[IT보안] ESM(Enterprise Security Management)

1. ESM(Enterprise Secutiry Management) 개요

1) 정의

- Firewall, IDS/IPS, VPN 등의 여러 보안 시스템으로부터 발생한 각종 이벤트를 관리, 분석, 통보, 대응 및 보안정책을 관리하는 시스템
- 기업 내 네트워크 장비, 독립 보안시스템을 일관된 보안 정책 하에서 통합 관리하기 위한 솔루션
- 기업 업무의 연속성을 위한 네트워크, 시스템 등의 주요 인프라에 대한 위협 요인을 사전에 분석하여 예방하고 위협 요인 발생 시 적절히 대응하기 위한 시스템

2) 필요성

(1) 관리적 측면

- 전사 보안 정책에 기반한 보안시스템에 대한 일관성 있는 설정 및 관리
- 일괄적인 보안 통제를 위한 모니터링과 대응방안 필요
- 확장성을 제공하는 보안 프레임워크를 이용하여 중복투자 제거
(2) 물리적 측면

- 침입사고의 급증, 공격 유형의 복잡화, 전문화로 단위 보안 제품으로의 대응 역부족
- 복잡한 시스템과 네트워크 환경 하에서 효과적인 중앙 보안 통제의 필요성
- 제한적인 보안 전문 인력을 최소화하고, 시스템을 기반한 업무 최적화
(3) 기술적 측면

- 다양한 보안 기술들의 통합 관리 및 적용 그리고 교육 및 트레이닝의 용이성
- 보안 위협의 증가에 따른 다양한 보안 솔루션의 등장과 적용 필요
- 개별 솔루션에 의한 기술적/성능적 한계 극복

3) 보안 솔루션의 종류

종 류	설 명
SIM/SIEM	다양한 보안이벤트와 보안정보들로부터 핵심적인 비즈니스 위험 및 기술적 취약성을 식별해 주고 컴플라이언스 수준에 대한 지표 제공
ESM	다양한 보안 솔류션과 시스템 장비들을 통합적으로 관리함으로써 보안 관리 효율을 높이고 관리 복잡도를 낮춰 예측 불가능한 위험을 감소시킴
ILM	생성부터 소멸까지 전체 라이프사이클에 걸쳐 정보데이터를 관리하고 저장 데이터의 완벽한 무결성을 보장함으로써 법적 규제조건을 만족시킴
TMS	워협 관련 정보를 실시간으로 분석해 내부 정보 인프라에 적용함으로써 사전에 위협을 제거하고 관리함으로써 능동적 방어를 통해 위험방지
NAC	적적한 권한을 가진 사용자가 보안이 검증된 안전한 PC로 내부 테트워크 자원에 접속할 수 있도록 통제함으로써 사전에 능동적으로 위험을 관리

 

2. ESM 구성요소

[관리적 측면]

1) 통합정책관리 : 이벤트/데이터 수집 분석에 의한 보안 취약점 및 그에 대응 조치를 통합관리, ESM 시스템이 단위 보안시스템에 대한 보안 정책 반영

2) 보안관련 표준안 관리 : ISO 17799, ISO 27001, CC, OWASP에서 제시한 보안 관련 표준안 등의 관리
3) PMI : 사용자별 권한 인증 체계 관리

[물리적 측면] 

1) 장비 관리 : 네트워크 및 보안장비 등에 탑재되어 이벤트 수집 및 보안 정책 반영, Router, Switch, NMS, IDS/IPS, VPN
2) 관제대상 및 공통 정보 관리 : 관제대상 고객/시스템 상세 정보 관리, ESM 사용자 정보 등록 및 관리
3) 침해사고 예방/대응 : 이벤트별, 유형별, 기간별, 수준별 각종 통계, 시뮬레이션에 대한 통계 및 분석

[기술적 측면]

1) 위험유형 분류 : 보안 제품별 탐지 패턴 분석, 위험 취약점에 대한 분류 방법, 시스템에 의한 위험도의 설정 기준 정립
2) 정규화/규칙기반 이벤트 수집 : Normalization / Rule based Event Collection, 관리대상 시스템 평가기준의 표준화 및 규칙 기반 이벤트 수집기술
3) Anomaly Detection 기법 : 통계적 기법, Rule based Expert System, 학습을 통한 분석, Data Mining
4) 대응(Reaction) 방안 : 수동적 대응(sound, pop-up, mail, logging등), 능동적 대응(termination, 대상 장비 reconfiguration, shutdown)
5) 로그 Monitoring : 보안을 위한 사용자의 자원 사용에 대한 로그 정보를 수집 및 감시

 

3. ESM 핵심기능

분류	핵심 기능	설 명
보안성	통합 View	- 네트워크에 분산된 보안이벤트에 대한 종합적인 View 제공 - 보안 관리 도메인의 전체적 상황정보 전달
	정규화 (Normalization)	- 상이한 보안 솔루션에서 수집되는 정보의 일반화 - 분석 가능한 형식으로 변환
	상관분석 (Correlation)	- 보안 솔루션의 이벤트간의 연관성 추론 - 이벤트간의 공간적, 시간적 연관관계 해석
	정책 관리	- 다양한 보안솔루션에 대한 일괄적인 보안정책 적용 - 보안정책의 적용 현황에 대한 분석과 감시
운영	접근 제어	- 보안 관리자별 관리 도메인의 분류와 접근권한 제어
	그룹 관리	- 보안 관리 조직의 역할에 적합한 그룹생성 및 접근제어
	경량 에이전트	- 상이한 환경의 보안 솔루션에 대한 이벤트 수집을 위해서 작은 Footprint 기반의 에이전트
	데이터 전송	-보안 이벤트에 대한 중복 및 누락으로부터 일관성 유지

 

4. ESM 구축 프로세스

단 계	내 용
보안 정책 설정	전사적인 일관된 보안 정책 수립   보안목표, 범위체계, 취약점 분석   ISO 177799, ISO27001같은 표준 참고 및 수용하여 보안정책 설정
보안시스템 구축	비용대비 효율적인 보안 시스템 구축   단위보안시스템(Firewall, IDS, IPS, VPN등)을 이용, 기본적인 제어와 관리
ESM 구축	중앙 집중적 보안관리 체계 마련   전산 ESM 구축
실시간 관리 및 대응	전문인력에 의한 지속적인 관리   정기적인 대응훈련 실시

 

5. ESM 도입 기대효과

1) Satisfaction 측면

- 체계적, 효율적 정보자산 운영 관리
- 관리자 위치와 관계없이 일괄적 관점에서 전체 관리대상에 대한 통합관리로 만족도 향상 가능
- 침해사고에 대한 업무중단시간 감소(약 50%)
2) Speed 측면

- 상시 감시/사고 예방 및 조치대응 능력 강화
- 이벤트 모니터링을 통한 침해 사고/이상 징후의 신속한 식별 및 추가 확산에 대한 조기 예방 및 대응 가능
- 보안침해사고 해결 능력 향상(약 20~25%)
3) Quality 측면

- 정보보호정책 수립 및 통제의 일관성 확보
- 보호자산의 현황 파악을 통한 일괄적인 정보보호정책 수립 가능으로 질적 관리 능력 향상
- 통합관리를 통한 관제, 운영, 관리의 일관성 부여
4) Cost 측면

- 보안관리비용의 절감
- 지속적으로 증가되는 보안업무 및 그에 따른 보안관리인력의 증가 억제를 통한 보안관리비용의 절감
- 보안관리자 인력 증가 비율 억제(약 20% 수준)