□ 개요
회사에서 근무중에 KT에서 A 서버로 다량의 패킷 발생을 감지했다고 통보받았다. 이에 대하여 분석하라.
□ 내용
1. SRC IP가 차단되는 경우
A. SIEM으로 해당 A 서버접근 패킷에 대하여 확인해보니 보안장비에서 차단이 되고있었다.
- SRC IP 에서 A서버(메일 전송 시스템)으로 다량의 패킷 전송이 있었으나 보안장비에서 차단되었습니다. 라고 보고하자.
- 서버와 솔루션의 업데이트 상태가 최신인지 확인한다.
B. 만약에 A서버는 메일 전송 시스템이니 악성메일이 대량으로 유입된거 아니냐라고 서버의 기능으로 이야기를 하는 것은 CVE 공격을 말하는 것이다.
- 패킷이 발생했으나 보안장비에서 차단되어 A서버에 대한 CVE 공격인지 확인이 불가합니다. 라고 하자
- 서버와 솔루션의 업데이트 상태가 최신인지 확인한다. 그리고 취약점 발생가능성도 곁들여 보고하면 좋을 것 같다.
2. SRC IP가 차단이 되지 않는 경우
A. 차단하자
- DDoS 공격 및 CVE 공격의 가능성이 있다
- 서버와 솔루션의 업데이트 상태가 최신인지 확인한다.
□ 요약
미상의 패킷이 발생한다 -> 차단됨 -> CVE 공격을 염두 업데이트 상태 체크
미상의 패킷이 발생한다 -> 미차단됨 -> 서버 및 서비스 영향 확인 -> CVE 공격을 염두 서버 및 서비스 업데이트 상태 체크
□ 권고사항
정보보호 자산에 대하여 IP 접근통제를 철저히 실시한다
정보보호 자산에 대하여 최신 업데이트를 한다.