경보발령을 위한 분석, 수집 정보별 분석, 블랙리스트 관리, 상관분석, 자산관리, 작업 이력관리, 임계치 조정
- 경보 모듈 : 경보기준 설정, 수준별 조건 설정, 실시간 경보(SMS, 방송)
|
활용방안
|
- Integration : 하나의 장비에 여러 기능을 추가하여 제공, 효과적 연동
- Interoperation : 장비들 간 표준 인터페이스로 통신
- Broker : 중앙의 Broker를 이용하여 통신, 이 기종간 통합 가능
|
ESM 주요기능
|
- 통합정책관리 : 이벤트/데이터 수집 분석에 의한 보안취약점 및 그에 대응조치를 통합관리, 단위보안시스템에 대한 보안 정책 반영
- 보안관련 표준안 관리 : ISO 17799, ISO 27001, CC, OWASP에서 제시한 보안 관련 표준안 등의 관리
- PMI : 사용자별 권한 인증 체계 관리
- 장비관리 : 네트워크 및 보안장비 등에 탑재되어 이벤트 수집 및 보안 정책 반영
- Router, Switch, NMS, IDS/IPS, VPN
- 관제대상 및 공통정보 관리 : 관제대상 고객/시스템 상세 정보 관리, ESM 사용자 정보 등록 및 관리
- 침해사고 예방/대응 : 이벤트별, 유형별, 기간별, 수준별 각종통계, 시뮬레이션에 대한 통계 및 분석
- 위험유형 분류 : 보안 제품별 탐지 패턴 분석, 위험취약점에 대한 분류방법, 시스템에 의한 위험도의 설정 기준 정립
- 정규화/규칙기반 이벤트 수집 : Normalization / Rule based Event Collection
- 관리대상 시스템 평가기준의 표준화 및 규칙기반 이벤트 수집기술
- Anomaly Detection 기법 : 통계적 기법, Rule based Expert System, 학습을 통한 분석, Data Mining
- 대응(Reaction) 방안 : 수동적 대응(sound, pop-up, mail 등), 능동적 대응(termination, shutdown등)
- 로그 Monitoring : 보안을 위한 사용자의 자원 사용에 대한 로그 정보를 수집 및 감시
|