가. 취약점 개요
■ 내용 : 보안장비에 이상 징후 탐지 모니터링을 수행하고 있는지 점검
■ 목적 : 이상징후가 탐지되는 경우 사고 예방 및 신속한 조치를 이행하기 위함
■ 보안 위협
- 이상징후 탐지 모니터링을 수행하지 않을 경우, 보안사고 미연 방지
■ 참고
- 보안사고 미연 방지 및 IT 컴플라이언스 준수
- 예시
1) 휴일 또는 업무 시간 이외에 비정상적인 패턴으로 중요 문서 또는 고객정보 DB에 접근한다면 정보유출 징후가 있다고 판단 가능함
2) 퇴직 징후가 의심스러운 직원이 휴일이나 업무시간 외에 비정상적으로 중요 문서나 고객 DB에 접근하는 경우 정보유출 가능성이 높기 때문에 이를 사전에 탐지하고 예방할 수 있음
나. 점검방법
■ 대상 : 방화벽, IPS, VPN, IDS, Anti-DDoS, 웹방화벽 등
■ 판단기준
- 양호 : 이상징후 탐지 모니터링을 수행하고 있는 경우
- 취약 : 이상징후 탐지 모니터링을 수행하고 있지 않은 경우
■ 점검방법
Step 1) 보안장비의 이상 징후 탐지 모니터링 기능(알람, 이메일, SMS 등)이 설정되어 담당자가 즉시 인지할 수 있는 방안이 있는지 여부를 점검
Step 2) 장비 자체 기능 대신 Syslog를 통해 모니터링 시스템으로 전송하는 경우, 해당 시스템의 모니터링 기능 설정 여부를 점검
다. 조치방법
■ 이상징후 탐지 시 담당자/관리자가 즉시 확인할 수 있도록 모니터링 수행
Step 1) 보안장비 이상징후에 대해 실시간 모니터링 실시
Step 2) 24시간 모니터링을 통한 검사가 여건상 어려울 경우 이메일이나 SMS를 통한 경고 기능 설정으로 대체
가. 조치시 영향
■ 일반적인 경우 영향 없음