-o-k's story

"EDR, EPP, SOAR 이란 무엇인가" 1) EDR(Endpoint Detection and Response, 엔드 포인트 위협 탐지 및 대응) 정의: 업무 환경을 구성하고 있는 단말(Endpoint)에서 발생하는 의심스러운 점(행위)을 탐지(Detection)하고 대응(Response)함으로써 조직의 비즈니스 환경을 안전하게 하는 것이다. 위협을 정확하게 탐지하고 차단하기 위해서는 조직 내 모든 단말의 모든 곳을 항상 지켜보고 관련 정보를 수집할 수 있어야 한다. '클라이언트 자체에서의 보안' EDR 솔루션은 인증이나 암호화 부분은 아니고 주로 탐지와 그것에 대한 대응 영역을 담당한다. 발전: 탐지를 선행적으로 하되 미리 만들어진 패턴이나 시그니처, 정책, 룰 기준이 아닌 능동적인 대처를 요구하게..

DID에 대한 조사 심층 방어(Defense-in-Depth; DiD) 정의 - 심층 방어, 즉 여러 겹의 복잡한 방어를 통해 최적화되고 강력한 보안체계를 구축하는 것 - 보안 제어가 실패하거나 시스템 수명주기 동안 직원, 절차, 기술 및 물리적 보안 측면을 포괄할 수 있는 취약성이 악용될 경우 중복성을 제공하는 것이 목적 -> 이 방어기법은 본래 시간을 벌기 위해 공간을 제공함으로써 예방하기보다는 지연을 목적으로 한 군사 전략이다. 참고 https://moaimoai.tistory.com/78 https://www.boannews.com/media/view.asp?idx=47045 medium.com/insa-tc/defense-in-depth-for-web-applications-38178696f83..

"APT 공격 그룹에 대한 조사" 1. APT 공격 - Advanced Persistent Threats(지능적 지속 위협) - 지능적인 방법을 사용하여 지속적으로 특정 대상을 공격하는 것, 특정 개인 또는 조직을 타깃으로 삼고, 정보를 파악한 후 미끼를 던져 침투하는 지능적인 방식이 큰 특징이다. - 과정: 침투 -> 검색 -> 수집 -> 유출 2. APT(지능형 지속적 위협) 공격 그룹 - 정의: 데이터를 훔치거나, 운영을 중단하거나 인프라를 파괴하려고 한다. 대부분의 사이버 범죄자와 다른 점은 몇 달 또는 몇 년에 걸쳐 목표를 달성하려고 한다. 그룹 이름 개요 관련 악성코드 공격 경로 APT 39(이란) 통신 및 여행 산업에 집중하는 것은 특정 개인을 대상으로 모니터링, 추적 또는 감시활동을 수행하..

"TCP와 UDP에 대해서 살펴보자" TCP/UDP 정의 및 통신상 차이점 TCP UDP 정의 Transport Control Protocol 전송 제어 프로토콜 User Datagram Protocol 사용자 데이터그램 프로토콜 특징 3way Handshake(SEQ, ACK) 데이터를 주고받을 양단간에 먼저 연결을 설정하고 설정된 연결을 통해 양방향 데이터 전송 연결을 설정하지 않고 수신자가 데이터를 받을 준비를 확인하는 단계를 거치지 않고 단방향 전송 연결성 호스트 사이에 세션(Session)이 설정되는 연결지향 호스트 사이에 세션이 설정되지 않은 비연결성 데이터 순서 보내는 순서를 유지 순서 유지하지 않음 데이터 중복 데이터 중복, 손실 없음 데이터 중복, 손실 가능 신뢰성 승인 및 순차적인 데이..

DMZ(Demilitarized Zone) 1. DMZ 정의 - DMZ: 내부, 외부 네트워크 구간 사이에 위치한 중간지점으로, 침입차단시스템 등으로 접근 제한 등을 수행하지만 외부 네트워크에서 직접 접근이 가능한 영역을 뜻한다. 외부에 서비스 제공 시, 내부 자원을 보호하기 위해 내부망과 외부망 사이에서 접근제한을 수행하는 영역을 말한다. => 내부 네트워크: 일정 조직 내에서 인터넷이 아닌 내부 네트워크를 통해 PC끼리 자원을 공유하게 하거나 그룹웨어 등을 사용할 수 있게 하는 근거리 통신망(LAN) => 외부 네트워크: 일정 조직을 넘어 정보를 교환할 수 있는, 인터넷을 통한 네트워크 - 위치: 외부 공격자의 침입으로부터 안전하게 보호되어야 하는 DB서버, 인증서 서버, 로그인 서버 등에 위치한다...

IP Fragmentation 정의 및 관련 취약점 살펴보자 1. IP Fragmentation 정의 IP Datagram이 네트워크를 통해 전송될 때, 전송되는 IP 데이터그램의 크기가 해당 전송 매체에서 전송될 수 있는 최대 크기인 MTU(Maximum Transmission Unit)보다 클 경우 발생한다. => MTU(Maximum Transmission Unit): IP Datagram이 네트워크를 통해 전송될 때, 전송되는 IP Datagram의 크기가 해당 전송 매체에서 전송될 수 있는 최대 크기 EX) Ethernet에서 전송가능한 IP 데이터그램의 최대 크기는 1500byte이다. 재조립(Reassembly): 최종 수신지에 도착한 데이터그램 단편들을 수신자가 보낸 데이터그램으로 다시 조..

Ethernet/TCP/IP Header 구조 살펴보기 1. Ethernet Header(IEEE 802.3) DA(Destination Address) 목적지의 2 계층 주소를 나타내며 6byte(48bit), 주소의 첫 번째 비트가 1이면 멀티캐스트, 모든 비트가 1이면 브로드캐스트 SA(Source Address) 출발지의 2계층 주소를 나타내며 6byte(48bit) Ethernet Type MAC 프레임 데이터 부분에 있는 상위계층의 프로토콜 종류 표시, 0x0800이면 IPv4 패킷, 0x0806이면 ARP, 0x8100이면 VLAN Tag가 Ethernet 헤더와 L3 패킷 사이에 붙는다는 의미 Length 데이터 영역의 길이를 표시 Data 상위 계층으로부터 받은 데이터 또는 상위 계층에 ..

라우팅(Routing) 라우팅(Routing)이란 Internetwork를 통하여 근원지에서 목적지로 데이터가 전달될 수 있도록 하는 기능, 수많은 경로 중 하나를 선택하여 이동하는 것 라우터들끼리 경로 정보를 교환하는 프로토콜 1. IGP(Internal Gateway Protocol) - 네트워크 집합을 몇 개로 그룹으로 나누었을 때, 동일 그룹 내에서 라우팅 정보를 교환할 때 사용하는 라우팅 프로토콜 - 같은 도메인 내에 존재하는 라우터는 도메인 내부 라우터가 되고 도메인 외부에 존재하는 라우터는 도메인 외부 라우터가 되는데, 이 때 도메인 내부 경로 설정에 대한 프로토콜이 ISP(Internet Service Provider) - 종류 => 거리벡터 알고리즘: RIP(Routing Informat..

NAC의 정의와 어떻게 대응할 수 있는지? 왜 필요한가? 1. NAC 정의 - Network Access Control, 네트워크 접근제어 - 일련의 프로토콜들을 사용하여 엔드포인트(Endpoint)가 처음 내부 네트워크에 접근시도를 할 때, 기존 내부망에 피해를 끼치지 않도록 접속하는 엔드포인트에 일련의 보안 정책을 적용할 수 있도록 하는 컴퓨터 네트워킹 솔루션 => 엔드포인트: 노트북, 컴퓨터, 스마트폰 등 네트워크에 접속하는 모든 유무선 단말을 일컫는다. - 엔드포인트 자동 검역 과정(접근 허용하기 전에 보안정책을 따르지 않은 기기들을 검역)을 네트워크 시스템에 통합시켜서 라우터, 스위치 그리고 방화벽 같은 네트워크 기반 시설과 맞물려서 작동한다. 2. NAC의 주요 기능 - 접근 제어/인증: 네트..