InfoCenter의 개발 배경
- 보안정보 및 이벤트 관리(Security Information and Event Management, 이하 SIEM)와 통합보안관리(Enterprise Security Management, 이하 ESM) 등의 솔루션이 포함된 '보안 및 취약점 관리' 시장이 약 13%대의 성장세를 기록해 가장 큰 폭으로 성장했는데, 이는 초기 APT 방어를 위한 대안 중 하나로 SIEM 솔루션이 주목을 받으면서 기업들의 관련 투자가 늘어난 것으로 분석됩니다. 현재 보안 정보 관리시스템은 통계형 데이터를 이용한 위험 관리를 넘어 Machine Learning 기법 을 이용하여 데이터를 분석하고 위험을 예측하는 기술과 Profilling기법의 도입을 통하여 더욱 더 정교해지고 지능적으로 변화 해 가고 있습니다.
- SEIM 도입시장의 활성
- AI(Machine Learning) 기술의 도입
- Information Profilling 기법의 도입
- 정보 프로파일링(Information Profilling)은 제한된 정보 내에서 가설과 추론을 통해 전체적으로 의미 있는 이슈(issue)와 KSF(Key Success Factors)를 도출하는 정보 조사, 분석, 설계 기법을 말한다. 미국의 유명 컨설팅 기업에서는 신입사원과 중급 비지니스맨들의 경쟁력 강화를 위해 다양한 정보프로파일링 기법과 툴 교육을 강화하고 있다.
- 내부기밀 정보의 유출은 현재 매우 중요한 보안 이슈이며 관리자나 보안시스템만의 기능으로 모든보안에 대한 문제를 해결 할 수 없습니다.보안로그의 통합관리 SIEM(Security Information & Event Management)은 가트너에 의하여 2015년 최초 도입되었으며 현재까지 많은 Solution들이 등장 하였으며 초기에는 보안장비(방화벽,네트워크) 로그를 중심으로 ESM(Enterprise Security Management)형태로 도입 되었습니다.
시스템 구성도
- InfoCenter는 대상 시스템의 로그 사이즈와 보관기간에 따라 서버를 분리하여 구성하거나 통합하여 구성이 가능합니다.
InfoCenter 구성도
- InfoCenter는 비정규화된 다양한 시스템의 정보를 단일키(사용자,IP,MAC,UUID) 기반의 정보로 체계화(정규화) 하고 지표를 추출하여 시나리오 설정 등을 통한 이벤트를 생성 합니다.