탐지 제어 - AWS 규범적 지침
목표프로세스사용 사례기술비즈니스 성과

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

탐지 제어

탐지 제어는 이벤트 발생 후 탐지, 기록 및 알림을 제공하도록 설계된 보안 제어입니다. 탐지 제어는 거버넌스 프레임워크의 기본 부분입니다. 이러한 가드레일은 예방 제어를 우회한 보안 문제를 알려주는 2차 방어선입니다.

예를 들어, Amazon Simple Storage Service(S3) 버킷에 공개적으로 액세스할 수 있게 되면 이를 감지하고 알려주는 탐지 제어를 적용할 수 있습니다. 계정 수준에서 S3 버킷에 대한 퍼블릭 액세스를 비활성화한 다음 SCP를 통한 액세스를 비활성화하는 예방 제어가 마련되어 있을 수 있지만, 위협 행위자는 관리자로 로그인하여 이러한 예방 제어를 우회할 수 있습니다. 이러한 상황에서 탐지 제어가 잘못된 구성과 잠재적 위협을 알릴 수 있습니다.

이 유형의 제어에 대해 다음을 검토하세요.

목표

  • 탐지 제어는 보안 운영 프로세스와 품질 프로세스를 개선하는 데 도움이 됩니다.

  • 탐지 제어는 규제, 법률 또는 규정 준수 의무를 충족하는 데 도움이 됩니다.

  • 탐지 제어는 보안 운영 팀에 예방 제어를 우회하는 지능형 위협을 비롯한 보안 문제에 대응할 수 있는 가시성을 제공합니다.

  • 탐지 제어는 보안 문제 및 잠재적 위협에 대한 적절한 대응을 식별하는 데 도움이 될 수 있습니다.

프로세스

두 단계로 구현된 탐정 제어를 구현합니다. 먼저 Amazon Logs와 같은 중앙 위치에 이벤트와 리소스 상태를 CloudWatch 기록하도록 시스템을 설정합니다. 중앙 집중식 로깅이 실행되면 해당 로그를 분석하여 위협을 나타낼 수 있는 이상 징후를 탐지합니다. 각 분석은 원래 요구 사항 및 정책에 다시 매핑되는 제어입니다. 예를 들어, 로그에서 특정 패턴을 검색하고 일치하는 경우 알림을 생성하는 탐지 제어를 생성할 수 있습니다. 보안 팀은 탐지 제어를 사용하여 시스템이 노출될 수 있는 위협과 위험에 대한 전반적인 가시성을 개선합니다.

사용 사례

의심스러운 행동 탐지

탐지 제어는 권한이 있는 사용자 보안 인증이 침해되거나 민감한 데이터에 대한 액세스 또는 유출과 같은 모든 비정상적인 활동을 식별하는 데 도움이 됩니다. 이러한 제어는 회사가 이상 활동의 범위를 식별하고 이해하는 데 도움이 되는 중요한 사후 대응 요인입니다.

부정 행위 탐지

이러한 제어를 통해 정책을 우회하고 무단 트랜잭션을 수행하는 사용자와 같은 회사 내부의 위협을 탐지하고 식별할 수 있습니다.

규정 준수

탐지 제어는 PCI DSS(Payment Card Industry Data Security Standard)와 같은 규정 준수 요구 사항을 충족하고 신원 도용을 방지하는 데 도움이 됩니다. 이러한 제어를 통해 개인 식별 정보와 같이 규정 준수의 대상이 되는 민감한 정보를 검색하고 보호할 수 있습니다.

자동 분석

탐지 제어는 로그를 자동으로 분석하여 이상 현상 및 기타 무단 활동 지표를 탐지할 수 있습니다.

AWS CloudTrail 로그, VPC Flow Log, 도메인 이름 시스템(DNS) 로그 등 다양한 소스의 로그를 자동으로 분석하여 잠재적으로 악의적인 활동의 징후를 파악할 수 있습니다. 정리에 도움이 되도록 여러 AWS 서비스 곳의 보안 알림 또는 조사 결과를 중앙 위치로 집계하십시오.

기술

일반적인 탐지 제어는 로그와 같은 데이터 소스를 분석하여 보안 위협을 식별할 수 있는 하나 이상의 모니터링 서비스를 구현하는 것입니다. 에서는 로그 AWS 클라우드, Amazon S3 액세스 AWS CloudTrail 로그, Amazon Virtual Private Cloud 흐름 로그와 같은 소스를 분석하여 비정상적인 활동을 감지하는 데 도움이 될 수 있습니다. AWS Amazon, Amazon Detective GuardDuty AWS Security Hub, Amazon Macie와 같은 보안 서비스에는 모니터링 기능이 내장되어 있습니다.

GuardDuty 및 Security Hub

GuardDutyAmazon은 위협 인텔리전스, 기계 학습 및 이상 탐지 기술을 사용하여 로그 소스의 악의적 또는 무단 활동을 지속적으로 모니터링합니다. 대시보드는 사용자 및 워크로드의 실시간 상태에 대한 통찰력을 제공합니다. AWS 계정 모범 사례 준수 여부를 확인하고 AWS Security Hub, 알림을 집계하고, 자동화된 문제 해결을 지원하는 클라우드 보안 상태 관리 서비스와 GuardDuty 통합할 수 있습니다. GuardDuty 정보를 중앙 집중화하는 방법으로 Security Hub에 결과를 전송합니다. Security Hub를 보안 정보 및 이벤트 관리(SIEM) 솔루션과 통합하여 조직의 모니터링 및 알림 기능을 확장할 수 있습니다.

Macie

Amazon Macie는 기계 학습과 패턴 일치를 사용하여 AWS에서 민감한 데이터를 검색하고 보호하는 완전관리형 데이터 보안 및 데이터 개인 정보 보호 서비스입니다. 다음은 Macie에서 사용할 수 있는 몇 가지 탐지 제어 및 기능입니다.

  • Macie는 버킷 인벤토리와 Amazon S3에 저장된 모든 객체를 검사합니다. 이 정보는 단일 대시보드 뷰로 표시되므로 가시성을 제공하고 버킷 보안을 평가하는 데 도움이 됩니다.

  • Macie는 민감한 데이터를 검색하기 위해 내장된 관리형 데이터 식별자를 사용하며 사용자 지정 데이터 식별자도 지원합니다.

  • Macie는 다른 도구 및 도구와 기본적으로 통합됩니다. AWS 서비스 예를 들어 Macie는 검색 결과를 Amazon EventBridge 이벤트로 발행하고, 이 이벤트는 Security Hub에 자동으로 전송됩니다.

다음은 Macie에서 탐지 제어 구성에 대한 모범 사례입니다.

  • 모든 계정에서 Macie를 활성화합니다. 위임된 관리 기능을 사용하면 AWS Organizations를 통해 여러 계정에서 Macie를 활성화할 수 있습니다.

  • Macie를 사용하여 계정 내 S3 버킷의 보안 상태를 평가합니다. 이렇게 하면 데이터 위치 및 액세스에 대한 가시성을 제공하여 데이터 손실을 방지하는 데 도움이 됩니다. 자세한 내용은 Analyzing your Amazon S3 security posture(Macie 설명서)를 참조하세요.

  • 자동화된 처리 및 데이터 검색 작업을 실행하고 예약하여 S3 버킷에서 민감한 데이터 검색을 자동화합니다. 이는 정기적으로 S3 버킷에 민감한 데이터가 있는지 검사합니다.

AWS Config

AWS Config리소스의 AWS 규정 준수를 감사하고 기록합니다. AWS Config 기존 AWS 리소스를 검색하고 각 리소스의 구성 세부 정보와 함께 전체 인벤토리를 생성합니다. 구성 변경 사항이 있는 경우 해당 변경 사항을 기록하고 알림을 제공합니다. 이렇게 하면 승인되지 않은 인프라 변경을 탐지하고 롤백할 수 있습니다. AWS 관리형 규칙을 사용하고 사용자 지정 규칙을 만들 수 있습니다.

다음은 AWS Config에서 탐지 제어 구성에 대한 모범 사례입니다.

  • 조직의 각 구성원 계정과 보호하려는 리소스가 AWS 리전 포함된 각 구성원 계정에 AWS Config 대해 활성화합니다.

  • 모든 구성 변경에 대해 Amazon Simple Notification Service(SNS) 알림을 설정합니다.

  • S3 버킷에 구성 데이터를 저장하고 Amazon Athena를 사용하여 해당 데이터를 분석합니다.

  • AWS Systems Manager의 기능인 Automation을 사용하여 비준수 리소스 수정을 자동화합니다.

  • EventBridge 또는 Amazon SNS를 사용하여 규정을 준수하지 않는 AWS 리소스에 대한 알림을 설정할 수 있습니다.

Trusted Advisor

AWS Trusted Advisor는 탐지 제어를 위한 서비스로 사용할 수 있습니다. 일련의 검사를 통해 인프라를 최적화하고 성능 및 보안을 개선하거나 비용을 절감할 수 있는 영역을 Trusted Advisor 식별합니다. Trusted Advisor 서비스 및 리소스 개선을 위해 따를 수 있는 AWS 모범 사례를 기반으로 권장 사항을 제공합니다. 비즈니스 및 엔터프라이즈 지원 플랜에서는 AWS Well-Architected Framework의 주요 요소에 대해 사용 가능한 모든 검사를 이용할 수 있습니다.

다음은 Trusted Advisor에서 탐지 제어 구성에 대한 모범 사례입니다.

  • 검사 수준 요약 검토

  • 경고 및 오류 상태에 대한 리소스별 권장 사항을 구현합니다.

  • Trusted Advisor 자주 확인하여 권장 사항을 적극적으로 검토하고 구현하십시오.

Amazon Inspector

Amazon Inspector는 활성화된 후 워크로드에서 의도하지 않은 네트워크 노출이나 소프트웨어 취약성을 지속적으로 검사하는 자동화된 취약성 관리 서비스입니다. 조사 결과를 위험 점수로 문맥화하여 규정 준수 상태를 수정하거나 확인하는 등의 다음 단계를 결정하는 데 도움이 됩니다.

다음은 Amazon Inspector에서 탐지 제어 구성에 대한 모범 사례입니다.

  • 모든 계정에서 Amazon Inspector를 활성화하고 이를 Security Hub에 EventBridge 통합하여 보안 취약성에 대한 보고 및 알림을 구성합니다.

  • Amazon Inspector 위험 점수를 기반으로 수정 및 기타 조치의 우선순위를 지정합니다.

비즈니스 성과

인적 노력 및 오류 감소

코드형 인프라(IaC)를 사용하여 자동화를 달성할 수 있습니다. 모니터링 및 수정 서비스와 도구의 배포, 구성을 자동화하면 수동 오류의 위험이 줄고 이러한 탐지 제어를 확장하는 데 필요한 시간과 노력이 감소합니다. 자동화는 보안 런북 개발에 도움이 되며 보안 분석가의 수동 작업을 줄여줍니다. 정기적인 검토는 자동화 도구를 조정하고 탐지 제어를 지속적으로 반복하고 개선하는 데 도움이 됩니다.

잠재적 위협에 대한 적절한 조치

가시성을 확보하려면 로그와 지표에서 이벤트를 캡처하고 분석하는 것이 중요합니다. 이를 통해 분석가는 보안 이벤트 및 잠재적 위협에 대응하여 워크로드를 보호할 수 있습니다. 어떤 취약성이 존재하는지 신속하게 식별할 수 있으면 분석가는 적절한 조치를 취해 문제를 해결할 수 있습니다.

더 나은 인시던트 대응 및 조사 처리

탐지 제어 도구를 자동화하면 탐지, 조사 및 복구 속도를 높일 수 있습니다. 정의된 조건에 기반한 자동 알림 및 알림을 통해 보안 분석가는 적절하게 조사하고 대응할 수 있습니다. 이러한 대응 요인은 이상 활동의 범위를 식별하고 이해하는 데 도움이 될 수 있습니다.