네트워크에 대해 자세히 알려주는 10가지 최고의 핑 스윕 도구
핑 스윕은 여러 가지 방법으로 유용하게 사용될 수 있습니다. 찾을 수 있는 10가지 최고의 Ping 스윕 도구에 대해 논의하고 소개하는 동안 계속 읽으십시오.
DDoS 공격이란 무엇이며 방어하는 방법
DDoS(분산 서비스 거부) 공격은 불행히도 우리가 원하는 것보다 더 일반적입니다. 이것이 조직이 조직 및 기타 위협으로부터 적극적으로 보호해야 하는 이유입니다. 이러한 유형의 공격은 불쾌하고 시스템에 큰 영향을 줄 수 있지만 비교적 탐지하기 쉽습니다.
이 게시물에서는 DDoS 공격으로부터 자산을 보호하는 방법을 살펴보고 이에 도움이 될 수 있는 몇 가지 제품을 검토합니다.
DDoS 공격이 무엇인지 설명하는 것으로 시작하겠습니다. 곧 알게 되겠지만, 작동 원리는 잠재적 영향이 큰 만큼 간단합니다. 또한 이러한 공격이 자주 분류되는 방식과 다양한 유형의 공격이 실제로 어떻게 다른지 살펴보겠습니다. 다음으로 DDoS 공격으로부터 보호하는 방법에 대해 설명합니다. 콘텐츠 전송 네트워크가 공격자를 서버에서 멀리하는 방법과 로드 밸런서가 공격을 감지하고 공격자를 멀리하는 방법을 살펴보겠습니다. 그러나 실제로 서버에 도달하는 드문 공격의 경우 로컬 보호가 필요합니다. 여기에서 SIEM(보안 정보 및 이벤트 관리) 시스템 이 도움이 될 수 있으므로 다음 비즈니스 순서는 우리가 찾을 수 있는 최고의 SIEM 시스템 중 일부를 검토하는 것입니다.
디도스에 대해
서비스 거부(DoS) 공격은 합법적인 최종 사용자에 대한 웹 사이트 또는 애플리케이션과 같은 대상 시스템의 가용성에 영향을 미치려는 악의적인 시도입니다. 일반적으로 공격자는 대량의 패킷을 생성하거나 궁극적으로 대상 시스템을 압도하는 요청을 생성합니다. DDoS(분산 서비스 거부) 공격은 공격자가 여러 손상되거나 제어된 소스를 사용하여 공격을 생성하는 특정 유형의 DoS 공격입니다. DDoS 공격은 공격하는 OSI 모델의 계층에 따라 분류되는 경우가 많으며 대부분의 공격은 네트워크 계층(계층 3), 전송(계층 4), 프레젠테이션(계층 6), 애플리케이션 계층(계층 7)에서 발생합니다. ).
하위 계층(예: 3 및 4)에서의 공격은 일반적으로 인프라 계층 공격으로 분류됩니다. 이들은 단연 가장 일반적인 DDoS 공격 유형이며 SYN 플러드와 같은 벡터 및 UDP 플러드와 같은 기타 반사 공격을 포함합니다. 이러한 공격은 일반적으로 규모가 크며 네트워크 또는 애플리케이션 서버의 용량을 과부하시키는 것을 목표로 합니다. 좋은 점(공격을 받는 것에 대해 좋은 점이 있는 한)은 명확한 서명이 있고 탐지하기 쉬운 공격 유형이라는 것입니다.
레이어 6과 7에서의 공격은 종종 애플리케이션 레이어 공격으로 분류됩니다. 이러한 공격은 덜 자주 발생하지만 더 정교한 경향이 있습니다. 이러한 공격은 일반적으로 인프라 계층 공격에 비해 규모가 작지만 애플리케이션의 특정 비용이 많이 드는 부분에 집중하는 경향이 있습니다. 이러한 유형의 공격의 예로는 로그인 페이지 또는 값비싼 검색 API에 대한 HTTP 요청 플러드 또는 WordPress 핑백 공격이라고도 하는 WordPress XML-RPC 플러드가 있습니다.
반드시 읽어야 할 것: 7가지 최고의 침입 방지 시스템(IPS)
DDoS 공격으로부터 보호
DDoS 공격으로부터 효과적으로 보호하려면 시간이 중요합니다. 이는 실시간 공격 유형이므로 실시간 대응이 필요합니다. 아니면 합니까? 사실, DDoS 공격으로부터 보호하는 한 가지 방법은 공격자를 서버가 아닌 다른 곳으로 보내는 것입니다.
이를 달성할 수 있는 한 가지 방법은 일종의 콘텐츠 배포 네트워크(CDN)를 통해 웹사이트를 배포하는 것입니다. CDN을 사용하면 웹사이트 사용자(합법적인 사용자와 잠재적 공격자 모두)가 웹 서버가 아닌 CDN의 사용자를 공격하지 않으므로 서버를 보호하고 모든 DDoS 공격이 클라이언트의 비교적 작은 하위 집합에만 영향을 줄 수 있습니다.
DDoS 공격이 서버에 도달하는 것을 방지하는 또 다른 방법은 로드 밸런서를 사용하는 것입니다. 로드 밸런서는 일반적으로 들어오는 서버 연결을 여러 서버로 조정하는 데 사용되는 기기입니다. 그들이 사용되는 주된 이유는 추가 용량을 제공하기 위해서입니다. 단일 서버가 분당 최대 500개의 연결을 처리할 수 있지만 비즈니스가 성장하여 현재 분당 700개의 연결이 있다고 가정해 보겠습니다. 로드 밸런서가 있는 두 번째 서버를 추가할 수 있으며 들어오는 연결은 두 서버 간에 자동으로 균형이 조정됩니다. 그러나 고급 로드 밸런서에도 보안 기능이 있습니다.예를 들어, DDoS 공격의 증상을 인식하고 잠재적으로 서버에 과부하가 걸리는 대신 더미 서버에 요청을 보낼 수 있습니다. 이러한 기술의 효율성은 다양하지만 우수한 1차 방어선을 구성합니다.
구조를 위한 보안 정보 및 이벤트 관리
SIEM(Security Information and Event Management) 시스템은 DDoS 공격으로부터 보호하는 가장 좋은 방법 중 하나입니다. 작동 방식을 통해 거의 모든 종류의 의심스러운 활동을 감지할 수 있으며 일반적인 치료 프로세스는 공격을 중단시키는 데 도움이 될 수 있습니다. SIEM은 종종 DDoS 공격에 대한 마지막 방어선입니다. 다른 보호 수단을 우회하는 데 성공한 공격, 실제로 시스템을 공격하는 모든 공격을 잡아냅니다.
SIEM의 주요 요소
우리는 SIEM 시스템의 각 주요 구성요소를 더 자세히 탐구하려고 합니다. 모든 SIEM 시스템이 이러한 모든 구성 요소를 포함하는 것은 아니며 포함하더라도 다른 기능을 가질 수 있습니다. 그러나 이들은 모든 SIEM 시스템에서 어떤 형태로든 일반적으로 찾을 수 있는 가장 기본적인 구성 요소입니다.
로그 수집 및 관리
로그 수집 및 관리 는 모든 SIEM 시스템의 주요 구성 요소입니다. 그것이 없으면 SIEM도 없습니다. SIEM 시스템은 다양한 소스에서 로그 데이터를 수집해야 합니다. 이를 풀거나 다른 감지 및 보호 시스템이 SIEM으로 푸시할 수 있습니다. 각 시스템에는 데이터를 분류하고 기록하는 고유한 방법이 있으므로 소스가 무엇이든 상관없이 데이터를 정규화하고 균일하게 만드는 것은 SIEM에 달려 있습니다.
정규화 후 기록된 데이터는 종종 알려진 공격 패턴과 비교되어 악의적인 동작을 가능한 한 빨리 인식합니다. 또한 데이터는 이전에 수집된 데이터와 종종 비교되어 비정상적인 활동 감지를 더욱 강화할 기준선을 구축하는 데 도움이 됩니다.
또한 읽기: 최고의 클라우드 로깅 서비스 테스트 및 검토
이벤트 응답
이벤트가 감지되면 이에 대해 조치를 취해야 합니다. 이것이 SIEM 시스템의 이벤트 응답 모듈에 관한 것입니다. 이벤트 응답은 다양한 형식을 취할 수 있습니다. 가장 기본적인 구현에서는 시스템 콘솔에 경고 메시지가 생성됩니다. 종종 이메일 또는 SMS 알림도 생성될 수 있습니다.
그러나 최고의 SIEM 시스템은 한 단계 더 나아가 일부 교정 프로세스를 시작하는 경우가 많습니다. 다시 말하지만, 이것은 다양한 형태를 취할 수 있는 것입니다. 최고의 시스템에는 원하는 응답을 정확하게 제공하도록 사용자 지정할 수 있는 완전한 사고 대응 워크플로 시스템이 있습니다. 예상대로 사고 대응이 균일할 필요는 없으며 다양한 이벤트가 다른 프로세스를 트리거할 수 있습니다. 최고의 시스템을 통해 사고 대응 워크플로를 완벽하게 제어할 수 있습니다. DDoS 공격과 같은 실시간 이벤트에 대한 보호를 모색할 때 이벤트 대응이 아마도 가장 중요한 기능임을 명심하십시오.
계기반
로그 수집 및 관리 시스템과 대응 시스템을 갖추었다면 다음으로 중요한 모듈은 대시보드입니다. 결국 이것은 SIEM 시스템의 상태와 더 나아가 네트워크 보안 상태를 볼 수 있는 창이 될 것 입니다. 많은 도구에서 여러 대시보드를 제공하는 중요한 구성 요소입니다. 사람마다 우선 순위와 관심사가 다르기 때문에 네트워크 관리자를 위한 완벽한 대시보드는 보안 관리자의 대시보드와 다르며 경영진에게도 완전히 다른 대시보드가 필요합니다.
SIEM 시스템에 있는 대시보드 수로 평가할 수는 없지만 필요한 대시보드가 있는 시스템을 선택해야 합니다. 이것은 공급업체를 평가할 때 확실히 염두에 두어야 할 사항입니다. 대부분의 최고의 시스템을 사용하면 기본 제공 대시보드를 조정하거나 원하는 대로 맞춤형 대시보드를 구축할 수 있습니다.
보고
SIEM 시스템의 다음으로 중요한 요소는 보고입니다. 아직 알지 못할 수도 있으며 DDoS 공격을 방지하거나 중지하는 데 도움이 되지는 않지만 결국에는 보고가 필요합니다. 고위 경영진은 SIEM 시스템에 대한 투자가 성과를 거두고 있는지 스스로 확인해야 합니다. 적합성을 위해 보고서가 필요할 수도 있습니다. SIEM 시스템이 적합성 보고서를 생성할 수 있으면 PCI DSS, HIPAA 또는 SOX와 같은 표준을 쉽게 준수할 수 있습니다.
보고서는 SIEM 시스템의 핵심이 아닐 수 있지만 여전히 필수 구성 요소입니다. 그리고 종종 보고는 경쟁 시스템 간의 주요 차별화 요소가 될 것입니다. 보고서는 사탕과 같아서 너무 많이 가질 수 없습니다. 물론 최고의 시스템을 사용하면 기존 보고서를 수정하거나 맞춤형 보고서를 만들 수 있습니다.
DDoS 공격으로부터 보호하기 위한 최고의 도구
DDoS 공격으로부터 보호하는 데 도움이 되는 다양한 유형의 도구가 있지만 보안 정보 및 이벤트 관리 도구만큼 직접적인 보호 수준을 제공하는 도구는 없습니다. 이것은 우리 목록에 있는 모든 도구가 실제로 SIEM 도구인 것입니다. 목록에 있는 모든 도구는 DDoS를 비롯한 다양한 유형의 위협에 대해 어느 정도 보호 기능을 제공합니다. 우리는 개인적인 선호도에 따라 도구를 나열하고 있지만, 그 순서에도 불구하고 6가지 모두 우수한 시스템이므로 직접 사용해 보고 환경에 어떻게 맞는지 확인하는 것이 좋습니다.
1. SolarWinds 보안 이벤트 관리자(무료 평가판)
SolarWinds에 대해 들어본 적이 있을 것 입니다. 이름은 대부분의 네트워크 관리자가 알고 있으며 이유가 있습니다. 회사의 주력 제품인 네트워크 성능 모니터 는 사용 가능한 최고의 네트워크 대역폭 모니터링 도구 중 하나입니다. 그러나 그것이 전부가 아닙니다. 이 회사는 Advanced Subnet Calculator 또는 SFTP 서버 와 같은 수많은 무료 도구로도 유명 합니다 .
SolarWinds 에는 거의 모든 네트워크 관리 작업을 위한 도구가 있으며 여기에는 SIEM이 포함됩니다. 있지만 솔라 윈즈 보안 이벤트 관리자 (또한 SEM가 ) 최고의 엔트리 레벨 SIEM 시스템으로 설명되어 있습니다, 그것은 시장에서 가장 경쟁력있는 엔트리 레벨 SIEM 시스템의 가능성이다. 솔라 윈즈 S EM은 당신이 SIEM 시스템에서 기대하는 모든 일들이 있습니다. 뛰어난 로그 관리 및 상관 관계 기능, 훌륭한 대시보드 및 인상적인 보고 엔진이 있습니다.
- 무료 평가판: SolarWinds 보안 이벤트 관리자
- 공식 다운로드 링크: https://www.solarwinds.com/security-event-manager/registration
솔라 윈즈 보안 이벤트 관리자는 다른 중요한 프로젝트에 더 많은 시간과 자원을 집중할 수 있도록, 가장 의심스러운 행동에 대해 경고합니다. 이 도구에는 네트워크를 감시하고 다양한 로그 소스의 데이터를 통합하여 잠재적인 위협을 실시간으로 식별하는 수백 가지의 상관 관계 규칙이 내장되어 있습니다. 시작하는 데 도움이 되는 즉시 사용 가능한 상관 관계 규칙을 얻을 수 있을 뿐만 아니라 로그 데이터의 정규화를 통해 규칙을 무한대로 조합할 수 있습니다. 또한 플랫폼에는 알려진 악의적인 행위자의 행동을 식별하는 위협 인텔리전스 피드가 내장되어 있습니다.
DDoS 공격으로 인한 잠재적 피해는 위협을 얼마나 빨리 식별하고 해결을 시작하느냐에 따라 결정되는 경우가 많습니다. 솔라 윈즈 보안 이벤트 관리자는 특정 상관 관계 규칙이 트리거 될 때마다이를 자동화하여 반응을 촉진 할 수 있습니다. 응답에는 IP 주소 차단, 권한 변경, 계정 비활성화, USB 장치 차단, 애플리케이션 종료 등이 포함될 수 있습니다. 이 도구의 고급 실시간 대응 시스템은 모든 위협에 능동적으로 대응합니다. 그리고 서명이 아닌 행동을 기반으로 하기 때문에 알려지지 않았거나 미래의 위협으로부터 보호됩니다. 이 기능만으로도 DDoS 방어를 위한 훌륭한 도구가 됩니다.
솔라 윈즈 보안 이벤트 관리자는 로그 및 이벤트 정보를 보내는 노드의 수에 의해 라이센스가 부여됩니다. 이러한 맥락에서 노드는 로그 및/또는 이벤트 데이터가 수집되는 모든 장치(서버, 네트워크 장치, 데스크톱, 랩톱 등)입니다. 가격은 유지 보수 첫 해를 포함하여 30개 장치에 대해 $4,665부터 시작합니다. 다른 라이선스 계층은 최대 2,500개의 장치에 사용할 수 있습니다. 제품을 구매하기 전에 제품을 시험해보고 싶다면 모든 기능을 갖춘 무료 30일 평가판 을 다운로드할 수 있습니다.
2. RSA NetWitness
2016년부터 NetWitness 는 "심층 실시간 네트워크 상황 인식 및 민첩한 네트워크 응답"을 지원하는 제품에 주력해 왔습니다. 이 회사의 역사는 조금 복잡하다 : 인수 된 후 EMC 다음과 합병 델 의 네 TW itness 사업은 지금의 일부인 RSA의 분기 델 로 좋은 소식이며, RSA는 IT 보안에 대한 확고한 명성을 누리고 있습니다.
RSA NetWitness 는 완벽한 네트워크 분석 솔루션을 원하는 조직에 적합한 제품입니다. 이 도구는 알림의 우선 순위를 지정하는 데 도움이 되는 비즈니스에 대한 정보를 통합합니다. RSA 에 따르면 시스템은 " 다른 SIEM 솔루션보다 더 많은 캡처 지점, 컴퓨팅 플랫폼 및 위협 인텔리전스 소스에서 데이터를 수집합니다 ." 행동 분석, 데이터 과학 기술 및 위협 인텔리전스를 결합한 고급 위협 탐지도 있습니다. 마지막으로 고급 대응 시스템은 위협이 비즈니스에 영향을 미치기 전에 위협을 제거하는 데 도움이 되는 오케스트레이션 및 자동화 기능을 자랑합니다.
RSA NetWitness 의 주요 단점 중 하나는 사용 및 구성이 가장 쉬운 제품이 아니라는 것입니다. 그러나 제품 설정 및 사용에 도움이 될 수 있는 포괄적인 문서가 많이 있습니다. 이것은 또 다른 엔터프라이즈급 제품이며 자세한 가격 정보를 얻으려면 RSA 영업팀에 문의해야 합니다 .
3. ArcSight 엔터프라이즈 보안 관리자
ArcSight Enterprise Security Manager는 보안 위협을 식별하고 우선 순위를 지정하고, 사고 대응 활동을 구성 및 추적하고, 감사 및 규정 준수 활동을 단순화하는 데 도움이 됩니다. 이것은 다소 복잡한 역사를 가진 또 다른 제품입니다. 이전에는 HP 브랜드로 판매되었지만 이제는 다른 HP 자회사인 Micro Focus 와 합병되었습니다 .
아크 사이트 엔터프라이즈 보안 관리자는 15 년 이상 주변에있어 또 다른 엄청난 인기 SIEM 도구입니다. 이 도구는 다양한 소스의 로그 데이터를 컴파일하고 광범위한 데이터 분석을 수행하여 악의적인 활동의 징후를 찾습니다. 그리고 위협을 쉽고 빠르게 식별할 수 있도록 도구를 사용하여 실시간으로 분석 결과를 볼 수 있습니다.
기능 면에서 이 제품은 별로 바라는 것이 없습니다. 강력한 분산 실시간 데이터 상관 관계, 워크플로 자동화, 보안 오케스트레이션 및 커뮤니티 기반 보안 콘텐츠가 있습니다. 아크 사이트 엔터프라이즈 보안 관리자는 다른 통합 아크 사이트의 예와 같은 제품 아크 사이트 데이터 플랫폼 및 이벤트 브로커 또는 아크 사이트 조사합니다 . 이것은 거의 모든 고품질 SIEM 도구와 마찬가지로 영업 팀에 연락하여 자세한 가격 정보를 얻어야 하는 또 다른 엔터프라이즈급 제품입니다.
4. Splunk Enterprise 보안
Splunk Enterprise Security( 또는 Splunk ES 라고도 함)는 가장 널리 사용되는 SIEM 시스템 중 하나이며 특히 분석 기능으로 유명합니다. 이 도구는 시스템의 데이터를 실시간으로 모니터링하여 취약점과 비정상적인 활동의 징후를 찾습니다.
보안 대응은 Splunk ES 의 또 다른 강점이며 DDoS 공격에 대처할 때 중요합니다. 이 시스템은 55개 이상의 보안 공급업체의 장비와 통합되는 Splunk 가 ARF ( Adaptive Response Framework) 라고 부르는 것을 사용합니다 . ARF의 수행 수동 작업을 가속화, 응답을 자동화. 이렇게 하면 빠르게 우위를 점할 수 있습니다. 여기에 간단하고 깔끔한 사용자 인터페이스를 추가하면 성공적인 솔루션을 얻을 수 있습니다. 다른 흥미로운 기능으로 는 사용자 정의 가능한 경고를 표시 하는 Notables 기능과 악의적인 활동에 플래그를 지정 하고 추가 문제를 방지하기 위한 Asset Investigator 가 있습니다.
Splunk ES 는 엔터프라이즈급 제품이므로 엔터프라이즈급 가격표가 함께 제공됩니다. 엔터프라이즈급 시스템의 경우가 많기 때문에 Splunk 웹 사이트 에서 가격 정보를 얻을 수 없습니다 . 견적을 받으려면 영업 부서에 문의해야 합니다. 그러나 가격에도 불구하고 이것은 훌륭한 제품이므로 Splunk 에 연락 하여 사용 가능한 무료 평가판을 이용하고 싶을 수도 있습니다 .
5. 맥아피 엔터프라이즈 시큐리티 매니저
McAfee는 IT 보안 분야의 또 다른 이름이며 아마도 소개가 필요 없을 것입니다. 그러나 바이러스 보호 제품으로 더 잘 알려져 있습니다. 맥아피 엔터프라이즈 S 보 안 M의 anager는 단지 소프트웨어가 아닙니다. 실제로 가상 또는 물리적 형태로 얻을 수 있는 어플라이언스입니다.
분석 기능 면에서 많은 사람들이 McAfee Enterprise Security Manager 를 최고의 SIEM 도구 중 하나로 간주합니다 . 시스템은 다양한 장치에서 로그를 수집합니다. 정규화 능력도 최고 수준이다. 상관 관계 엔진은 서로 다른 데이터 소스를 쉽게 컴파일하여 DDoS 공격과 같은 실시간 이벤트로부터 보호하려고 할 때 중요한 기능인 보안 이벤트가 발생하는 즉시 감지할 수 있도록 합니다.
그러나 McAfee 솔루션에는 Enterprise Security Manager 이상의 기능이 있습니다 . 진정으로 완전한 SIEM 솔루션을 얻으려면 Enterprise Log Manager 와 Event Receiver 도 필요합니다 . 좋은 소식은 세 제품 모두 단일 어플라이언스에 패키징할 수 있어 구입 및 설정 프로세스가 다소 쉬워진다는 것입니다. 제품을 구매하기 전에 제품을 사용해 보고 싶은 분들을 위해 무료 평가판을 사용할 수 있습니다.
웹사이트 모니터링을 위한 6가지 최고의 도구
웹 사이트는 중요하며 적절한 성능을 위해 지속적으로 면밀히 모니터링해야 합니다. 다음은 웹사이트 모니터링을 위한 최고의 도구입니다.
성능을 추적하는 6가지 최고의 네트워크 관리 도구
네트워크 관리 소프트웨어 시장은 매우 혼잡합니다. 최고의 네트워크 관리 도구에 대한 권장 사항을 따라 검색을 단축하십시오.
2022년 개발팀을 위한 최고의 소프트웨어 배포 도구
여러 머신을 관리하는 수고를 덜 수 있는 최고의 소프트웨어 배포 도구를 살펴보겠습니다.
2021년에 검토된 최고의 무료 sFlow 수집기 및 분석기
sFlow는 수많은 네트워킹 장치에 내장된 흐름 분석 프로토콜입니다. 최고의 무료 sFlow 수집기 및 분석기 상위 5개를 검토합니다.
2021년 최고의 에이전트 없는 인프라 모니터링 도구 및 소프트웨어
올바른 도구를 선택하는 데 도움이 되도록 최고의 에이전트 없는 인프라 모니터링 도구를 소개하고 각 도구에 대한 빠른 검토를 제공했습니다.
Linux에서 대역폭 모니터링: 2021년 상위 5개 도구
데이터 센터에서 Linux가 점점 더 대중화됨에 따라 Linux에서 대역폭 모니터링을 살펴보고 최고의 도구도 검토하고 있습니다.
SolarWinds Mail Assure – 2021년 검토
이메일 보안은 관리형 서비스 제공업체의 중요한 작업입니다. 그 목적을 위한 최고의 도구 중 하나인 SolarWinds Mail Assure를 검토하고 있었습니다.
2021년 최고의 네트워크 대기 시간 테스트 및 모니터링 도구
대기 시간은 네트워크의 가장 큰 적인 것 같습니다. 이러한 대기 시간 측정 도구는 대기 시간을 테스트하여 문제를 감지하고 찾고 수정하는 방법을 알려줍니다.
2021년 Windows 10용 최고의 네트워크 모니터링 도구
Windows 네트워크 모니터에는 요구 사항이 제한된 도구가 필요합니다. 오늘은 Windows 10을 위한 최고의 네트워크 모니터링 도구를 살펴보았습니다.