빅데이터 보안 분석 솔루션의 핵심 요소 – Context
Context 는 사전적 의미로 “단순히 원본 정도가 아니라, 어떤 해석이 가미되어 문맥 및 상황에 따라 이해되는 한 차원 높은 공간/영역의 정보” 라고 해석 되며 마케팅, BI, 모바일(상황인지 기술), Web 등에서 다양하게 해석, 사용되고 있다.
특히최근 APT(Advanced Persistent Threat) 등 지능화되고 타겟화된공격의 증가로 인해 보안 기술 또한 글로벌 보안업체를 중심으로 더욱 고도화되고 지능적 위협대응(Security Intelligence, Threat Intelligence) 개념이 적용되고 있다.
이에 빅데이터도입을 통한 수집/분석/탐지/차단 기법의 고도화∙지능화, 다양한 분석 기법(Algorithms), 시각화(Visualization) 기술을 통한 Visual Analytics, KnowlageCenter(or Security Labs) 의 활동을 통한 독자적인 위협 정보 공유 및 고객 서비스 등을 통해 보안 위협 체계에 대한 인프라를 구축하고 있다.
특히 상기 인프라를 위한 정보 수집은 기존의 Security Devices, App 등에서 수집하는 Log, Events 수준의 정보 뿐만 아니라 고도화되고 지능화된 분석을 위해 더욱더 다양하고 상세한 대용량 정보를 수집하고 있으며 이 정보는 위협에 대한 상황을 분석/예측하기 위해 발전하고 있다.
글로벌 보안업체는 이러한 데이터 수집을 위해 기존 Log, Events Agent/Collector 외에 다양한 정보를 수집하기 위해 자체적인 DPI Probe/Collector 기술을 도입(또는 타 솔루션과의 연동)하여 분석을 위한 대용량 정보를 수집하고 있다. 이때 방대한 정보를 체계적으로 저장하기 위한 독자적인 Context 구조와 다양한 Context 확보는 보안 분석의 중요한 핵심 요소이다.
해외 글로벌 보안 솔루션의 Context(or Activity, Metadata, Content) 활용
Packet Capture à Network Forensics à Security (Intelligence) Analytics
최근 보안 위협은 APT 공격과 같이 고도화되고 지능화된 공격이 사용되어 기존 방식의 단일 보안 솔루션으로는 탐지 및 차단이 점점 불가능 하게 되고 있다.
이를 대응하기 위한 차세대 보안기술들은 위협 유형에 맞춰 고도화되고 지능화 되고 있으며이는 좀더 많은 분석 대상 정보와 복잡한 분석 기법을 통해 위협에 대한 상황을 인식∙예측하고 다단계(Multi-Vector : 다양한 보안 솔루션 연동) 차단 기법을 통해 타겟화된공격에 대응하고 있다.
이러한 차세대 보안 핵심 기술은 빅데이터 기반의 대용량 저장∙분석 기술의 도입이며 기존에 수집하던 5tuple message (source IP, destination IP, IP adresses, port number, IP protocol), Security Devices, App 등의 Log, Events 수준을 벗어나 다양한 Network Flow, Protocol, Application 의 Metadata, Content, Context 정보를 직접 수집함으로써 좀더 넓은 가시성과 지능화된 분석을 지원하는 것이다.
구글(Google)은 사용자의 모든 개인정보를 수집하기 위해 노력하고 있다. 구글의끝없는 개인정보의 수집은 사용자의 행동, 취향 등을 분석∙예측하여 또 다른 서비스(사업, 이익창출)를 제공하는 것이 목적이다.
DPI(Deep Packet Inspection) 기술 또한 사용하고자 하는 목적과 사용에 따라 기존 보안 솔루션이 수집하지 못한 제한 없는 분석 데이터를 제공하고 있다. 글로벌 보안 리딩업체들은 이미 DPI 기술과 다양한 솔루션 연계를 통해 추가적인 다양한 정보를 수집∙분석하고 있으며 얼마나 많은 정보를 분석하느냐에 따라 APT 공격에 대한 대응률이높아지고 있는 것이 사실이다.
최신 댓글