GCIA 인증 프로그램을 통해 배울 수 있는 것: 포괄적인 가이드

정보 보안 분야에서 경력을 쌓고 싶다면 GIAC GCIA 자격증 프로그램이 가장 중요한 과정이 될 것입니다. GCIA 자격증 과정은 가장 어려운 과정으로 여겨지지만, 그만큼 가장 보람 있는 과정이기도 합니다.

네트워크에서 제로데이 공격이 공개되기 전에 이를 탐지하는 효과적인 위협 탐지 방법을 배우고 싶다면 GCIA 자격증보다 더 좋은 과정은 없습니다. 기본 제공되는 네트워크 모니터링 도구에서 생성되는 경고를 이해하는 데 그치는 사람들은 GCIA 자격증을 취득할 필요가 없습니다.

하지만 GCIA 자격증은 현재 네트워크에서 무슨 일이 일어나고 있는지 심층적으로 파악하고, 기존 도구가 보고하지 않는 심각한 문제를 감지하고자 하는 사람들에게 적합합니다.

GIAC 공인 침입 분석가(GCIA) 자격증이란 무엇인가요?

GIAC 공인 침입 분석가(GCIA) 자격증은 벤더에 구애받지 않는 자격증으로, 침입 탐지 및 분석 분야에서 실무자의 지식과 기술을 검증하기 위해 설계되었습니다. GIAC GCIA 자격증을 취득하면 침입 탐지 시스템을 구성 및 모니터링하고, 네트워크 트래픽과 로그 파일을 읽고 해석하고 분석하며, 네트워크에서 발생하는 상황을 파악할 수 있습니다.

GIAC GCIA 자격증을 취득하려면 네트워크 트래픽 분석, 시그니처 생성, 로그 분석, 사고 처리 등 다양한 시험 목표를 다루는 감독관 입회 하에 치러지는 시험에 합격해야 합니다. GIAC GCIA 시험은 106개의 객관식 문항으로 구성되어 있으며, 시험 시간은 4시간입니다. 합격 기준은 최소 67% 이상의 점수입니다.

GCIA 시험의 주요 내용은 다음과 같습니다.

• 트래픽 분석 및 애플리케이션 프로토콜 기초
• 오픈소스 IDS: Snort 및 Zeek
• 네트워크 트래픽 포렌식 및 모니터링

GCIA 자격증 응시 자격

• 침입 탐지 담당자
• 시스템 분석가
• 보안 분석가
• 네트워크 엔지니어
• 네트워크 관리자
• 실무 보안 관리자

다음 기술을 습득하게 됩니다

• 웹사이트 트래픽 분석을 통해 보안 사고를 예방하는 방법
• 어떤 네트워크 모니터링 도구도 탐지하지 못한 제로데이 위협을 식별하는 방법
• 네트워크 모니터링: 설치, 맞춤 설정 및 최적화 방법
• 특히 사고 발생 시 네트워크 경고를 분류하는 방법
• 이벤트 재구성을 통해 발생 원인, 발생 시점 및 행위자를 파악하는 방법
• 네트워크 포렌식, 탐지 및 분석에 대한 실무 경험
• TCP/IP 및 일반 애플리케이션 프로토콜을 활용하여 네트워크 트래픽을 분석하고 정상 트래픽과 비정상 트래픽을 구분하는 방법
• 시그니처 기반 네트워크 모니터링: 장점과 단점
• 기업 전반에 걸친 자동화된 상관관계 분석을 위한 행동 네트워크 모니터링 및 효과적인 활용 방법
• 네트워크 활동에 대한 효과적인 위협 모델링 수행
• 위협 모델링을 제로데이 위협 탐지 기능으로 전환하는 방법
• 기존 네트워크, 하이브리드 네트워크 및 클라우드 네트워크의 흐름 데이터를 분석하여 탐지 기능을 향상시키는 방법

다음과 같은 능력을 갖추게 됩니다.

• Snort 및 Suricata를 구성하고 실행할 수 있습니다.

• 효과적이고 효율적인 Snort, Suricata 및 FirePOWER 규칙을 생성하고 작성할 수 있습니다.

• 오픈 소스 Zeek을 구성하고 실행하여 하이브리드 트래픽 분석 프레임워크를 구축할 수 있습니다.

• Zeek에서 자동화된 위협 탐지 상관관계 스크립트를 생성할 수 있습니다.

• TCP/IP 구성 요소 계층을 이해하여 위협 식별을 위한 정상 및 비정상 트래픽을 구분할 수 있습니다.

• 트래픽 분석 도구를 사용하여 침해 또는 활성 위협의 징후를 식별할 수 있습니다.

• 네트워크 포렌식을 수행하여 트래픽을 조사하고 공격 전술, 기술 및 절차(TTP)를 파악하며 활성 위협을 찾아낼 수 있습니다.

• 네트워크 트래픽에서 파일 및 기타 유형의 콘텐츠를 추출하여 이벤트를 재구성할 수 있습니다.

• BPF 필터를 생성하여 특정 트래픽 특성을 대규모로 선택적으로 분석할 수 있습니다.

• Scapy를 사용하여 패킷을 생성할 수 있습니다.

• NetFlow/IPFIX 도구를 사용하여 네트워크 동작 이상 및 잠재적 위협을 찾아낼 수 있습니다.

• 네트워크 아키텍처 및 하드웨어에 대한 지식을 활용하여 네트워크 모니터링 센서의 위치를 최적화하고 네트워크 트래픽을 분석할 수 있습니다.

GCIA 자격증 시험 커리큘럼

SEC503.1: 네트워크 모니터링 및 분석: 파트 I

이 섹션에서는 TCP/IP 프로토콜 스택에 대한 심층적인 내용을 다루어 클라우드 또는 기존 인프라에서 위협을 효과적으로 모니터링하고 탐지할 수 있도록 준비시켜 줍니다. 첫 단계는 "패킷을 제2의 언어"로 배우는 과정입니다. 위협을 식별하고 공격 전술 및 절차(TTP)를 파악하기 위해, 수강생들은 제로데이 공격 및 기타 공격에 사용되는 패킷을 수집하는 저수준 패킷 분석에 바로 몰입하게 됩니다. 이 섹션 전반에 걸쳐 수강생들은 TCP/IP 통신의 기본 원리, 비트, 바이트, 이진수 및 16진수 이론, 그리고 각 필드의 의미와 예상 동작을 학습합니다. 또한 Wireshark 및 Tcpdump와 같은 도구를 사용하여 트래픽을 분석하는 방법을 배우게 됩니다.

TCP/IP 개념

• 패킷 헤더와 데이터를 이해해야 하는 이유는 무엇일까요?

• TCP/IP 통신 모델

• 데이터 캡슐화/역캡슐화

• 비트, 바이트, 이진수 및 16진수

Wireshark 소개

• Wireshark 탐색
• Wireshark 프로필
• Wireshark 통계 옵션 살펴보기
• 스트림 재조립
• 패킷에서 콘텐츠 찾기

네트워크 액세스/링크 계층: 2계층

• 링크 계층 소개
• 주소 지정 프로토콜
• 2계층 공격 및 방어

IP 계층: 3계층

• IPv4

• 이론 및 실제 필드 살펴보기

• 체크섬과 그 중요성, 특히 네트워크 모니터링 및 회피에 있어서

• 단편화: 단편화에 관련된 IP 헤더 필드, 단편의 구성, 최신 단편화 공격

UNIX 명령줄 처리

• 패킷 효율적 처리
• 질문에 답하고 네트워크를 조사하기 위한 데이터 구문 분석 및 집계
• 더 빠른 분석을 위한 정규 표현식 사용

SEC503.2: 네트워크 모니터링 및 분석: 2부

이 부분은 이 섹션은 "패킷을 제2의 언어로" 과정의 마무리를 장식하며, 앞으로 이어질 더욱 심도 있는 논의를 위한 토대를 마련합니다. 학생들은 TCP/IP 모델에서 사용되는 주요 전송 계층 프로토콜과 최신 트렌드가 이러한 프로토콜 사용에 미치는 영향에 대해 깊이 이해하게 될 것입니다. 이 강의에서는 Wireshark와 TCPdump를 사용하여 자신의 트래픽을 분석하는 방법을 배웁니다. Wireshark 디스플레이 필터와 Berkeley Packet Filters를 활용하여 대규모 데이터를 필터링하고 관심 있는 트래픽만 추출함으로써 기존 및 클라우드 기반 인프라에서 위협을 탐지하는 데 중점을 둡니다. 또한 이 섹션에서는 모든 헤더 필드의 의미와 기능을 포함하여 현대 네트워크 모니터링에 매우 중요한 영향을 미치는 최신 기술 혁신에 대해서도 다룹니다.

Wireshark 디스플레이 필터

• Wireshark에서 디스플레이 필터를 생성하는 다양한 방법 살펴보기
• 디스플레이 필터 구성

BPF 필터 작성

• BPF의 보편성과 필터의 유용성
• BPF 필터 형식
• 비트 마스킹 사용

TCP

• 필드의 이론 및 실제 살펴보기
• 패킷 분석
• 체크섬
• 정상 및 비정상 TCP 자극 및 응답
• IDS/IPS에서 TCP 재조립의 중요성

UDP

• 필드의 이론 및 실제 살펴보기
• UDP 자극 및 응답

ICMP

• 필드의 이론 및 실제 살펴보기
• ICMP 메시지를 전송해서는 안 되는 경우
• 매핑 및 정찰에서의 활용
• 정상 ICMP
• 악성 ICMP

IP6

• 기본 사항
• IP6의 개선 사항
• 멀티캐스트 프로토콜 및 IP6에서의 활용
• IP6 위협

실제 응용 사례: 연구 네트워크

• 누가 가장 많은 트래픽을 발생시키는가?

• 사람들은 어디에 연결하는가?

• 우리 네트워크에서 어떤 서비스가 실행 중인가?

• 어떤 종류의 동서 트래픽이 발생하는가?

SEC503.3: 시그니처 기반 위협 탐지 및 대응

이 과정의 세 번째 섹션에서는 앞의 두 섹션을 기반으로 애플리케이션 계층 프로토콜을 살펴봅니다. 이 지식을 활용하여 클라우드, 엔드포인트, 하이브리드 네트워크 및 기존 인프라에서 위협을 탐지하는 방법을 배우게 됩니다. 또한 강력한 Python 기반 패킷 생성 도구인 Scapy를 사용하여 패킷을 조작, 생성, 읽고 쓰는 방법을 배우게 됩니다. Scapy를 사용하여 패킷을 생성하고 모니터링 도구 또는 방화벽의 탐지 기능을 테스트할 수 있습니다. 특히, 사용자가 생성한 네트워크 모니터링 규칙에 새로 발표된 취약점이 추가될 때 이러한 테스트가 중요합니다.

Scapy

• Scapy를 이용한 패킷 생성 및 분석
• 네트워크 또는 Pcap 파일에 패킷 기록
• 네트워크 또는 Pcap 파일에서 패킷 읽기
• 네트워크 분석 및 네트워크 방어를 위한 Scapy의 실용적인 활용

고급 Wireshark

• 웹 및 기타 지원되는 객체 내보내기
• 임의의 애플리케이션 콘텐츠 추출
• Wireshark를 이용한 사고 조사
• SMB 프로토콜 활동 분석을 위한 Wireshark의 실용적인 활용
• Tshark

Snort/Suricata 소개

• 도구 구성 및 기본 로깅
• 간단한 규칙 작성
• 일반적인 옵션 사용

효과적인 Snort/Suricata 활용

• 매우 큰 네트워크를 위한 효율적인 규칙 작성에 대한 고급 내용
• 쉽게 우회되거나 회피되지 않는 유연한 규칙 작성 방법 이해
• 모든 실습 활동에 대한 Snort/Suricata "나만의 모험을 선택하세요" 접근 방식
• 진화하는 익스플로잇을 단계적으로 분석하고, 모든 형태의 공격을 탐지하도록 규칙을 점진적으로 개선
• 응용 Snort/Suricata부터 애플리케이션 계층 프로토콜까지

DNS

• DNS 아키텍처 및 기능
• DNSSEC
• EDNS(확장 DNS)와 같은 최신 DNS 기술 발전
• 캐시 포이즈닝을 포함한 악성 DNS
• DNS 위협 활동 식별 규칙 생성

Microsoft 프로토콜

• SMB/CIFS
• 탐지 문제
• Wireshark를 활용한 실제 사례

최신 HTTP

• 프로토콜 형식
• 이 프로토콜이 진화하는 이유와 방식
• 탐지 문제
• HTTP2 및 HTTP3의 변경 사항

프로토콜 조사 방법

• QUIC 사례 연구
• GQUIC와 IETF QUIC 비교

실제 응용: 관심 트래픽 식별

• 대규모 패킷 저장소에서 비정상적인 애플리케이션 데이터 찾기
• 관련 레코드 추출
• 응용 프로그램 조사 및 분석

SEC503.4: 제로데이 위협 탐지 시스템 구축

섹션 4에서는 앞의 내용을 바탕으로 최신 및 미래의 침입 탐지 시스템을 심층적으로 살펴봅니다. 첫 세 섹션을 통해 학생들은 지금까지 배운 모든 것을 종합하여 Zeek(또는 Corelight)을 활용한 고급 행동 탐지를 통해 Snort/FirePower/Suricata 및 차세대 방화벽보다 훨씬 뛰어난 위협 탐지 기능을 설계할 수 있게 되었습니다.

네트워크 아키텍처

• 트래픽 수집을 위한 네트워크 계측
• 네트워크 모니터링 및 위협 탐지 배포 전략
• 트래픽 캡처용 하드웨어

대규모 네트워크 모니터링 소개

• 네트워크 모니터링 도구의 기능
• 탐지에서 분석가의 역할
• 분석 흐름 프로세스

Zeek

• Zeek 소개
• Zeek 운영 모드
• Zeek 출력 로그 및 활용 방법
• 실질적인 위협 분석 및 위협 모델링
• Zeek 스크립팅
• Zeek을 활용한 관련 행위 모니터링 및 상관관계 분석

IDS/IPS 회피 이론

• 다양한 프로토콜 계층에서의 회피 이론 및 의미
• 회피 샘플링
• 목표 기반 탐지의 필요성
• 제로데이 모니터링 회피

SEC503.5: 대규모 위협 탐지, 포렌식 및 분석

이 섹션에서는 형식적인 강의보다는 실습에 중점을 둡니다. 이 섹션에서는 크게 세 가지 영역을 다룹니다. 첫 번째는 NetFlow와 IPFIX를 활용한 데이터 기반 대규모 분석 및 데이터 수집입니다. 과정의 첫 번째 섹션에서 습득한 프로토콜 지식을 바탕으로 NetFlow를 사용하여 클라우드 환경과 기존 인프라 모두에서 위협 탐지를 수행할 수 있습니다. 기초를 다진 후에는 NetFlow 쿼리를 직접 구축하고 활용하여 고급 분석 및 위협 탐지를 진행합니다. 두 번째 영역에서는 트래픽 분석을 소개하며, 대규모 분석이라는 주제를 이어갑니다. 제로데이 위협 탐지를 위한 다양한 도구와 기법을 소개하고, 실습 기회를 제공합니다. 또한 인공지능과 머신러닝을 활용한 최첨단 이상 탐지 기법도 다룹니다. 마지막으로 네트워크 포렌식 및 재구성된 사고 사례를 살펴봅니다. 각 학생은 과정 전반에 걸쳐 학습한 도구와 기법을 사용하여 세 가지의 상세한 실습 사례를 분석하게 됩니다.

네트워크 흐름 기록 활용

• NetFlow 및 IPFIX 메타데이터 분석
• SiLK를 활용한 관심 이벤트 검색
• NetFlow 데이터를 통한 측면 이동 식별
• 사용자 지정 NetFlow 쿼리 구축

위협 탐지 및 시각화

• 엔터프라이즈 규모 네트워크에서 위협 탐지를 수행하는 다양한 접근 방식
• 이상 징후 식별을 위한 네트워크 동작 시각화 관련 실습
• 데이터 과학을 활용한 보안 운영 간소화 및 위협 탐지 응용
• 방어된 네트워크에서 네트워크 프로토콜 이상 징후를 식별하는 AI 기반 시스템 실험

네트워크 포렌식 분석 개론

• 네트워크 포렌식 분석 이론
• 공격 단계
• 데이터 기반 분석 vs. 경고 기반 분석
• 가설 기반 시각화

SEC503.6: 고급 네트워크 모니터링 및 위협 탐지 캡스톤

본 과정은 도전적이면서도 흥미로운 실습 중심의 서버 기반 네트워크 모니터링 및 위협 탐지 캡스톤 프로젝트로 마무리됩니다. 이 과정에서 학생들은 개인 또는 팀으로 경쟁하며 학습한 도구와 이론을 활용하여 다양한 질문에 답합니다. 실제 데이터로 구성된 6개 섹션을 기반으로, 학생들은 긴급 상황 조사를 수행하게 됩니다. 이러한 "현장 실습" 활동을 통해 학생들은 전문 분석가 팀이 수행한 동일한 데이터 분석을 바탕으로 질문에 답합니다.

핵심 요약

GIAC 침입 분석가(GCIA) 자격증을 취득하면 네트워크 및 호스트 모니터링, 트래픽 분석, 침입 탐지에 대한 전문 지식을 입증할 수 있습니다. GIAC GCIA 자격증을 통해 침입 탐지 시스템을 구성 및 모니터링하고, 네트워크 트래픽 및 로그 파일을 읽고 해석하고 분석할 수 있습니다.

GCIA 자격증 시험이 지금 바로 응시 가능합니다. 대리 시험 센터를 찾고 계신다면, 바로 여기입니다! CBT Proxy 팀은 여러분이 첫 번째 시도에 시험에 합격할 수 있도록 도와드립니다. 아래 채팅 버튼을 클릭하여 상담원과 시험에 대해 상담하세요.