슬라이드 1

Size: px

Start display at page:

Download "슬라이드 1"

일민 팽
5 years ago
Views:

1 IBM 웹애플리케이션보안솔루션 - AppScan IBM Corporation 2014 IBM Corporation

2 목차 IBM 보안 Framework Application Security 솔루션 AppScan Enterprise Edition AppScan Standard Edition AppScan Source Edition AppScan Cloud Service 사례 2 / 60

3 데이터누출에따른비용 $5.85M 미국의데이터누출건당평균비용 $201 미국의손상된데이터당평균비용 3 / 60 Source: 2014 Cost of Data Breach Study: Global Analysis, Ponemon Institute

Vulnerabilities 33 % of 누출에대한취약성중웹취약성의비율 크로스사이트스크립팅과 SQL

Quarterly, 1Q 2014 Source: IBM X-Force Threat Intelligence

????????????????????? 모바일악성코드의증가 일반적으로많이사용되는상위 90 % 의모바일어플리케이션이해킹됨 조사시점에서 11.

Economy under Attack: Report Reveals More than 90 Percent of

4 어플리케이션보안위협 웹어플리케이션취약성?????????????????????? 크로스사이트스크립팅과 SQL 인젝션 Web Application Vulnerabilities 33 % of 누출에대한취약성중웹취약성의비율 크로스사이트스크립팅과 SQL 인젝션의지속적인증가 Source: IBM X-Force Threat Intelligence Quarterly, 1Q 2014 Source: IBM X-Force Threat Intelligence Quarterly, 1Q 2014 모바일장치공격?????????????????????? 모바일악성코드의증가 일반적으로많이사용되는상위 90 % 의모바일어플리케이션이해킹됨 조사시점에서 11.6 million 이상의모바일장치가악성코드에감염됨 Source: Arxan Technologies, App Economy under Attack: Report Reveals More than 90 Percent of the Top 100 Mobile Apps Have Been Hacked Source: InfoSec, "Mobile Malware Infects Millions; LTE Spurs Growth," January / 60

SQL 인젝션 : 지속적으로많이사용되는데이터누출취약점 2013 공격유형, 시간, 영향력별보안사고분포 January February March April May June July August September October November December Attack types SQL injection Spear phishing DDoS Note: Size

5 SQL 인젝션 : 지속적으로많이사용되는데이터누출취약점 2013 공격유형, 시간, 영향력별보안사고분포 January February March April May June July August September October November December Attack types SQL injection Spear phishing DDoS Note: Size of circle estimates relative impact of incident in terms of cost to business. Physical access Malware XSS Watering hole Undisclosed SQL 인젝션이 2013 년보안공격의 13% 를차지함 5 / 60 Source: IBM X-Force Threat Intelligence Quarterly 1Q 2014

6 어플리케이션보안지출보안리스크와지출에따른여러분의위치는? 35% - 30% - 보안위협 지출 25% - Spend Risk 20% - 15% - 10% - 5% - 어플리케이션보안 데이터보안네트웍보안인적보안서버보안물리적보안 6 / 60 많은기업이어플리케이션보안의중점화하지않음 Source: The State of Risk-Based Security Management, Research Study by Ponemon Institute, 2013

7 어플리케이션보안과제 규정준수 변화속도 자원? 외부규정및내부정책요구사항 보안위험이어디에있나? 어플리케이션의내부정책요구사항을어떻게설정할것인가? 어플리케이션을통하여중요정보가노출되는가? 어플리케이션의규정준수사항을어떻게확인할것인가? 7 / 60 어플리케이션의급격한증가, 출시및기술변화 어떤어플리케이션이주요한비즈니스위험을가지고있나? 프로세스 / 비즈니스의저하없이 DevOps / 애자일어플리케이션의보안을테스트할수있나? 개발주기초기에어떻게보안문제를식별하고비용을줄일수있나? 소규모보안팀, 대규모어플리케이션 기업이가지고있는자원을어떻게우선순위화할것인가? 무엇을테스트하고어떻게테스트할것인가? 어떻게인적자원을할당하고기술을향상시키고인식할것인가?

IBM Security IBM Security framework 을기반으로통합된보안역량을제공 The IBM Security Framework Detect, analyze, and prioritize threats QRadar Reduce fraud and malware Trusteer Manage users and their access Discover

8 IBM Security IBM Security framework 을기반으로통합된보안역량을제공 The IBM Security Framework Detect, analyze, and prioritize threats QRadar Reduce fraud and malware Trusteer Manage users and their access Discover and harden valuable assets Identity and Access Management InfoSphere Guardium Secure critical business applications AppScan Protect infrastructure against attacks Network and Endpoint Protection Monitor and evaluate today s threats IBM X-Force 8 / 60

9 IBM Security 는보안제품포트폴리오를지원 Security Intelligence and Analytics QRadar Log Manager QRadar SIEM QRadar Risk Manager Advanced Fraud Protection QRadar Vulnerability Manager QRadar Incident Forensics Trusteer Rapport Trusteer Pinpoint Malware Detection Trusteer Pinpoint ATO Detection Trusteer Mobile Risk Engine People Data Applications Network Infrastructure Endpoint Identity Manager Guardium Database Activity Monitoring AppScan Source Network Intrusion Prevention (GX) Trusteer Apex Access Manager Family Privileged Identity Manager Federated Identity Management Guardium Encryption Expert Guardium / Optim Data Masking AppScan Enterprise / Standard DataPower Web Security Gateway Next Generation Network Protection (XGS) SiteProtector Threat Management FiberLink MaaS360 Endpoint Manager Host Protection Directory Integrator / Directory Server Key Lifecycle Manager Security Policy Manager QRadar Network Anomaly Detection zsecure IBM X-Force Research 9 / 60

10 목차 IBM 보안 Framework Application Security 솔루션 AppScan Enterprise Edition AppScan Standard Edition AppScan Source Edition AppScan Cloud Service 사례 10 / 60

위기관리의모든것 보안은항상이해되고, 관리한다. 그리고기업의가장치명적인자산의위협을완화한다. Advanced Persistent Threat, Understanding the Danger and How to Protect Your Organization, by Dr.

11 위기관리의모든것 보안은항상이해되고, 관리한다. 그리고기업의가장치명적인자산의위협을완화한다. Advanced Persistent Threat, Understanding the Danger and How to Protect Your Organization, by Dr. Eric Cole, SANS Institute 내부 외부 민감정보 IT 도움말 온라인제품카탈로그 직원여행포탈 전자상거래 비즈니스영향 낮음중간높음치명적 취약성 중간 Session identifier not updated 높음 SQL injection 중간 Open redirect (1) High SQL injection 어플리케이션보안위험 낮음높음중간매우높음 11 / 60

12 IBM AppScan 솔루션 12 어플리케이션보안관리 자산목록비즈니스영향평가취약점우순순위화상태및현황관리 보안준수결정 동적분석 정적분석 상관분석 모바일어플리케이션분석 12 / 60

13 IBM AppScan 솔루션 어플리케이션 Black Box White Box 방식 실제해커들이수행할만한요청을웹애플리케이션에보내응답을파악하여취약점판단 소스코드를정해진규칙으로스캔하여취약점발견 스캔대상완성된웹애플리케이션소스코드 점검주체보안담당자, 개발자개발자, 보안담당자 Solution Rational AppScan Standard Rational AppScan Enterprise Rational AppScan Source 특징 변조된 HTTP 요청에의한취약점판단 발견된취약점에대한정보제공 권고사항, 수정안, 문제요청 / 응답 산업표준 / Compliance 기반보고서제공 AppScan Standard 전사적데이터수집 역할분담 / 대시보드제공 다양한언어로작성된코드에대한보안관점의코드점검 개발자들에게유용한정보제공 ( 콜그래프등 ) 보고서제공 13 / 60

14 목차 IBM 보안 Framework Application Security 솔루션 AppScan Enterprise Edition AppScan Standard Edition AppScan Source Edition AppScan Cloud Service 결론 14 / 60

15 AppScan Enterprise - 기능 - IBM Security AppScan Enterprise 는다수의어플리케이션을다수의사용자가점검을할수있도록중앙에서관리하며조직내에보안위협에대해서가시성을제공 - 취약점탐지뿐만아니라조치상태를관리하여상태별 ( 발견됨 / 조치됨 / 처리중 ) 로취약점을관리 Large scale application security testing 서버 - 클라이언트아키텍처기반의확장지원 여러사용자에의서여러평가수행 모든평가결과의중앙저장소 평가의예약및자동화. Enterprise visibility of security risk 다양한대시보드 자세한보안문제보고서, 조언및권고제공 40 여가지가넘는컴플라이언스보고서 Governance & collaboration 사용자역할및액세스권한 테스트정책 문제관리 결함추적시스템통합 15 / 60

16 16 AppScan Enterprise - 어플리케이션목록구성 모든어플리케이션을하나의공간에서관리 16 / 60

17 17 AppScan Enterprise - 어플리케이션정보관리 보안관리를위한어플리케이션정보를정의하고관리함 ( 어플리케이션종류, 내부 / 외부, 보안요구사항등 ) 17 / 60

18 18 AppScan Enterprise - 자동화된자산정의를위한룰 (rules) 생성 자동화된어플리케이션자산관리를위한관리정보기반의룰생성 보안인텔리젼스 18 / 60

19 19 AppScan Enterprise 어플리케이션자산우선순위 필터링, 정렬기능을이용하여비즈니스우선순위관리! 19 / 60

20 20 AppScan Enterprise 보안점검결과조직화 정정, 동적, 상관분석결과를 Application 단위로관리 20 / 60

21 21 AppScan Enterprise 어플리케이션평가관리 기업전반의어플리케이션관리 점검결과를담당자, 일자, 취약점순위등의관점으로식별하여관리함 21 / 60

22 22 AppScan Enterprise 취약점분석 어플리케이션정보를통한보안취약점평가관리대상어플리케이션취약점평가기준활용 Application 변경내역등관리 22 / 60

23 23 AppScan Enterprise 어플리케이션정보기반위험도평가 관리정보기반위혐도순위산출 23 / 60

24 AppScan Enterprise 기업 Application 보안현황관리 위험도상위어플리케이션식별 개발자가가장빈번하게범하는실수 평가완료된어플리케이션현황 어떤취약점을최우선으로수정하여야하나? 가장주요하게관리되어야할어플리케이션은? 24 / 60

25 목차 IBM 보안 Framework Application Security 솔루션 AppScan Enterprise Edition AppScan Standard Edition AppScan Source Edition AppScan Cloud Service 결론 25 / 60

AppScan Source 분석방식 정적분석 (White Box 테스팅 ) 동적분석 (Black Box 테스팅 ) 점검을위한입력 ( 대상 ) 소스코드 완성된웹어플리케이션 평가기술변형된요청분석및패턴매칭변조된 HTTP 요청 애플리케이션개발주기에서의역할 Development: 소스스캔및 IDE 를통한점검 Build: 발생시자동점검을통한결함발견

26 AppScan Source 분석방식 정적분석 (White Box 테스팅 ) 동적분석 (Black Box 테스팅 ) 점검을위한입력 ( 대상 ) 소스코드 완성된웹어플리케이션 평가기술변형된요청분석및패턴매칭변조된 HTTP 요청 애플리케이션개발주기에서의역할 Development: 소스스캔및 IDE 를통한점검 Build: 발생시자동점검을통한결함발견 Security: 개발자를위한베스트프랙티스에대한정의및보안 ; 운영전점검과감사를위한실행 Build: 테스팅팀과릴리즈이전단계에스캔 Test: 보안테스트실행품질감사를위한보안테스트스크립트실행 Security: 품질을위한테스트스크립트정의 ; 운영전점검과감사를위한실행 결과 & 출력 소스와결함함수에따른소스레벨의결과도출 HTTP 요청정보의결과도출 ( 공격요청정보 ) 26 / 60

분석 - 동적분석과정적분석결과연계 - 코드라인식별로취약점제거작업지원 실행시간분석 - 실행에이전트

27 향상된기술을이용한취약점발견 정적분석 - 소스코드분석 - 개발과장중 - 오염분석 / 패턴비교사용 전체잠재보안문제 동적분석 - 동작웹어플리케이션 - 테스트단계에서사용 - HTTP 왜곡기술사용 Hybrid 분석 - 동적분석과정적분석결과연계 - 코드라인식별로취약점제거작업지원 실행시간분석 - 실행에이전트 (agent) 이용분석 - 결과추가및정확도향상 Client-Side 분석 - 클라이언트단다운로드된자바스크립트분석 - 업계유일 27 / 60

28 AppScan Standard AppScan 웹애플리케이션의보안점검도구 AppScan 이필요한이유 웹애플리케이션의보안문제를보다쉽게발견하고해결하기위함. AppScan 의역할 웹애플리케이션을테스트하고, 보안문제를발견하여이를조치할수있도록문제에관련된다양한정보제공 사용대상자 보안감사자 QA 팀 개발자 1. 애플리케이션스캔 취약점탐지 취약점분석 취약점수정 28 / 60

29 AppScan Standard - 특장점 웹애플리케이션보안점검및취약점수정 ( 대응 ) 1. 웹애플리케이션의자동화점검및손쉬운보안권고안제공 2. 웹애플리케이션의취약한보안요소와근본적해결방안을위한수정권고안제시와보안 / 코딩가이드라인제시 3. 개발자및보안담당자가이해할수있는자세한코딩샘플제공과예시등폭넓은권고안제공 편리한사용자화면및 Interface 1. 편리한 Setup, Configure, Run, Test 단계구성에의한직관적인수행방법제공 2. 테스트및분석결과의종합적이고자세한 DB 제시 3. 자동화된취약점 Update 및 Zero-day 취약점업데이트 보고서와수정권고안 1. 웹애플리케이션의모든단계및작업에대한이해가능한수정안제시 2. 산업표준및폭넓게사용되는 40 가지규정이행항목에대한이행정보보고서 3. 강력한보고서양식지원과오탐보고 / 스크린샷등활용및검증방법제시 취약점점검성능과검증 1. 세계시장점유율 1 위 (Gartner Group) 2. 빠른취약점업데이트와제로데이취약점대응 ( 세계각국 31 개의보안연구소운영 ) 4. 많은솔루션구축과활용으로인한안정성과우수성검증 ( 세계유수의보안리더및선두그룹등 800 여고객사 ) 탁월한확장성과운용성 1. 모든종류의운영체제의운영중인웹서버 (IIS, 아파치, 넷스케이프등 ) 및기반기술 (ASP, PHP, AJAX,.NET 등 ) 에대한인프라스트럭처및애플리케이션점검지원 2. 일반사용자및전문가와모의해킹검사자를위한다양한도구지원 3. Client Side 의인증, SSL, NTML 등다양한인증관리및로그인지원 4. Web 2.0 에대한대응지원 5. SDK 연동기반의 AXF- 확장지원툴을통한유연성및확장성 6. 델타분석을통한취약점점검및개선사항확인 29 / 60

30 AppScan Standard - 스캔구성및수행 스캔을위한정보 어디서, 어떻게, 무엇을 타겟웹애플리케이션 URL 로그인방법및정보 테스트정책 적용룰 / 패턴 링크깊이, 수의제한 스캔제외경로및파일타입등 테스트대상애플리케이션정보수집 스캔 시작 URL 부터링크를따라탐색하여웹사이트페이지정보수집 수집된 URL 정보들을애플리케이션트리형태로구체화 선스캔으로실제스캔이전에권고사항제공 수집된 URL 에변조된 Request 를송신하여스캔수행 각 request 에대한응답기록및결과제공 30 / 60

31 AppScan Standard 스캔전문가권장사항 웹사이트를분석하여최적의 Scan 구성을설정하도록지원함 31 / 60

32 AppScan Standard - 스캔분석 > 보안문제 스캔중발견된문제들에대한포괄적이고자세한정보를제공 단순리스트업이상의정보필요 문제정보 보안권고문 수정안 요청 / 응답 32 / 60

33 AppScan Standard - 스캔분석 > 조치작업 스캔에서발견된문제들을위해디자인된솔루션제공 애플리케이션이현재가지고있는문제를어떻게해결해야할지에대한정보 조치작업별로적용할수있는문제들리스트업 ( 비개발자인 ) 보안담당자입장에서 ( 비보안전문가인 ) 개발자들과보다정확하게소통가능 33 / 60

34 AppScan Standard - 스캔분석 > 애플리케이션데이터 테스트수행중웹애플리케이션에서발견된내용의리스트 요청 / 응답정보 브라우저보기기능 수동테스트기능 요청을수정하여원하는내용의테스트수행가능 사용자가패러미터값제공, 자동폼내용채우기기능해제등을통해추가적인테스트가능 34 / 60

35 AppScan Standard - 리포트 테스트분석후조직내의다양한팀원들과결과를공유할수있는여러관점의리포트제공 보안보고서 기본보고서 산업표준 (OWASP, ISO, Visa 등 ) 규정준수 ( 일본, 유럽, 미국등의규정 ) 델타분석 스캔비교 템플리트기반 사용자정의리포트 발생된문제, 빈도등에대한정보포함 규정준수보고템플릿 OWASP Top 10 보고서일부의예 35 / 60

36 AppScan Standard - 보안취약점업데이트 기능 취약점 Update. 취약점 Update 및 S/W Upgrade AppScan 의취약점정보업데이트및업그레이드 AppScan 은세계 33개의취약점연구소와 Web Application 보안연구소에서취합된보안취약점을실시간자동업데이트. 또한취약점점검도중발생하는보안취약점업데이트에관해서는자동업데이트와추가적인취약점점검을지원하며, 업데이트에관한로그를상시검색. 각지역에서취합된 Web Application 보안취약점과보안정보또는 AppScan S/W Upgrade Internet AppScan Update Server AppScan 자동 Update/Upgrade 세계 33 개취약점연구소 36 / 60

37 목차 IBM 보안 Framework Application Security 솔루션 AppScan Enterprise Edition AppScan Standard Edition AppScan Source Edition AppScan Cloud Service 사례 37 / 60

38 AppScan Source - 기능 IBM Security AppScan Source 는정적분석기법의솔루션 소스레벨의보안취약점스캐닝 보안취약점의공격에따른영향사전대비 평판의하락 비용손실 위반으로인한기밀정보유출 규제미준수에따른비즈니스위험 AppScan Source 는보안위험을최소화하고사전식별을통한조직적인강화 38 / 60

39 AppScan Source 분석방식 정적분석 (White Box 테스팅 ) 동적분석 (Black Box 테스팅 ) 점검을위한입력 ( 대상 ) 소스코드 완성된웹어플리케이션 평가기술변형된요청분석및패턴매칭변조된 HTTP 요청 애플리케이션개발주기에서의역할 Development: 소스스캔및 IDE 를통한점검 Build: 발생시자동점검을통한결함발견 Security: 개발자를위한베스트프랙티스에대한정의및보안 ; 운영전점검과감사를위한실행 Build: 테스팅팀과릴리즈이전단계에스캔 Test: 보안테스트실행품질감사를위한보안테스트스크립트실행 Security: 품질을위한테스트스크립트정의 ; 운영전점검과감사를위한실행 결과 & 출력 소스와결함함수에따른소스레벨의결과도출 HTTP 요청정보의결과도출 ( 공격요청정보 ) 39 / 60

Triage & Analyze results 평가결과를분석하고실제취약점들을잠재적인것들에서분류 해결해야할문제들의우선순위화 결함 ------- --------- 4.

40 AppScan Source 업무절차 Configure Publish Source code Scan Remediate Triage Assign 1. Configure Applications 40 / 60 애플리케이션과프로젝트구성 2. Scan 타겟애플리케이션에분석을수행하여취약점을찾아내는과정 3. Triage & Analyze results 평가결과를분석하고실제취약점들을잠재적인것들에서분류 해결해야할문제들의우선순위화 결함 Publish Scan Results 스캔결과를데이터베이스에추가하여외부도구에서수집 / 관리 5. Assign Remediation Tasks 결함등록 6. Remediate 코드수정, 보안관련코드추가등을통해취약점해결

41 AppScan Source - 다양한언어지원 지원언어 프로젝트유형 - 언어선택 Java JSP C C++.NET C# VB.NET ASP.NET Classic ASP (VB6) PHP HTML Perl ColdFusion JavaScript VBScript COBOL PL/SQL T-SQL SAP ABAP Mobile Android Objective-C* 41 / 60

42 AppScan Source - 취약성분류 취약성 Matrix - 취약성및심각도를기준으로발견된취약성을구분 - 세분화된분류로해결해야할취약성의우선순위화가가능 - 위험도, 속성등변경 취약점 Matrix 필터링 - 발견된취약점중특별히관심이있는내용및특정유형위주의검토 - 개발자들에게필요한결과만제공하며우선순위가높은취약성에집중가능 모든룰과정책은중앙에서관리하며전사적으로공유됨 발견된취약점유형별구분 42 / 60

AppScan Source - 소스코드취약성분석기능 SmartTrace : 애플리케이션내의데이터의흐름을추적 - 잠재적으로위험한데이터경로를 call graph 형태로표시 - 코드내의문제점을 pin point - XSS, SQL Injection 등의입력값검증및인코딩루틴부재문제발견 - Custom

43 AppScan Source - 소스코드취약성분석기능 SmartTrace : 애플리케이션내의데이터의흐름을추적 - 잠재적으로위험한데이터경로를 call graph 형태로표시 - 코드내의문제점을 pin point - XSS, SQL Injection 등의입력값검증및인코딩루틴부재문제발견 - Custom validation/ 인코딩루틴명시가능 SmartAudit : 스캔결과를소프트웨어보안준수및규정관점의결과로정리하여확인가능 - OWASP, PCI DSS, DISA STIG - 문제에대한정보및권고사항제공 Input/Output stack Call Graph Data Flow 문제가되는코드 43 / 60

44 AppScan Source - 분석결과의정확성 정적분석결과발견된취약점중에서실제로발생하지않는결과를보안담당자가확인후, 찾은결과에서제외하여정제된결과를추출 애플리케이션정보입력후스캔 애플리케이션스캔 발견결과선별 발견된결과중에실제로발생하지않는결과제외 재스캔시 제외된찾은결과 는따로취합됨 도, 분류, 취약성유형, API 등으로필터링하여목적에맞게조회 스캔 조치 선별 지정 44 / 60

45 AppScan Source - 취약성점검수행시간 AppScan Source Edition 은타사의제품들보다수행속도가빠른최고시간당 1,000,000 라인을분석 45 / 60

46 AppScan Source 상관분석 동적분석및정적분석결과를통합하므로보다빠르고정확하게취약성의확인하고이에대한해결책을제시할수있어취약성조치업무를효율적으로수행 동적분석결과 : 취약성이발견된페이지정보 정적분석결과 : 소스파일 / 행및 API 정보 46 / 60

AppScan Source 특장점 > 중앙관리 정적분석도구인 AppScan Source Edition 은서버 - 클라이언트구성으로룰을중앙에서관리하므로전사적으로일관된보안정책을적용 클라이언트 / 서버아키텍처 중앙 repository 인 Source Edition Core 와사용자클라이언트로구성 Source Edition Core 스캔에적용할룰을중앙의 Core

47 AppScan Source 특장점 > 중앙관리 정적분석도구인 AppScan Source Edition 은서버 - 클라이언트구성으로룰을중앙에서관리하므로전사적으로일관된보안정책을적용 클라이언트 / 서버아키텍처 중앙 repository 인 Source Edition Core 와사용자클라이언트로구성 Source Edition Core 스캔에적용할룰을중앙의 Core 모듈에저장 개발자들이개별적인룰을적용할수없으며, 모든개발자들이같은룰을적용하여개발 전사에걸쳐일관된정책을유지할수있음 Source Edition for Automation 커맨드라인을통한스캔으로자체개발된 UI 등과연계가능 빌드프로세스와통합가능 동일한룰적용 - 진단결과의신뢰성 룰정의 보안담당자 개발자 룰적용 ( 룰 ) AppScan Source Edition Core 동일하지않은룰적용 - 상이한결과 XSS 진단항목적용룰 A, B, C, D 애플리케이션 1 차진단결과 C 에취약 개발자 A XSS 진단항목적용룰 A, B, C, D 애플리케이션 1 차진단결과 C 에취약 XSS 진단항목적용룰 A, B, C, D 취약성 C 가조치된애플리케이션 2 차진단결과양호 개발자 B XSS 진단항목적용룰 A, B, D 조치되지않은애플케이션 2 차진단결과양호 47 / 60

48 AppScan Source 특장점 > Flow 분석 AppScan Source Edition 은 IBM 연구소에서개발된분석기법을적용하여분석결과의품질을높임 String Analysis 사용자와시스템에의해정의된새니타이저 (sanitizer) 와검사루틴들을자동으로감지하고, 이들이적절하게코딩되었는지검증하는기능들을제공함 이를통해오탐과미탐을줄여보다높은정확성을달성할수있음 public void submitquery(string username) { username = clean(username); String query = "SELECT id FROM users WHERE name = '" + username + "'"; execute(query); } public String clean(string input) { String output = input.replaceall(";","").replaceall("'",""); return output; } 검사루틴을나타내는커스텀룰을작성하는데필요한노력을줄이며취약성분석과분류과정을간소화하는효과가있음 submitquery username = {Σ - {;,'}}* query = SELECT id FROM users WHERE name = '{Σ - {;,'}}*' execute username = Σ* output = {Σ - {;,'}}* input = Σ* clean 48 / 60

플러그인을제공하여설치된형상관리플러그인과연동리포팅콘솔서버와연동하여웹으로스캔결과조회 IBM Rational ClearQuest Rational Team Concert HP Quality Center Microsoft Team

49 AppScan Source 특장점 > 다양한개발환경에적용 이클립스,Visual Studio 플러그인을제공하여이클립스기반의타형상관리솔루션과연동 중앙저장소에있는검색결과를접근할수있는 API 를사용하여타솔루션과연동 AppScan Source Edition 결함관리 취약점수정요청등록 취약점수정접수 변경요청검토 / 승인 변경수행 취약점수정완료공지 이클립스, Visual Studio 플러그인을제공하여설치된형상관리플러그인과연동리포팅콘솔서버와연동하여웹으로스캔결과조회 IBM Rational ClearQuest Rational Team Concert HP Quality Center Microsoft Team Foundation Server 타결함시스템은 AppScan API 로연계 AppScan Reporting Console API 형상관리 대쉬보드수정권고방안 Dynamic,Static 분석연계취약점수정추세확인 스캔결과파일열기발견된취약점출력공개된스캔결과가져오기 Check Out 개발및테스트 Check In 개발완료 49 / 60

50 AppScan Source 특정점 > 다양한리포트지원 AppScan Source Edition 은진단도구에서보여지는점검결과보기이외에도, OWASP, DISA, PCI, 보안프로파일보고서등의다양하고상세한형태의보고서를제공 AppScan Reporting Console 은컴플라이언스보고서와대쉬보드, 이력, 경향분석대쉬보드등 58 가지의다른산출물을사용자권한및역할별로온라인으로확인하는기능을제공 AppScan Source Edition AppScan Reporting Console 50 / 60

51 3.3.4 룰업데이트 IBM ISS(Internet Security Systems) 의 X-Force 연구소에의해분석된보안룰을주기적으로도구의업데이트와동시에제공하여새로발견된취약성에적절히대응 연구 기술 솔루션 취약성연구 IBM X-Force X-Force 보안컨텐츠 공개된취약성분석 WatchFire 멀웨어분석 OunceLab 공격매개체예측 방어기재연구 기존방어기재확장새로운방어기재작성및개발보안컨텐츠업데이트수집된정보공유 51 / 60

52 목차 IBM 보안 Framework Application Security 솔루션 AppScan Enterprise Edition AppScan Standard Edition AppScan Source Edition AppScan Cloud Service 사례 52 / 60

53 IBM Security AppScan Cloud Services AppScan Dynamic Analyzer 기반의동적웹어플리케이션보안취약점분석서비스 ENTER URL SCAN REPORT 53 IBM Sellers & Business Partners Only

54 IBM Security AppScan Cloud Services AppScan Mobile Analyzer AppScan mobile Analyzer IBM Bluemix 기반의모바일앱보안취약점분석서비스 54 IBM Sellers & Business Partners Only

55 IBM Security AppScan Cloud Services AppScan Static Analyzer AppScan Static Analyzer - Beta IBM Bluemix 기반의웹어플리케이션보안취약점분석서비스 55 IBM Sellers & Business Partners Only

56 IBM Security 목차 IBM 보안 Framework Application Security 솔루션 AppScan Enterprise Edition AppScan Standard Edition AppScan Source Edition AppScan Cloud Service 사례 56 IBM Sellers & Business Partners Only

운영사례 ( AppScan Source ) Application 개발사 개발자는개발 IDE

$1 체크아웃 3 체크인 형상관리서버 3 체크인 개발 IDE PC 형상관리솔루션 C:\ 형상관리플러그인 AppScan$

57 운영사례 ( AppScan Source ) Application 개발사 개발자는개발 IDE 에설치된형상관리플러그인을이용하여소스를체크아웃후 AppScan Source for Developer 플러그인으로스캔후, 체크인합니다. 보안담당자는형상관리솔루션을이용하여빌드서버로체크아웃후 AppScan Source for Security 를사용해스캔및점검 귀사운영시스템과의연동시 AppScan 이보유하고있는 API 를활용하여연동하는방안을제시 1 체크아웃 1 체크아웃 3 체크인 형상관리서버 3 체크인 개발 IDE PC 형상관리솔루션 C:\ 형상관리플러그인 AppScan Source 플러그인 개발자 빌드서버 2 스캔 2 스캔 AppScan Source for Security 개발자 57 / 60 보안담당자

58 운용사례 ( AppScan Standard ) 게임사 급증하는방문자트래픽과이에따른악의적해킹시도로부터사이트를보호하고, 안전한웹서비스를제공하기위한보안강화로솔루션도입 보안점검효율성 개발자가수작업으로모의해킹 점검업무하루 (8 시간 ) 이상소요 웹취약성점검후서비스의퍼블리쉬 ( 결과정리, 개발팀에요청, 해결, 검증및서비스공개 ) 까지일주일이상소요 수작업으로리포트작성 웹서비스보안안정성 개발자경험에전적으로의존한보안점검의한계로최신해킹패턴에대한대응부재 이미서비스된애플리케이션은보안점검이어려움 모의해킹자동화 자동점검을통해 3 시간내로단축 취약성점검후퍼블리쉬과정이 1 일이내로 80% 이상단축효과 리포트자동생성 광범위한해킹패턴보유및국내 / 외최신해킹패턴의주기적인업데이트로보다완전한보안점검이가능 스케줄링기능으로대외서비스의정기 / 비정기적상시보안점검이가능 웹보안점검효율화 보안취약점 100% 근접제거 웹서비스보안강화 보안업무추진력제고 대외서비스상시보안점검 58 / 60

59 사례 국내외 세계상위 10 대은행중 9 개은행 세계상위 10 대 IT 기술기업중 8 개기업 세계상위제약 / 임상기업중 7 개기업 다양한대규모정부기관 IT 기술기업 컨설팅및연구기업 국내기업과기관 59 / 60

IBM Security 는최상의소프트웨어기술에투자 Security intelligence IBM Security is

management Cloud-enabled identity management Identity governance

Mainframe and server security Identity management Directory

single-sign-on Endpoint management and security Information and

experts worldwide 1,700+ IBM security patents Access management SOA

management Database monitoring and protection Application security

60 IBM Security 는최상의소프트웨어기술에투자 Security intelligence IBM Security is created Incident forensics Advanced fraud protection Secure mobile management Cloud-enabled identity management Identity governance Mainframe and server security Identity management Directory integration Security services and network security Enterprise single-sign-on Endpoint management and security Information and analytics management IBM Security Investment 6,000+ IBM Security experts worldwide 1,700+ IBM security patents Access management SOA management and security Application security Risk management Data management Database monitoring and protection Application security 4,000+ IBM managed security services clients worldwide 25 IBM Security labs worldwide 60 / 60

<4D F736F F F696E74202D D53444C43B0FCC1A1BFA1BCAD20BABB20C0A5BED6C7C3B8AEC4C9C0CCBCC7BAB8BEC82DB9DABCBAB9CEC2F7C0E52D303

<4D F736F F F696E74202D D53444C43B0FCC1A1BFA1BCAD20BABB20C0A5BED6C7C3B8AEC4C9C0CCBCC7BAB8BEC82DB9DABCBAB9CEC2F7C0E52D303 IBM Software Group 개발라이프사이클관점의웹애플리케이션보안 2011/05/18 한국 IBM 박성민차장 2011 IBM Corporation 목 차 웹애플리케이션보안동향 웹애플리케이션보안이중요한이유및피해사례 웹취약점예 : SQL Injection 개발라이프사이클관점의보안 보안담당자 : Black Box 테스트를통한취약성발견 AppScan Standard