카테고리 없음

[정보보안] 비정상 트래픽 발생 이슈

TwoIceFish 2021. 4. 29. 10:59

□ 개요

회사에서 근무중에 KT에서 A 서버로 다량의 패킷 발생을 감지했다고 통보받았다. 이에 대하여 분석하라.

 

□ 내용

1. SRC IP가 차단되는 경우

A. SIEM으로 해당 A 서버접근 패킷에 대하여 확인해보니 보안장비에서 차단이 되고있었다.

- SRC IP 에서 A서버(메일 전송 시스템)으로 다량의 패킷 전송이 있었으나 보안장비에서 차단되었습니다. 라고 보고하자.

- 서버와 솔루션의 업데이트 상태가 최신인지 확인한다.

 

B. 만약에 A서버는 메일 전송 시스템이니 악성메일이 대량으로 유입된거 아니냐라고 서버의 기능으로 이야기를 하는 것은 CVE 공격을 말하는 것이다.

-  패킷이 발생했으나 보안장비에서 차단되어 A서버에 대한 CVE 공격인지 확인이 불가합니다. 라고 하자

- 서버와 솔루션의 업데이트 상태가 최신인지 확인한다. 그리고 취약점 발생가능성도 곁들여 보고하면 좋을 것 같다.

 

2. SRC IP가 차단이 되지 않는 경우

A. 차단하자

- DDoS 공격 및 CVE 공격의 가능성이 있다

- 서버와 솔루션의 업데이트 상태가 최신인지 확인한다.

 

 요약

미상의 패킷이 발생한다 -> 차단됨 -> CVE 공격을 염두 업데이트 상태 체크

미상의 패킷이 발생한다 -> 미차단됨 -> 서버 및 서비스 영향 확인 ->  CVE 공격을 염두 서버 및 서비스 업데이트 상태 체크

 

 권고사항

정보보호 자산에 대하여 IP 접근통제를 철저히 실시한다

정보보호 자산에 대하여 최신 업데이트를 한다.