초기 시스템은 일반적으로 공격자의 관심의 대상이었습니다. 그 존재는 내부 애플리케이션과의 높은 신뢰나 상호 작용을 의미하기 때문입니다. 이는 공격자를 보존하는 이유일 수 있습니다. 이 이론적 인 이유로 허점이 감지되면 이전 시스템이 공격자의 관심을 끌 것이며 자연스럽게 더 많은 탐구의 목표가 될 것입니다. 기존 시스템을 보호할 때는 전체 환경에서 해당 시스템의 위치를 고려해야 합니다. 전체 네트워크의 설계 및 구성에 초점을 맞추면 초기 시스템에 도달하는 악의적인 통신 수를 최소화할 수 있는 논리적 지점을 만들 수 있습니다. 이러한 조치는 다음 섹션에서 설명할 시스템별 개선 사항을 보완합니다. 일반적으로 주변 네트워크는 회사 네트워크와 인터넷이 만나는 곳의 독립 네트워크 세그먼트입니다. 보호되지 않은 인터넷과 상호 작용해야 하는 서비스 및 서버는 주변 네트워크 (DMZ, 네트워크 격리 영역 및 차폐 서브넷이라고도 함) 에 있습니다. 따라서 공격자가 공공 서비스의 취약점을 활용할 수 있다면 공격자는 한 번에 신뢰할 수 있는 내부 네트워크에 액세스할 수 있습니다. 전체 네트워크를 보다 강력하게 보호하는 한 가지 방법은 주변 네트워크와 유사한 방식으로 오래된 시스템을 처리하고, 오래된 시스템을 자체 네트워크 세그먼트에 배치하고 네트워크의 다른 호스트와 격리하는 것입니다. 이 방법에는 손상된 초기 시스템이 네트워크의 다른 부분에 영향을 줄 위험을 줄이고 초기 컴퓨터로 들어오는 네트워크 통신을 보다 엄격하게 선별하고 차단할 수 있다는 두 가지 장점이 있습니다. 참고: Microsoft 는 Microsoft 를 넣지 말 것을 권고합니까? 0? 3 Windows NT? 0? 3 4.0 또는 Microsoft Windows? 0? 3 98 시스템은 인터넷에 직접 노출되어 주변 네트워크에 배치해도 됩니다. 이러한 시스템의 사용은 내부 네트워크로 제한되어야 합니다. 네트워크 보안 예방 조치 주변 환경을 보호하는 것처럼 기존 시스템을 보호해야 합니다. 네트워크를 강화하고 보호하려면 비즈니스 요구 사항, 예산 제한 및 다음 보안 고려 사항을 고려해야 합니다. 심층 방어, 주변 통제, 양방향 위협, 이기종 서비스, 격리, 사고 계획 및 이벤트 대응, 백업 시간 동기화 감사 및 모니터링, 심층 방어에 대한 적시 이해 등이 자세히 설명되어 있습니다. 현재 위협으로부터 컴퓨터 시스템을 보호하기 위해 IT 관리자는 심도 있는 방어 전략을 고려해야 합니다. 심층 방어 전략의 중점은 위험 증가 요인을 없애고 통제를 늘려 위험을 줄이는 것이다. 소프트웨어, 하드웨어, 프로세스 및 인력이 아무리 좋더라도 완고한 공격자는 단일 보호 계층을 돌파할 수 있는 방법을 찾을 수 있습니다. 심층 방어 보안 모드는 환경 전체에서 다중 계층 보안 조치를 사용하여 침입과 보안 위협을 방지함으로써 중요한 자산을 보호합니다. 시스템 보안을 보장하는 다단계 접근 방식은 공격자가 정보 시스템에 침투하는 데 필요한 작업량을 증가시켜 전반적인 위험 수준과 위험 가능성을 줄입니다. 심층 방어 방법은 강력한 주변 방어 또는 향상된 서버뿐만 아니라 여러 가지 방어 방법의 조합에 의존하여 가능한 위협에 대응합니다. 심층 방어는 다른 보안 조치에 대한 요구를 줄이는 것이 아니라 모든 구성 요소에 대한 종합적인 방어 능력을 구축하는 것입니다. 겹치는 보안 계층을 구축하면 공격자가 성공하기가 더 어렵다는 두 가지 주요 이점이 있습니다. 계층 수가 많을수록 공격자가 성공적으로 침투하기가 더 어려울수록 진행 중인 공격을 감지할 가능성이 높아집니다. 디바이스의 새로운 취약점의 영향을 줄이는 데 도움이 됩니다. 각 계층은 다른 유형의 공격을 방어하거나 다른 계층과 같은 약점 없이 같은 범위의 방어를 제공합니다. 따라서 많은 새로운 공격은 아직 사용되지 않은 방어 조치를 통해 관련 거래를 차단하여 중대한 결함을 처리할 수 있는 시간을 제공합니다. 다중 계층 방어의 변화에 맞게 비즈니스 프로세스를 조정해야 합니다 (다중 계층 방어를 허용하지 않는 경우). 네트워크 세그먼트 주변 네트워크의 목적은 내부 네트워크와 외부 네트워크 간의 통신을 분리할 수 있는 경계선을 만드는 것입니다. 이러한 경계를 통해 네트워크 트래픽을 분류, 격리 및 제어할 수 있습니다. 이상적인 조건에서 이론적인 주변 네트워크는 핵심 시스템에 통신을 전송하지 않고 필요한 상호 작용에 필요한 절대 최소 트래픽만 허용합니다. 외곽을 가로지르는 모든 거래는 방어에 잠재적인 허점을 더해 주며 공격자에게 통제를 실현할 수 있는 방법을 제공합니다. 활성화된 각각의 새 서비스는 위협면을 늘리고 취약점과 포털을 생성할 수 있는 코드 세트를 추가합니다. 기존의 보안 정책은 인터넷과 직접 통신하는 네트워크의 호스트와 인터넷과 직접 통신하지 않는 호스트 사이의 경계를 정의해야 합니다. 그러나 기존 시스템을 경계의 일부로 간주하고' 정상' 네트워크와 기존 시스템이 포함된 네트워크 세그먼트 간의 내부 통신을 엄격하게 제어하여 보안을 강화할 수 있습니다. 기존 시스템을 네트워크 세그먼트에 통합하면 두 가지 중요한 이점이 있습니다. 즉, 기존 시스템을 주변 네트워크의 컴퓨터와 동일하게 처리할 수 있습니다. 이전 버전의 Windows 에는 최신 버전의 모든 보안 기능과 기능이 포함되어 있지 않았기 때문에 최신 버전의 시스템보다 더 큰 위협이 되며 적절한 보호 조치가 필요합니다. 오래된 시스템은 더 나은 통제를 받을 수 있다. 이러한 시스템을 자체 경계에 배치하면 방화벽과 같은 네트워크 주변 제어에서 분리할 수 있으므로 서로 다른 네트워크 간에 전송되는 통신을 신중하게 모니터링하고 제어할 수 있습니다. 양방향 위협 많은 공격이 성공한 이유는 대상 시스템이 경계 밖에서 연결되도록 유도하기 때문입니다. 이로 인해 악성 시스템과의 연결이 가능해져 악성 시스템이 대상 시스템으로 돌아갈 수 있습니다. 기타 일반적인 사례로는 웜과 바이러스가 있습니다. 맬웨어가 시스템에 성공적으로 침투한 후, 한 시스템에서 다른 시스템으로 전파되기 시작하고, 신뢰 관계를 이용하고, 외부 시스템을 방해하며, 추가 전파를 시도했다. 마찬가지로 이러한 시스템도 악성 시스템에 연결되어 추가 활동을 위한 수단을 제공할 수 있습니다. 이 경계는 보호 대상 시스템으로 들어오는 통신뿐 아니라 보호 대상 시스템에서 나가는 통신도 제한해야 합니다. 이러한 설계로 인해 환경이 위협받을 때 서버를 사용하기가 어려워집니다. 그러나 이것은 또한 공격자의 일을 더욱 어렵게 한다. 왜냐하면 너는 자신의 시스템이 자신의 보호층을 위반하게 할 수 없기 때문이다. 유사하지 않은 서비스의 격리 성능을 향상시키기 위해 일반적으로 한 컴퓨터에 여러 서비스를 설치하여 값비싼 하드웨어를 최대한 활용할 수 있도록 합니다. 그러나 선택 없이 이렇게 하면 시스템을 제대로 보호하기가 더 어려워질 수 있습니다. 시스템에 의해 호스팅되고 생성된 서비스와 통신을 신중하게 분석하고 경계 조치가 필요한 서비스와 원격 시스템의 조합으로 통신을 제한하기에 충분한지 확인합니다. 그 반대의 경우도 마찬가지입니다. 유사한 시스템과 서비스를 결합하고 네트워크를 신중하게 분할하면 보호 조치를 쉽게 제공할 수 있습니다. 사고 계획과 사건 대응은 효과적인 안전 계획과 시행을 해야 한다. "만약 이 조치가 실패하면 어떻게 될까?" " 。 오류, 사고 및 기타 예측할 수 없는 사건의 결과를 이해하는 것이 중요합니다. 이를 이해하면 이러한 결과를 완화하기 위한 방어 조치를 설계하여 사고가 사건의 연쇄반응을 일으키지 않도록 함으로써 초기 시스템을 최대한 활용할 수 있습니다. 예를 들어, 각 조직에는 바이러스나 웜이 폭발하는 동안 대책을 도입하는 예정된 계획과 위험이 의심될 때 대책을 도입하는 계획이 있어야 합니다. 대부분의 조직에서 이벤트 대응 팀에는 IT 담당자, 법무 부서 및 비즈니스 관리자가 포함되어야 합니다. 이러한 이해 관계자들은 모두 보안 위반에 대한 일관된 대응에 참여하고 있습니다. Microsoft 보안 가이드 키트 (/security/guidance 에서 제공) 에는 자체 이벤트 응답 스케줄을 설정하고 실행하는 방법에 대한 정보가 포함되어 있습니다. 참고: Microsoft 는 백서' 이벤트 응답: Microsoft 보안 관리' (/technet/itsolutions 에서 제공) 에서
/msit/security/msirsec.mspx) 내부 이벤트 응답 프로세스 및 방법을 설명합니다. 백업 공격자가 시스템에 성공적으로 진입하면 중요한 자원과 데이터를 위험에 빠뜨리는 것을 막을 수 있다면 그 또는 그녀의 성공은 일시적일 뿐이다. 성공적인 백업 및 복구 프로세스를 통해 최악의 경우에도 복구 또는 복구에 필요한 데이터가 남아 있는지 확인할 수 있습니다. 그러나 데이터가 백업되었는지 확인하는 것은 첫 번째 단계일 뿐입니다. 손상되거나 영향을 받는 시스템을 신속하게 재구축할 수 있어야 하며, 원본 하드웨어에 대한 포렌식 분석 (일반적으로 보험 청구 기록 또는 공격 방법 식별) 을 수행해야 하는 경우 대체 하드웨어 및 소프트웨어 및 테스트 설정 프로세스를 준비해야 할 수 있습니다. 시간 동기화는 공격을 정확하게 판단하는 데 사용되는 다양한 단서를 여러 네트워크, 특히 주변 네트워크에 분산시킬 수 있습니다. 이런 데이터를 비교할 수 있는 방법이 없다면, 정확하게 식별하여 함께 놓을 수 없다. (존 F. 케네디, 데이터명언) 너의 모든 시스템은 같은 클럭 시간을 가져야 한다, 이것은 이 과정에 도움이 된다. Net time 명령을 사용하면 워크스테이션과 서버가 도메인 컨트롤러와 시간을 동기화할 수 있습니다. 타사 NTP (network time protocol) 를 구현하면 서버가 다른 운영 체제 및 네트워크 하드웨어와 시간 동기화를 유지하고 네트워크 내에서 일관된 시간 참조를 제공할 수 있습니다. 감사 및 모니터링 시스템 방어가 아무리 강하더라도 정기적으로 감사 및 모니터링해야 합니다. 자주 사용하는 소통 방식과 공격과 응답의 형식을 이해하는 것이 중요하다. 만약 당신이 이런 인식을 가지고 있다면, 당신은 부정적인 사건이 발생했을 때의 증상을 알게 될 것입니다. 왜냐하면 인터넷 전파의 리듬이 바뀔 수 있기 때문입니다. 감사 및 모니터링의 주요 측면은 인증입니다. 갑자기 실패한 일련의 인증 시도는 일반적으로 시스템이 강력한 사전 공격을 받는 유일한 경고입니다. 강력한 사전 공격은 알려진 단어나 영숫자 문자열을 사용하여 간단한 비밀번호를 해독한다. 마찬가지로, 비정상적인 인증 성공은 시스템이 적어도 어느 정도 돌파되었다는 것을 의미할 수 있으며, 공격자는 최초 이용에서 전체 시스템에 대한 액세스로 발전하려고 시도한다. 대부분의 경우 이벤트 로그를 정기적으로 수집하고 아카이빙하며 자동 및 수동 분석과 함께 실패와 성공적인 침투 시도 사이의 상당한 차이를 구분할 수 있습니다. Mom (Microsoft operations manager) 과 같은 자동화 툴을 사용하면 로그 정보를 쉽게 모니터링하고 분석할 수 있습니다. 모든 상황을 제때에 알 수는 없지만, 다른 관리자가 감지한 위협의 종류를 경계할 수 있습니다. 현재 보안 위협 및 문제에 대한 최신 소식을 제공하는 몇 가지 훌륭한 보안 리소스가 있습니다. 이러한 리소스는 이 장의 끝에 있는 "추가 정보" 섹션에 나열되어 있습니다.