보안패턴
보안패턴
[템플릿관리] > [보안패턴]
보안 정책에 사용될 탐지 패턴을 관리합니다. DeepFinder가 제공하는 기본 패턴은 SYSTEM 탭에, 관리자가 생성한 사용자 정의 패턴은 USER 탭에 표시됩니다. SYSTEM 패턴은 조회만 가능하며, USER 패턴은 추가/수정/삭제가 가능합니다. 사용자 패턴을 추가하려면 USER 탭에서 [패턴그룹 추가]를 이용합니다.
보안 패턴이 적용되는 주요 보안 정책 항목은 다음과 같습니다.
| 템플릿 | 보안정책 탭 | 세부 정책 |
|---|---|---|
| 보안패턴 | 도메인 보안정책 | 헤더필드이름 정책 |
| 헤더필드값 정책 | ||
| 쿠키정책 | ||
| URL 보안정책 | 보안패턴정책 | |
| 중요정보유출방지정책 | ||
| 파일패턴정책 |
기본 보안패턴 종류
DeepFinder가 기본으로 제공하는 SYSTEM 패턴 목록입니다. 이 패턴들은 조회만 가능하며, 수정 및 삭제는 불가능합니다.
| ID | 항목 | 설명 |
|---|---|---|
| 1 | Session 정보 변조 | 쿠키 등을 이용한 세션 정보(예: jsessionid) 변조 공격을 탐지하는 보안 패턴입니다. |
| 2 | Blind SQL injection | SQL Injection의 고급 공격 기법입니다. 서버의 직접적인 오류 메시지 대신, 쿼리 전송 시 서버의 반응(참/거짓) 차이를 분석하여 공격을 시도하는 보안 패턴입니다. |
| 3 | SQL injection | DB에 공통적으로 적용되는 SQL 삽입 공격을 탐지하는 보안 패턴입니다. 공격자가 사용자 입력 값을 조작하여 백엔드 SQL 구문을 변조, 중요 정보를 유출하거나 DB 무결성을 훼손할 수 있습니다. |
| 4 | 크로스사이트 스크립팅 (XSS) | 공격자가 악의적인 스크립트를 삽입하여, 다른 사용자의 브라우저에서 해당 스크립트가 실행되도록 하는 공격(예: 세션 쿠키 탈취, 페이지 변조)을 탐지합니다. |
| 5 | 명령어 삽입 | 웹 서버에서 임의의 시스템 명령어를 실행하려는 공격을 탐지하는 보안 패턴입니다. |
| 6 | 웹코드 삽입 | LDAP, PHP, XPath 등 애플리케이션 코드 자체를 삽입하여 실행하려는 공격을 탐지하는 보안 패턴입니다. |
| 7 | 불안전한 직접 객체 참조 | 파일, 디렉토리, DB 레코드 등 내부 객체에 대한 참조를 URL이나 파라미터로 노출시켜, 공격자가 이를 변조하여 접근하려는 시도를 탐지하는 패턴입니다. |
| 8 | Hex Encoding | 16진수(Hex) 포맷으로 인코딩된 비정상적인 요청을 탐지하는 패턴입니다. |
| 9 | 소스코드 유출 | 웹 서버의 설정 오류 등으로 인해 소스 코드가 유출되는 패턴을 탐지합니다. |
| 10 | Directory 정보 유출 | 디렉토리 리스팅(Indexing) 취약점을 통한 정보 유출 시도를 탐지합니다. |
| 11 | DBMS Error 정보 유출 | MSSQL, MySQL, Oracle 등 DB의 상세 오류 정보가 클라이언트로 응답(Response)될 때 이를 탐지하는 패턴입니다. |
| 13 | 해킹코드삽입 | RFI(Remote File Inclusion, 원격 파일 삽입) 관련 공격을 탐지하는 패턴입니다. |
| 20 | PHP 게시판 취약점 | 알려진 PHP 기반 공개 게시판의 취약점 공격을 탐지하는 패턴입니다. |
| 21 | 웹쉘-공통 | 특정 스크립트(ASP, PHP, JSP)에 종속되지 않는 공통적인 웹쉘(Webshell) 업로드 및 실행 시도를 탐지합니다. |
| 22 | 웹쉘-ASP | ASP/ASP.NET 환경의 웹쉘 공격을 탐지합니다. |
| 23 | 웹쉘-PHP | PHP 환경의 웹쉘 공격을 탐지합니다. |
| 24 | 웹쉘-JAVA | JSP/Java 환경의 웹쉘 공격을 탐지합니다. |
| 25 | Unknown Attack | 비정상적인 문법의 요청 등 알려지지 않은 공격 시도를 탐지하는 패턴입니다. |
| 26 | Apache Struts2 | Apache Struts2 프레임워크의 원격 코드 실행 취약점(예: Content-Type 변조) 공격을 탐지하는 패턴입니다. |
| 29 | XML 삽입 | XML External Entity (XXE) 등 XML 삽입 관련 공격을 탐지하는 보안 패턴입니다. |
| 30 | 주민번호 유출 | 응답(Response) 페이지에 주민등록번호가 포함되어 유출되는 것을 탐지합니다. |
| 31 | 카드번호 유출 | 응답(Response) 페이지에 신용카드 번호가 포함되어 유출되는 것을 탐지합니다. |
| 40 | 정의된 헤더필드 이름 | RFC 2616(HTTP/1.1)에 정의된 표준 헤더 필드 이름을 탐지하는 보안 패턴입니다. |
| 41 | 웹 취약점 스캐너(기타) | 웹 취약점 스캐너를 이용한 자동화된 공격 시도를 탐지하는 보안 패턴입니다. |
| 42 | 헤더필드 Hex Encoding | HTTP 헤더 필드를 16진수(Hex) 포맷으로 변조한 요청을 탐지합니다. |
| 43 | Remote Control | 원격에서 시스템을 제어하려는 명령어를 탐지하는 보안 패턴입니다. |
| 51 | 검색엔진 크롤러 (User-Agent) |
User-Agent 헤더를 기반으로 검색 엔진 로봇(크롤러)을 탐지합니다. (정보 수집 차단 등에 사용) |
| 55 | E-mail 수집기 (User-Agent) |
웹 페이지의 이메일 주소를 무단으로 수집하는 봇(Bot)을 탐지합니다. |
| 56 | 봇탐지(User-Agent) | 취약점 스캐닝, 정보 수집 등을 목적으로 하는 기타 자동화된 봇(Bot)을 탐지합니다. |
| 200 | 업로드 허용 확장자 | 파일 업로드 시 허용할 확장자를 정의하는 패턴입니다. |
| 201 | 업로드 차단 확장자 | 파일 업로드 시 차단할 위험한 확장자(exe, sh 등)를 정의하는 패턴입니다. |
| 999 | 포지티브 패턴 | 허용(Positive) 정책을 위한 패턴으로, 각 데이터 포맷을 정의하는 와일드카드 패턴입니다. |
사용자 보안 패턴 그룹 관리
보안 패턴 그룹 추가
[템플릿관리] > [보안패턴] > USER > 우측 상단 설정 아이콘 > [패턴그룹 추가] 클릭
보안 정책에 사용할 사용자 정의 패턴 그룹을 추가합니다. [패턴그룹 추가] 클릭 시, 그룹 정보와 하위 패턴 정보를 동시에 입력할 수 있습니다.
| 구분 | 항목 | 설명 |
|---|---|---|
| 그룹정보 | 이름 | 보안패턴 그룹 이름을 입력합니다. (최대 255자) |
| 타입 | 패턴이 검사할 트래픽의 영역을 선택합니다. • REQUEST: 클라이언트의 요청(Request) 데이터 • RESPONSE: 서버의 응답(Response) 데이터 • HEADNAME: HTTP 요청/응답 헤더의 이름(Name) • HEADVALUE: HTTP 요청/응답 헤더의 값(Value) |
|
| 회사 | 이 패턴 그룹을 특정 회사 전용으로 제한할 경우 선택합니다. (공용일 경우 비워둠) | |
| 패턴정보 | 이름 | 보안패턴의 이름을 입력합니다. (최대 255자) |
| 위험도 | 보안패턴의 위험도를 선택합니다. (상/중/하) | |
| 패턴 | 탐지에 사용할 정규표현식(Regex)을 입력합니다. [패턴검사] 버튼으로 유효성을 검증할 수 있습니다.
|
보안 패턴 그룹 수정
[템플릿관리] > [보안패턴] > USER > (패턴그룹 선택) > 우측 상단 설정 아이콘 > [수정] 클릭
기존에 생성한 사용자 정의 패턴 그룹의 정보를 수정합니다.
Danger
수정하려는 패턴 그룹을 현재 사용 중인 도메인 그룹, 기본 정책, 스냅샷 목록이 경고창에 표시됩니다.
패턴 그룹을 수정하면 데이터 무결성이 변경되어, 이 그룹을 사용하던 기존 기본 정책 및 스냅샷을 더 이상 사용하지 못할 수 있으니 주의하십시오.
보안 패턴 그룹 삭제
[템플릿관리] > [보안패턴] > USER > (패턴그룹 선택) > 우측 상단 설정 아이콘 > [삭제]
선택한 패턴 그룹을 삭제합니다. 만약 그룹 내 하위 패턴이 현재 보안 정책에서 하나라도 사용 중이면, 그룹은 삭제되지 않습니다.
Danger
현재 도메인 그룹 정책이나 기본 정책에서 사용 중인 패턴 그룹은 삭제할 수 없습니다.
삭제하려면, 먼저 이 패턴 그룹을 참조하는 기본 정책을 삭제하고, 도메인 그룹 정책에서 해당 패턴 사용을 중지(None으로 변경)해야 합니다. 삭제가 완료되면, 이 패턴을 포함했던 기존 스냅샷은 비활성화(Disable)됩니다.
사용자 보안 패턴 관리
보안 패턴 추가
[템플릿관리] > [보안패턴] > USER > (패턴그룹 선택) > 우측 상단 설정 아이콘 > [패턴추가]
패턴을 추가할 상위 패턴 그룹을 먼저 선택한 후, [패턴 추가] 버튼을 클릭하여 새로운 패턴을 등록합니다.
| 항목 | 설명 |
|---|---|
| 이름 | 보안패턴의 이름을 입력합니다. (최대 255자) |
| 위험도 | 보안패턴의 위험도를 선택합니다. (상/중/하) |
| 패턴 | 탐지에 사용할 정규표현식(Regex)을 입력합니다. (최대 3000자) [패턴검사] 버튼으로 유효성을 검증할 수 있습니다. |
보안 패턴 적용
[템플릿관리] > [보안패턴] > USER > (패턴그룹 선택) > (패턴 선택) > [적용하기]
생성한 사용자 정의 패턴을 여러 도메인 그룹에 일괄 적용할 수 있습니다.
일괄 적용할 도메인 그룹 목록을 선택하고 원하는 대응 방법(Deny, Detect 등)을 지정한 후 [APPLY] 버튼을 누르면, 각 도메인 그룹의 https://ko.wikipedia.org/wiki/%EB%B3%B4%EC%95%88_%EC%A0%95%EC%B1%85 > [보안패턴정책]에 해당 패턴이 일괄 추가/변경됩니다.
보안 패턴 수정
[템플릿관리] > [보안패턴] > USER > (패턴그룹 선택) > (패턴 선택) > 우측 상단 설정 아이콘 > [수정] 클릭
기존에 생성한 사용자 정의 패턴의 이름, 위험도, 정규표현식 내용을 수정합니다.
Danger
수정하려는 패턴을 현재 사용 중인 도메인 그룹, 기본 정책, 스냅샷 목록이 경고창에 표시됩니다.
패턴을 수정하면 데이터 무결성이 변경되어, 이 패턴을 사용하던 기존 기본 정책 및 스냅샷을 더 이상 사용하지 못할 수 있으니 주의하십시오.
보안 패턴 삭제
[템플릿관리] > [보안패턴] > USER > (패턴그룹 선택) > (패턴 선택) > 우측 상단 설정 아이콘 > [삭제] 클릭
선택한 보안 패턴을 삭제합니다. 만약 해당 패턴이 현재 도메인 그룹 정책에서 사용 중이면 삭제되지 않습니다.
Danger
현재 도메인 그룹 정책이나 기본 정책에서 사용 중인 패턴은 삭제할 수 없습니다.
삭제하려면, 먼저 이 패턴을 참조하는 기본 정책을 삭제하고, 도메인 그룹 정책에서 해당 패턴 사용을 중지(None으로 변경)해야 합니다. 삭제가 완료되면, 이 패턴을 포함했던 기존 스냅샷은 비활성화(Disable)됩니다.
보안 패턴 업로드 / 다운로드
[템플릿관리] > [보안패턴] > USER > [패턴 업로드] > (업로드 할 df 파일 선택) > [업로드]
[템플릿관리] > [보안패턴] > USER > [패턴 다운로드] > (다운로드 할 패턴 선택) > [다운로드]
생성한 사용자 정의 패턴을 .df 파일로 백업(다운로드)하거나, 다른 Manager에서 백업한 파일을 복원(업로드)할 수 있습니다.
다운로드할 보안 패턴 그룹을 선택한 뒤 [다운로드] 버튼을 누르면 .df 파일이 생성됩니다.
다른 Manager에서 다운로드한 .df 파일을 업로드하여 사용자 패턴을 복원할 수 있습니다. 업로드된 패턴은 식별을 위해 이름 앞에 [IMPORTED] 접두사가 붙습니다.
