에스원NS에서 해킹에 대해서 조치를 했다고 긴급 연락이 왔습니다 (이메일)

out-bound traffic에서 미국 웹하드 업체로의 traffic이 나온 것 입니다.

해당 ip는 즉시 차단 되었으니, 서버를 모니터링 하라는...

침해징후 : [UC-310] BlackList IP 접근 성공(Outbound) (201511010902)

들어오는 것에서는 해킹 흔적을 찾기 어렵지만, 나가는 것에서는 해킹 흔적이 쉽게 드러납니다.

대부분의 target이 명확하니까요.

UTM 등의 네트웍 장비에서는 나가는 트래픽을 반드시 관제해야 합니다.

그래야 해킹 흔적을 찾을 수 있습니다.

Outbound 트래픽을 관제하면 서비스트래픽의 2배 이상의 부하가 걸리기 때문에

Outbound 트래픽을 관제하지 않는 경우가 많은데

절대로 그러시면 안됩니다.

InBound 트래픽의 관제는 해킹을 방어하는 것이고

OutBound 트래픽의 관제는 해킹된 것을 탐지하는 것이기 때문 입니다.

목적이 다릅니다.

* 실시간 차단 및 대응은 에스원의 실시간 관제 서비스에서만 가능 합니다.