요약
이번 회에서는 네트워크 분석과 네트워크 데이터 조작 방법에 대해 이야기 한다. 네트워크 시스템 생존 가능성 프로그램 (Networked Systems Survivability Program)은 일부 주요 조직과 상당히 광범위한 네트워크에서 데이터를 수집하고, 해당 네트워크의 보안 결정을 알리는데 도움이 되고 분석을 수행하는 네트워크 센서를 설치함으로써 확장해 나갔다.
2003 년 이래로 SEI는 네트워크 흐름 데이터를 수집하고 있다. 네트워크 흐름 데이터란 컴퓨터에서 다른 컴퓨터로 이동하는 네트워크를 통해 이동하는 트래픽 기록이다. 어디서 왔는지, 어디로 갈 것인지, 이동했는지, 얼마나 오래 되었는지 알려준다. 하지만, 데이터가 이동했는지만 알려주고 내용은 포함하지 않는다.
몇가지 이유로 네트워크 보안에 유용한데, 하나는 네트워크 흐름 데이터를 매우 간결하게 만들어서 매우 작은 공간에 기록한다. 그리고, 다양한 위협 분석이나 상황 정보를 이해하거나 다양한 분석을 수행 할 수 있는 지표 정보로 활용된다.
발신자가 이메일을 보내기 시작한 지 5 분 이내에 스팸 이메일의 출처를 확인할 수 있고, 롤링 블록을 수행하면 전송하는 소스를 차단하여 스팸의 75 % 정도를 차단할 수 있다. 정크 메일과 같은 것이 아니라 실제 IP 주소로 할 수 있다. 네트워크 흐름은 매우 강력한 데이터 소스이다.
앞에서 콘텐츠가 없다는 장점에 대해 이야기했는데, 단점도 있다. SQL 인젝션처럼 데이터를 공격하는 경우 내용을 보지 못하기 때문에 안된다는 것을 알려주지 않는다.
대규모 조직을 다루는 경우 실제로 네트워크를 통해 많은 데이터가 이동한다. 출발점에서 보고있는 것을 일반화하고 확장해 이러한 현상을 이해하는 데 관련된 모든 원인을 포착 할 수 있어야 한다. 즉, 새로운 서비스를 사용할 때, 새로운 서비스를 보호하기위한 보안 조치에 대해 생각해야 한다. 아니면, 악의적인 공격이 발생할 수 있다.