Ctrlk

브루트포스

브루트포스 공격은 단일 계정(또는 소수 계정)에 대해 짧은 시간 안에 반복적으로 다양한 비밀번호를 시도하여 인증을 뚫으려는 공격입니다.

PLURA는 웹방화벽 로그를 이용해 실패·성공 로그인 패턴을 분석하고 비정상적인 반복 로그인 시도를 탐지해 경보 및 연계 조치를 지원합니다.

1. 탐지 기준

연속 실패 탐지: 동일 계정 또는 동일 대상 경로에 대해 짧은 시간 내 반복적인 로그인 실패가 일정 임계치를 초과하면 브루트포스 성격으로 표시됩니다.
분산 시도 탐지: 여러 IP가 동일 계정으로 로그인 시도를 하는 경우(분산 브루트포스)도 탐지 대상으로 처리됩니다.
성공 후 이상행위 연계: 로그인 성공 직후 비정상적 세션 행위(권한 상승, 비정상 페이지 접근 등)가 감지되면 우선순위를 높여 표시합니다.

2. 연계기능

전체로그 연동: 탐지 항목에서 이동 클릭 시 해당 호스트/도메인/시간 기준으로 전체로그가 자동 검색되어 연관 이벤트(예: 파일 업로드, 쉘 접속 등)와 함께 분석 가능합니다.

3. 대응·알림

알림 설정: 개인알림 또는 시스템 알림에서 브루트포스 탐지 유형을 선택해 메일·Syslog 등으로 통보받을 수 있습니다.
차단 연계: 탐지 항목에서 차단(수동/자동차단 연동)이 가능하며, 동일 IP/유사 행위에 대해 방어 규칙을 즉시 적용할 수 있도록 연동됩니다.

4. 예외 및 운영 정책

화이트리스트: 정상(업무) 트래픽을 미리 등록해 오탐을 줄일 수 있습니다.

5. 참고자료

Previous크리덴셜 스터핑 Next제로데이

Last updated 13 days ago