SANS 2009 Log Management Market Report 한글요약

2010년 자료도 최근에 나왔습니다만, 기존에 정리해놨던 자료가 있어서 올립니다 :)

2007, 2008, 2009년 원본을 함께 첨부합니다.

SANS_LogMgt_June07.pdf

2008-sans.pdf

2009-sans.pdf

Summary

2007년에는 50% 정도가 수집에 어려움을 느낀다고 하였으나 현재는 검색, 보고서 생성, 정규화나 로그관리의 전체 라이프사이클을 관리하는 등 보다 고차원적인 부분으로 변화하였음

로그관리의 목적이 보다 다양화됨. 의심스러운 행동에 대한 추적이나 사용자 모니터링, 일일 IT운영 및 포렌식 용도로 사용, 컴플라이언스 준수의 입증을 위한 부분도 지난해 43%에서 53%로 증가

여전히 모든 로그 데이터가 각 각 다르기 때문에 로그를 정규화하는 부분은 공통적으로 어려움을 느끼고 있음. 각 벤더들이 Mitre의 CEE와 같은 공통된 표준문법을 준수하였으면 함

로그데이터의 중요성

네트워크나 시스템에 문제가 발생했을 때, 법규 준수를 위한 목적으로 사용되고 있음

왜 로그 데이터를 수집하는지?

2008년에는 보안과 성능 이슈를 분석하고 탐지하기 위함, -> 2009년에는 의심스러운 행동의 추적과 사용자 활동의 모니터링, 포렌식 분석과 연관분석, 일일 IT운영/법규준수를 관리. 올해는 정보 유출 방지가 새로운 항목으로 부상(28%), IT조직 외 다른 부서로 보고를 위한 목적.

어디로부터 로그데이터를 수집하는지?

로그를 수집하는 소스(장비나 어플리케이션)의 수가 점차 증가하고 있음. 올해는 35%가 10~100이고 22%가 101~500. 작년의 겨우 100보다 아래인 경우가 가장 많았으나 올해는 100~250의 경우가 가장 많음

OS(92%), 스위치/라우터/방화벽(90%), 메인프레임으로부터는 작년 25%에서 올해 18%로 크게 감소. DB로부터(57%) 이는 작년 61%보다 조금 감소한 수치. 하지만 올해는 DAM(DB Activity Monitoring)을 11%로 새로운 카테고리로 분류하였기 때문

새로운 부분으로 49%가 Virtual Machine으로부터 수집한다고 함. 2010에는 거의 70%정도까지 상승할 것으로 예측

로그데이터의 가치 상승

2007년의 조사에서는 44%가 로그수집을 하지 않는다고 하였으나 이는 2008년에 27%로 감소하였고, 올해는 87%가 현재 로그를 수집하며 12%를 예정이라고 답함

DoD의 최근 보고서를 보면 최근의 시스템에 대한 사이버공격의 영향을 최소화하거나 예방하기 위한 방법으로 로그 관리가 중요한 관리항목으로 추천됨. SOX나 PCI 등의 법규 역시 로그의 수집, 저장과 가용성보장을 요구하고 있음

관리 측면에서 올해 응답자들은 Event detection을 중요한 항목으로 선택(47%). 컴플라이언스의 준수가 2번째

계속되는 Challenges

작년에는 51%가 수집이 가장 큰 이슈라고 지적을 하였으나 올해는 4%만이 수집을 최고의 이슈로 꼽음. 올해는 IT 운영을 개선하기 위해서 로그 데이터를 사용하는 것이 가장 큰 이슈고 꼽혔고, 로그의 정규화 부분이 그 다음

로그 수집과 관련하여 54%가 전송량과 암호화를 위하여 TCP-based syslog를 사용한다고함

성공적인 로그관리의 특성

보안의 효과에 대해서 어떻게 측정을 하는지에 대해 다음과 같이 답함. 인시던트에 대한 응답시간, 인시던트의 수, 인시던트 예방 등

로그분석에 대해 전체적으로 만족하는 그룹의 경우 지속적으로 로그를 분석하는데에 일정시간을 들이고, 로그분석이 전반적인 워크플로우에 통합되어 있음. 반대로 불만족하는 그룹의 경우에는 거의 신경을 안쓰거나 로그를 분석하는데 너무 많은 시간이 소비하여 좋지 못한 결과를 내는 경우