S-19: 이상징후 탐지 모니터링 수행
분류: Security Equipment
중요도: 상
개요
점검 내용
보안 장비에 이상징후 탐지 모니터링을 수행하고 있는지 점검
점검 목적
이상징후가 탐지되는 경우 사고 예방 및 신속한 조치를 이행하기 위함
보안 위협
이상징후 탐지 모니터링을 수행하지 않을 경우, 보안 사고를 미리 방지할 수 없는 위험이 존재함
참고
보안 사고 미연 방지 및 IT 컴플라이언스 준수
- 예시 1) 휴일 또는 업무 시간 이외에 비정상적인 패턴으로 중요 문서 또는 고객 정보 DB에 접근한다면 정보 유출 징후가 있다고 판단 가능
- 예시 2) 퇴사 징후가 의심되는 직원이 휴일이나 업무 시간 외에 비정상적으로 중요 문서나 고객 DB에 접근하는 경우 정보 유출 가능성이 커 이를 사전에 탐지하고 예방할 수 있음
점검 대상 및 판단 기준
대상
방화벽, VPN, IDS, IPS, Anti-DDoS, 웹 방화벽 등
판단 기준
✅ 양호: 이상징후 탐지 모니터링을 수행하고 있는 경우
❌ 취약: 이상징후 탐지 모니터링을 수행하고 있지 않은 경우
조치 방법
이상징후 탐지 시 담당자/관리자가 즉시 확인할 수 있도록 모니터링 수행
조치 시 영향
일반적인 경우 영향 없음
점검 및 조치 사례
공통
- 보안 장비의 이상징후 탐지 모니터링 기능(알람, 이메일, SMS 등)이 설정되어 담당자가 즉시 인지할 방안이 있는지를 점검
- 장비 자체 기능 대신 Syslog를 통해 모니터링 시스템으로 전송하는 경우, 해당 시스템의 모니터링 기능 설정 여부를 점검
- 보안 장비 이상징후에 대해 실시간 모니터링 실시 [ 보안 장비 모니터링 ]