ESM은 전사적으로 일관적인 보안정책을 기반으로 관리 및 보안성을 향상시키기 위한 보안관제, 운영 및 관리를 지원하는 통합보안 관리체계입니다. 유사한 SIEM 기술과 비교하여 특징 및 장단점에 대해서 알아보겠습니다.
ESM 개념 (Enterprise Security Management)
ESM은 아래 그림과 같이 방화벽, 라우트와 같은 각종 네트워크에서 이벤트를 취합하는 Agetnt와 Manager 그리고 이를 모니터링 및 분석하는 Console로 구성됩니다. 즉, ESM은 이런 다양한 기업 내 네트워크 장비의 로그와 이벤트를 중앙에서 통합관리하는 시스템입니다.
기업에서는 IT 정보 보안을 통제하고 모니터링 하는 방법으로 다양한 ESM 솔루션을 사용하며, 관리 예방적 측면에서 SIEM이 보다 발전된 방법의 하나입니다.
구성요소
ESM의 각 구성요소인 Agent, Manager, Console의 기능을 자세히 알아보겠습니다.
구성요소 | 기능 |
Agent | 사전 정의된 규칙에 따라 각 장비등에서 이벤트의 수집하고 통제정책을 일괄반영하는 기능 |
Manager | Agent가 전달하는 각 장비의 로그 및 Event를 분석하고 저장. 그리고 관리자가 확인할 수 있도록 Console에 리포트하는 기능 |
Console | 취합된 보안 로그를 시각적인 정보로 전달 및 분석할 수 있는 도구로서, 다양한 규칙을 Manager로 전달. |
ESM vs SIEM 차이점
ESM이 단기간의 장애관리 관점의 솔루션이었다면 SIEM (Security Information and Event Management)는 여러 보안 데이터를 빅데이터 관점에서 장기간 수집하여 심층적인 분석이 가능한 솔루션입니다. SIEM은 이제 기업의 필수 보안솔루션의 하나로 자리잡았습니다. 대표적인 솔루션에 대해서는 아래의 정보를 참고 바랍니다.
이 외에 다양한 ESM, SIEM 솔루션의 종류별 특징은 아래 글에서 자세히 살펴보겠습니다.
ESM | SIEM | |
주요 목적 | 보안 위협 발생 시 대응 및 시스템 가용성 관리 | 지능화, 고도화, 신종 보안위협의 대응 (APT 공격 등)대용량 데이터의 심층분석 |
탐지방법 | IP, 포트기반 탐지단순 패턴 및 알려진 공격에 대한 분석 및 대응 | 패킷의 문맥 및 프로토콜 레벨의 분석 및 탐지알려지지 않은 공격의 탐지 및 장기간 범위 데이터 분석 |
성능 | 오탐지 과탐지가 상대적으로 많음. 이벤트 기반 분석의 한계점 | 탐지 정확도가 비교적 높음 |
SIEM 솔루션
SIEM은 ESM의 단점을 보완한 것으로 2015년 가트너에서 처음 도입된 개념입니다. 이는 외부망의 경계점부터 최종 엔드포인트 사용자까지 네트워크 범위의 로그를 수집, 저장, 분석하는 기능을 가집니다. (아래 참고)
위의 그림은 SIEM의 구성도를 나타낸 것입니다. syslog나 SNMP를 이용해 로그 및 이벤트를 모아 좌측의 Collector에 실시간 취합-분석-관리-알림을 수행하는 SIEM에 해당합니다.
따라서 이처럼 SIEM을 사용하는 환경에서 공격이 발생한다면 방화벽, 서버, 호스트까지 모든 IT 구성요소에 대한 실시간 로그분석 및 취약점 대응이 가능합니다.
주요기능
주요 기능을 요약하면 ‘다양한 IT 솔루션의 이벤트와 로그를 실시간으로 분석하여 직관적으로 가시화’하는 기능으로 말할 수 있습니다.
주요 기능 | 설명 |
데이터 통합 | 여러 IT 보안 솔루션에서 발생한 이벤트를 수집하고 변환합니다. (SNMP, syslog 활용) |
데이터 분석 | 수집한 데이터들의 상관관계를 분석하는 기능을 제공 (로그분류 및 분석) |
대시보드 | 분석된 결과를 이벤트 기반으로 표시하는 듯 분석자에게 유용한 정보를 표시하는 기능 |
장점
SIEM 솔루션을 도입함으로써 얻을 수 있는 장점은 다음과 같습니다.
- 방대한 데이터의 수집만 분석이 자동화되어 효율적이다
- 일반적인 보안 이슈에 대한 표준화된 리포트를 제공한다. (아래 대시보드 이미지 참고)
- 경보와 알림으로 최소 지연으로 이슈를 인지하고 대응할 수 있도록 한다.
- 비정상, 이상행동을 탐지하여 분석 및 대응에 필요한 시간을 획기적으로 단축
단점
SIEM의 보안 위협의 탐지 및 모니터링 효율성을 높여주지만 다음과 같은 단점도 있으므로 참고 바랍니다.
- 규모와 사용처에 따라 가격이 천차만별이다. (아래 대표적 SIEM 솔루션 참고)
- 주기적 자동 알림, 경고로 지속해서 파악하는데 피로감이 들 수 있다.
솔루션
이와 관련된 대표적인 기업의 솔루션은 다음과 같습니다. 혹시 도입 예정이거나 관심이 있으신 경우 참고하시면 되겠습니다.
- HP 아크사이트(ArcSight) : 대표적으로 널리 쓰이는 SIEM 솔루션중에 하나
- IBM Qrader 솔루션: 지능형 보안분석 SIEM 솔루션
- 스플렁크 솔루션: 클라우드 보안 통합 지원
- 시큐레이어 eyeCloudSIM: 통합보안관제 솔루션 제공
이상으로 ESM 개념 및 SIEM 차이점을 특징과 장단점 기준으로 비교해보았습니다.