SharedIT | 묻고 답하기(AMP)

내부 특정 IP 부정행위 탐지 방법



안녕하세요 선배님~~

내부 특정 의심IP로 부터 부정행위가 일어나는걸 탐지할 수 있는 방법이 있을까요?

해당 직원은 계약직으로 입사 후 알게되었지만 전근무지에서도 해킹 관련 행위로 퇴사 조치를 받은걸 알았습니다.

저희 회사에는 SECUI MF2 장비를 가지고 있는데요

이 장비를 가지고 해당 직원의 부정을 탐지할 수 있는 방법이 있을까요??


도움 부탁드립니다..

Tags : 태그가 없습니다.

7개의 답변이 있습니다.

Andrew Gil
  0 추천 | 5년 이하 전

전직장에서의 퇴사 사유를 알고있는건 일반적이지가 않긴 한데

그런사유를 알고있는데도 퇴사조치 하지 않는다는건 의아하네요;;

내부 보안을 강화해야할듯. 그사람 PC 만이라도요..

wansoo
  0 추천 | 5년 이하 전

어떤 부정적인 행위를 탐지 하려는지에 따라 차이가 있을 것 같네요.

이상한 인터넷 사이트라든지, 취업 사이트, 등등의 인터넷 접근 관련된 부정적인 행위를 탐지하고 싶다면 방화벽 등의 트래픽이 지나가는 게이트웨이 장비의 트래픽들을 캡쳐해서 탐지하면 되겠고요.

내부 서버에서 자료를 추출해서 USB에 담아 간다 든지 하는 등의 부정행위를 탐지하려한다면 해당 서버의 접근한 트래픽 정보 기반으로 탐지해 봐야 할 것 같아 보이고요.


해당 PC 내에서만 일어 나는 부정 행위라면 PC에서 액션이 일어 날때마다 스크린을 계속 캡쳐해서 기록하는 솔루션을 이용해야 할 같은데... 원격 제어 솔루션이나 해킹 툴과 유사한 솔루션을 이용해야 할 것으로 보이고요.


일반적인 관점에서 본다면 DLP ( 자료 유출 방지 솔루션 ) 솔루션을 이용하여 해당 PC에서 일어나는 다양한 자료 유출 행위등을 차단/감시 등을 할 수 있을 것 같아 보이고요.

차바라기
  0 추천 | 5년 이하 전

의심이되는 부분이 있으면 일단 로그를 가지고 있으세요 그리고 꾸준히 모니터링 해서 문제가 되면 사내 감사를 통해서 적발을 해야 겠죠

Genghis Khan
  0 추천 | 5년 이하 전

내부 특정 의심IP로 부터 부정행위를 한 친구가 있어

Paloalto IPS 에서  IP및 해당 port traffic filter 추적하여 잡았다  " 요놈" 했네요

Secui MF2 에서 내부사용자 트래픽 분석을 할수 있네요

업체 유지보수 되었있음 확인요청 하시면 되겠습니다.



werther.chan | 5년 이하 전

차세대 방화벽 데모하면서 Paloalto 제품을 알아봤었는데.. 기능 좋은것이 많나봐요?~ 가격만큼 성능이 우수한..ㅎㅎ

Genghis Khan | 5년 이하 전

운영면에선 정말 좋은 놈입니다. 그러나 저흰 기본 기능만 사용하고 있어요 ㅋ 좀더 효율적으로 사용할수 있으나 모듈 형태이다 보니 비용이 많이 드네요
danis78
  0 추천 | 5년 이하 전 | 제이컴즈 | 010-2871-8756

참 이게 어려운 미션인 게 그 직원분의 pc 를 모니터링 하면

자칫 개인 프라이버시 침해의 소지가 있습니다.

그 사람은 아무런 액션도 한 게 없는데 잠재적 범죄자 취급해서

개인 사찰을 한 거랑 마찬가지이죠.

그래서 보안을 위한 모니터링과 개인 프라이버시 침해의 경계선에서 아슬 아슬하게

줄타기를 해야죠. 외부로 자료를 보내는 것 까지는 회사 보안 때문에

모니터링 한다고 쳐도 개인이 그냥 업무를 보는 것 까지 모두 다 감시할 수는 없죠.


동민0992 | 5년 이하 전

그러게요 ㅠ 침해 관련 생각도 했었는데요.. 쉽지 않네요 ㅠ Pc에서 쓸수있는 프로그램 정할수만있어도 좋겠는데 회사 돈이 없어서 ㅠ 답변 감사합니다

leave car | 4년 이상 전

SECUI MF2의 소개자료를 보면 Application Control 기능이 포함되어 있습니다. 사용 가능한 프로그램을 네트워크단에서 제어할 수 있을 것으로 보이는데 SECUI 쪽으로 문의해보셔요. DLP 기능도 포함되어 있어 Endpoint단에서 행위 자체에 대한 탐지까지는 어렵겠지만 특정 내부 자료의 네트워크를 통한 유출은 일정 부분 막을 수 있을 것으로 보입니다.
미생
  0 추천 | 5년 이하 전

로그를 기반으로 사후대처나 감찰을 통한 처리는 가능할 듯 보이나 사전탐지를 할 수 있을 상황은 아닐것으로 보입니다.

정상적인 행동과 비정상적인 행동을 구분이 그렇게 쉽게 될 보안이 아니죠.. ㅠㅠ

동민0992 | 5년 이하 전

네ㅠ 해야할일도 많은데 신경쓰여서 죽겠네요 ㅠ

동민0992 | 5년 이하 전

네ㅠ 해야할일도 많은데 신경쓰여서 죽겠네요 ㅠ답변 감사합니다
빨간신발
  0 추천 | 5년 이하 전

보유하고 있는 UTM을 거쳐가는 패킷이라면 UTM 설정을 통해서 어느정도 필터는 가능하겠지만...

UTM을 거치지 않는 내부에 대한 행위라면?

제일 쉬운 거 해당 직원 포트에 UTM 물리면.. 장비가 한두푼도 아니고....

패킷 미러떠서 일일이 분석을 할 수도 없고....

UTM에서 해당 직원 IP에 대해서 최대한 많은 로그를 남기시고 나중에 문제가 발생하면 근거로 활요하는 건 어떨까요? 그리고 자주 모니터링 하세요..

동민0992 | 5년 이하 전

월욜 출근하면 업체 통해서 최대한 확인 할 수맀는방법을 찾아봐야겠네요 ㅠ 답변 감사합니다