ESM (Enterprise Security Management)

ESM(enterprise security management)

 

방화벽, 침입 탐지 시스템, 가상 사설망 등의 보안 솔루션을 하나로 모은 통합 보안 관리 시스템. 최근 기업 보안 관리(ESM)는 통합 관리 수준에서 벗어나 시스템 자원 관리(SMS), 망 관리 시스템(NMS) 등 기업 자원 관리 시스템까지 확대, 개발되고 있다. ESM은 기업들이 서로 다른 기종의 보안 솔루션 설치에 따른 중복 투자, 자원 낭비를 줄일 수 있으며, 솔루션 간 상호 연동을 통해 전체 정보 통신 시스템에 대한 보안 정책을 수립할 수 있다는 장점이 있다.

 

ESM의 등장배경

보안의 개념은 처음에는 침입차단시스템(Firewall) 수준을 넘지 못했지만 최근의 보안은 침입차단 (방화벽), 가상사설망 (VPN), 침입탐지(IDS), 시스템 보안, 인증, 안티 바이러스, 데이터 백업에 이르기까지 전문화하는 양상을 보이고 있다. 보안의 핵심이 보안 제품 적용 후 적절한 보안정책에 따른 유지 관리라는 것은 주지의 사실임을 감안할 때 이 같은 전문적이고 세분화된 제품의 통합 보안관리에 대한 요구.

 

ESM의 정의

l  기업과 기관의 보안정책을 반영, 다양한 보안시스템을 관제ㆍ운영ㆍ관리함으로써 조직의 보안목적을 효율적으로 실현시키는 시스템

l  통합보안관리 솔루션으로 보안 시스템 등의 개별적인 보안 장비들의 모니터링과 다양한 종류의 보안 솔루션을 하나로 통합 관리하며, 이에 소요되는 자원 및 인력의 손실을 방지하기 위해, 중앙에서 통합하여 보안 현황을 모니터링 함으로써, 집중화된 보안 관리가 가능.

l  방화벽, 침입 탐지 시스템, 가상 사설망 등의 여러 보안 시스템으로부터 발생한 각종 이벤트를 관리, 분석, 통보 대응 및 보안 정책을 관리하는 시스템

l  기업이 보유한 IT 보안 인프라에 대해 가용성, 무결성, 보안성을 보장하기 위한 전사적인 보안관리 시스템

 

ESM의 필요성

l  인터넷 사용의 급격한 증가로 인한 보안관리 필요성 증가

l  해킹, 웜, 바이러스, 정보전 등 정보화 추진에 대한 역기능 대두

l  다양한 보안시스템 도입에 따른 전체 보안관리 및 정책관리의 어려움 증가

l  다수의 보안시스템 관리에 대한 관리비용의 지속적 증가

 

ESM의 구조

l  1 계층 : Agent

-      보안장비, 시스템장비, 네트워크 장비 등에 탑재되어 사용

-      사전에 정의된 규칙에 의한 이벤트 수집 및 보안정책 반영

-      수집된 이벤트 데이터를 Manager로 전달 및 통제 받음

l  2 계층 : Manager

-      사전에 정의된 규칙에 의한 이벤트 데이터 분석 및 저장

-      다양한 정책에 대한 분석, 저장 및 관리자 Console로 리포팅 기능

l  3 계층 : Console

-      Manager에 의해 전달된 자료의 시각적 정보 전달 및 판단

-      Manager에 대해 규칙을 설정하도록 통제

 

ESM의 기반기술

l  위험등급 구분 방법론 : Risk Classification Methodology

-      각 보안 제품별 보안 패턴에 대한 분석을 통한 위험 분류 방법론

-      관리 시스템의 위험도에 따른 대응기준을 수립한 Rule

l  정규화/규칙 기반 이벤트 수집 : Normalization/Rule base Event Collection

-      관리 대상 시스템 평가기준의 표준화 및 규칙 기반 이벤트 수집 기술

l  비정상 감지 및 대응 : Abnormal Detection/Reaction

-      비 정상적인 시스템 사용의 탐지 및 이에 대한 실시간 대응 기술

-      탐지 방법 : 통계적 방법, 규칙기반, 패턴 분석 등

l  통합정책 관리 : Integrated Policy Management

-      이벤트 데이터의 수집/분석에 의한 보안 취약점 및 그에 대한 대응조치를 통합관리

-      ESM 시스템이 단위 보안 시스템에 대한 보안정책 반영

 

ESM 도입효과

l  각종 보안 솔루션의 알람 및 로그 정보를 중앙 집중화된 시스템에서 통합관제 및 관리하여, 보안 시스템 관리의 효율성 증대

l  소수의 특정 관리 인원을 할당하여 관리를 담당하게 할 수 있어 비용 효율적인 보안 관리 가능

l  보안 관리자의 교육 시간과 숙달 시간을 최소화

l  각종 로그 정보에 대한 통합 관리를 통해 사전 예방책 마련 가능

l  통계 처리 기능을 이용하여 주기적인 시스템 상태 분석 가능

l  표준화된 보안관리 정책/절차의 수립

l  문제 발생 후 사후조치에서 예방적인 보안관리 체계로의 수립

 

ESM의 발전방향

l  ESM은 진정한 의미의 통합보안관리를 수행하기 위해 더 넓은 영역으로 확장

l  기존에 보안시스템에 국한되었던 관제대상을 일반 서버에까지 확장하여 보안관리에 의한 보안 사각지대의 최소화

l  ESM은 실제적인 `위협` 수준이 아니라 잠재적인 `위험` 수준에서 관리가 이루어지는 위험관리시스템(RMS; Risk Management System) 수준으로 개발

l  모든 보안 프로세스를 단일한 시스템에 포함시켜 수집-모니터링-분석-경보-대응-처리-보고-정책 피드백 등 일련의 프로세스를 지원

 

ESM의 전망

l  국제적으로 OPSEC(Open Platform for Security)을 통한 인터페이스 표준화 진행

l  국내에서 인터넷 보안기술 포럼에 의해 ESM API 표준화 진행

l  보안에 대한 요구사항 및 시스템 도입이 증가함에 따라 이들의 효율적인 운영관리 및 보안정책의 관리 필요성 인지로 ESM 도입 증가 예상

[출처] ESM(enterprise security management)|작성자 후루꾸