Daily Archives: 2014-02-26

You are browsing the site archives by date.

VDI 환경에서 디지털 포렌식 수행 방법

1억 400만건이라는 개인정보 유출 사건으로 인하여 금융권 기업들이 내부 정보보안 강화를 위해서 발빠르게 움직이고 있다.

특히 가상화 도입을 서두르고 있다.

VDI 환경에서 디지털 포렌식을 어떻게 할것인가? 논리적 또는 물리적 망분리 방식에 상관없이 포렌식 전문가들은 VDI 환경에서 어떻게 디지털 증거를 수집할 것인지에 대해서 기업보다 먼저 고민해야한다.

VDI 구축환경을 단순하게 생각해보면 Thin-Client 가 있고, Vmware 상의 업무망과 외부망이 있다.

Thin-Client 단말기에는 Embedded 윈도우가 설치되어 있고 그위에 콘솔이 올라가 있다. 즉 단말기도 PC다. 저장공간이 있는…

중요한건 Thin-Clinent 가 아니라 Vmware 환경의 업무망의 데이터 수집이다.

사실 간단하다. Vmware 이미지 파일 가져와서 분석해도 되고, 직접 권한을 받아서 해당 PC 열람해서 봐도된다.(단, 무결성이 중요하지 않다면..)

업무망에서 외부로 데이터 유출은 불가능하다.

하지만, Operation Error 가 발생하게 되면 취약점이 생겨 USB 등 이동식 저장장치를 통해서 외부로 데이터 유출이 가능하다. USB 접속기록 확인해볼필요가 있다.

Operation Error 라고하면..
– 정보보안 에이전트가 Thin Client 에 설치되지 않을 수가 있다. 최초 PC 지급시 미설치되어서 지급되거나, 내부 정보보안관련 시스템 서비스가 일시적으로 중단되었을때 외부 유출 경로가 OPEN 될수 있다. 그래서 1가지 솔루션에 너무 의존하면 안되다. 근본적인 방법은 USB 포트를 막는것이 필요하다.

– 규모가 큰 기업들에서는 다양한 보안 정책들이 설정되어 있어서 담당자라고 할지라도 정책에 대해서 정확이 모른다. 기본적인 개념은 알고 있어서 한 Depth 더 들어가면 업체에 문이를 해야한다. 그렇기때문에 끊임없이 보안 정책이 사용자의 PC에 제대로 반영되는지 등에 대해서 모니터링 해야한다.
hp_thinclient_01