SOAR (Security Orchestration, Automation and Response) 플랫폼 로그프레소 (Logpresso) Criminal IP가 통합되었습니다. Criminal IP에서 제공하는 API를 통해 로그프레소 대시보드에서 Criminal IP 공격표면관리 (ASM)를 실행할 수 있어, 공격표면에 노출된 IT 자산의 자동 모니터링과 VPN, Tor, Proxy IP의 여부를 확인할 수 있습니다.

Criminal IP 지원 플랫폼

  • 로그프레소 스탠다드
  • 로그프레소 엔터프라이즈
  • 로그프레소 소나
  • 로그프레소 마에스트로

로그프레소 Criminal IP 설치 방법

  1. Criminal IP 페이지에서 우측 상단의 메뉴를 클릭해 My Information 페이지로 이동하면, API Key 를 복사할 수 있습니다.
    Criminal IP에서 API 키 복사

    Criminal IP에서 API 키 복사

     

  2. 로그프레소에서 Criminal IP 앱을 다운로드 및 실행한 후, 시스템 설정의 접속 프로파일에서 복사한 API 키와 계정 및 보안 그룹 권한, 기타 내용을 설정합니다. 이 때, Criminal IP 필터 리스트를 참고해 상시 모니터링할 대상을 설정할 수 있습니다.

    Criminal IP 앱 실행 후, 접속 프로파일 설정

    Criminal IP 앱 실행 후, 접속 프로파일 설정

설정이 완료되면 로그프레소 대시보드에서 자산 검색 쿼리 설정에 따른 공격표면을 실시간으로 모니터링할 수 있습니다.

로그프레소에서 Criminal IP 공격표면관리를 실행한 대시보드

로그프레소에서 Criminal IP 공격표면관리를 실행한 대시보드

 

Criminal IP 공격표면관리에서 제공하는 통계 데이터와 확장 명령어

Criminal IP의 공격표면관리는 실시간 모니터링과 더불어 공격이 들어올 수 있는 모든 지점의 유의미한 통계를 제공합니다. 국가, ASN, 서비스, 제품, 포트 통계 및 탐지된 IT자산의 현황을 보여줍니다. 각각의 확장 명령어를 접속 프로파일의 자산 검색 쿼리로 설정하면 해당 내용을 기본값으로 공격표면을 모니터링합니다.

국가 통계: 탐지된 IT 자산의 국가 통계를 나타냅니다.

  • criminal-ip-asset-country-stats

ASN 통계: 탐지된 IT 자산의 통신망 통계를 나타냅니다.

  • criminal-ip-asset-asn-stats

서비스 통계: 탐지된 IT 자산의 서비스 통계를 나타냅니다.

  • criminal-ip-asset-service-stats

제품 통계: 탐지된 IT 자산의 제품 통계를 나타냅니다.

  • criminal-ip-asset-product-stats

포트 통계: 탐지된 IT 자산의 포트 통계를 나타냅니다.

  • criminal-ip-asset-port-stats

자산: 탐지된 IT 자산의 목록을 나타냅니다.

  • criminal-ip-asset-search | limit 100

그 외에도 파비콘 통계, IP 요약 정보, 특정 IP 주소에 대한 VPN 진단 이력, 지정된 IP에 대한 VPN 정보, 서비스 상태 정보 등을 조회할 수 있는 명령어가 제공됩니다.

  • 파비콘 통계: criminal-ip-asset-favicon-stats
  • IP 요약 정보: criminal-ip-get-ip-summary
  • 특정 IP 주소에 대한 VPN 진단 이력: criminal-ip-get-vpn-reports
  • 지정된 IP에 대한 VPN 정보: criminal-ip-get-vpn-summary
  • 서비스 상태 정보: criminal-ip-status

Criminal IP ASM 이 필요한 이유

최근 기업에서 가장 위협적인 공격 경로는 소프트웨어 자산의 취약점과 원격 서비스입니다. 이러한 잠재 위협을 사전에 대응하기 위해서는 공격이 들어올 만한 지점을 상시 관리하는 공격표면관리 (ASM)가 중요합니다. Criminal IP는 전 세계의 모든 IP주소 정보를 수집하고 있어, 그 가운데 특정 기업의 IT자산과 장비를 분류해 현황을 분석하고, 보안 문제를 자동으로 파악하는 기능을 제공하고 있습니다. 점점 더 다양화되고 증가하는 공격표면은 한정된 비용과 시간, 인력으로 수동관리하기가 어려워지고 있습니다. 그러나 로그프레소는 별도의 장치나 소프트웨어를 설치할 필요없는 높은 접근성과 유저 친화적인 대시보드를 제공하고 있어, 로그프레소 대시보드 통합으로 Criminal IP의 자동화 공격표면관리 기능을 효과적으로 제공할 수 있을 것이라 기대됩니다. 로그프레소의 Criminal IP 앱에서 오픈포트, 클라우드 서버의 방치를 비롯한 외부에 노출된 IT 자산의 현황과 잠재적인 공격 위협을 실시간으로 탐지해 보시기 바랍니다.

방치된 자산 및 취약점까지의 공격표면관리 (ASM)가 중요한 이유와 활용사례에 대한 내용은공격 표면 관리: 알려지지 않은 자산 및 취약점 모니터링 글을 참고할 수 있습니다. 또한, Criminal IP의 위협 인텔리전스 데이터를 공격 표면 관리에 활용하는 더 자세한 내용과 사례가 궁금하다면 무료 데모 신청으로 실제 자산의 공격 표면을 모니터링 해볼 수 있습니다.