통합유출방지시스템을통한 ENDPOINT 단의보안 가디언넷대표이사 김형주 like@guardiannet.co.kr
데이터유출경로통제를위한매체제어, DLP, 개인정보유출차단시스템구축사고예방측면 개인정보대량유출사고의증가 1. KB 국민카드 : 5,300 만건유출 2. 롯데카드 : 2,600 만건유출 3. NH 농협카드 : 2,500 만건유출 4. 국토교통부 : 2,000 만명개인정보유출 5. SKT, LGU+: 1,230 만명개인정보유출 6. 고객정보가유출된카드 3 사는 2014 년 2 월 17 일부터그해 5 월 16 일까지부분영업정지처분
데이터유출경로통제를위한매체제어, DLP, 개인정보유출차단시스템구축정책적통제 기업내부에서정보유출증가 1. 정보유출사고의 80% 이상은내부자 2. 업무문서, 개인이메일로송부 52% 3. 우리나라, 70% 가클라우드에업무자료공유, 퇴사직원정보유출심각 4. 경제적피해규모기하급수적증가 내부정보관련보안의식 팽배 내부정보유출방지가 기업경쟁력
데이터유출경로통제를위한매체제어, DLP, 개인정보유출차단시스템구축기술적조치 기존보안기술의한계 1. P2P, CD-RW, USB, 이메일, 메신저, 무선네트워크, 스마트폰, 클라우드등다양한경로를통해유출 2. 내용 ( 컨텐츠 ) 기반의모니터링및차단기능부재, 단순로깅후사후확인은부족
매체제어기능 1. 모든 OS에서강력한매체제어 제공 2. Windows PC 32/64, 홈버전 3. Windows Server 32/64bit 4. Mac OS X 10.4 ~ 10.9 5. 다양한 Linux OS 6. 모든최신주변기기를통제 7. 네트워크공유파일전송로깅 8. 반출파일추적, 사본보관, 감사 로그 9. 다양한분석툴, 자동경고이메일 10. Active Directory 연동등 자료유출방지기능클라우드통제메신저제어 P2P/FTP 제어 Email, Web메일제어개인정보보호및유출차단반출되는파일의사본보관 MDM, MAM 솔루션통합, 1 개의장비로 MDM/MAM 보안관리구현 * 모바일기기관리 (Mac OSX 포함 ) - 패키지형 MDM - 30 분이면설치 - 다양한기종지원 개인정보검색 / 암호화 법률규정준수 : 개인정보관리 Agent 1 개로통합 SW 보안 USB 기능 SW 보안 USB 라이선스제공 USB 사용내용추적 / 로깅 외부반출후사용내용추적 MGM Mobile Guest Management 방문자스마트기기정보유출차단 인도어 GPS 로실내위치정보사용 5
1 개의 PC 에이전트 1 개의제품으로모든 OS 보호 1 개의버전, 항상신제품 매체제어 DLP 개인정보암호화 / 삭제 / 격리보안 USB Windows 32/64 비트 XP/Vista/7/8 Windows Server 2003/2008R2/2012 Mac OS X 지원 Linux Cent OS, opensuse, Ubuntu 모바일기기관리 (MDM/MAM) Live Update 신버전 OS 지원신버전모바일 OS 지원신매체차단자료반신 SW 차단 활용도가높고관리가쉬운통합제품 단일제품단일에이전트로어려운마이그레이션없이 Subscription 새로운버전제공
Mobile Guest Management MGM 방문자의스마트기기통제 - 정보유출의경로만차단하는단순기능 : 카메라, 마이크, 테더링, GPS, USB 스토리지을차단, - 스마트폰을방문자 ID 카드로만듦 MDM 내부자스마트기기관리용. - 모바일기기를제어하는많은기능으로구성되고 - 스마트기기의세밀한관리및제어가목표임 MGM
모바일게스트관리는 ibeacons 지원함 (Bluetooth Low Energy Beacons)
MGM 적용시나리오? 온라인방문신청사이트 온라인으로방문자신청을접수 전화번호및이메일주소 방문자의이름등정보 기타방문자 ID 구성정보 MGM MGM 설치 두개의 ibeacons 으로스마트기기의이동방향을감지함 MGM 켜짐 MGM 켜짐 MGM 꺼짐혹은제거됨 방문한장소의내부에있는동안, 스마트폰은방문자 ID 카드가되고, camera, tethering, 마이크, GPS 그리고 USB 저장장치기능이금지됨
지능형표적공격 (APT) 의새로운양상과대응방안 가디언넷대표이사 김형주 like@guardiannet.co.kr
APT ( 지능형표적 ) 공격동향 대응방안 대응기술소개 솔루션선택시고려사항 운영방안
APT ( 지능형표적 ) 공격동향 대응방안 대응기술소개 솔루션선택시고려사항 운영방안
APT 공격특징 공격분포 APT Bot Malware With organized planning Mass distribution over regions Mass distribution over regions 시스템영향 Yes/No No Yes 공격패턴 Targeted (only a few groups/organizations) Not targeted (large area spread-out) Not targeted (large area spread-out) 타겟 특정기관, 단체, 기업등 온라인뱅킹계정정보를포함한개인인증서 무작위다수 공격빈도 Many times Once Once 공격기술. Zero-Day exploit. Drop embedded RAT. Dropper or Backdoor. Multiple-Exploits, All in one. URL Download Bot. Full function RAT. By Malware design 탐지율 1 개월이내샘플이발견될경우, 10% 이하 1 개월이내샘플이발견될경우, 약 86% 1 개월이내샘플이발견될경우, 약 99%
APT 공격의최근동향 - 1
APT 공격의최근동향 - 2
APT 공격의최근동향 - 3
APT 공격의최근동향 - 4
현실에서는? 1.8 건의공격이성공되고있음 ( 매주 / 기업당 ) 3 67% 의인프라에서는표적공격을막을수없음 3 1건의 Cyber Intrusion이 5분마다발생 3 21.6% 의조직이 APT 공격을경험 4 55% 의기업이정보유출탐지를못함 1 91% 의표적공격이 spear-phishing emails을수반 1 100만개의악성 Android App 발견 (~2013) 1 More frequent More targeted More money More sophisiticated Source : 1: Trend Micro, 2 : US-Cert 2012, 3 : Ponemom Institute 2012, 4 : ISACA
알려진것은 빙산의일각 Thousands More Below the Surface Targeted Attacks Advanced Persistent Threats Zero-Day Attacks Polymorphic Attacks
해커와의불공정한게임 다양한무기와전문성 낮은진입장벽 분명한목적 공격실패에대한부담없음 한정된리소스 수많은방어지점 보안과상충되는요구사항 방어실패시고비용의손실
APT 공격단계 1 정보수집 2 침투경로확보 3 4 5 C&C 통신 제어가능한호스트추가확보 자산및데이터발견 6 데이터탈취
APT ( 지능형표적 ) 공격동향 대응방안 대응기술소개 솔루션선택시고려사항 운영방안
현실에서의고민 무엇을보호할것인가? 보호에실패했을경우의영향도는? 어떻게보호할것인가? 어떤솔루션을도입할것인가? 어떤기대효과를원하는가? 대응프로세스는어떻게세울것인가? 인력확보는? 운영자 & 분석가예산확보는? CIO, CISO의의지는있는가?
APT 공격, 어떻게막을것인가?
무엇을해야하는가? 1 최신패치유지 S/W 와 H/W 최신보안패치적용. 2 3 4 5 임직원교육 보안감사, 취약성점검수행 위기상황에대한계획수립 방어에대해전체적시각에서다각적인접근 보안의식강화, 내부프로세스준수등어떤임직원이라도공격의대상이될수있음. 주기적인보안감사, 취약성점검수행, 사내자산파악 최소한의권한 부여 위기상황에대한대응방안, 프로세스, 역할등 백신뿐만아니라데이터에대한접근제어, 암호화, 보안정책강제화, 파일무결성검증, 가상패치등
솔루션의탐지범위는?
이상적인솔루션은? 광범위한진입포인트를커버하는제품
기존솔루션의한계 전체유형의공격중일부분만을탐지
Trend Micro Deep Discovery APT 공격에대한통합적인뷰
APT 대응 Lifecycle 탐지구체적인위협탐지및방어 분석고객환경에맞는가상화분석을통한위협에대한분석정보제공 적용고객환경에맞는블랙리스트와패턴을적용하여, 보안환경대비 대응공격에대한정보및이벤트를통한빠른위협제거및가이드제공 Network-wide Detection Custom Sandboxes Threat Intelligence Advanced Threat Analysis Automated Security Updates Threat Services Deep Discovery Security Network Admin
APT ( 지능형표적 ) 공격동향 대응방안 대응기술소개 솔루션선택시고려사항 운영방안
APT 공격대응기술 360 Degree Detection Malicious content 문서취약점 다운로드 Zero-day 악성소프트웨어 Suspicious communication C&C 서버접근 Data 탈취 웜 백도어활동 HTTP SMTP DNS SMB FTP Network Content Inspection Engine Advanced Threat Security Engine IP & URL reputation Attack behavior 파일드롭 취약점스캔 & 무작위공격 Data 탈취 APT 공격대응솔루션 P2P TCP... Customizable Sandbox Network Content Correlation Engine 80 개이상의프로토콜분석
APT 공격대응기술 문서취약점분석엔진 파일에뮬레이션 Win32 DLLs Process Environment Virtual Processor File & Registry Simulation 추출 & 상관분석 Fast analysis Shellcode Document type Exploit data Microsoft Office Hwp Adobe PDF Adobe Flash Doc Analyzer Parser Extractor Emulator Scripts (JS/AS) File Structure Payload... 높은탐지율
APT 공격대응기술 C&C 통신탐지 FTP DNS CIFS SQL ----- 다양한소스에의한탐지 TCP UDP ICMP HTTP SMTP Protocol Analyzer Virtual Analyzer Feedback - URL - Domain Name - IP:Port - File Signature Global C&C Live Intelligence User-Defined C&C List Content Inspection Rules Blocking Capabilities Hidden callback Botnet behavior Trojan identification! TCP Reset HTTP Redirect DNS Spoofing ICMP Code
APT 공격대응기술 Virtual Analyzer 사용자정의 Sandbox Custom OS image Execution acceleration Anti-VM detection 32 & 64 bits Execute binaries, documents, URL... 실행모니터링 Kernel integration (hook, dll injection..) Network flow analysis Event correlation Isolated Network LoadLibraryA Win7 WinXP ARGs: SP3 ( NETAPI32.dll Win7 ) Return value: 73e50000 Base Hardened LoadLibraryA ARGs: ( OLEAUT32.dll ) Return value: 75de0000 LoadLibraryA ARGs: ( WININET.dll ) Return value: 777a0000 key: HKEY_CURRENT_USER\Local Modifies file with infectible type : eqawoc.exe Settings\MuiCache\48\52C64B7E\LanguageList value: key: Inject HKEY_CURRENT_USER\Software\Microsoft\Onheem\20bi1d4f processus : 2604 taskhost.exe Write: Access path: suspicious %APPDATA%\Ewada\eqawoc.exe host : mmlzntponzkfuik.biz type: VSDT_EXE_W32 Injecting process API ID: 2604 Fake Inject API: CreateRemoteThread Fake Target Fake AV process ID: Hooks 1540 Target image Explorer path: taskhost.exe Server socket ARGs: ( 2, 2, 0 ) Return value: 28bfe! socket ARGs: ( 23, 1, 6 ) Return value: 28c02 window API Name: Core CreateWindowExW Threat Simulator ARGs: ( 200, 4b2f7c,, 50300104, 0, 0, 250, fe, 301b8, f, 4b0000, 0 ) Return value: 401b2 internet_helper API Name: InternetConnectA ARGs: ( cc0004, mmlzntponzkfuik.biz, 10050,,, 3, 0, 0 ) Return value: cc0008 Filesystem Registry Process Rootkit Network... monitor monitor monitor scanner driver
APT 공격대응기술 Virtual Analyzer Sandb ox 분석항목
APT 공격대응기술 Global Intelligence
APT 공격대응기술 Global Intelligence Threat Connect Information Portal 위협프로파일 : 탐지된위협에대한변종악성콘텐츠, 진원지및특징정보제공 관련된 IP / 도메인 : 이러한위협에대해알려진 C&C 통신및정보제공 공격그룹 / 캠패인 : 이러한위협뒤에누가, 어떠한행위를하는지에대한정보제공 격리및치료 : 무엇을기대하는지? 어떻게치료할것인지?
APT ( 지능형표적 ) 공격동향 대응방안 대응기술소개 솔루션선택시고려사항 운영방안
NSS Labs Breach Dection System (BDS) Test Result NSS Labs 은? NSS Labs 는세계적으로인정받는정보보안연구및자문기관으로, 많은기업의 CEO, CIO, CISO 그리고정보보안전문가에게신뢰할수있는테스트결과를제공하고있습니다
NSS Labs Breach Dection System (BDS) Test Result
360 Degree Detection
APT ( 지능형표적 ) 공격동향 대응방안 대응기술소개 솔루션선택시고려사항 운영방안
운영방안 APT 솔루션목표구성시나리오 인터넷 Network Traffic 치료에이전트 (TMAgent) 1. 탐지장비 (DDI) 치료이벤트전달 2. 치료장비 (TMTM) 치료명령 DATA 탈취 DDI 탐지패턴 Advanced Threat Scan Engine Network Content Inspection Engine Network Contect Correlation Engine WRS (Web Reputation Service) 의심파일전달 악성 URL C&C 서버 접속시도, 악성파일다운 3. 분석장비 (DDA) 3. 분석장비 (DDA) SandBox DDA 행위분석 (SandBox 가상환경분석 ) 의심파일예측분석 네트워크행위분석 OS 변경사항 - 파일생성, 프로세스생성, 레지스트리변경 High/Medium/Low 위험레벨제공 글로벌클라우드보안센터 ( 패턴업데이트, 평판서비스 ) 악성파일,URL 실시간조회 1. 탐지장비 (DDI) SMTP, POP, HTTP, FTP, P2P 등프로토콜탐지 실행파일, 문서파일, 압축파일등수집및탐지 알려진악성코드탐지및치료이벤트발생 웹평판서비스 Black List Domain (WRS - Web Reputation Service) 알려진 C&C 접속탐지및치료이벤트발생 알려지지않은악성코드탐지및분석장비로전송 2. 치료장비 (TMTM) 에이전트관리 치료명령전달 치료결과로그관리 3. 분석장비 (DDA) 의심파일예측분석 24 개샌드박스동시분석 악성코드네트워크행위분석 WRS( 웹평판서비스 ) 조회 PCAP 생성및제공 추가다운로드파일분석 OS 변경사항분석 High/Medium/Low 위험레벨제공 악성의심파일수동업로드분석 실행파일, 문서파일, 이미지파일, 압축파일등분석
이메일보안을통한 APT 공격대응방안
목차 이메일위협 기존대응의한계점 이메일 APT 대응기술 APT 대응의발전방향
이메일위협 Spear Phishing 분명한대상 많지않은메일발송 높은공격효과 91% of targeted attacks involve spear phishing emails. Trend Labs Nov 2012 이메일 274 건당 1 건 (0.28%) 이악성코드가포함된메일임. (* Symantec, 2012)
이메일위협 Email + exploit Document 2012 년 08 월국내정부기관공직자타깃한글 APT 공격발생! Email + 악성 URL 2012 년 4 월발견된다수의 HWP 취약점이용 Email 공격시도사례 3.20 대란
이메일위협 - A.P.T 공격기법 문서의취약점을이용해악성코드를첨부 정상파일처럼보이도록조작 악성 C&C 서버접속을통한 APT 공격시작
이메일위협 APT (Advanced Persistent Threat) 공격의 90% 이상이스피어피싱을이용한이메일을통해공격을하며이중에서 94% 의표적형공격이이메일의첨부파일취약점을이용한악성코드를이용 기존의스팸차단솔루션들은시그니처방식의한계로최근첨부파일기반의 APT 공격에대응할수없고, 또한개인정보유출, 정보수집등의목적으로악성코드를배포, 해킹시도가지속적으로발생함에따라근본적인대책마련이필요 TrendLabs APT Research Team, 2012
대응의한계점 Why Email? 공개정보 손쉽게이메일주소획득가능 원하는대상의선택가능 위 변조 간단한툴로송신자, 메일서버정보둥메일헤더정보위조 / 변조가능 능동적 원하는대상에게직접전송가능 Target 공격대상을쉽게찾을수있으며, 공격목적에따른대상선정이손쉽다. 1 차공격목표를쉽게규정가능, 맞춤형공격가능
대응의한계점 기존의악성코드대응을위한보안솔루션운영현황및한계점 스팸필터 침입탐지시스템 (IDS/IPS) 바이러스백신 사전에정의된차단정책에따라작동 허용된서비스의경우정상 / 비정상구분불가 알려지지않은공격에대한대응어려움 이메일 A.P.T 대응솔루션구축 안티바이러스안티스파이웨어 이메일상의알려지지않은악성코드첨부파일탐지 행위기반분석으로악성코드여부최종결정 시그너쳐기반패턴에의한 1 차악성코드탐지 피싱, 악성 URL 포함 2 차메일탐지 문서취약점을포함하는첨부파일을구분하는 3 차탐지 문서취약점포함메일을행위분석시스템에서시뮬레이션 알려진악성코드및알려지지않은신 변종악성코드탐지 분석
이메일 APT 대응기술 SMTP 게이트웨이방식 Email 행위기반분석시스템 악성코드, 스파이웨어, 악성 URL, 스피어피싱진단및차단 샌드박스기반의행위기반분석으로알려지지않은악성 URL과첨부파일진단 인라인방식의메일필터링기술 ( 메일의특성상약간의지연현상허용 ) 스피어피싱메일분석 : 샌드박스를이용한행위분석으로 A.P.T 에주로이용되는스피어피싱메일진단및차단 안티바이러스 & 안티스파이웨어 : 공신력있는엔진과패턴에의한안티바이러스기능 파일위협감지 : A.P.T 공격에주로사용되는첨부파일의위협코드를감지. 알려지지않은새로운공격에대하여샌드박스시뮬레이션을통한공격감지및격리반영 웹검증 : 악성웹사이트 URL 이포함된메시지본문에포함된메시지에대한검증및격리
이메일 APT 대응기술 Unknown Threat 1 샌드박스기반분석을통한알려지지않은위협대응 Exploit 2 취약성및위협대상탐지 Signature 3 알려진악성코드의탐지및필터링 Malicious URL 4 메일본문의악성 URL 샌드박스행위분석
이메일 APT 대응기술 이메일 APT 솔루션 Deployment - MTA 모드 (In-Line / Proxy) 인터넷 Risk Level Management Sandbox 에서행위분석한결과는 High, Medium, Low, No Risk 로구분 설정한 Risk Level 에따라배달또는영구격리여부결정 1. 외부로부터메일을수신 SPAM Solution Multiple Sandbox DDEI 2. 메시지를행위분석 행위분석 3. 행위분석결과에따라 A.P.T 의심메일은영구격리 3. 행위분석결과에따라정상메일만을배달 메일서버
이메일 APT 대응기술 이메일 APT 솔루션 Deployment - BCC 모드 (Mirror) 인터넷 BCC 모드 스팸차단솔루션으로유입되는메일을 DDEI로복제 (BCC 전송 ) DDEI에서복제된메일을행위분석및로그기록 모든메일들은메일서버로그대로배달됨 ( 서비스영향없음 ) 1. 외부로부터메일을수신 Multiple Sandbox SPAM Solution 2-1. 메일을복제하여 DDEI 로전송 DDEI 2-2. 메시지를행위분석 행위분석 2-2. 행위분석결과에관계없이모든메일을배달 메일서버
이메일 APT 대응기술 맞춤 (Customize) 제작되어확장가능한 침해시뮬레이션 사내에서주로사용하는운영체제및 애플리케이션위주로샌드박스를구성가능 64 비트윈도우샌드박스지원 행위분석 Sandbox Type 1 Windows XP 32bit Microsoft Office 2007 Adobe Acrobat Adobe Flash Player HWP 2007 Google Chrome Sandbox Type 2 Windows 7 32bit Microsoft Office 2010 Adobe Acrobat Adobe Flash Player HWP 2010 IE9 Sandbox Type 3 Windows 7 64bit Microsoft Office 2013 Adobe Acrobat Adobe Flash Player HWP 2010 Firefox
이메일 APT 대응기술 맞춤형샌드박스를이용한행동기반분석 사용자정의샌드박스 사용자정의 OS Image 시간가속 가상분석회피탐지기술 32 & 64 비트샌드박스 WinXP SP3 Win7 Base Win7 Hardened Isolated Network HWP 파일분석지원 코드실행, 문서파일 & URL 검증 장점 사용자환경에최적화가능 악성코드분석의 Overhead 감소 API Hooks Fake Explorer Fake Server Core Threat Simulator Fake AV (ex. 윈도우서버에 Linux signature 적용한 IPS) Filesystem monitor Registry monitor Process monitor Rootkit scanner Network driver 분석의정확도높음 ( 오탐의감소 )
이메일 APT 대응기술 APT 전용엔진 시그니처 ( 패턴 ) 탐지의중요성 - 알려진공격 (Malware) 를가장정확하게진단 - 오탐의확률이매우낮음 A.P.T 가사용하는첨부파일기반 Exploit 진단 0-day Exploits: 예 : CVE-2012-1535 (Adobe Flash), CVE-2012-0158 (MS Office) Common Vulnerabilities: 예 : CVE-2012-0754(Adobe), CVE-2012-3333(RTF) 등 휴리스틱및패턴의혼합탐지기법 휴리스틱엔진에의하여 HEUR_ 명으로진단되는파일 시그너쳐기반패턴에의하여 EXPL_ 명으로진단되는파일 다양한파일타입지원 문서, 실행파일, 멀티미디어파일, 스크립트파일등
이메일 APT 대응기술 HWP 분석 최근에유입되는 A.P.T 는 PDF, Office 등의문서파일위주임 국내에서는.HWP 를이용한 A.P.T 공격의비중이증가하고있음 HWP 에대한행위분석이가능해야함 HWP 의취약점포함 2012 년 08 월국내정부기관공직자타깃한글 APT 공격발생! 2012 년 4 월발견된다수의 HWP 취약점이용 Email 공격시도사례 2013 년 8 월박근혜의외교정책.HWP APT 의심공격발견
61 이메일 APT 대응기술 샌드박스분석 악성파일드랍 악성시그너쳐의휴리스틱진단 CVE 2010-1297 취약점발견 Email pdf 파일열람시다음과같은분석결과생성
이메일 APT 대응기술 HWP 분석결과 실제 HWP 악성코드문서의행위분석결과예
이메일 APT 대응기술 Check List 기능확인사항비고 시그너쳐기반바이러스진단 AV 엔진탑재여부 시그너쳐기반스파이웨어진단 AV 엔진탑재여부 악성 URL 검증 Reputation 서비스 (Cloud 기반 ) 샌드박스기반의행위분석모드.HWP 행위분석맞춤형샌드박스지원 샌드박스기능 Inline(MTA), Mirror(BCC) 가능여부지원여부 64 비트샌드박스지원 64bit OS 지원여부 행위분석가능파일크기 장비구성 샌드박스분석가능한파일크기 단독장비구성가능여부
APT 대응의발전방향 1. 실시간차단 2. 메일또는첨부파일의악성코드 3. 서버의악성코드감염 4. 암호화된트래픽증가 5. 파일또는트래픽의미탐지영역 6. 오탐 / 미탐의감소방안 7. 관제대상솔루션의증가? 공격자들은시스템의새로운홀을끊임없이찾는다. 8. 자동치료 ( 대응 ) 방안의필요성
APT 대응의발전방향 Firewall / IPS / Antivirus (Known Malware / Infra) 악성코드대응시스템 (Unknown Malware) Unknown Malware 중미탐지영역? 주요 Unknown Malware 감염경로 위협 메일 (SMTP / POP3) 암호화된트래픽 (HTTPS, SSL ) 관리부재 다양한프로토콜 (Unknown protocol ) 대응방안분류위협대응방안 이메일차단직접적인위협이되는메일차단필요함메일전용 APT 솔루션 암호화트래픽 암호화트래픽에존재하는위협, 악성코드에대한대응불가 네트워크기반복호화장비 보안관리다양한솔루션의모니터링어려움 SIEM 솔루션 프로토콜다양한프로토콜로전파되는악성코드다수의네트워크프로토콜지원
APT 대응의발전방향 구성예시 Internet DDEI 상단라우터 메일서버 F5 Big-IP 방화벽 복호화트래픽 SIEM (Log 수집 / 분석 ) NW forensics 파일분석 ( 사용자정의가능 ) 탐지장비 (DDI) 분석장비 (DDA) 치료장비 (TMTM)
Q & A
Thank You!