Tech Tips and Training 25호

Raising the Bar on Network Protection

시스코-트렌드 마이크로, 보안 강화에 '맞손

시스코 ICS, 트렌드 기술 활용 최단 시간내 네트워크 보안 위협 퇴치




시스코와 안티바이러스 업체인 트렌드 마이크로(Trend Micro)는 네트워크 위협에 따른 업계의 보안 수준을 강화시키고 IT 인력들의 대응 시간과 효율성을 향상시키기 위해 서로 협력해왔다. 이런 협력을 통해 나온 결실이 바로 시스코 ICS(Incident Control System)이다. 트렌드 마이크로의 24시간 위협 모니터링 및 대응 기술을 사용하는 ICS는 웜과 바이러스 면역 기능을 네트워크 전역으로 신속하게 전파시키기 위해 기존 시스코 네트워크 장비들과 함께 작동된다. 이를 통해 시스코 장비들은 침입이 감지된 지 불과 몇 분 안에 침입 완화 지점에 효율적으로 진입할 수 있게 된다.

ICS의 중심은 관리 및 전송이 이뤄지는 시스코 ICS 서버다. 이 서버를 통해 IT는 네트워크에 깔린 다양한 시스코 장비를 신속하게 보호하는 정책을 구현할 수 있다. ICS 솔루션에는 예방정보와 대응책이 제시되는 시스코 ICS 서버 소프트웨어와 완화 장비 및 연간 가입 라이선스가 포함된다. 완화 장비는 ICS에 의해 제공되는 위협방어 정책을 수신하며, 네트워크 내부에서 침입과 확산을 막는 시스코 제품으로 구성돼 있다. 관리자들은 시스코 ICS 소프트웨어와 시스코 ICS 라이선스 번호를 구매한다. ICS 라이선스의 세 가지 유형은 다음과 같다.

액세스 컨트롤 리스트(ACL, Access Control List) 라이선스는 표준 시스코 IOS 소프트웨어 이미지를 실행시키는 시스코 라우터 및 스위치에 적합하다.

침입 방지 시스템(IPS, Intrusion Prevention System)의 로우엔드 라이선스는 로우엔드 시스코 IPS 디바이스에 적합하다. 여기에는 시스코 900, 1700, 1800, 2600XM, 3700 시리즈 라우터, IPS 4215 센서, SSM-AIP-10 모듈 기능의 ASA 5500 시리즈 적응형 보안 어플라이언스, IOS 소프트웨어 보안 이미지를 실행하는 IPS 기능의 IOS 라우터가 포함된다.

IPS 하이엔드 라이선스는 미드레인지 및 하이엔드용 시스코 IPS 장비에 적합하다. 여기에는 3800 시리즈 라우터, 7200 시리즈 라우터, 다양한 IPS 4200 시리즈 센서, 시스코 카탈리스트 6500 시리즈 스위치용 IDSM2 블레이드, SSM-AIP-20 모듈 기능의 ASA 5500 시리즈 어플라이언스, IOS 소프트웨어 보안 이미지를 실행시키는 IPS 가능 IOS 라우터가 포함된다.

트렌드 마이크로의 트렌드랩(TrendLabs)은 위협 분석, 신속한 반응 및 영구적인 시그니처 개발, 광학, 성능, 알람 오류 테스트, 회사의 AU(ActiveUpdate) 서버로 패턴 업로딩하는 기능처럼 정교한 프로세스에 의존하면서 전 세계적으로 새롭게 발생하는 정보 소스와 인터넷을 모니터한다. 악의적인 소프트웨어가 출현한 사실이 감지되면, 트렌드랩의 전문가들은 즉시 그 위협을 분석하고 분류하고 확인한다. 일반적으로 15분 이내에 이를 감지해내는 트렌드랩측은 악의적인 소프트웨어가 네트워크에 진입하거나 확산하는 것을 방지하기 위한 방편으로 OPP(outbreak prevention policy)를 제작했다. OPP는 AU 서버에 있으며 OMT(Outbreak Management Task)에 속하는 시스코 ICS 서버에 의해 다운로드 가능하다.

시스코 ICS 서버는 끊임없이 OMT용 AU 서버를 폴링하고, 뭔가를 찾아내기 위해 시스코 ICS 서버에서 태스크(task)를 만들고, 관리자에게 경보음을 울리며, OPP를 다운로드하고, 이를 OPACL(Outbreak Prevention Access Control List)로 번역한다. 만약 자동적으로 설정된다면, 적절한 시스코 완화 장비에 OPACL를 구축하면 된다. 서버가 자동적으로 설정되지 않는다면, 관리자가 OPACL을 검사하고, 매뉴얼대로 이를 구축하기 전에 합당한 변화를 줄 수 있다. OPP가 출시된 이후, 트렌드랩은 모든 종류의 트래픽에서 위협을 확인할 수 있는 OPSig(Outbreak Prevention Signature)를 제작했다. 트렌드랩은 이상을 감지한 후, 90분 이내로 AU 서버에 OPSig를 배치한다. 시스코 ICS 서버는 예전에 인스톨된 OPACL 대신, OPSig를 다운로드하고 이를 IPS 기능의 시스코 완화 장비에 구축한다.

내부 감염 위험을 줄이기 위해 시스코 ICS 서버에는 호스트를 로그하고 추적하는 기능이 있으며, 이는 트렌드 마이크로의 DCS(Damage Cleanup Service)로 사용되는 정보인 OPSig-트리거링 트래픽을 만들어낸다. DCS 서버가 시스코 ICS 서버에 기록되면, 시스코 ICS가 내부 감염 소스로 인식한 감염된 마이크로소프트 윈도 장비를 자동적으로 원격 치유하게 된다.

추가자료


Cisco에 문의하세요



Packet 지난 호 보기