통합된 포괄적인 IDPS로 보안 위험을 방지하세요 SASE

Secure Access Service Edge 영역 내에서(SASE), 침입 탐지 및 예방 시스템(IDPS)의 통합은 거의 보편적입니다. 그 역할은 단순히 알려진 공격을 저지하는 것 이상으로 확장되어 포괄적인 보호 계층을 제공하는 IOC(손상 지표)에 대한 경계 감시자 역할을 합니다. 심지어 IDPS가 보안 침해 지표 및 공격 지표에 더 많이 사용되고 있다고 주장하고 싶습니다. 조직의 최근 과거.

IDPS의 힘은 네트워크 트래픽에 대한 풍부한 통찰력을 제공하는 능력에 있습니다. 이는 연결의 5-튜플과 같은 연결 메타데이터를 추출할 뿐만 아니라 다양한 프로토콜 필드의 미묘한 세부 정보도 조사합니다. 이러한 추출 깊이는 네트워크를 통과하는 데이터의 특성에 대한 귀중한 정보를 제공하여 상황 인식을 향상시킵니다.

IDPS는 다양한 방법을 사용하여 네트워크 보안을 강화합니다. 시그니처 기반 탐지 방법을 통해 알려진 익스플로잇과 악성 코드를 능숙하게 탐지하고 차단합니다. 또한 불규칙한 패킷이나 스트림 패턴을 식별할 수 있는 규칙을 사용하여 변칙적인 데이터로부터 보호합니다. 이러한 규칙은 비정상적인 프로토콜 속성 크기와 예상치 못한 프로토콜 값 동작을 포함하도록 범위를 확장합니다.

IDPS의 기능과 보안 효율성은 SASE 뼈대 서비스 제공업체마다 약간의 차이가 있을 수 있지만 일반적으로 타사 위협 인텔리전스 공급업체에서 제공하는 시그니처 데이터베이스를 활용하므로 핵심 기능은 대체로 유사합니다. 또한 IDPS 기술은 공격자가 사용하는 다양한 회피 기술에도 불구하고 유사한 기능을 성숙하고 개발했습니다. 내 평가에 따르면 공급자 간의 주요 차이점은 관찰 가능성 영역과 오탐 및 오탐 최소화에 중점을 두고 위협 사냥을 위해 제공하는 기능에 있습니다.

이 문서의 목적은 IDPS 기능 차별화를 탐구하는 것이 아닙니다. SASE 서비스. 오히려 IDPS 기능이 실행되는 패킷 경로 내의 정확한 지점을 탐색하려고 합니다. SASE 서비스 및 이러한 삽입 지점이 원래 트래픽 내에서 공격 패턴을 효과적으로 탐지하는지 여부를 확인합니다.

Secure Access Service Edge 내의 프록시 수준에서 IDPS(침입 감지 및 방지 시스템) 기능을 통합한다는 관점이 있습니다(SASE) 서비스로 충분합니다. 그 근거는 많은 조직이 이미 일반 트래픽에 대한 침입 탐지를 위해 OnPrem IDPS를 사용하고 있다는 사실에서 비롯됩니다. OnPrem IDPS의 주요 과제는 TLS로 암호화된 트래픽을 검사할 수 없다는 것입니다. 을 고려하면 SASE 프록시는 MITM(Man-in-the-Middle) TLS 검사를 수행하여 암호화되지 않은 트래픽에 대한 액세스 권한을 얻습니다. 따라서 프록시에 IDPS 삽입 지점을 두는 것이 적절하다고 생각됩니다.

더욱이 일부에서는 상당수의 시스템이 네트워크 수준(L3/L4) 및 TLS 수준 공격에 대해 적절하게 패치를 적용했다고 주장합니다. 이에 대응하여 공격자들은 애플리케이션(L7) 및 데이터 수준에서 보다 정교한 전술을 사용하는 쪽으로 초점을 전환했습니다. 결과적으로, 네트워크 내의 프록시 수준 이상으로 IDPS 기능을 확장하지 않는 것이 정당하다는 통념이 널리 퍼져 있습니다. 그러나 이 주장이 모든 경우에 적용되는 것은 아닙니다. 오래되고 자주 업데이트되지 않는 운영 체제에서 계속 작동하는 IoT 장치를 고려하십시오. 이러한 장치는 광범위한 공격에 취약할 수 있으므로 포괄적인 보안 접근 방식이 필요합니다.

많은 사람들도 그 사실을 인정한다. SASE 서비스는 모든 네트워크 트래픽에 대한 철저한 검사를 보장하기 위해 프록시 및 L3 수준 모두에서 IDPS를 통합할 것으로 예상됩니다. 포괄적인 공격 탐지를 달성하려면 앞에서 설명한 것처럼 IDPS 기능을 프록시 수준뿐만 아니라 프록시 수준에서도 적용해야 합니다. WAN 트래픽이 인터넷으로 들어오고 나가는 트래픽용으로 지정된 인터페이스에 들어오고 나가는 인터페이스 수준입니다. 이 접근 방식은 프록시 수준에서만 IDPS를 배포하는 것보다 개선되었지만 문제가 발생합니다. 트래픽이 프록시를 통해 흐르는 경우 IDPS는 세션의 양방향에서 원래 트래픽을 확인하지 못할 수 있습니다. 프록시는 일반적으로 연결을 종료하고 새 연결을 설정합니다. 현지에 의존하기 때문에 TCP/IP 스택, 원래 패킷을 재조립하고 순서를 다시 지정합니다. TCP 데이터, IP 재생성/TCP 옵션을 선택하고 TLS 핸드셰이크 메시지를 다시 생성합니다. 결과적으로, IDPS는 WAN 인터페이스 수준에서는 내부 네트워크에서 발생하는 원래 트래픽에 대한 가시성이 부족하여 잠재적으로 원래 트래픽의 일부였던 공격 패턴을 간과할 수 있습니다.

공격자가 항상 외부에 있지 않을 수도 있다는 점은 주목할 가치가 있습니다. 내부 공격자가 있을 수도 있습니다. 또한 이전 맬웨어 감염으로 인해 내부 시스템에서 공격이 시작될 수도 있습니다. 따라서 효과적인 위협 탐지 및 예방을 위해서는 IDPS가 양방향에서 원래 트래픽을 일관되게 관찰하도록 하는 것이 중요합니다.

찾으라 SASE 여러 IDPS 삽입 지점이 있는 서비스

우리는 옹호한다 SASE 동시에 활성화된 여러 지점에 IDPS를 삽입할 수 있는 유연성을 제공하는 서비스입니다. 조직은 각 L3 인터페이스와 프록시 수준에서 IDPS를 배포할지 여부를 자유롭게 선택할 수 있어야 합니다. 이 접근 방식을 사용하면 트래픽이 TLS로 암호화되고 프록시를 통과하는 경우에도 IDPS가 세션의 클라이언트 및 서버 끝점 모두에서 원래 트래픽을 검사할 수 있습니다.

또한, 조직은 적극적으로 다음을 검색해야 합니다. SASE 여러 삽입 지점으로 인해 발생하는 중복된 경고 및 로그 생성을 방지하는 서비스입니다. 예를 들어 프록시를 통과하지 않고 여러 L3 인터페이스를 통과하는 트래픽(한 인터페이스에서 수신되고 다른 인터페이스를 통해 전송됨)은 두 개의 IDPS 인스턴스에서 확인될 수 있으며 이로 인해 경고 및 로그가 중복될 가능성이 있습니다. 조직에서는 로그의 중복을 최소화하여 이미 보안 기능에서 생성된 대량의 로그로 인해 어려움을 겪고 있는 관리 인력의 과잉을 방지하는 것이 좋습니다. 이상적으로는, SASE 서비스는 트래픽 세션별로 인텔리전스를 표시해야 하며, 트래픽 수정이 내부에서 발생하지 않는 경우 중복 IDPS 기능 실행을 지능적으로 방지해야 합니다. SASE 서비스를 제공합니다.

또한 조직은 특정 트래픽 세션에 대해 다양한 IDPS 인스턴스를 포함한 여러 보안 기능에서 생성된 로그의 상관 관계를 가능하게 하는 솔루션을 찾아야 합니다. 이러한 상관 관계는 보안 이벤트 매핑을 단순화하여 관찰 가능성을 향상하고 위협 사냥꾼의 작업을 간소화하는 데 도움이 됩니다.

IDPS의 컴퓨팅 집약적인 특성을 인식하여 조직은 가능한 한 리소스를 보존하기 위해 노력해야 합니다. 예를 들어 조직에서 이미 HIDS(호스트 IDS) 또는 온프레미스 IDPS를 사용하고 있는 경우 특정 유형의 트래픽에 대해 특정 인스턴스의 IDPS 비활성화에 대한 제어를 유지하려고 할 수 있습니다. SASE 정책 기반 IDPS 조정을 제공하는 서비스를 통해 조직은 조직 내의 다양한 IDPS 인스턴스에서 검사를 받아야 하는 트래픽을 지정할 수 있습니다. SASE 뼈대.

요약하면, IDPS의 효율성은 SASE 패러다임은 그 기능을 넘어 확장됩니다. 이는 유연성에 달려 있습니다. SASE IDPS 삽입 지점과 조직이 특정 요구 사항에 맞게 조정할 수 있는 제어 수준을 제공합니다.

• CTO 인사이트 블로그

  　 Aryaka CTO Insights 블로그 시리즈는 네트워크, 보안 및 보안에 대한 사고 리더십을 제공합니다. SASE 주제. 을 위한 Aryaka 제품 사양 참조 Aryaka 데이터시트.