는데도 많은 노력이 필요하다. 또한 중앙 집중적인 보안 제품 관리 방안이 없다면 기업 보안 정책 수행에 대한 점검이 쉽지 않을 것이다.
이러한 상황을 해결하고 효과적인 보안 시스템의 운영을 위해서는 포인트 보안 제품을 통합 관리하며 각 보안제품에서 제공하는 정보들을 취합해 상호 관련성을 정의하여 관리자에게 중요한 정보를 알려주는 확장성 있는 이벤트 관리 플랫폼의 도입이 필요하다. 통합 보안이벤트 관리시스템 또는 통합 보안관제시스템이 그것이다. 통합 보안이벤트 관리시스템은 다음의 기능들을 제공해야 한다.
△여러 벤더의 보안 기술 제품을 통합해 포괄적인 보안 관리 기능을 제공해야 한다.
△방화벽, 안티바이러스, 침입탐지시스템, 웹 서버 보안 툴 등에서 발생하는 이벤트와 경보를 중앙에서 저장하고 관리할 수 있어야 한다.
△다양한 보안 제품으로부터 받는 정보간에 Correlation이 가능해야 한다. Correlation 기능은 경고 메시지간의 상호 체크를 하며 별로 중요하지 않은 정보를 줄일 수 있다. 시스템 관리자가 다양한 유형의 위협과 공격을 정확하게 확인함으로써 침입 유형을 확인하고 혼란을 방지하며 잘못된 경보를 줄이고 실제 보안 위협을 신속하게 확인해 빠르게 대처할 수 있도록 해야 한다.
△다량의 이벤트를 처리하고 제어할 수 있는 성능과 대규모 환경에서 사용 가능한 유연성과 확장성을 제공해야 한다.
△사용이 용이한 중앙 콘솔을 제공해 기업 전체의 위급한 상황을 감시하고 관리할 수 있어야 한다.
△보안 관리자가 발생하는 보안 이벤트에 대해 자동 조치를 취할 수 있도록 대응 정책을 세우고 적용할 수 있도록 해야 한다.
△각 보안 제품의 수행 상태를 점검하고 확인할 수 있어야 한다.
솔루션 예: Tivoli SecureWay Risk Manager
Tivoli SecureWay Risk Manager는 기업의 전사적 위험관리에 대한 요구 사항을 만족시키는 솔루션이다. Tivoli Secure
Way Risk Manager는 다양한 보안 기술 및 제품으로부터 발생하는 이벤트와 경보를 correlation하고 모니터링해 단일 콘솔, 즉 티볼리 통합 이벤트 콘솔(Tivoli Enterprise Console)에서 관리할 수 있도록 하는 통합 보안관제시스템이다. Tivoli SecureWay Risk Manager에서 제공하는 상호 작용 기술(correlation)을 사용해 수천가지의 위험을 종합하고 요약해 혼란과 중복을 줄일 수 있기 때문에 잘못된 위험 경보를 최소화 할 수 있으며 자동화된 대응 작업을 수행할 수 있도록 도와주고 이벤트 히스토리에 대한 분석 리포트를 제공한다.
Tivoli SecureWay Risk Manager의 특징은 다음과 같다.
△중앙집중식 보안 관리 정책 정의, 적용 기능: Tivoli SecureWay Risk Manager는 보안 관리자가 중앙에서 누가 어떤 대상을 어떻게 지원할 수 있는지 결정하고 정책을 관리할 수 있도록 한다. 관리자는 각 분야별로 역할을 지정하고 역할은 관리자가 수행할 수 있는 운영의 수준을 제한 할 수 있다.
△Tivoli Enterprise Console기반의 통합 이벤트 콘솔 기능: Tivoli Enterprise Console은 기업 전체에서 중앙화된 이벤트 관리를 할 수 있는 강력한 플랫폼이다. 분산된 이벤트 소스에서 생성된 이벤트는 관계형 데이터베이스에 저장되며 시스템 관리자는 티볼리 데스크톱 콘솔을 사용해 다양한 관리 애플리케이션으로부터 전송되는 이벤트를 관리한다. TEC은 서로 다른 관리 정보를 이벤트 처리를 위한 공통 모델에 수집하고 통합하며 중앙 운영 뷰를 제공한다. 처리되는 이벤트의 유형에는 이벤트 상호 연결, 필터링, 중복 제거, 우선 순위 부여, 통합 등이 있다.
△AIM을 이용한 확장성 제공: 대규모 보안 시스템 이벤트 관리를 위해 AIM(Availability Intermediate Manager)를 이용한 다계층 이벤트 관리서버 기능을 제공한다. AIM의 사용으로 이벤트 스트림에 대한 뛰어난 유연성과 확장성을 제공하기 때문에 대역폭 사용 및 이벤트 플로우, 이벤트 폭주에 대한 보호기능이 향상돼 분산형 정보 환경을 유지하고 제어할 수 있다.
△다양한 보안 기술 및 제품의 수용: Tivoli SecureWay Risk Manager는 방화벽, 라우터, 안티바이러
스, 침입탐지시스템, 서버, 애플리케이션 서버, 웹서버의 보안 관련 이벤트에 대한 통합 관리가 기능을 제공한다. 기본적으로 제공되는 각 제품에 해당하는 이벤트 어뎁터가 있지만 이외의 새로운 제품에 대한 이벤트 소스는 툴킷으로 쉽게 통합 할 수 있다.
△기업 위험관리를 위한 상호 연결 기능 제공: Tivoli SecureWay Risk Manager에서 제공하는 correlation 기능은 경고 메시지간의 상호 체크를 하며 별로 중요하지 않은 정보를 줄일 수 있다. 시스템 관리자가 다양한 유형의 위협과 공격을 정확하게 확인함으로써 침입 유형을 확인하고 혼란을 방지하고 잘못된 경보를 줄이고 실제 보안 위협을 신속하게 확인해 빠르게 대처할 수 있도록 도와준다.
△기업 위험관리를 위한 의사 결정 지원: Tivoli Decision Support를 사용해 보안 이벤트에 대한 히스토리 관리 및 분석 기능을 제공해 기업이 위협, 공격 및 침입에서 발생하는 비즈니스 위험을 이해하고, 해석하고 명시할 수 있도록 지원한다.
△자동 조치 기능: 시스템 관리자가 특정한 보안 이벤트에 대해 자동 조치를 취할 수 있도록 정책을 세우고 정의하는 기능을 제공한다.
전사적 조망 필요한 시점
기업들이 전통적인 비즈니스 모델에서 개방된 인터넷 환경의 e-비즈니스 모델로 전환함에 따라 기업의 정보 자산에 대한 위험관리의 필요성이 커지고 효과적인 보안 관리 체제가 절실하게 요구되고 있다. e-비즈니스 자원을 안전하게 보호하고 비즈니스를 성공적으로 이끌기 위해서는 기업의 보안 제품에 대한 통합 관리와 보안에 대한 전사적인 조망이 필요하다. 자사의 보안 정책과 시스템이 일부 국부적인 보안 기술과 기능 수용에만 초점이 맞추어져 있지 않은지 다시 한번 점검해 볼 때이다.