, 2012 년 9 월 는보안책임자및기타경영진을대상으로오늘날그중요성이급부상하고있는정보와보안위험에어떻게대응하고이로인한새로운기회를어떻게활용할수있는지에대한유용한지침을제공합니다. 각 Brief 는주요신종보안위협에대한전문지식을공유하기위해다양한기업에서활동하고있는보안전문가로구성된특

Size: px

Start display at page:

Download ", 2012 년 9 월 는보안책임자및기타경영진을대상으로오늘날그중요성이급부상하고있는정보와보안위험에어떻게대응하고이로인한새로운기회를어떻게활용할수있는지에대한유용한지침을제공합니다. 각 Brief 는주요신종보안위협에대한전문지식을공유하기위해다양한기업에서활동하고있는보안전문가로구성된특"

동주 애
5 years ago
Views:

1 지능적위협에대한조기경고시스템으로 SIEM 혁신 빅데이터를통한 SIEM 의보안분석기능향상 2012 년 9 월 내용요약 저자의말 오늘날대부분의 SOC 는조직내부의이벤트를탐지하는역량이 최신보안위협을따라가지못하 는문제에직면하고있습니다. 그 결과공격자가조직내부또는네 트워크에침투하여데이터를탈 취한후에야이를인지하게되는 경우가많습니다. CSC CyberSecurity 부문 CTO, Dean Weber 지난수년간취약점을공격하여업무를방해하고중요한정보를유출하도록설계된교묘한맞춤형사이버공격으로인해수많은정부기관과유명기업이피해를입었습니다. 이들중상당수가최신보안위협탐지및예방시스템을갖추고도공격피해를입었다는점으로미루어보아현재의보안시스템은지능적위협을차단하지못하고있다는것은분명합니다. 즉, 이러한시스템은피해를입기전에네트워크내에공격자가침투하는것을차단하지못했거나이들의침입을감지하지못한것입니다. 오늘날의심각한보안위협환경을고려할때, 보안팀은 IT 환경이언제든지공격을받을수있다는사실을인정해야합니다. 예방조치를통해 IT 환경을안전하게보호하거나서명비교기술을사용하여멀웨어문제를탐지하는것만으로도충분했던시기는이미지나갔습니다. 공격의단계파악, 지속적인보안위협모니터링, 신속한공격탐지및치료에기반한새로운보안대책이필요합니다. 지능적위협에대비할수있도록운영환경을완벽하게파악하고대응능력과탐지속도를향상하기위해서는 SIEM(Security Information and Event Management) 시스템이대규모보안분석의핵심시스템으로새롭게진화해야합니다. 이를위해서는특히다음과같은네가지기본적인기능이필요합니다. 1. 전체운영환경에대한파악 IT 환경에서발생하는모든작업을완벽하게파악하려면네트워크패킷캡처, 전체세션재구성, 네트워크및호스트디바이스의로그파일, 보안위협지표와같은외부정보또는기타보안인텔리전스등의여러데이터소스를통합할수있어야합니다. 중앙집중식으로로그를수집하는것만으로는충분하지않습니다. 2. 심층적인분석 상황에기반하여위험을검사하고분산된데이터세트전반에걸쳐시간경과에따라동작패턴을비교함으로써탐지정확도를높이고문제해결시간을단축할수있습니다. 3. 대규모확장성 보안데이터를수집하는플랫폼은나날이증가하는정보를원활하게처리할수있는대규모확장성을기반으로완벽한상황인식기능을제공할수있어야합니다. 4. 통합뷰 상황에기반하여보안사건을조사하고잠재적인보안위협에대해신속한의사결정을내릴수있도록지원하려면보안관련정보를한곳에통합하는것이필수적입니다. SOC( 보안운영센터 ) 에는보안데이터를신속하게수집하고분석하여각상황에따라가장중요한문제를제시해주는고급분석툴이필요합니다. 새로운보안분석플랫폼은기존 SIEM 시스템이제공하는모든기능은물론여러가지새로운기능을통해지능적위협을신속하게탐지하여조직내에숨어있는공격을차단시킬수있어야합니다.

2 , 2012 년 9 월 는보안책임자및기타경영진을대상으로오늘날그중요성이급부상하고있는정보와보안위험에어떻게대응하고이로인한새로운기회를어떻게활용할수있는지에대한유용한지침을제공합니다. 각 Brief 는주요신종보안위협에대한전문지식을공유하기위해다양한기업에서활동하고있는보안전문가로구성된특별대응팀에서작성했습니다. 거시적인관점의통찰력과실용적인기술조언을제공하는 는향후의보안위협에대비하기위해현재보안실무담당자라면꼭읽어보아야할자료입니다. 목차내용요약...1 과거의문제에집중하고있는현재의보안시스템...3 보안관리기준을정립하는 SIEM...4 지능적위협에는지능적보안이필요...4 포괄적인보안분석플랫폼으로혁신을거듭하는 SIEM...5 전체운영환경에대한파악...5 더욱심층적인분석과신속한조사...6 대규모확장성...6 주요보안정보에대한통합뷰제공...7 결론...8 저자소개...9 보안솔루션...11 CSC의관리형보안서비스...11 RSA Security Analytics...11 Verizon의관리형보안서비스...11 저자 EMC 보안사업부, RSA Product Management 부문 Senior Director, Brian Girardi EMC VP 겸보안책임자 (CSO), David Martin Verizon Business, Global Security Services 부문 Director, Jonathan Nguyen-Duy Verizon Terremark, Secure Information Services 부문 VP, Mario Santana EMC 보안사업부 RSA VP 겸 CISO, Eddie Schwartz CSC, CyberSecurity 부문 CTO, Dean Weber

3 , 2012 년 9 월 과거의문제에집중하고있는현재의보안시스템 오늘날이루어지고있는보안공격의가장큰특징은예측불가능성입니다. 따라서신속한대응만이최선의방어책이라고할수있습니다. 저자의말 이전의보안위협이대규모공격컴퓨터웜이나바이러스와싸우는 것이었다면, 오늘날은선과악의 대결이라고할수있습니다. IT 환경 에대한공격은인간의개입을통 해고도로맞춤화되어있으며, 기 존의자동화방식의방어체계는 실패할수밖에없습니다. 창의성 측면에서기계는사람을따라잡을 수없기때문입니다. Verizon 계열사 Terremark Secure Information Services 부문 VP, Mario Santana 여러가지새로운보안기술과보안에대한인식의전환이필요한때입 니다. 보안위협을사전에차단하는 것이아니라이미발생했을것이라 는가정하에문제를탐지하고대응 방법을찾는방향으로생각을바꾸 어야합니다. EMC CSO, Dave Martin 이전에는보안위협을예방하기위해보안업체와공격자가마치고양이와쥐와같이쫓고쫓기는게임을벌였습니다. 공격자가개발한새로운보안위협이발견되면보안업체가고객에게서명을배포하여초기에멀웨어의작동을차단할수있었습니다. 공격자는다시탐지를피하기위해보안위협의변종을만들어배포하지만이는오래가지못했습니다. 보안업체의보안위협분석가가트래픽을검사하여새로운변종을찾아내차단했기때문입니다. 이처럼기업보안팀에서지속적으로최신버전의패치와보안서명을배포하는경계방어접근방식은때때로발생하는제로데이 (zero-day) 취약성을제외하면얼마전까지만해도매우효과적인것으로평가되었습니다. 그러나이제 APT 및이와유사한지능적위협의등장으로상황이달라졌습니다. Security for Business Innovation Council 에서는지능적위협을지적재산과같은중요한정보의도난, 허위정보이식, 전략적서비스중단, 시스템손상, 작업또는동작모니터링을위해조직의방어체계를붕괴시킬목적으로개발된맞춤형사이버공격으로정의하고있습니다. 이러한지능적위협은핵티비스트, 국가적조직, 범죄집단및자금력과특수보안전문역량을보유한기타단체에의해악용되고있습니다. 위에서설명한기존의경계및서명기반방어로는이러한최신기술을갖춘공격자를막을수없습니다. 공격자들은조직의보안시스템, 인력및프로세스를면밀히분석한후이를악용할수있는기법을개발합니다. 사회공학기법, 권한상승및기타탐사기법을통해중요한시스템리소스에대한액세스권한을확보합니다. 탐지를피하면서며칠, 몇주또는몇개월에걸쳐끈질기게조직의네트워크를탐색하여소기의목표를달성합니다. 그런다음적절한시기에최종공격단계를실행합니다. 최근의보안침해사건가운데지능적위협으로인한피해가두드러지게증가하고있습니다. Verizon 2012 Data Breach Investigations Report 에따르면 2011 년한해동안 855 건의보안침해사건이발생하여총 1 억 7,400 만건의기록이탈취된것으로나타났습니다. 이는 Verizon 에서보안침해사건을추적하기시작한 2004 년이후두번째로큰데이터손실규모입니다. 또한오늘날의수많은조직은여러보안프로그램과규정준수프로그램을실행하고있습니다. 그러나규정준수작업은기본적으로그속도가매우느리고정형화되어있으며목적이한정적이므로 IT 환경을보호하기에는역부족인경우가많습니다. 기업은오늘날사이버도난이발생할가능성이높다는점을고려하여위험관리의우선순위를새롭게정립해야합니다또한미지의또는예상치못한보안침해로인한피해에대비할수있도록보안전략도재고해야합니다. 이미 IT 환경에보안침해가발생했을수있음을인정하는것부터시작해야합니다. 이와같이기본전제가변화함에따라경계보호에서조기보안위협탐지및잠재적침해로인한피해의최소화로보안목표또한조정되어야합니다. 주보호대상이경계에서조직의핵심으로옮겨감에따라보안전문가는상황을정확하게파악하여조직의가장중요한자산을모니터링하고보호하는데주력할수있습니다. 3 페이지

4 , 2012 년 9 월 보안관리의기준을정립하는 SIEM SIEM 시스템은보안사건관리및규정준수보고를간소화하기위해보안데이터 ( 주로로그및이벤트정보 ) 의수집및저장을위한통합저장소를제공하도록설계되었습니다. SIEM 시스템은네트워크디바이스, 스토리지및데이터베이스, 방화벽, 침입방지시스템, 바이러스백신소프트웨어등네트워크의각애플리케이션과시스템에서생성된보안알림과로그를수집합니다. 또한정보를추적하는데걸리는시간을단축하는효과도제공하므로보안분석가가사건해결에더많은시간을할애할수있습니다. Forrester Research 의최근보고서에따르면, 오늘날기업의 1/3 은보안정보관리시스템을도입하고있으며이러한결정의가장큰동기는보안사건조사및규정준수인것으로나타났습니다. 1 기존 SIEM 시스템은다음과같은주요보안및규정준수기능에서우수한성능을발휘합니다. 저자의말 기존의 SIEM 시스템은문제가되는패턴을탐지하여경고하고, 기 존데이터에서최대한의정보를제 공한다는점에서반드시필요합니 다. 그러나 SIEM 시스템이보안위 협분석을위해광범위하게 IT 환경 을파악하고풍부한배경정보를 제공해야하는필요성이커지고있 습니다. EMC 보안사업부 RSA VP 겸 CISO, Eddie Schwartz 디바이스작업에대한보고를통해누가, 무엇을, 어디서, 언제주요한작업을수행했는지에대한정보제공 전체 IT 운영에대해 정상 작업으로평가할수있는기준수준을수립하여보다쉽게비정상적인수준의작업유형탐지 이벤트정보의상관관계를자동으로파악하여보안전문가가조직네트워크의여러디바이스와애플리케이션에서일상적으로발생하는수많은보안경고를일일이검토할필요가없음 보안전문가가사전정의한규칙에따라잠재적인보안위협을필터링하고, 규칙을사용하여관련성낮은경고를걸러내탐지정확도를개선하고조사해야할이벤트의수를대폭줄일수있음 수집된로그데이터를중앙저장소에통합하여규정준수및장기적인포렌식조사를위해데이터를간편하게검토, 보고및저장할수있음 정기적으로보고서를자동으로생성하여내부및외부감사자에게규정준수입증자료제공 이러한기능은모든보안및규정준수프로그램의핵심기능입니다. 실제로일부전문가는하나의탐지중심보안전략만도입가능한기업의경우보안관련데이터를수집하고상관관계를분석하여다양한문제를찾아낼수있는 SIEM 시스템을사용할것을권장합니다. 그러나지능적위협에의한고도의위험에대비하기위해서는 SIEM 시스템이중심이되는기존의보안접근방식만으로는한계가있습니다. 기존 SIEM 시스템은보안의필수구성요소이지만이것만으로는부족합니다. 지능적위협에는지능적보안이필요 보안의식을새롭게보완하고기존보안접근방식의한계를극복할수있는새로운보안기능이절실히요구되는시점입니다. 기존의로그및이벤트중심의 SIEM 시스템으로는조직이직면하고있는위험을제대로파악하기어려운경우가많습니다. SIEM 툴은일부 IT 인프라스트럭처에서만정보를수집하기때문에치명적인맹점이있습니다. 더이상디바이스로그만으로는조직의 SOC 가현재상황을제대로파악하기어렵습니다. 이상징후를파악하기위해 SOC 분석가는다른유형의데이터 ( 예 : 미션크리티컬서버에접속한노트북의소유자가수행한작업 ) 를교차확인하고모든관련정보를한곳에저장하여기존보안데이터와비교해야합니다. 광범위한소스로부터수집된정보를사용하여효과적으로지능적위협을탐지해온 SOC 는이제빅데이터와관련한문제에직면하고있습니다. 이와같이기존보안솔루션에서는고려되지않는데이터세트를수집하고분석하려면새로운접근방식을취해야합니다. 1 Forrester Research, Inc., Dissect Data to Gain Actionable Intel, 2012 년 8 월 4 페이지

5 , 2012 년 9 월 저자의말 보안침해는더이상유리창을깨고물건을훔쳐달아나는단순강도 수준이아닙니다. 지난해발생한대 다수의보안침해및훼손사례는몇 달동안의잠복기를거쳐일어났습 니다. 경험에의하면, 장기적으로어 떤일이발생했는지완벽하게파악 하여이를완화할수있는조치를취 하는것이실시간이벤트분석보다 더중요합니다. Verizon Business Global Security Services 부문 Director, Jonathan Nguyen-Duy 저자의말 오늘날의 SIEM 시스템은보안위협이발생할때바로이를식별하는데 필요한 IT 환경파악기능과폭넓고 심층적인정보를제공하지못하고있 습니다. 보다다양한데이터소스를 확보하고네트워크데이터를상세하 게파악해야하는데이를위해서는 데이터의보관, 관리, 처리및모델링 방식을변경해야합니다. 단지더많 은데이터를제공하는것이아니라 보다효과적으로데이터를활용할 수있어야합니다. EMC 보안사업부 RSA Product Management 부문 Senior Director, Brian Girardi 기존 SIEM 시스템을사용할경우 SOC 분석가는운영환경을완벽하게파악하는데필요한모든데이터를수집할수없으며, SIEM 툴의처리성능한계로인해보유하고있는데이터를모두활용할수없다는문제가있습니다. 툴에서멀웨어서명의일치여부를보고할수는있어도이멀웨어가비즈니스에어떤영향을미칠것인지, 또감염된시스템의중요도나감염경로, 해당멀웨어에의해감염된다른시스템의존재유무, 그리고중요한데이터의도난여부등을확인할수없습니다. 기존툴이제공하는보안정보는그활용도측면에서제약이많으며, 보안분석가에게직관적이고편리한인터페이스또는가시화기능을제공하지못합니다. 이와같은이유로기존 SIEM 시스템을사용하는조직은툴을효과적으로활용하지못하는경우가많습니다. 이는매우중대한문제입니다. SOC 는공격에대한조직의마지막방어선이기때문에보안분석가는가능한한광범위하고심층적이며유용한정보를액세스할수있어야하며, SIEM 은보다효율적인작업진행을지원하기위해높은수준의유틸리티를제공해야합니다. 점점커지고있는보안위협을해결하기위해각조직은조직의보안숙련도를냉정하게평가하고직면하고있는위험을파악한후, 자체내부 SOC 운영, MSSP(Managed Security Service Provider) 아웃소싱또는이둘을결합한접근방식중에서가장효과적인방법을결정해야합니다. 포괄적인보안분석플랫폼으로혁신을거듭하는 SIEM 조직의 IT 환경에인프라스트럭처, 애플리케이션및클라우드서비스가추가됨에따라기존의 SIEM 시스템으로는그양과종류가방대한보안관련정보를효과적으로처리할수없습니다. 완벽한상황인식이라는목표달성을지원하기위해 SIEM 툴은오늘날대부분의조직이수집하는보안정보보다방대하고광범위하며동적인데이터세트를처리할수있는 빅데이터 분석을제공해야합니다. 또한풍부한관련정보를통해신속하게공격을탐지할수있도록외부의보안위협인텔리전스와통합하는기능도필요합니다. 지능적위협에대비할수있도록인텔리전스를수집하고운영환경을완벽하게파악하는동시에대응능력과탐지속도를향상하기위해서는 SIEM(Security Information and Event Management) 시스템이대규모보안분석의핵심시스템으로새롭게진화해야합니다. 차세대 SIEM 은다음네가지주요분야에서강력한기능을제공할수있어야합니다. 전체운영환경에대한파악 은밀하게진행되는사이버공격을차단하려면공격감지가최우선과제입니다. 보안분석가가사용가능한모든정보를통해잠재적인문제에대한최선의대응방법을결정할수있도록보안분석플랫폼은전체작업을재구성하는기능을제공해야합니다. 전체네트워크패킷캡처를로그, 이벤트, 보안위협인텔리전스및기타데이터소스와결합할경우다음과같은이점을적극활용하여보안위협을심층적으로파악할수있습니다. 멀웨어식별 보안위협이네트워크를통해이동하는합법적인트래픽을모방하고있어이를식별하기가갈수록어려워지고있습니다. 전체네트워크패킷캡처는파일을수집하고재구성한다음악의적인의도를가진것으로의심되는서명을파악하는데필요한대부분의분석작업을자동화합니다. 운영환경내에침투한공격자의작업추적 공격자가조직의네트워크에침투한후에는각시스템에대한탐색을통해공격에필요한정보를수집합니다. 엔드포인트는모니터링에서제외되는경우가많기때문에전체네트워크패킷캡처는조직네트워크를횡적으로이동하는모든경로를파악하기위한핵심수단이되고있습니다. 5 페이지

6 , 2012 년 9 월 불법작업의증거제시 전체네트워크패킷캡처가지원되는시스템은전체세션을기록하여데이터유출등을포함한공격자의작업내역을정확하게보여줍니다. 상당수의지능적위협이피해가발생한이후에야탐지되므로정확한피해범위를평가할수단을확보하는것이필수적입니다. 공격재구성은공격후분석및포렌식조사를수행하기위한가장효과적인방법으로평가받고있습니다. 보안분석가가보안위협을조사하여우선순위를지정할수있도록차세대 SIEM 에전체네트워크패킷캡처및세션재구성기능을추가해야합니다. 예를들어현재사용하고있는기존 SIEM 툴에서는 PC 가악성서버와통신하고있습니다. 와같은경고만표시할뿐, 어떤정보를주고받았는지는알려주지않습니다. 패킷캡처와세션재생기능을로그기반및기타정보와결합할경우운영환경에서발생한작업에대해보다상세한정보를파악할수있으므로보안분석가가그심각도를정확하게평가할수있습니다. 이와같이상세한포렌식기능으로 SOC 는단순한보안위협탐지에서한걸음나아가 능동적인방어체계 를구축하고지능적위협의피해를최소화하는효과까지기대할수있습니다. 더욱심층적인분석과신속한조사 분산된데이터를결합하여지능적위협의지표를탐지하는정교한기능또한보안분석시스템에필요합니다. 예를들어정적규칙과알려진서명은물론, 동작패턴과위험요소까지검색할수있어야합니다. 또한위험에처한기업자산의상대적가치를고려하여중요한자산에관련된이벤트를표시할수있어야합니다. 빅데이터를사용한위험기반접근방식을적용할경우, 보안분석플랫폼은 알려진양성 작업을탐지결과에서제외하여탐지정확도를높이고보안분석가가기업의새로운보안위협을찾기위해검토해야할정보의양을대폭줄일수있습니다. 자동화된심층분석을거쳐보안분석가가주의를기울여야할항목이그발생 빈도 에따라표시됩니다. 즉, 보안분석시스템에서사전분류를수행하여보안분석가가상세히검토해야할이벤트를선별하여제시할수있습니다. 자동화된지능형분석기능은새로운보안분석플랫폼의중요한구성요소이긴하지만인간의판단을대체할수는없으며, 대신고유의조직및도메인관련전문지식을통해인간의판단이필요한분야를강조표시할수는있습니다. 기본적으로보안분석시스템은 SOC 가혁신적인방식을통해보안위협탐지기능을확장할수있도록지원하므로보안분석가가적시에보안사건을감지하여지능적위협으로인한피해를최소화하는데일조합니다. 대규모확장성 SIEM 시스템이보안분석플랫폼으로진화함에따라조직안팎에서수집된다양하고방대한보안관련데이터를처리할수있도록플랫폼의범위와규모를유연하게확장할수있어야합니다. 여러유형의디바이스와네트워크에서발생하는트래픽을상세히분석하려면보안분석플랫폼이처리해야할데이터의양은늘어날수밖에없습니다. 외부소스의최신보안위협인텔리전스를결합함으로써보안콘솔을보안인텔리전스센터로전환할수있지만이또한데이터증가문제를가중시키는요소로작용합니다. 오늘날의보안위협에대응하려면분산형 n- 계층스토리지아키텍처및대량의분산데이터세트를빠른속도로정규화하고처리하는분석엔진과같은기능은보안분석플랫폼에필수적입니다. 따라서데이터스토리지와분석기능을모두원활하게확장할수있어야합니다. 6 페이지

7 , 2012 년 9 월 주요보안정보에대한통합뷰제공 각상황별로이벤트를완벽하게파악하고확인할수있도록보안분석가에게는언제든지필요한모든보안정보가제공되어야합니다. 이를위해보안분석플랫폼은네트워크데이터수집뿐아니라기업체, 정부기관, 업계협회, 공개소스인텔리전스및기타소스의최신보안위협인텔리전스를자동으로통합할수있어야합니다. 잠재적인모든관련정보를간편하게제공하는이러한플랫폼을구축하면보안분석가가수동으로정보를수집하는데시간을소비하지않아도됩니다. 적시에 IT 환경을파악하고상황에맞게이벤트를식별할수있도록함으로써분석가의의사결정프로세스를단축하기위해서는사용가능한모든인텔리전스를하나의통합분석플랫폼으로중앙집중화하는것이필수적입니다. 기존 SIEM 의장점 SIEM 의단점 SIEM 의장점은강화하고단점은보완한보안분석 네트워크디바이스와서버부터방화벽, 바이러스백신소프트웨어에이르기까지다양한소스에서로그및이벤트데이터의수집, 아카이빙및보고자동화 기존 SIEM 시스템의데이터아키텍처는오늘날광범위하게발생하는대량의보안정보를처리하고전체기업환경을완벽하게파악하는데는역부족 수백테라바이트이상의 빅데이터 규모로보안데이터를수집하는분산데이터아키텍처를제공하고, 플랫폼에서신속하게분산된대용량의데이터세트를정규화하고분석가능 보안관련데이터의통합저장소를생성하여 SOC 분석가가조사에필요한데이터를한곳에서액세스할수있음 로그데이터를통합함으로써주요보안관련데이터에대한포괄적인저장소를생성할수있음 SIEM 시스템이광범위한시스템에서로그와이벤트를수집할수있어도수집된로그에포함된데이터에대해서만파악이가능하므로잠재적인모든관련작업을완벽하게탐지할수없음 SIEM 시스템은다양한데이터를제공하지만활용도측면에서는부족한점이많았으며, 특히시간에민감한보안사건조사분석을지원하는기능이부족함 네트워크트래픽캡처 ( 일부고급보안분석플랫폼의경우전체네트워크패킷캡처및세션재구성기능도제공 ) 를통해공격자의 IT 환경침투방법및수행작업을탐지하고조사할수있음. 또한고급보안분석플랫폼은외부소스에서보안위협인텔리전스를자동으로수집하여기업외부의보안위협환경에대한중요한정보를제공함 임의조사에필요한우수한성능을제공하고, 보안분석가가보다원활하게조사를수행할수있도록설계된사용자인터페이스제공 별도의설정이필요없이바로사용가능하고정부및업계규정준수를입증하는중요한자료로활용할수있는제어보고서제공 규정준수는필수적인요소이지만보안위험을제어하거나조직의보안기능을강화할수는없음 보안중심프로그램의결과로규정준수입증자료제공 상관관계규칙을통해알려진시퀀스에대한기본경고제공 공격서명을보유하고있거나사전에공격방식을파악하고있는경우에만보안위험을탐지할수있는데반해, 지능적위협은알려진서명이없거나동일한공격방식을사용하지않는경우가많아미리예측하기가매우어려움 통합플랫폼을통해운영환경전반에걸쳐보안데이터를수집하고, 서명또는정적상관관계규칙에만의존하는것이아니라정상적인기본동작과공격자의개입이의심되는작업을동적으로비교하여보안위협을탐지함으로써알려진서명이없는활성위협을식별하는데소요되는시간이대폭단축되고분석가가조사해야하는보안침해사건의수를최소화할수있음 7 페이지

8 , 2012 년 9 월 결론 기업이성공적인보안체계를구축하려면이미 IT 환경이보안위협에노출되어있다고가정하고이에따라필요한작업을수행해야합니다. 문제는가장큰위험이어디에숨어있는지찾아내는것입니다. 기존의보안툴은보안전문가가정의한규칙에따라검색대상을구분하여보안위협을탐지합니다. 그와반대로보안분석플랫폼은분석가가미처인식하기전에이상징후를찾아냅니다. 사람의개입이필요없는완전한자동화는불가능하지만보안분석시스템을통해정보의범위를확장하고조사해야할보안위협의범위를좁히면보다신속하고정확하게의사결정을내릴수있습니다. 보안분석시스템은조직에상황인식및의사결정지원기능을제공하여지능적위협으로인한피해를방지하고단순한보호뿐아니라여러가지측면에서비즈니스에긍정적인영향을미칩니다. 하나의통합보안솔루션으로다양한기능을모두제공하므로 TCO( 총소유비용 ) 를절감하고플랫폼의유용성을향상할수있습니다. 기존 SIEM 솔루션이아닌보안분석솔루션에투자함으로써조직은서로다른여러기능과비즈니스부서를지원할수있는고도로확장가능한정보저장소를확보하는동시에나날이증가하는보안위협환경에대비한 미래형 플랫폼을구축하는효과를거둘수있습니다. 작업을자동화하고상황인식기능을제공하는보안분석플랫폼을통해 SOC 분석가의생산성을향상할수있으며, 기업은보다전략적인보안체계를구축함으로써소중한자산을보호하는데모든노력을집중할수있습니다. 8 페이지

9 , 2012 년 9 월 저자소개 EMC 보안사업부 RSA Product Management 부문 Senior Director, Brian Girardi EMC 보안사업부 RSA 에서고급보안분석및관리솔루션개발을총괄하고있는 Brian Girardi 는 2011 년 NetWitness 인수와함께 EMC 에합류했습니다. Girardi 는 NetWitness 의창립멤버이자오늘날의 NetWitness 기술플랫폼을형성하는여러기본분석개념과그방법을개발한주역이기도합니다. NetWitness 에서는전략적제품포지셔닝과마케팅, 기술전략, 제품기능정의및제품출시를담당했습니다. 정보보안분야에서 13 년이상근무하며미국연방사법당국과미국인텔리전스커뮤니티및일반기업을대상으로혁신적인솔루션과서비스를제공했습니다. Girardi 는정보보안분야에서다수의서적을저술하고발명특허권을취득했으며, 미국버지니아공대의기계공학학사및전자공학석사학위를보유하고있습니다. EMC VP 겸 CSO, David Martin David Martin 은 EMC 에서수십억달러규모의고객자산과수익보호를전문으로하는업계최고수준의 Global Security Organization 을관리하고있습니다. EMC 최고위보안담당임원인 Martin 은고객이신뢰할수있는 EMC 브랜드구축과국제적인비즈니스보호운영솔루션의공급을책임지고있습니다. 공인정보시스템보안전문가이자내부감사, 보안서비스개발및컨설팅등의다양한업무를수행하며 10 여년간의전문비즈니스보호경력을쌓아온 Martin 은 EMC 의정보보안및관리솔루션개발에많은기여를했습니다. EMC 에합류하기전에는주요인프라스트럭처, 기술, 은행및의료업종을대상으로하는보안컨설팅회사를설립하고기업보안프로그램과사건대응, 조사, 정책및진단관련 Best Practice 를개발하여공급했습니다. Martin 은제조시스템공학학사를취득했으며, 미국의회및정부기관에기업보호문제에관한자문을제공하는전문감정인으로활동하고있습니다. Verizon Business Global Security Services 부문 Director, Jonathan Nguyen-Duy Jonathan Nguyen-Duy 는 Verizon Business 에서관리형보안서비스제품부문을이끌며다양한보안위협및규정준수요구사항을해결하기위한보안솔루션개발을책임지고있습니다. 지난 3 년간그가맡고있는팀에서 DDoS 방지, 평판인텔리전스상관관계및차세대클라우드기반보안서비스를개발하면서 Verizon 은보안업계의선두기업이자세계최대의관리형보안서비스공급업체로성장할수있었습니다. 그전에는 Verizon 의무중단업무운영 Best Practice, 물리적보안솔루션, 관리형스토리지및호스팅서비스의개발을담당했습니다. Verizon 에입사하기전, 미국국무성산하해외서비스기관의중앙아메리카지역국장으로근무한 Nguyen-Duy 는정보보안및위험관리분야에서 15 년이상의경력을보유하고있으며, 기업과정부기관을도와무력충돌, 시위, 노동파업, 자연재해, 테러공격, 정전, 유행성질병, 산업스파이및기타사이버보안위협에관련된문제를해결했습니다. 보안및무중단운영분야에서널리인정받고있는전문가로서관련업계행사의주요발표자로활동하며여러보안태스크포스팀에도참여하고있습니다. Nguyen-Duy 는 IT 마케팅및국제비즈니스 MBA 학위를보유하고있으며미국조지워싱턴대학에서국제경제학학사학위를취득했습니다. 9 페이지

10 , 2012 년 9 월 Verizon 계열사 Terremark Secure Information Services 부문 VP, Mario Santana Mario Santana 는 2006 년 1 월에 Terremark Worldwide 의 SIS(Secure Information Services) 그룹에입사한후 SIS 내분석팀을책임지고 Terremark 고객에게보안, 기술및위험관리에관한컨설팅을제공하는업무를담당했습니다 년 Terremark 가 Verizon 에합병된이후 Santana 는높은성과를달성할수있는새로운보안조직의수립및통합임무를맡아신규전략을수립하고운영프로세스를간소화하며우수한인재를영입했습니다. 그전에는 25 년이상 IT 분야에서근무하며 ID 관리기술회사를설립하고 SteelCloud, Inc. 에컨설팅을제공했으며, 그에앞서금융, 의료, 교육, 공항보안및항공사, 소매대기업, 기술및법률회사를포함하여전세계각지에서 Fortune 지선정 1,000 대기업에속하는여러기업에서근무하며기업내부규정, 포렌식및전자검색, 사건대응, 지적재산사기, 내부자사건, 네트워크, 시스템및애플리케이션진단등의보안및위험관리에관한업무를수행하고프로젝트를감독했습니다. 그는보안위협인지, 진단및최소화, 네트워크장비, 보안관리및규정준수등의분야에서전문성을인정받고있습니다. EMC 보안사업부 RSA VP 겸 CISO, Eddie Schwartz Eddie Schwartz 는정보보안분야에서 25 년의경력을보유한 RSA 의 CISO(Chief Information Security Officer) 입니다. RSA 에근무하기전에는 EMC 에인수된 NetWitness 의공동설립자겸 CSO(Chief Security Officer), ManTech CTO, Global Integrity(INS 에인수 ) 의 EVP 및총괄관리자, Operations of Guardent(VeriSign 에인수 ) SVP, Nationwide Insurance 의 CISO, CSC 의 Senior Computer Scientist 및미국국무성산하의해외서비스담당자를역임했습니다. 또한다수의신설보안회사에자문을제공했으며 BITS(Banking Information Technology Secretariat) 의집행위원을역임했습니다. Schwartz 는조지메이슨대학의경영대학원에서정보보안관리 B.I.S. 및정보기술관리석사학위를취득했습니다. CSC CyberSecurity 부문 CTO, Dean Weber Dean Weber 는 CSC 의 Director 이자 CyberSecurity 부문 CTO(Chief Technology Officer) 로서전략적사이버보안추진과제를위한솔루션개발과지원의비전과지침을제공해왔습니다. 정보및물리적보안분야에서 30 년이상의경력을보유하고있는 Weber 는 CSC 에입사하기전에는최근 Citrix 에인수된 Applied Identity 의 CTO 로근무했습니다. 그전에는유명애플리케이션보안게이트웨이제조업체로 Citrix 에인수된 Teros 의 CSA(Chief Security Architect) 로근무했습니다. TruSecure/ICSA Labs( 현재 Verizon Business Security Solution) 에서진단및인텔리전스수집을포함하여솔루션의개발과구축을담당했습니다. Weber 는공공및민간기업고객을대상으로보안아키텍처설계및구축서비스를제공하는대규모중서부리셀러통합업체창립을지원했으며, 수년간기술담당 VP 로근무했습니다. 또한수년간미해군에근무하며물리및전자보안분야의업무를수행하기도했습니다. Weber 는 InfoWorld, ITEC, InfoSec Europe, InfraGard, Secret Service Security Roundtable, ISSA 및기타관련정보보안행사의주요발표자로활동하고있습니다. 10 페이지

11 , 2012 년 9 월 보안솔루션 본 에나와있는지침과일치하는제품및서비스가아래에정리되어있습니다. 여기서는보안및위험관리실무자가해당솔루션및서비스옵션에대해알고싶을때간단히참조할수있도록일부솔루션만소개하고있으며, 이외에도여러솔루션이있을수있습니다. CSC 의관리형보안서비스 CSC 의관리형보안서비스는전세계의통합보안운영센터를통해제공되며자체보안기능관리에대한훌륭한대안을제시합니다. CSC 의관리형보안서비스는한정된예산과전문인력에강화된규정및나날이증가하고있는보안위협으로인해어려움을겪고있는기업이가장효과적으로보안의무를충족할수있도록지원합니다. 고급보안위협탐지, 글로벌보안위협인텔리전스, 상황인식및거버넌스위험과규정준수기능을통해핵심모니터링및관리에서가장정교한분석과최신사이버보안보호까지맞춤형사이버보호를위한포괄적인서비스를제공합니다. CSC 는오늘날공급업체에종속되지않는관리형보안서비스를제공하는몇안되는업체중하나로, 업계를선도하는여러공급업체의최고의툴과자사의지적재산을통합하여엔터프라이즈및미드마켓고객에게제공하고있습니다. RSA Security Analytics RSA Security Analytics 는기업에서가장위험한보안문제를해결하는데필요한상황인식기능을제공하기위해개발된솔루션입니다. 네트워크트래픽과로그이벤트데이터를전사적차원에서파악할수있도록지원하는 RSA Security Analytics 시스템은 IT 환경에대한포괄적인시각을제공하여보안분석가가신속하게보안위협을선별하여조사한후해결방법을찾아적절한조치를취할수있도록지원합니다. RSA Security Analytics 솔루션의분산데이터아키텍처는다중분석모드를사용하여빠른속도로수백테라바이트가넘는대량의정보를수집하여분석할수있습니다. 이솔루션은또한공격자커뮤니티에서사용하는최신툴과기법, 절차에관한외부보안위협인텔리전스를통합할수있으며기업이솔루션을통해확인된보안문제를추적하고대응방법을관리할수있도록지원합니다. RSA Security Analytics 플랫폼은 2012 년하반기에상업용으로출시될예정입니다. Verizon 의관리형보안서비스 Verizon 은세계최대규모의공개 IP 네트워크중하나로기업및정부에글로벌 IT, 보안및커뮤니케이션을제공하는파트너입니다. 현재전세계 30 개국가에서 1,200 명이상의전문가를보유하고가장광범위한관리형보안서비스를제공하고있습니다. Verizon 은독자적인 SEAM(State and Event Analysis Machine) 상관관계분석및분류기술을사용하여수백만개의양성보안이벤트를필터링한후위험에노출될가능성이높은보안사건만보고합니다. 이기술에 Verizon 의광범위한글로벌네트워크에서생성되는다양한보안위협및취약성인텔리전스를결합하여기업이다양한사이버보안위험과규정준수요구사항을충족할수있도록지원합니다. 이러한이유로 Verizon 은 Gartner, Forrester, Frost & Sullivan 등으로부터업계를선도하는보안업체로평가받고있습니다. 또한수많은기업과정부기관이 Verizon 의솔루션을사용하여비즈니스데이터와그데이터를제공하는인프라스트럭처를보호하며, 보안표준및규정을충족하고있습니다. 11 페이지

12 , 2011 년 10 월 RSA 소개 EMC 보안사업부 RSA 는업계최고수준의보안, 위험및규정준수관리솔루션을제공하여고객의비즈니스성장을가속화할수있도록지원합니다. RSA 는가장복잡하고민감한보안관련당면과제를해결함으로써전세계유수기업의비즈니스성공에일조하고있습니다. 특히조직위험관리, 모바일액세스및협업보호, 규정준수여부검증, 가상화및클라우드환경보호등의보안관련당면과제를해결할수있도록도와드립니다. RSA 는 ID 확인, 암호화및키관리, SIEM, 데이터손실방지, 부정행위방지등을지원하는비즈니스크리티컬제어기능에업계최고수준의 egrc 기능과강력한컨설팅서비스를결합하여수백만사용자의 ID 와해당사용자가실행하는트랜잭션및그과정에서생성되는데이터를완벽하게파악하고신뢰도를높일수있도록지원하고있습니다. 자세한내용은 및 을참조하십시오. EMC 2, EMC, EMC 로고, RSA, envision, Archer 및 RSA 로고는미국및기타국가에서 EMC Corporation 의등록상표또는상표입니다. 본문서에언급된기타모든제품및서비스는해당소유주의자산입니다. Copyright 2012 EMC Corporation. All rights reserved. Published in the USA. h11031-siem_brf_0912

consulting

CONSULTING 전략 컨설팅 클라우드 마이그레이션 애플리케이션 마이그레이션 데이터 마이그레이션 HELPING YOU ADOPT CLOUD. 클라우드로 가기로 결정했다면 누구와 함께 갈지를 선택해야 합니다. 처음부터 끝까지 믿을만한 파트너를 찾는다면 베스핀글로벌이 정답입니다. 전략 컨설팅 다양한 클라우드 공급자가 존재하고, 클라우드 공급자마다 다른 장단점을