PowerPoint 프레젠테이션

Similar documents
RSA NetWitness

PowerPoint 프레젠테이션

MOVE TO THE LEFT OF THE KILL CHAIN AND STOP THE BAD GUYS MOVE TO THE RIGHT

네트워크 안정성을 지켜줄 최고의 기술과 성능 TrusGuard는 국내 최초의 통합보안솔루션으로서 지난 5년간 약 4천여 고객 사이트에 구축 운영되면서 기술의 안정성과 성능면에서 철저한 시장 검증을 거쳤습니다. 또한 TrusGuard는 단독 기능 또는 복합 기능 구동 시


PowerPoint 프레젠테이션

untitled

UDP Flooding Attack 공격과 방어

5th-KOR-SANGFOR NGAF(CC)

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

*****

Microsoft PowerPoint - thesis_rone.ppt

슬라이드 0

서현수

지능형위협대응솔루션 차별적인위협가시성제공 네트워크와엔드포인트레벨의유기적대응 탐지 분석 모니터링 대응 제품개요 AhnLab MDS(Malware Defense System) 는차별적인위협가시성기반의지능형위협 (APT, Advanced Persistent Threat) 대

PowerPoint 프레젠테이션

슬라이드 1

Secure Programming Lecture1 : Introduction

시스템, 네트워크모니터링을통한보안강화 네트워크의미래를제시하는세미나 세미나 NetFocus 2003 : IT 관리자를위한네트워크보안방법론 피지피넷 /

Microsoft Word - src.doc

네트워크안정성을지켜줄최고의기술과성능 는국내최초의네트워크통합보안솔루션입니다. 2007년에출시되어지난 5년간약 5천여고객사이트를확보하면서기술의안정성과성능면에서철저한시장검증을거쳤습니다. 는 Advanced A-TEAM 아키텍처기반의고성능방화벽과 ACCESS 기반의강력한통합보

Microsoft PowerPoint - G3-2-박재우.pptx

ÀÎÅÍ³Ý ÁøÈï¿ø 5¿ù

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University

AhnLab_template

PowerPoint 프레젠테이션

Æí¶÷4-¼Ö·ç¼Çc03ÖÁ¾š

제20회_해킹방지워크샵_(이재석)

PowerPoint 프레젠테이션

PowerPoint Presentation

Today s Challenge 급속도로증가하는트래픽 최근들어, 스마트폰, 태블릿 PC 등모바일단말기의증가와 VoIP, IPTV, 화상회의등 IP 기반애플리케이션의수요증가로인해네트워크상의트래픽은 예년에없던급증세를타고있습니다. 한조사기관에따르면, 2015 년까지 IP 트

< F5320B4EBC0C0C0E5BAF1BFA120B4EBC7D120BAB8BEC8B1E2B4C920B0A1C0CCB5E528C3D6C1BE292E687770>

PowerPoint 프레젠테이션

Microsoft PowerPoint - secu6.pptx

네트워크안정성을지켜줄최고의기술과성능 TrusGuard 는국내최초의네트워크통합보안솔루션으로, 철저한시장검증을통해기술력과성능, 안전성을인정받은제품입니다. TrusGuard 는 Advanced A-TEAM 아키텍처기반의고성능방화벽과 ACCESS 기반의강력한통합보안기능을제공합

인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷

기존보안솔루션의한계 최근발생하는타깃공격과위협은각종은닉기법과사회공학적공격을이용해기존보안솔루션을우회하는특징이있습니다. 그래서기존보안솔루션만으로는이렇게고도화된최신공격을대응하기에는한계가있습니다. 알려지지않은악성코드탐지불가 파일기반분석이필요한악성코드탐지불가 허용된주소를통한악성코

<31305FBEC6C0CCC5DB2E687770>

ÀÎÅÍ³Ý ÁøÈï¿ø 3¿ù ÀúÇØ»ó

Secure Programming Lecture1 : Introduction

SOLUTION BRIEF 차세대 빅데이터 기반 통합로그관리시스템으자, SIEM 솔루션으로 데이터를 수집/분석/검색 및 추가하고, 효율적인 보안 운영을 실시합니다. 대용량 데이터를 수집하고 처리하는 능력은 사이버 보안에 있어서 통찰력을 제공하는 가장 중요하고, 기초적인

PowerPoint 프레젠테이션

2006_8_14 (8_17 updated) ms ¿ú(wgareg.exe) ºÐ¼® º¸°í¼�.hwp

untitled

SSL Strip Attack JAC (SemiDntmd) 이우승 semidntmd.tistory.com

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

<C0CCBCBCBFB52DC1A4B4EBBFF82DBCAEBBE7B3EDB9AE2D D382E687770>

HTML5* Web Development to the next level HTML5 ~= HTML + CSS + JS API

유해트래픽통합관리시스템_MetroWall

<372E20352D342D303620BEC7BCBAC4DAB5E5C0C720C0AFC0D4B0E6B7CE20B9D720C1F6B4C9C7FC28B1B8B9CCBCF7292E687770>

PowerPoint Presentation

AISF2014_template

PowerPoint 프레젠테이션

슬라이드 1

네트워크안정성을지켜줄최고의기술과성능 TrusGuard는국내최고의방화벽솔루션인 수호신 Absolute 기반기술위에설계되었습니다. 수호신 Absolute는국내최초의상용방화벽으로써지난 10년간약 3,000여고객 References를확보하면서기술의안정성과성능면에서철저한시장검증

Bubbles PowerPoint Template

PowerPoint 프레젠테이션

끊임없는공격의시대, 어떻게대비해야할까요? 시스코보안컨설팅서비스 김성국수석부장 컨설팅팀 / Cisco Service


TGDPX white paper

1?4?옥?-32

Security Overview

DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS

신종파밍악성코드분석 Bolaven

(Microsoft PowerPoint - \(\300\247\305\260\275\303\305\245\270\256\306\274\)_Vectra\301\246\307\260\274\322\260\263\274\ pptx)

Portal_9iAS.ppt [읽기 전용]

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션

Windows Live Hotmail Custom Domains Korea

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론

< FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>

Analyst Briefing

차세대방화벽기능 애플리케이션컨트롤 는차세대보안기술인애플리케이션컨트롤 (Application Control) 기능을탑재해 P2P / 웹하드 / 메신저 (Instant Messenger) / SNS 등수천개의글로벌 / 국내애플리케이션에대해실시간분석및차단 허용 행위제어가가능

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks

ìœ€íŁ´IP( _0219).xlsx

목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응

#WI DNS DDoS 공격악성코드분석

목 차 1. 개 요 배경 요약 정보 대상시스템 원리 공격 기법 및 기본 개념 Heap Spray Font 공 격..

1217 WebTrafMon II

Metadefender_Core


PowerPoint 프레젠테이션

F1-1(수정).ppt

** 5 개이발생한주요소프트웨어별취약점세 EDB 번호취약점종류공격난이도공격위험도취약점이름소프트웨어이름

네트워크기반실행파일수집기술 Netflow 기반역추적기술 휴대형무선랜취약성분석도구 16 얼굴인식기술 순서보존암호화기술 Modbus 제어애플리케이션방화벽기술 DNP3 제어애플리케이션방화벽기술 제어시스템망관리에

슬라이드 1

Cisco SDN 3.0 DDoS DDoS Cisco DDoS Real Demo 2008 Cisco Systems, Inc. All rights reserved. 2

Samsung SDS Enterprise Cloud Networking CDN Load Balancer WAN

<41736D6C6F D20B9AEBCADBEE7BDC42E687770>

3. CS4SMB-IT-2014-June-01.hwp

Model Investor MANDO Portal Site People Customer BIS Supplier C R M PLM ERP MES HRIS S C M KMS Web -Based

08_spam.hwp

(Microsoft PowerPoint - \307\354\301\246\305\251_\301\246\276\310\300\332\267\341_N_00_\300\317\271\335_pd_009)

PCServerMgmt7

Slide 1


<%DOC NAME%> (User Manual)

Bubbles PowerPoint Template

Research & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W

Transcription:

APT 공격에따른대응전략 조남용 차장 EMC

지능형지속공격 (Advanced Persistent Threat : APT)

피해범위 / 정교함 Changing Threat Environment 금전적이득을위한사이버범죄비즈니스기반에막대한위협초래정교함 / 피해범위 / 공격의속도가급격히증가 Advanced Persistent Threats (APTs) Significant impact on business bottom line Targeted malware APTs Rootkits Hybrid Worms Web-application attacks Coordinated attacks Service/resource Disruption Botnets DoS/DDoS Worms Spyware Spam Financial Backdoor Trojans Viruses Phishing Minor Annoyance Hobby-based malware Cyber vandalism 공격동기 Financially motivated cyber crime

지능형지속공격 (APT) 사례 현대캐피탈 고객 43 만명정보유출 농협 운영서버 200여대장애은행및카드업무장애원장데이터손실 SK 컴즈 회원 3,500 만명정보유출

지능형지속공격 (APT) 지능형지속공격 (APT) 공격자가특징기업혹은조직의기밀정보를획득하기위해장기간동안은밀하게진행하는공격형태 주요특징 특정조직에최적화된공격수행충분한시간과비용을투자조직및구성원개인에대한충분한정보수집 ( 사회공학적인방법이용 ) 탐지회피 low and slow 전략알려지지않은악성코드 (Zero-Day Attack) 사용이상징후를파악하지못하도록장기간에걸쳐은밀히활동 다양한방향으로공격, 사용자및 Endpoint 에집중

지능형지속공격 (APT) 일반적인공격단계 1. 표적확인필요한접근권한을가지고있는개인을표적으로삼음 2. Spear-Phishing 이용가치가있는특정직원에게악성코드또는링크가첨부된허위메일을전송 3. 조직파악침입에성공하면조직의 IT 인프라를조사하여전략적인자산, 주요서버및관리자권한이있는직원을파악 4. 권한상승추가적인 Spear- Phishing 또는권리자계정탈취를통해관리자권한획득 5. Stealth Fighters 탈취한시스템에악성코드를설치, 백도어생성, commandand control 서버로 Back Connection 활성화 6. D-day Command-andcontrol 인프라를활성화하여탈취한정보를압축 / 암호화하여전송

지능형지속공격 (APT) 국내공격사례 출처 : 한국일보 출처 : 디지털타임스

지능형지속공격 (APT) 기존보안시스템우회 Firewall 대부분의 Firewall 은외부에서내부로의접속을제어 내부에서외부로의연결이허용된포트사용 일반적으로 HTTP (80) 포트를사용하여내부에서외부에있는원격조종서버로연결 IDS/IPS 및 Anti-Virus IDS/IPS 및 Anti-Virus 는알려진악성코드에대한 Signature 기반탐지 지능형지속공격 (APT) 에서는알려지지않은신종 / 변종악성코드사용 보안관제 원하는정보를얻기까지장기간에걸친은밀한활동 일반적인 Worm 및공격탐지패턴에발각되지않음

지능형지속공격 (APT) 대응방안

지능형지속공격 (APT) 대응방안 4. 권한상승 1. 표적확인 2. Spear-Phishing 6. D-day 5. Stealth Fighters 3. 조직파악 1~6개월소요공격자가원하는정보에접근하기까지소요시간지연 네트워크분리 ( 망분리 ) 내부시스템인증강화 공격자가원하는정보에접근하기이전단계에서탐지 / 제거 알려지지않은악성코드 (Zero-Day Attack) 탐지 / 제거악성코드 / bot-net / Command & Control 지점접근트래픽탐지 / 차단

지능형지속공격 (APT) 대응방안공격자의공격소요시간지연 공격자가원하는정보를획득하기까지의시간지연 조직의보안체계가일정수준이상갖추어져있을경우공격자는최초잠임후원하는정보에도달하기까지 1 개월 ~6 개월정도의시간이필요 APTs 공격소요시간지연을위한주요보안조치 시스템패치관리 악성코드공격의성공률을낮추어내부시스템을점령에많은시간필요 내부인증강화 OTP, Smart Card 등을이용한인증내부시스템인증강화는악성코드를이용한계정탈취를어렵게함 망분리 업무망과주요시스템운영망을분리하여업무망에악성코드가감염되더라도주요시스템에접근을어렵게함 중요정보확산방지및암호화 주요기밀정보에대한보호등급설정및주기적검색을통한정보확산방지 주요기밀정보에대한암호화적용및암호화키관리

지능형지속공격 (APT) 대응방안공격에대한탐지 / 제거 알려지지않은악성코드 (Zero-Day Attack) 탐지 외부로부터유입되는모든실행파일에대한전수조사실시 비정상적인실행파일분석을통해 Zero-Day Attack 이의심되는파일탐지 SandBox 에서실행파일을실행시켜행위를모니터링하여악성코드와흡사한행위를하는지분석 SandBox : 테스트를목적으로구현된독립된실행환경으로주로검증되지않은코드를실행하여행위모니터링에사용됨 모든네트워크트래픽저장및모니터링 비정상적인경로를통한실행파일유입탐지브라우저취약점이용실시간 Botnet, 악성코드배포지점정보를이용한의심스러운파일다운로드탐지외부로연결이허용된트래픽 (80, 443 port 등 ) 모니터링으로외부공격자로의접속을탐지접속 Port 와실제프로토콜의일치여부확인 ( 예 : HTTP 프로토콜을사용하지않는 80 port 트래픽 ) 의심가는 IP 로의접속내용확인 ( 실시간 Botnet, Command&Control 지점정보이용 )

NetWitness 개요

NetWitness Is 혁신적인 네트워크모니터링 솔루션 네트워크 행위및내용에대한 광범위한가시성 정확하고 실효적인대응체계 제공 Know Everything. Answer Anything.

NetWitness Network Security Analysis Platform 모든네트워크트레픽의실시간저장및인덱스생성 자동화된악성코드분석및위험도평가 자동화된위협보고서및경보 즉각적인원인파악및분석 혁명적인가시화를통한신속한 Content 리뷰

NetWitness 주요기능

NetWitness NextGen Platform Session 기반네트워크분석플랫폼 NextGen Platform 네트워크상의모든트래픽저장 네트워크트래픽을세션단위로인덱스 Source IP / Port, Destination IP / Port Protocol (HTTP/MSN IM/POP3/SSH) Action (login/get/sendto/attach) File Type (exe/pdf/jpg) Etc 실시간인덱스생성 인덱스기반고속검색 네트워크트래픽정보를이용한 상세내용조회 NextGen 플랫폼에다양한어플리케이션구현 Spectrum/Informer/Investigator/Visualize

NetWitness Investigator Network Session 기반대화형분석솔루션 Investigator Layer 2-7 컨텐츠에대해세션기반대화형분석방식제공 Port 에독립적인세션기반분석 ( 특허기술 / 수상경력 ) 사용자친화적인데이터표현 (Web, Voice, Files, Emails, Chats, etc.) 대용량데이터고속검색 수테라바이트데이터를인덱스기반고속검색 신속한분석 전세계 50,000 이상의보안전문가들이 Freeware 사용중

NetWitness Spectrum Signature-free 악성코드탐지솔루션 Spectrum 알려지지않은악성코드 (Zero-Day Attack) 탐지 네트워크상의모든실행파일에대해다양한관점에서악성코드여부분석 File 파일의고유속성 / 파일헤더정보를분석하여변조된실행파일탐지 NextGen 파일출처에대한네트워크정보를확인하여비정상적인유입경로확인 Community 해당파일의 Signature 에대해 Online Community 에질의 SandBox 실행파일을테스트환경에서실제실행하여악성코드행위탐지

NetWitness Informer Monitoring & Alerting Informer 위협상황을종합적으로인지할수있는유연한대시보드제공 다양한부서에서사용 네트워크보안 내부보안 / 인사관리 법무 / R&D / 감사 I/T 운영 HTML, PDF 등다양한리포트제공 SIEM 과완벽한연동을위해다양한로그전송방식제공 CEF, SNMP, syslog, SMTP

NetWitness Visualize 네트워크컨텐츠의혁신적인가시화 Visualize 네트워크컨텐츠의가시성을제공하는혁신적인인터페이스 네트워크트래픽에서모든이미지, 파일, 객체, 오디오, 음성등을추출하여대화형인터페이스로표현 멀티터치, 드릴다운, 타임라인및자동재생기능제공 네트워크컨텐츠의신속한리뷰

NetWitness Live 최신탐지정책실시간업데이트 Feeds Custom Actions Flex Parsers Rules Reports NetWitness community 로부터분석방식자동업데이트 Global threat intelligence Solutions to problem-sets: Advanced threats Malware BOTNets Policy/Audit Enterprise Monitoring Fraud User Attribution Risk prioritization

Use Case NetWitness 를이용한 APTs 탐지

APTs 탐지시나리오 악성코드유입탐지알려진악성코드알려지지않은악성코드 악성코드유입경로확인 Browser 취약점이메일첨부파일파일공유사이트 악성코드감염시스템의네트워크접속내역추적감염된시스템의모든트래픽내용이상트래픽의목적지 IP 주소추적

알려지지않은악성코드 (Zero-Day Attack) 탐지 알려지지않은악성코드의심파일 (Suspicious Zero-Day) Anti-Virus 및 Community 정보에는탐지되지않지만파일속성및유입경로가악성코드특성을가짐 알려진악성코드현재사용중인 Anti-Virus 에서탐지됨 알려진않은악성코드현재사용중인 Anti-Virus 에서탐지못함타사 AntiVirus 에서탐지

악성코드유입경로분석악성코드탐지근거상세내용및보고서생성 View Event Detail PDF 형태로저장

악성코드유입경로분석악성코드파일추출 zip 형태로악성파일저장

악성코드유입경로분석악성코드와관련된상세트래픽내용조회 악성파일관련정보를 Investigator 에서상세분석

악성코드유입경로분석 Session 세션상세내용 404 Not Found 표시이후특정파일다운로드

악성코드유입경로분석 Session 세션상세내용 특정사이트로이동, 파일다운로드

악성코드유입경로분석악성코드다운로드내용확인

감염된시스템트래픽분석감염된시스템의트래픽내역확인

감염된시스템트래픽분석감염된시스템의이상트래픽내역분석

감염된시스템트래픽분석악성파일전송후추가행위분석 악성파일수신사이트로계속적인 UDP 패킷전송확인 상세패킷확인

감염된시스템트래픽분석 Web 검색을통한내역확인 상세웹검색 Palevo Botnet 의 C&C 서버 IP 로확인 UDP 패킷의용도가키보드입력값전송인것으로추측됨

결언

전체트래픽분석의필요성 악성코드대응체계강화 악성코드유입및행위에대한능동적대응체계확보 AV 미탐지악성코드및알려지지않은악성코드탐지악성코드유입경로에대한지속적차단및악성코드행위차단 주요위협탐지 / 대응방안제시 알려지지않은신규공격행위파악및대응탐지를회피하는정교한공격탐지 / 제거 Zero-Day Malware, Botnet, C&C 서버접근위협이되는사이트접근행위탐지및통제 내부직원의행동유형분석 조직에위협이될수있는업무관행파악및개선 Outbound 트래픽통제시에기존업무영향도분석

트래픽통제체계강화방안지속적인보완 / 최적화 Cycle RSA NetWitness 를이용한통제체계의지속적보완 / 강화 주요위협모니터링및상세분석결과를 Feedback 으로이용 기존정책의지속적보완 OutBound 접속통제항목의지속적보완 정책보완 정책정의 트래픽통제체계강화 지속적탐지 탐지 주요 Outbound 접속행위 / 위협사항탐지 통제 Outbound 접속통제 ( 방화벽 / BlueCoat SG / PS) Feedback 모니터링 / 분석 RSA NetWitness / 트래픽모니터링 / 분석