CISSP IT보안이론 요약: 보안 운영

1. 보안운영의 개념

목적: 매일 시스템의 정보자산을 보호하고, 취약점의 인지와 관리, 위협을 방지

 

알 필요성과 최소권한

• 알 필요성은 권한과 정보에 접근하는 능력에 초점.
• 반면 최소권한은 권리와 권한을 모두 포함한 특권에 초점.

- 알 필요성 접근

• 사용자에게 할당된 작업에 필요한 데이타와 자원에만 접근 허용.

- 최소권한의 원칙

• 사용자에게 할당된 작업에 필요한 특권(Read/Write)만 허용.
• 애플리케이션, 프로세스에도 적용 가능.

 

직무와 책임의 분리

• 중요한 기능이나 시스템의 전체 제어권을 한사람이 갖지 않는 것을 보장
• 개인의 부정적 행위를 어렵게 하고, 탐지와 보고의 범위를 넓혀줌

- 특권의 분리

• 최소권한의 원칙을 애플리케이션과 프로세스에 적용.
• 서버 애플리케이션이 복수의 서비스 계정을 가지고 각 기능을 수행하는데 필요한 특권만 허용.

- 직무 분리

• 직무와 책임분리 + 최소권한의 원칙
• SOX(사베인스 옥슬리법)에서 요구

- 2인 제어

• 중요한 작업에 2명의 승인을 요구
• 상호평가 보장, 공모·결탁·부정행위 감소.

 

업무순환

• 직원들의 업무를 순환시키거나 작업의 일부를 다른 직원들 사이에서 순환시키는 것을 의미
• 상호평가 제공, 공모·부정행위 감소, 업무간 훈련

 

강제휴가

• 1~2주의 강제휴가
• 상호검토의 기회, 부정행위와 공모 발견을 도움.

 

특권에 대한 감시

- 특권행위

• 상승된 권한과 허가를 요구해 다양한 관리자 작업을 포함하는 행위

- 감시

• 특권을 취득한 사용자들이 남용하지 못하는 것을 보장

- 특권요소

• 특권을 부여받은 계정

- 특권행위의 예

• 감사로그 접근
• 시스템 시간변경
• 인터페이스 설정
• 사용자 계정관리
• 시스템 재부팅 제어
• 통신경로제어
• 시스템 백업·복구
• 스크립트·자동화도구 실행
• 보안매커니즘 제어권 설정
• DB복구도구와 로그파일 사용

 

민감한 정보의 관리

• 비공개이지만 기밀이 아닌 정보
• 비밀,내부정보,보호 될 필요가 있는 정보

- 개인식별정보(PII)
- 민감한 정보 표시(레이블링)
- 민감한 정보 취급

• 매체가 존재하는 동안 매체를 안전하게 이동하는 것

- 민감한 정보의 저장

• 어떠한 형태의 손실에서든 보호되고 있음을 보장하기 위해 저장

- 민감한 정보의 파괴

• 데이터가 필요없으면 완전히 파괴되어야 함.
• 삭제(Erasing) - 단순한 삭제. 대부분은 링크만 삭제되어 실데이터는 남아 있음.
• 제거(Clearing) - 제거나 덮어쓰기는 실데이터가 삭제되어 전통적인 방법으로는 복구 할 수 없다.
  HDD의 여분섹터,  'bad' 섹터, SSD영역은 제거되지 않는다.
• 정화(Purging) - 제거과정을 몇 차례 반복하여 데이터를 복구 할 수 없게 보장.
• 제한해제(Declassification) - 정화를 포함하여 재사용을 위해서 준비 중인 시스템
• 완전삭제(Sanitization) - 데이터를 삭제하는 과정의 조합.
  데이터를 어떤방법으로든 복구 할 수 없음을 보장.
  매체의 파괴나 파괴없이 삭제하는 신뢰된 방법.
• 자기소거(Degaussing) - 강한 자기장을 통한 자기소거로 데이타를 삭제.
  테이프와 HDD에 사용가능.
• 파괴(Destruction) - 적절한 완전 삭제 이후나 완전삭제 수단으로 일어나야 한다.
  소각,파쇄,화학약품을 사용하는 방식. 

- 기록의 유지

• 데이터를 필요로 하는 동안 유지하고, 더이상 필요없게 되면 파괴하는 것을 포함.

 

2. 자원보호

매체관리

• 매체와 그안에 담긴 데이타를 보호하는 과정.
• CIA와 직접적인 연관.

 

- 테이프 매체

• 적어도 2개의 사본 유지. 즉시 사용을 위해 현장과 재앙대비를 위한 다른 지역.
• 청결상태가 수명과 유용성에 영향을 미침. 자기장에 노출되면 안됨.

- 모바일 장치

• 내부 메모리나 이동식 메모리를 가진다. 조직은 직원들의 폰에 암호화, 화면잠금, GPS, 원격삭제 등을 활성화 할 수 있다. 

- 매체의 생명주기 관리

• MTTF(Mean Time To Failure): 평균고장시간
• MTTF에 도달하면 폐기돼야 한다.

 

자산관리

- 장비의 수명

• 장비의 전체 수명기간동안 HW자산추적을 위해 DB를 사용(바코드,RFID연계)

- SW 라이선싱

• 모든 라이선스 키는 조직에서 가치가 높으며 보호되어야 한다.

- 워크스테이션과 위치의 변화

• 직원의 워크스테이션을 바꾸는 것은 허가되지 않은 SW설치를 방지하고 자료를 네트워크 서버에 저장하도록 유도한다.

 

3. 패치와 취약점 관리

• 패치관리
• 버그나 취약점을 고치거나 성능을 향상시키기 위해 작성된 코드

- 패치 관리 프로그램 과정

• 패치평가 - 패치검증 - 패치승인 - 패치배포 - 패치배포 검증

 

취약점 관리

• 주기적으로 취약점을 인지·평가하며, 관련된 위협을 완화시키는 것

- 취약점 점검

• 취약점 스캐너를 사용.
• 취약점 스캐너의 DB를 항상 최신버젼으로 유지해야 한다.

- 취약점 평가

• 취약점 점검의 결과와 함께 추가적인 작업(예: 보고서분석)을 수행한다.
• 잠재적인 취약점에 영향을 미치는 다른 영역도 볼 수 있다.

 

CVE (공통 보안 취약성)과 노출

• 취약점을 나타내기 위해 사용되는 표준 관례

 

4. 변경과 구성관리

구성관리

• 시스템이 수명기간 동안 적절히 설정돼 있는지 보장하는 과정

- 베이스라인 설정

• 구성관리 측면에서 시스템의 초기 구성
• 예: MS의 그룹정책

- 베이스라인을 위한 이미지 사용

• 이미지를 만드는 과정
  1. 베이스라인 시스템에 OS와 필요한 애플리케이션을 설치. 보안과 기타 설정을 적용. 검증
  2. 이미지SW를 사용하여 시스템의 이미지를 캡쳐. 캡쳐된 이미지는 정해진 서버에 저장되어 배포에 사용(이동식 매체도 사용가능)
  3. 필요한 시스템에 설치
• 요구되는 보안설정이 올바르게 적용 됨. 짧은 설치·복구 시간 

- 구성문서

• 시스템을 책임지는 사람과의 관계와 베이스라인으로 부터의 변경을 포함.

 

변경관리

• 변경이 적절히 검토,승인,문서화 돼 변경으로 인해 발생하는 고장을 줄이는 것을 보장

- 변경관리 과정

1. 변경요청
2. 변경검토
3. 변경 승인/검토
4. 변경 계획/적용
5. 변경의 문서화

- 버져닝(Versioning)

• SW 구성관리에서 사용되는 버젼제어를 의미.
• 설치된 SW에 대한 변경사항을 계속 기록하는데 도움을 준다.

 

5. 보안감사와 검토

관리제어가 제대로 적용 됐는지 보장하는데 도움
 
- 검토 돼야 할 항목

• 패치 관리
• 취약점 관리
• 구성 관리
• 변경 관리

 

보안 감사

보안감사는 조직과 이해관계가 없는 감사자에 의해 진행 되어야 한다.

- 내부감사

• 조직내부의 감사인력에 의해 수행된다.
• 주로 CAE(최고감사경영)가 CEO(또는 유사직급)에 직접 보고한다. CAE가 이사회에 보고 하여야 할 수 도 있다.

- 외부감사

• 외부의 감사기관에 의해 수행.
• 조직내부의 이해관계와 충돌이 없으므로 타당성이 높다. 
• 대표기관: Ernst&Young, Deloitte, KPMG, PricewaterhouseCoopers

- 제3자 감사

• 다른 조직에 의해 수행되는 감사
• SOC(Service Organization Controls) 감사 3가지 카테고리
  • SOC 1 Engagement: 조직의 금융보고서의 정확성에 영향을 미치는 통제에 접근하여 수행.
  • SOC 2 Engagement: 조직의 보안과 시스템에 저장된 개인정보에 영향을 미치는 통제에 접근하여 수행. 결과는 기밀(Confidential)이거나 NDA로 외부공개.
  • SOC 3 Engagement: 조직의 보안과 시스템에 저장된 개인정보에 영향을 미치는 통제에 접근하여 수행. 하지만 결과는 대중에 공개. 
• SOC report 2가지 타입
  • Type I
    • 경영진의 설명과 통제설계의 적합함에 대한 감사인의 의견
    • 특정 시간에 대해서만 커버를 한다.
    • 경영진의 설명이 적합한지에 대한 문서검토
  • Type II
    • 통제의 효율적인 운영에 대한 감사인의 의견
    • 감사인이 실제로 통제가 적절히 기능하는지 확인
    • 넓은 시간에 대해서 커버를 한다.(최소 6개월)
    • 감사인은 문서검토 뿐만 아니라 통제가 잘 기능하는지 검증한다.

- 감사 표준

• COBIT: ISACA에서 제정한 보안감사 프레임워크
• ISO 27001: 정보보안관리시스템 셋업에 대한 표준
  • ISO 27002: 정보보안통제에 대한 상세한 내용

 

* 보충내용

Clearance vs Credential

• Clearance: 공식적인 승인
• Credential: 자격

 

포렌식 디스크 컨트롤러 기능

1. 쓰기금지, (장치로) 쓰기 커맨드 차단, 장치의 데이터 수정 예방
2. 읽기작업에 의한 데이터 반환
3. 장치로 부터 접근-중요 정보 반환
4. 장치에서 포렌식 호스트로 에러보고