IDS란 무엇일까?

✏️ 침입 탐지 시스템의 정의

• 네트워크 트래픽과 디바이스에서 알려진 악성 활동, 의심스러운 활동 또는 보안 정책 위반이 있는지 모니터링하는 네트워크 보안 툴
• 중앙 집중식 보안 툴

기능

• 보안 관리자에게 알려진 위협 또는 잠재적 위협을 경고
• 경고를 보내 다른 소스의 데이터와 결합함
• 보안 팀이 다른 보안 조치로 놓칠 수 있는 사이버 위협을 식별하고 대응할 수 있도록 지원함
• 네트워크 위협 탐지를 가속화하고 자동화

중앙 집중식 보안 툴의 또 다른 예

• 보안 정보 및 이벤트 관리(SIEM) 시스템

IDS의 특징

• 규정 준수 노력 지원 가능
• 지불 카드 산업 데이터 보안 표준(PCI-DSS)과 같은 특정 규정에서는 조직이 침입 탐지 조치를 구현하도록 요구합니다.
• 자체적으로 보안 위협을 차단할 수는 없음

오늘날 IDS 기능

• 일반적으로 보안 위협을 탐지
• 침입 방지 시스템(IPS)과 통합되어있음
• 침입 방지 시스템 : 보안위협을 방지하기 위한 조치를 자동으로 취할 수 있는 시스템

침입 방지 시스템(IDS)의 유형

• IDS는 시스템 내 배치 위치와 모니터링하는 활동의 종류에 따라 분류

네트워크 침입 탐지 시스템(NIDS)

• 네트워크 전반의 디바이스에 대한 인바운드 및 아웃바운드 트래픽을 모니터링
• NID는 네트워크의 전략적 지점에 배치
• NID는 침입하는 악성 트래픽에 플래그를 지정할 수 있도록 네트워크 경계의 방화벽 바로 다음에 위치하는 경우가 많음
• NIDS는 내부자 위협이나 사용자 계정을 가로챈 해커를 잡기 위해 네트워크 내부에 배치될 수도 있음
• 예를 들어 NIDS는 서브넷 간에 흐르는 트래픽을 모니터링하기 위해 분할된 네트워크의 각 내부 방화벽 뒤에 배치 기능
• 합법적인 트래픽의 흐름을 방해하지 않기 위해 NIDS는 종종 "대역 외"로 배치
• 트래픽이 직접 통과하지 않음을 의미
• NIDS는 패킷 자체가 아닌 네트워크 패킷의 복사본을 분석
• 이렇게 하면 합법적인 트래픽은 분석을 기다릴 필요가 없음
• 하지만 NIDS는 여전히 악성 트래픽을 포착하고 플래그를 지정 가능

호스트 침입 탐지 시스템 (HIDS)

• 랩톱, 라우터 또는 서버와 같은 특정 엔드포인트에 설치
• HIDS는 해당 디바이스로 들어오고 나가는 트래픽을 포함하여 해당 디바이스의 활동만 모니터링
• HIDS는 일반적으로 중요한 운영 체제 파일의 스냅샷을 주기적으로 생성하고 시간 경과에 따라 이러한 스냅샷을 비교하는 방식으로 작동
• HIDS에서 로그 파일 편집 또는 구성 변경과 같은 변경 사항을 발견하면 보안 팀에 알림

네트워크 기반 침입 탐지 시스템과 호스트 기반 침입 탐지 시스템의 특징

• 보안 팀은 네트워크 기반 침입 탐지 시스템과 호스트 기반 침입 탐지 시스템을 결합하는 경우가 많음
• NIDS는 전반적인 트래픽을 살핌
• HIDS는 고부가가치 자산에 대한 추가 보호를 추가 가능
• HIDS는 손상된 네트워크 노드에서 발생하는 악성 활동을 탐지하는 데 도움
  • (예) 손상된 네트워크 노드의 예 - 감염된 디바이스에서 확산되는 랜섬웨어
• NIDS와 HIDS가 가장 일반적
• 보안 팀은 특수 목적으로 다른 IDS를 사용 가능

프로토콜 기반 IDS(PIDS)

• 서버와 디바이스 간의 연결 프로토콜을 모니터링
• PIDS는 HTTP 또는 HTTPS 연결을 모니터링하기 위해 웹 서버에 배치되는 경우가 많음

애플리케이션 프로토콜 기반 IDS(APIDS)

• 애플리케이션 계층에서 작동하여 애플리케이션별 프로토콜을 모니터링
• APIDS는 종종 SQL 인젝션을 탐지하기 위해 웹 서버와 SQL 데이터베이스 사이에 배포되는 경우가 많음

✅ 참고자료

호스트 기반 침입 방지 시스템(HIPS)
정보통신용어사전 - 호스트 기반 침입 방지 시스템(HIPS)
침입 탐지 시스템(IDS)이란 무엇인가요?