공격 경로를 찾아야 어떻게 시스템에 침입했는지 확인이 가능하다. 최초 침입 경로를 찾아 조치를 취해야 동일한 침해사고가 재발하지 않는다.
공격 경로를 분석하기 위해서는 공격 흔적과 관련된 정보를 모두 수집한다. 수집한 정보를 시간 흐름에 따라 정리해서 최초 공격 흔적을 찾아 낸다. 분석 정보를 통해 공격이 언제 시작됐고 현재 공격이 어디까지 진행되었는지 정의 한다.
로그부터 네트워크 트래픽 정보까지 연관된 정보를 수집한다. 네트워크에서 수집 가능한 정보는 풀패킷과 침입탐지시스템 정보를 활용할 수 있다. 풀패킷 데이터는 활용이 다양하다. 네트워크 통신 정보를 활용해도 공격자의 공격 경로를 분석하는데 많은 도움이 된다.
단편적인 정보들을 모아서 하나의 사건으로 구성 위해서는 전체 네트워크 통신 정보가 필요하다. 침해사고 발생한 시스템을 누가 어떤 경로로 접근했는지 파악하는 것이 공격 경로 분석 과정에 중요한 정보가 된다.
전체 네트워크 통신 정보는 침입탐지시스템에서 놓치는 정보를 보완할 수 있다. 관련 정보는 네트워크 플로우 정보와 방화벽 허용 로그, 세션 기반 탐지 시스템 정보를 활용하자.
글목록