침입 탐지 시스템의 분류
침입 탐지 시스템은 다양한 환경에 배포되도록 설계되었습니다. 그리고 많은 사이버 보안 솔루션과 마찬가지로, IDS는 호스트 기반 또는 네트워크 기반일 수 있습니다.
- 호스트 기반 IDS(HIDS): 호스트 기반 IDS는 특정 엔드포인트에 배포되며 내부 및 외부 위협으로부터 보호하도록 설계되었습니다. 이러한 IDS는 머신을 오가는 네트워크 트래픽을 모니터링하고, 실행 중인 프로세스를 관찰하고, 시스템의 로그를 검사할 수 있습니다. 호스트 기반 IDS의 가시성은 호스트 머신으로 제한되어 의사 결정에 사용할 수 있는 컨텍스트를 감소시키지만 호스트 컴퓨터의 내부에 대한 심층적인 가시성을 제공합니다.
- 네트워크 기반 IDS(NIDS): 네트워크 기반 IDS 솔루션은 보호된 전체 네트워크를 모니터링하도록 설계되었습니다. 네트워크를 통해 흐르는 모든 트래픽에 대한 가시성을 가지며 패킷 메타데이터 및 내용을 기반으로 결정을 내립니다. 이 더 넓은 관점은 더 많은 컨텍스트와 광범위한 위협을 탐지할 수 있는 기능을 제공합니다. 그러나 이러한 시스템은 보호하는 엔드포인트의 내부에 대한 가시성이 부족합니다.
가시성 수준이 다르기 때문에 HIDS 또는 NIDS를 격리하여 배포하면 조직의 시스템에 대한 완전한 보호가 제공되지 않습니다. 하나의 시스템에 여러 기술을 통합하는 통합 위협 관리 솔루션은 보다 포괄적인 보안을 제공할 수 있습니다.
IDS 배포 탐지 방법
배포 위치 외에도, IDS 솔루션은 잠재적인 침입을 식별하는 방법도 다릅니다.
- 서명 감지: 서명 기반 IDS 솔루션은 알려진 위협의 지문을 사용하여 위협을 식별합니다. 멀웨어 또는 기타 악성 콘텐츠가 식별되면, 서명이 생성되어 IDS 솔루션에서 수신 콘텐츠를 테스트하는 데 사용하는 목록에 추가됩니다. 이를 통해 IDS는 알려진 악성 콘텐츠의 탐지를 기반으로 모든 경고가 생성되기 때문에 오탐 없이 높은 위협 탐지율을 달성할 수 있습니다. 그러나 서명 기반 IDS는 알려진 위협을 탐지하는 것으로 제한되며 제로 데이 취약성에 대해 알지 못합니다.
- 변칙 탐지: 이상 징후 기반 IDS 솔루션은 보호된 시스템의 "정상적인" 동작 모델을 구축합니다. 이후의 모든 동작은 이 모델과 비교되며, 모든 변칙은 잠재적 위협으로 레이블이 지정되고 경고가 생성됩니다. 이 접근 방식은 새로운 위협 또는 제로 데이 위협을 탐지할 수 있지만 "정상적인" 동작의 정확한 모델을 구축하기 어렵다는 것은 이러한 시스템이 거짓 긍정(잘못된 경고)과 거짓 부정(탐지 누락)의 균형을 유지해야 함을 의미합니다.
- 하이브리드 감지: 하이브리드 IDS는 서명 기반 및 이상 탐지를 모두 사용합니다. 이를 통해 두 시스템 중 하나를 단독으로 사용하는 것보다 더 낮은 오류율로 더 많은 잠재적 공격을 탐지할 수 있습니다.
IDS 대 방화벽
침입 탐지 시스템과 방화벽 은 모두 엔드포인트 또는 네트워크를 보호하기 위해 배포할 수 있는 사이버 보안 솔루션입니다. 그러나 목적이 크게 다릅니다.
IDS는 잠재적인 위협을 감지하고 경고를 생성하여 보안 운영 센터(SOC) 분석가 또는 사고 대응자가 잠재적인 사고를 조사하고 대응할 수 있도록 하는 수동 모니터링 디바이스입니다. IDS는 엔드포인트 또는 네트워크에 대한 실제 보호를 제공하지 않습니다. 반면에 방화벽은 보호 시스템 역할을 하도록 설계되었습니다. 네트워크 패킷의 메타데이터 분석을 수행하고 사전 정의된 규칙에 따라 트래픽을 허용하거나 차단합니다. 이렇게 하면 특정 유형의 트래픽 또는 프로토콜이 통과할 수 없는 경계가 생성됩니다.
방화벽은 능동 보호 디바이스이기 때문에 IDS라기보다는 IPS(Intrusion Prevention System) 에 가깝습니다. IPS는 IDS와 비슷하지만 단순히 경고를 발생시키는 대신 식별된 위협을 능동적으로 차단합니다. 이는 방화벽의 기능을 보완하며, 많은 차세대 방화벽(NGFW) 에는 IDS/IPS 기능이 통합되어 있습니다. 이를 통해 사전 정의된 필터링 규칙(방화벽)을 적용하고 보다 정교한 사이버 위협(IDS/IPS)을 탐지하고 대응할 수 있습니다. 여기에서 IPS 대 IDS 논쟁에 대해 자세히 알아보십시오.
IDS 솔루션 선택
IDS는 모든 조직의 사이버 보안 배포의 중요한 구성 요소입니다. 단순한 방화벽은 네트워크 보안의 기반을 제공하지만 많은 지능형 위협이 이를 통과할 수 있습니다. IDS는 추가 방어선을 추가하여 공격자가 탐지되지 않은 조직의 네트워크에 액세스하는 것을 더 어렵게 만듭니다.
IDS 솔루션을 선택할 때, 배포 시나리오를 신중하게 고려하는 것이 중요합니다. 어떤 경우에는 IDS가 작업에 가장 적합한 선택일 수 있는 반면, 다른 경우에는 IPS의 통합 보호가 더 나은 옵션일 수 있습니다. IDS/IPS 기능이 내장된 NGFW를 사용하면 통합 솔루션이 제공되어 위협 탐지 및 보안 관리가 간소화됩니다.
체크 포인트는 매우 낮은 오류율로 높은 수준의 위협 탐지를 제공하는 IDS 및 IPS 시스템을 개발하여 SOC 분석가와 사고 대응자가 실제 위협을 쉽게 식별할 수 있도록 하는 다년간의 경험을 보유하고 있습니다. IDS/IPS 기능이 통합된 NGFW가 작동하는 모습을 보려면 데모를 요청 하거나 질문이 있는 경우 당사에 문의하십시오 . 또한 이 웨비나에서 IoT 네트워크 및 디바이스에 대한 공격을 방지하는 방법에 대해 알아볼 수 있습니다.
피드백