슬라이드 제목 없음

Size: px

Start display at page:

Download "슬라이드 제목 없음"

욱철 뇌
5 years ago
Views:

1 주요 조태희 한국정보보호진흥원, 기반보호팀

2 목 차 1. 취약점분석 평가개요 2. IPAK (Information Protection Assessment Kit) 3. IAM (INFOSEC Assessment Methodology) 4. VAF (Vulnerability Assessment Framework) 5. OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) 6. Risk Management Guide for IT Systems 7. 취약점분석 평가방법론 8. 결론

3 1. 취약점분석 평가개념 개념 가. 용어정리 1) 자산 (Asset) 조직내의가치를갖고있는모든것. 2) 위협 (Threat) 시스템이나조직에피해를끼칠수있는원치않은사고의잠재적원인 3) 취약성 (Vulnerability) 위협이가해질수있는자산또는자산집합의약점을포함. 4) 위험 (Risk) 자산또는자산집합의취약한부분에위협요소가발생하여자산의손실, 손상을유발할잠재성. 5) 영향 (Impact) 원하지않은사건의결과. 6) 보호대책 (Safeguard) 위험을줄이기위한실천, 절차또는메커니즘. 7) 잔여위험 (Residual Risk) 대책을구현한후남아있는위험. 1/58

4 1. 취약점분석 평가개념 개념 자산 자산 보호대책 위협 위험취약성 보호대책 위협 잔여위험 위험 취약성 보호대책 위험 = 자산 * 위협 * 취약성 2/58

5 1. 취약점분석 평가개념 개념 나. 연관성 이용 위협 취약성 보호 증가 증가 노출 대책 감소 위험 자산 충족 필요 증가 소유 보호요구사항 가치 3/58

6 1. 취약점분석 평가개념 개념 다. 위험분석과취약성분석정의및차이점 위험분석 : 자산의취약성을식별하고존재하는위협을분석하여이들의발생가능성및위협이미칠수있는영향을파악해서보안위험의내용과정도를결정하는과정이다. 취약성분석 : 일반적으로네트워크또는서버기반의스캐닝툴을활용하여네트워크나서버등이노출된정보시스템의취약성을찾아내는방법과모의해킹을통해서현재보안상태를점검하는방법이다. 차이점 : 취약성분석은네트워크나시스템의결점을기술적, 위험에대한대응만을고려하지만위험분석은취약성분석의내용에추가하여조직의사업의목표와임무를수행하기위한자산의가치를고려하는점이차이점이다. 4/58

7 1. 취약점분석 평가개념 라. 취약점분석의현황 위험분석 정보시스템보안정책 개념 1) 현황 취약성분석 자산분석 평가계획수립 위협분석 취약성분석 대응책분석 네트워크취약성분석 서버취약성분석 보안정책반영 위험산출 규제 / 제약사항적용 모의해킹 대응책 취약성평가 잔여위험평가 N 취약성보호대책 Y 5/58

8 1. 취약점분석 평가개념 개념 마. 취약점분석의현황 2) 문제점 위험분석 위험분석에대한기술및인력부족 IT 보안관리의체계부재 정보시스템보안전담부서의인력구성문제 기술및인력문제 정보자산가치산정의어려움 위협에대한과거의자료부족 정성분석등을위한객관적기준부재 위험분석모델및기법부재 표준문제 인식문제 표준부재 위험분석에대한인식부족 6/58

9 2. IPAK(Information Protection Assessment Kit) IPAK 가. 정의 조직의정보보호프로그램을자가테스트하는방법 빠르고손쉽게사용가능 점차적으로보안취약점을개선 IPAK 의목록을준수함으로써, 위험을감소 11 분류, 20 개항목, 총 220 문항 나. 11 가지기본분류 정보보호프로그램및관리 (Information Protection Program and Administration) 직원정책및시행 (Personal Policy and Practices) 물리적보안 (Physical Security) 사업진행제어 (Business Process Controls) 백업및복구 (Backup and Recovery Measures) 사용자제어 (End-User Controls) 네트워크보안제어 (Network Security Controls) 인터넷보안제어 (Internet Security Controls) 웹보안제어 (Web Security Controls) 통신및원거리접속보안제어 (Telecommunication & Remote Access Security Controls) 인터넷상거래제어 ((Internet Commerce Controls) 7/58

10 2. IPAK(Information Protection Assessment Kit) IPAK 다. 기본분류의예 직원정책및시행 (Personal Policy and Practices) 4. 보안정책및절차에대한유지가직원검토상의평가항목인가? 7. 정보보안을위한사내의주요초점에개인이포함되었는가? 12. 민감하고중요한기밀정보를다루는직원들의신분이확실한가?... 물리적보안 (Physical Security) 2. 서버들은쉽게접근되지않은보호지역에항상있는가? 13. 화재탐지기및경보기가천장에설치가되어있는가?.. 사용자제어 (End-User Controls) 8. 표준적인기능환경이구축되고, H/W 및 S/W 의목록이제시되었는가? 19. 사용자들이패스워드혹은다른인증방식을사용하도록준비되었는가?.. 인터넷보안제어 (Internet Security Controls) 3. 사용자들에대한인터넷서비스를제공하는정책이시행되었는가? 11. 인터넷접근권한에대한직원사용을관리하는정책이시행되는가? 14. 인터넷거래에대한정책을승인하는가? 18. 사건조정절차에대한실제적인테스트를실시하였는가?.. 8/58

11 2. IPAK(Information Protection Assessment Kit) IPAK 라. 계산법 단계 1 : 관련성 (Relevance) 평가항목들이대상기관에적용되는가를판단 특정평가항목이제외라면비고란에이유를기술 단계 2 : 영향 (Impact) 대상기관에대해각평가항목의중요도를평가 등급 Low Moderate High 영향 (Impact) 다소중요한항목, 위험도가그리높지않음중요한항목, 위험도가조금있음매우중요한항목, 위험도가굉장히높음 9/58

12 2. IPAK(Information Protection Assessment Kit) IPAK 단계 3 : 준수 (Compliance) 대상기관에대해각평가항목의평가등급 등급 Excellent Good Adequate Marginal Poor 평가 (Compliance) 평가등급 %, 결점및취약점이거의없슴평가등급 80-89%, 다소의결점및취약점내포평가등급 70-79%, 많은결점및취약점내포평가등급 50-69%, 잠재적으로심각한취약점혹은결점을내포평가등급 50이하 10/58

13 2. IPAK(Information Protection Assessment Kit) IPAK 단계 4 : 문서화 (Documentation) 보안부문에대해지속적인평가문서작성 유용한문서는보안에대해영향 아래표의각문서부문에대해문서화가되었는지조사 표준매뉴얼 (Standard manual) 정책문서 (Policy statement) 상세문서 (Specification) 사용자매뉴얼 (User manual) 시행가이드 (Practice Guideline) 운영절차 (Operating Procedure) 복구계획 (Recovery Plan) 접근 (Intranet accessible protected file) 단계 5 : 비고란 (Comments) 특기사항을기입 평가항목이적용대상이아닐경우이유를기입 11/58

14 2. IPAK(Information Protection Assessment Kit) IPAK 단계 6 : 점수화 (Scoring) 각평가항목에대해준수여부를등급화 중요하게고려하는사항에대해서등급을제시 문서화는준수의등급을올릴수있다 최대가능등급 = I x 6 실제등급 = I x ( C + D ) ( I : 영향, C : 준수, D : 문서 ) 영향 : 3(High), 2(Moderate), 1(Low) 준수 : 5(Excellent), 4 (Good), 3(Adequate), 2(Marginal), 1(Poor) 문서 : 1( 적절한문서화될경우 1 추가 ) 예제 ) 영향 : Moderate 준수 : 85% (good) 문서 : 적절한문서 (1) 의경우, 최대가능한한등급은 2 x 6 = 12 이고 실제등급은 2 x (4 +1) = 10 12/58

15 3. IAM(INFOSEC Assessment Methodology) IAM 가. 정의 한기관의잠재적인취약점을분석하는방법론 취약점발견시그에대한적절한대응제시 INFOSE 평가를통한장점 중요한정보가무엇인가? 중요정보를관리하는시스템점검 잠재적취약점을파악 취약점제거를위한대책제시 나. 필요성 주요정보시스템의적절한보호체계의필요 적절한보안기술과관리제공 유사기관과의비교자료로활용 평가이전단계 현장방문단계 평가후단계 다. 개발배경 NSA 의 15 년간의경험으로국방부교육용자료로개발 미정부정보시스템에관련된자에게만교육 13/58

16 3. IAM(INFOSEC Assessment Methodology) IAM 평가이전단계 가. 평가이전단계 1) 목적 고객의요구분석 고객정보중요도를파악 평가계획을설계 중요정보를보유하고있는시스템을확인 평가팀과고객사이의협의 현장방문평가에대한사전준비 현장방문단계 평가후단계 평가이전단계현장방문단계평가후단계 2) 진행일정 정보의중요성파악 시스템구성확인 평가범위결정 시스템문서요구및검토 평가이전방문 (1-2 일 ) 팀구성및협력 (2-4 주 ) 현장방문 (1-2 주 ) 분석및보고서작성 (1-2 주 ) 전문가인원확충 문서재검토 사전분석 현장방문에대한논의 14/58

17 3. IAM(INFOSEC Assessment Methodology) 1) 진행과정 IAM 평가이전단계 현장방문단계 고객요구사항결정및조정 고객기관의정보중요도파악 고객의 INFOSEC 목적파악 고려사항 1. 고객의요구및목적을이해 2. 어떤정보가사업 / 업무중요판단 3. 정보의잠재적가치를파악 4. 고객과의논의사항 - 수행업무기능들 - 업무수행에필요한중요정보파악 평가후단계 시스템범위를검토 문서요구및고객과의협력유지 평가범위평가진행결과보고서논의 15/58

18 3. IAM(INFOSEC Assessment Methodology) 나. 현장방문단계 1) 목적 사전평가단계에서만들어진정보및결론에대한분석 데이터수집및평가 분석결과도출 IAM 평가이전단계현장방문단계평가후단계 2) 진행일정 기조모임 시스템정보의수집및평가 - 면담 - 시스템시연 - 문서재검토 평가정보분석 NSA 의평가 18 항목 CSI 의평가 10 항목 초기권고안작성 브리핑 평가이전방문 (1-2 일 ) 평가이전단계현장방문단계평가후단계 팀구성및협력 (2-4 주 ) 현장방문 (1-2 주 ) 분석및보고서작성 (1-2 주 ) 16/58

19 3. IAM(INFOSEC Assessment Methodology) IAM 평가이전단계 3) 진행과정기조모임 (Opening meeting) 평가목표및범위결정평가과정재검토평가에대한중요성강조 면담 = 기능들이실제어떻게동작하는지파악 - 시간 : 30 분 ~ 2 시간 - 대상인원 : 2 명이상 현장방문단계 평가후단계 현장정보수집 정보수집 - 사전평가단계정보의확인 - 추가적인정보수집정보수집에필요사항 - 면담 - 시스템시연 - 문서재검토 시스템시연 = 충분한정보수집을위한유용한툴사용 문서검토 = 면담동안수집한정보 평가정보분석초기권고안작성 고객기관의취약점확인 확인된시스템취약점에대해기술적인보안평가서목록작성 발견 : 논의 : 취약점발견취약점기술및결론 권고안 : 취약점제거및감소에대한평가 브리핑 평가계획재검토 / 취약점분석 17/58

20 3. IAM(INFOSEC Assessment Methodology) 다. 평가후단계 1) 목적 평가분석종결 결과보고에대한준비및조정 IAM 평가이전단계현장방문단계평가후단계 2) 진행일정 문서에대한추가적인검토 전문가의견고려 최종보고서 평가이전단계현장방문단계평가후단계 평가이전방문 (1-2 일 ) 팀구성및협력 (2-4 주 ) 현장방문 (1-2 주 ) 분석및보고서작성 (1-2 주 ) 18/58

3. IAM(INFOSEC Assessment Methodology) IAM 평가이전단계 NSA 평가항목 1. INFOSEC documentation 2. INFOSEC Roles and Responsibilities 3. Identification & Authentication 4. Account Management 5.

Media Sanitization /Disposal 16. Physical Environment 17. Personal Security 18. Training and Awareness 1. Information Protection Program & Administration 2. Personnel Policies and Practices 3.

21 3. IAM(INFOSEC Assessment Methodology) IAM 평가이전단계 NSA 평가항목 1. INFOSEC documentation 2. INFOSEC Roles and Responsibilities 3. Identification & Authentication 4. Account Management 5. Session Controls 6. External Connectivity 7. Telecommunications 8. Auditing 9. Virus Protection 10. Contingency Planning 11. Maintenance 12. Configuration Management 13. Back-up 14. Labeling 15. Media Sanitization /Disposal 16. Physical Environment 17. Personal Security 18. Training and Awareness 1. Information Protection Program & Administration 2. Personnel Policies and Practices 3. Physical Security 4. Business Process Controls 5. Backup and Recovery Planning 6. End-User Controls 7. Network Security Controls 8. Internet Security Controls 9. Web Security Controls CSI 평가항목 10. Telecommunications and Remote Access Security Controls 11. Internet Commerce Controls 현장방문단계 평가후단계 19/58

22 4. VAF(Vulnerability Assessment Framework) VAF 가. 특징 단계 1 MEI (Minimum Essential Infrastructure), 최소필수기반구조선별 단계 2 MEI 취약점을식별하기위한자료수집 단계 3 취약점분석 & 우선순위결정 20/58

23 4. VAF(Vulnerability Assessment Framework) 가. 단계 1 : 조직의핵심임무 (mission) 수행을지원하는요소검색 1 VAF 1.1 조직의핵심임무를식별 1.2 위협환경을식별 1.3 핵심수행절차식별 1.4 핵심임무의가치를분석하고우선순위 1.5 조직의구조와고객의역할책임정의 1.6 핵심임무를지원하는설비정의 1.7 구조와시스템의맵핑 1.8 핵심물리적, 조직적, 구조적요소연결 1.9 내외부의상호의존성 21/58

24 4. VAF(Vulnerability Assessment Framework) 나. 단계 2 : 단계 1 에의해정의된 MEI 와관련된취약점식별 2 VAF Area of Control : 업무목적에부합되도록있도록해야하며, 임의의사고에대처할수있도록적절한보증을제공하기위한정책, 절차및조직구성을포함한다. MEI Resource Elements : 자원에대한넓은범주로부서혹은조직이그들의핵심적인업무를추진하는데필요한최소필수기반구조를구성하고있다. Areas of Potential Compromise : 손실이일어날경우기관의 MEI 와핵심업무수행능력에영향을줄수있는분류 22/58

25 4. VAF(Vulnerability Assessment Framework) 다. 단계 3 : 단계 2 에서정의된취약점을분석하고정의하며, 취약점결과에의한우선순위를정하여보충계획및대책을마련 VAF 3 23/58

26 4. VAF(Vulnerability Assessment Framework) 다. 단계 3 VAF 3 24/58

27 4. VAF(Vulnerability Assessment Framework) 다. 단계 3 VAF 3 25/58

28 4. VAF(Vulnerability Assessment Framework) 다. 단계 3 VAF 3 26/58

29 4. VAF(Vulnerability Assessment Framework) 다. 단계 3 VAF 3 27/58

30 OCTAVE 5. OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) 가. 특징 Self-Direction Analysis Team Workshop-Based Catalogs of Info 의사결정방식을이용 분석팀을결성 외주시, 반드시의사결정에내부직원이참여 조직의사업분야와 IT 분야에대한폭넓은지식이있는인력으로구성평가와분석업무 구성원 (3-5 명 ) 자료수집 위협과위험분석 보호전략개발 보호계획개발 정보수집과의사결정시워크샵기반의접근 다양한계층의임직원과면담을통한정보수집 실무목록 위협프로파일 취약점목록 28/58

Plans Process 1 : Identify Senior Management Knowledge Process 2 : Identify Operational Area Knowledge Process 3 : Identify Staff

31 OCTAVE 5. OCTAVE(Operationally Critical Threat, Asset, and Vulnerability Evaluation) 나. 평가절차 Phase 1 Build Asset-Based Threat Profiles Phase 2 Identify Infrastructure Vulnerabilities Phase 3 Develop Security Strategy and Plans Process 1 : Identify Senior Management Knowledge Process 2 : Identify Operational Area Knowledge Process 3 : Identify Staff Knowledge Process 4 : Create Threat Profiles Process 5 : Identify Key Components Process 6 : Evaluate Selected Components Process 7 : Conduct Risk Analysis Process 8 : Develop Protection Strategy 29/58

32 OCTAVE 5. OCTAVE(Operationally Critical Threat, Asset, and Vulnerability Evaluation) 다. 계획 1) 고려사항 상위관리자의지원 : 정보보안위험측정에가장중요한요소 분석팀구성 : 분석팀원은평가를위한충분한지식보유 평가범위설정 : 중요사업부문을고려하여적절한범위설정 참가자협조 : 다계층의참가자의지식을공유하여평가 2) 평가계획수립 상위관리자의지원 분석팀교육및훈련 참가자선택 부대시설확보 워크샵 30/58

사업부문지식을식별 프로세스 3: 실무자지식을식별 정보자산식별및우선순위 고려대상식별 중요자산에대한보안요구 ( 기밀성, 무결성, 가용성 ) 현재보호전략과취약점확인 중요자산 / 가치 워크샵

33 OCTAVE 5. OCTAVE(Operationally Critical Threat, Asset, and Vulnerability Evaluation) 라. Phase 1, Build Asset-Based Threat Profiles 분석팀은조직의다양한직급의임직원에대해워크샵을개최하고중요자산을식별 프로세스 1 : 상위관리자지식을식별 프로세스 2 : 사업부문지식을식별 프로세스 3: 실무자지식을식별 정보자산식별및우선순위 고려대상식별 중요자산에대한보안요구 ( 기밀성, 무결성, 가용성 ) 현재보호전략과취약점확인 중요자산 / 가치 워크샵 자산위협 상위관리자관리자실무자 보안요구사항 프로세스 4 : 위협프로파일작성 자산, 보안요구, 고려되는부문설정 주요자산설정 보안요구설정 위협식별 조직취약점 현재보호대책 모든정보를통합, 중요자산식별, 각중요자산에대한위협을식별 31/58

34 OCTAVE 5. OCTAVE(Operationally Critical Threat, Asset, and Vulnerability Evaluation) 마. Phase 2, Identify Infrastructure Vulnerability 취약점은정보시스템, 보안체계와절차, 관리적제어, 내부제어, 기술구현혹은물리적설계상에서발견되는약한부분을의미 프로세스 5 : 중요요소식별 요소에대한중요부문을식별측정을위한기반구조요소식별 설계취약점 프로세스 6 : 선택된요소평가 조직의내부조직의외부개인시스템 취약점평가도구를이용기술취약점재검토와결과종합 * 취약점목록 (CVE) 구현취약점 설정취약점 32/58

중요자산에대해위험을식별하고보호전략을개발하고중요자산의위협에대한상쇄계획을개발 프로세스 7 : 위험분석

35 OCTAVE 5. OCTAVE(Operationally Critical Threat, Asset, and Vulnerability Evaluation) 바. Phase 3, Develop Security Strategy Plans 중요자산에대해위험을식별하고보호전략을개발하고중요자산의위협에대한상쇄계획을개발 프로세스 7 : 위험분석 프로세스 8 : 보호전략개발 주요자산에대한위협영향식별 위협프로파일작성 노출 변경 손실 파괴 방해 위험평가범주 중요자산위협의영향측정 보호전략정보를종합 보호전략을설정 상쇄계획을설정 행동목록을작성 위험정보를재검토 보호전략재검토 / 설정 상쇄계획재검토 / 설정 행동목록재검토 / 설정 다음단계설정 33/58

36 6. Risk Management Guide for IT Systems NIST 가. 개요 사업목표와전략을달성하기위해필요한정보시스템과관련된정보자원에대한위험요소를식별하고평가하여잠재적위험을통제하기위함이다. 목적 : 조직과정보자산의위험을측정하고측정된위험의허용여부를판단근거를제공하며, 이를통해비용효과적대응책수립 나. 장점 조직에적절한정보보호관리체계구축가능 조직의정보자산및운영상황식별가능 정보보호관련주요사항에관한의사결정시, 근거및정당성제공 조직환경에적합한실질적정보보호정책수립지원 시스템감사시정보보호관련자료활용이가능 34/58

37 6. Risk Management Guide for IT Systems NIST 다. 위험평가방법론절차 H/W, S/W, 시스템역할, 데이터와정보, 사람, 시스템인터페이스 시스템정보의과거자료정보기관의자료 사전위험평가 / 감사보고서보안요구사항 / 점검결과 통제현황및계획 위협 - 자원동기, 영향력자연재해, 통제현황 임무영향력분석자산 / 데이터중요성분석 주변의위협노출 / 영향정도통제현황 / 계획의적절성 입력 1 단계 : 시스템정의 2 단계 : 위협정의 3 단계 : 취약성정의 4 단계 : 통제분석 5 단계 : 가능성결정 6 단계 : 영향분석 7 단계 : 위험결정 8 단계 : 통제권고 9 단계 : 결과문서화 위험평가단계 35/58 시스템경계 / 기능데이터중요성 위협정의문 잠재적인취약성목록 통제현황 / 계획목록 가능성등급화 영향의등급화 위험과위험수준 권고된통제 위험평가보고서 결과

38 NIST 6. Risk Management Guide for IT Systems 1 1 단계 : 시스템정의 IT 시스템의위험을식별하기위해서는시스템의프로세스환경을요구하는것이필요함 종류 하드웨어 소프트웨어 시스템인터페이스 ( 내외부연결 ) 데이터와정보 IT 시스템을사용하고지원하는직원 IT 시스템에의해수행된프로세스 시스템과데이터의핵심성및민감도 정보수집기술 질문서 면담 문서검토 자동화된도구사용 /58

39 NIST 6. Risk Management Guide for IT Systems 1 2 단계 : 위협정의 위협 : 명확환취약성을실행하기위한위협 - 자원의잠재성 위협자원 : 취약성을이용하는의도, 기술, 상황등 일반적인위협의자원 자연재해 : 홍수, 지진, 태풍, 번개등 사람에의한위협 ( 의도적, 비의도적 ) 환경적요인위협 ( 전력, 공해등 ) 동기와위협 위협 - 자원동기위협행위 해커, 크래커 컴퓨터범죄 도전 / 자아의식, 반란 재정적이익, 정보파괴, 노출, 변경 내부자호기심, 지식테스트, 보복, 실수또는태만 해킹, 사회공학적엔지니어링, 시스템침해, 파괴, 비인가된시스템접근 컴퓨터범죄, 사기행위, 스푸핑, 시스템침해 피고용인의공격, 블랙메일, 컴퓨터악용, 사기및절도, 정보가로채기, 악성코드, 개인정보의판매, 시스템버그, 침해사보타지, 비인가된접근등 37/58

40 6. Risk Management Guide for IT Systems 3 단계 : 취약성정의 취약성 : 시스템보안절차, 설계, 구현또는실행하기위한내부통제내의약점과시스템의보안정책의위반이나불이행으로인한결과 취약성자원 IT 시스템평가에서의사전위험평가문서 IT 시스템의감사 / 시스템 / 보안 / 시스템점검및평가보고서 NIST 1-CAT 취약성데이터베이스등의취약성목록 ( FedCIRC, DoE CIAC 업체권고문 정보보호업체등의컴퓨터사고대응팀 시스템소프트웨어보안분석 시스템보안점검 자동화된취약성진단도구 보안점검및평가 모의해킹 NIST /58

41 6. Risk Management Guide for IT Systems 3 단계 : 취약성정의 취약성과위협관계 취약성위협 - 자원위협행위 퇴사한피고용인의시스템 ID 가시스템에서삭제되지않았다. 회사침입차단시스템은 XYZ 서버상의 inbound telnet, guest ID 사용이허용되어있다. 업체는시스템의보안설계를잘이행하였다. 그러나새로운패치를시스템에적용하지않았다. 데이터센터는화재를진압하기위해스프링클러를사용한다. 물피해로부터장비나하드웨어를보호하기위한방수천이준비되지않았다. 퇴사한피고용인 비인가된사용자들 비인간된사용자들 화재, 부주의한직원 회사의네트워크로접근하여회사의정보를접근한다. XYZ 서버에는 telnet 을이용하고 guest ID 로시스템파일을열람한다. 알려진취약성을이용하여중요한시스템파일에비인가된접근을한다. 스프링클러가데이터센터에서작동된다. NIST /58

42 6. Risk Management Guide for IT Systems 3 단계 : 취약성정의 보안요구사항목록개발 관리 책임, 의무분장 비상연속성및사고대응능력 보안통제의주기적점검 위험분석및평가 보안과기술적인훈련및교육 시스템또는어플리케이션의보안계획 NIST 책임, 의무분장 비상연속성및사고대응능력 보안통제의주기적점검 위험분석및평가 보안과기술적인훈련및교육 시스템 / 어플케이션보안계획 운영 기술 통신 ( 전화, 시스템상호연결, 라우터 ) 등 암호학 접근제어, 인증 침해탐지 시스템감사 40/58

43 6. Risk Management Guide for IT Systems 4 단계 : 시스템정의 통제기술 시스템취약성을이용한위협의가능성을제거하거나최소화하기위해계획 / 구현된통제분석을목적으로한다. 기술적통제 암호화기술, 식별및인증기술, 접근통제메커니즘등과같은펌웨어 비기술적통제 보안정책, 운영절차, 인적 / 물리적 / 환경적보안 통제분류 보호통제 : 접근통제, 암호화, 인증의통제와보안정책등을위반하는시도를금지하는통제 감지통제 : 감사추적, 침입탐지방법과체크섬등의통제와보안정책등을위반하는시도를감지하고경고를주는통제 NIST /58

44 6. Risk Management Guide for IT Systems 5 단계 : 가능성결정 가능성결정요소 위협 - 자원의동기와능력 취약성의성질 현재통제의존재의존재및유효성 가능성정의 가능성수준 가능성정의 NIST 높음 중간 낮음 위협 - 자원은충분히실현가능하고높은동기가존재하고, 취약성이실행되는것을예방하기위한통제가비효율이다. 위협 - 자원은실현가능하고동기가존재하고, 통제는취약성의발생가능성을방해한다. 위협 - 자원은실현가능이나동기가거의희박하고, 통제는취약성의발생가능성을충분히방해하거나예방이가능하다. 42/58

45 6. Risk Management Guide for IT Systems 6 단계 : 영향분석 영향분석 : 위협과취약성의실행으로일어나는파급효과 영향분석시주요고려사항 시스템임무 (IT 시스템에수행된프로세스 ) 시스템과데이터의핵심성 ( 시스템가치또는조직의중요성 ) 시스템과데이터의민감성 영향분석판단의기준 기밀성, 무결성, 가용성의손실 NIST 영향의정도높음중간낮음 영향의정의 취약성의실행으로인해주요한유형의자산또는자원의많은비용의손실이발생 조직의임무, 이익에충분히저해를가하는경우 인명피해 ( 죽음, 부상 ) 를줄수있는경우 취약성의실행으로인한유형의자산이나자원의비용손실이발생 조직의임무, 이익에저해를가하는경우 인명 ( 부상 ) 를줄수있는경우 취약성의실행으로인한약간의유형의자산이나자원의손실 조직의임무, 이익에악영향을주는경우 43/58

46 6. Risk Management Guide for IT Systems 7 단계 : 위험결정 위험결정은 IT 시스템의위험도를측정하기위한단계 위험도 위협가능성 영향 낮음 (10) 중간 (50) 높음 (100) 높음 (1.0) 낮음 (10 * 1.0 = 10) 중간 (50 * 1.0 = 50) 높음 (100 * 1.0 = 100) 중간 (0.5) 낮음 (10 * 0.5 = 5) 중간 (50 * 0.5 = 25) 높음 (100 * 0.5 = 50) NIST 낮음 (0.1) 낮음 (10 * 0.1 = 1) 중간 (50 * 0.1 = 5) 높음 (100 * 0.1 = 10) 위험의크기 : 높음 (50보다크고 100까지 ); 중간 (10보다크고 50까지 ); 낮음 (1에서 10까지 ) 위험도와필요한행동 위험수준 위험정의와필요한행동 높음 즉시조치가필요하며, 시스템을운영하면서가능한빨리조치가필요하다. 중간 적절한주기안에조치를취하기위한계획을수립한다. 낮음 수용가능한위험에대한결정과조치행동이필요한지를결정한다. 44/58

47 6. Risk Management Guide for IT Systems 8 단계 : 통제권고 고려사항 효과적인권고선택 ( 시스템의적합성 ) 법률과규정 조직적인정책 운영적인정책 안전성과신뢰도 NIST 단계 : 결과문서화 문서화 위험평가완료후식별된위협 - 자원, 취약성, 측정된위험, 권고된통제에대한보고서작성 위험보고서는관리보고서의성격으로상위관리자와사업책임자들이정책과, 절차, 예산, 시스템운영과관리의변화를할수있도록의사결정을할수있도록작성 45/58

48 6. Risk Management Guide for IT Systems NIST 라. 위험감소 위험평가로부터권고된적절한위험감소통제들을구현, 평가, 우선순위화 모든위험을제거는불가능하므로최소비용, 최적의통제, 최소영향을고려 위험감소를위한선택요소 ( 위험가정, 회피, 제한, 계획, 조사, 전이등 ) 위험감소전략 위협 - 자원 시스템설계 취약한가? 예예공격가능한예 Exploit? 취약성존재 & 아니오 위험없음 아니오 위험존재 공격자의비용 < 이익 예 예상되는손실 > 한계점 예 허용불가능한위험 아니오 위험허용 아니오 46/58

단계 : 권고된통제선택의평가 수행가능성, 유효성 3 단계 : 취약성정의 구현 ( 구현되지않을때 ) 의영향, 관련비용 4 단계 : 통제의선택

49 NIST 6. Risk Management Guide for IT Systems 통제구현을위한접근 위험평가보고서를통한위험수준 위험평가보고서 1 단계 : 행동의우선순위를결정 2 단계 : 권고된통제선택의평가 수행가능성, 유효성 3 단계 : 취약성정의 구현 ( 구현되지않을때 ) 의영향, 관련비용 4 단계 : 통제의선택 높음에서낮음으로행동순위화 가능한통제항목 비용효과적인분석 선택된통제 5 단계 : 의무의할당 의무가할당된사람목록 6 단계 : 보호대책구현 위험과관련위험수준, 순위화된행동, 권고된통제, 선택 / 계획된통제, 개시 / 목표완료날짜, 유지보수요구사항 보호대책구현계획 입력 7 단계 : 선택된통제의구현 위험감소행동 47/58 잔여위험 결과

50 6. Risk Management Guide for IT Systems NIST 잔여위험과구현된통제 새로운통제와추가된구현 시스템의취약성을제거, 가능한위협 - 취약성쌍을감소 위협 - 자원의동기를감소시키기위한대상이되는통제를추가 파급영향의등급을감소 마. 성공을위한요소 고급관리자의수행 IT 팀의자발적지원과참여 위험분석팀의능력 직원들의인식및협력 IT 관련된임무에대한지속적인분석평가 새로운 / 증진된통제 결함이나오류의수를감소 대상이되는통제를추가 영향의규모를감소 잔여위험 48/58

51 7. 취약점분석 평가방법론 가. 개요 위협요인평가 자산기반의위협평가 취약점평가 위협과취약점관계성평가 도구를이용한평가 현보호대책및종합평가 현보호대책평가 최종보고서 전담반구성, 분석 / 평가계획수립 전담반구성 IT 부서원 사업영역별직원 기타 ( 내외부전문가 ) 평가계획수립 취약점분석평가수행방법 점검항목 절차 기간 소요예산 취약점분석평가 취약점분석평가절차 취약점분석평가대상선별 위협요인분석 발생원인및빈도와파급효과분석 시설의특수성고려, 점검항목마련 취약점확인 / 분석 취약점탐지도구이용취약점탐지 취약점에대한구조적분석 현보호대책의관계성분석 위협요인과취약점과상관관계분석 침해사고발생가능성및발생시영향력분석 현보호대책및위협. 취약점분석 평가범위결정 시설구성및기술구성식별 사업업무식별 중요사업업무별자산식별 중요자산에대한위협식별 위협으로인한취약점식별 평가요구사항 면담, 실사, 문서검토 세부자산목록및구성도작성 사업업무별중요도부여 49/58

52 7. 취약점분석 평가방법론 나. 자산분석 자산범위설정 Business Process 설정 범위설정기준 자산조사 범위설정 자산항목별분류및조사 자산분석 자산목록작성 가치산정기준 Process 별분류및조사 위치 ( 조직 ) 별분류및조사 자산가치산정 정량산정 정성산정 50/58

53 7. 취약점분석 평가방법론 다. 위협분석 위협식별 위협유형 위협파악 위협목록 식별된위협 위협시나리오 위협속성 위협분석 위협속성분석 위협 / 자산 Mapping 위협 / 취약점 Mapping 위협순위 51/58

54 7. 취약점분석 평가방법론 위협의유형 물리적접근네크워크 의도적위협 비의도적위협 외부인에의한위협 내부인에의한위협 사람에의한위협 자연재해 시스템결함 물리적위협 기술적위협 물리적위협 기술적위협 절도 테러. 유해프로그램 해킹. 절도 테러. 유해프로그램 해킹. 조작실수 / 미숙 데이터유출 화재 수해 지진 조작실수 / 미숙 데이터유출 접근경로동기행위자결과 52/58

55 7. 취약점분석 평가방법론 라. 취약점분석 취약점속성 취약점분류 취약점등급기준 취약점분석 취약점분석 자산과의 Mapping 취약점중요도 취약점과위협 Mapping 취약점산출 53/58

56 7. 취약점분석 평가방법론 마. 자산, 위협, 취약점, 보호대책의관계 행위자 1 위협 1 내부자외부자 취약점 1 자산 1 피해 1 대책 1 계약자 피해 2 대책 2 행위자 2 행위자 3 위협 1 고장 / 오류자연재해기타 취약점 2 취약점 3 자산 2 자산 3 피해 3 피해 4 대책 3 대책 4 근원자위협 DB 위협유형취약점 DB 자산영향대책 DB 54/58

57 7. 취약점분석 평가방법론 바. 주요정보통신기반시설취약점분석평가방법론 (CI 2 RA M1) 현황분석취약점분석위험평가대책권고 110 요구사항분석 111 자료요청 112 면담 113 요구명세작성 210 자산분석 410 보호대책권고안 211 자산분류 411 대책권고안작성 120 범위선정 230 취약성분석 121 업무현황파악 231 취약성식별 232 취약성평가 122 핵심업무선정 123 평가계획수립 55/58

58 7. 취약점분석 평가방법론 바. 주요정보통신기반시설취약점분석평가방법론 (CI 2 RA M2) 현황분석취약점분석위험평가대책권고 110 요구사항분석 111 자료요청 112 면담 113 요구명세작성 210 자산분석 211 자산분류 위협식별 위협분석 222 위협평가 310 위험평가 311 위험산정 410 보호대책권고안 411 대책권고안작성 120 범위선정 212 자산평가 230 취약성분석 312 위험평가 121 업무현황파악 231 취약성식별 232 취약성평가 123 평가계획수립 56/58

59 7. 취약점분석 평가방법론 바. 주요정보통신기반시설취약점분석평가방법론 (CI 2 RA M3) 현황분석취약점분석위험평가 대책권고 110 요구사항분석 111 자료요청 112 면담 113 요구명세작성 210 자산분석 211 자산분류 위협식별 위협분석 222 위협평가 310 위험평가 311 위험산정 410 보호대책권고안 411 대책권고안작성 120 범위선정 212 자산평가 230 취약성분석 312 위험평가 121 업무현황파악 231 취약성식별 232 취약성평가 122 핵심업무선정 123 평가계획수립 57/58

60 8. 결론 가. 향후계획 전담반구성, 평가계획수립 취약점분석 평가가이드라인 모의해킹방법가이드라인 교육프로그램 취약성 / 보호대책 DB 구축및업데이트 보안위험관리전략수립 취약점분석 / 평가 취약점분석평가대상식별 각종지침서작성및배포정보보호점검항목작성및업데이트 취약점스캐닝자동화도구 기반구조의취약성식별 위험분석자동화도구 정보통신기반보호법지원 58/58

F1-1(수정).ppt

F1-1(수정).ppt , thcho@kisaorkr IPAK (Information Protection Assessment Kit) IAM (INFOSEC Assessment Methodology) 4 VAF (Vulnerability Assessment Framework) 5 OCTAVE (Operationally Critical Threat, Asset, and Vulnerability