시큐어넷보안관제서비스소개
목차 Ⅰ Chapter 제안개요 1. 제안배경 2 2. 도입효과 5 Ⅱ Chapter 서비스소개 1. 서비스개요 6 2. 서비스개념도 7 3. 서비스구성 8 4. 서비스종류 9 Ⅲ Chapter 서비스세부내역 1. 통합보안 [UTM] 관제서비스 11 2. 침입방지 [IPS] 관제서비스 12 3. 침입탐지 [IDS] 관제서비스 13 4. 웹방화벽 [Web FW] 관제서비스 14 5. 네트워크 [Router,SW] 관제서비스 15 6. 웹서버 [Web Server] 관제서비스 16 7. 취약점분석및모의해킹서비스 17 8. 장애대응절차 18 9. 침해대응절차 19 IV Chapter 1. DOS/DDOS 대응서비스 특화서비스 20 1
I. 제안개요 1. 제안배경 1 출처 : KISA 출처 : KISA 해킹당한옥션 (2008. 2. 5) 2008 년 2 월해킹당한국내사이트 2
I. 제안개요 1. 제안배경 2 인터넷이대중화되고해킹기술이다양화되면서해킹또는사용자오류를통한보안사고가급증하고있고이에 따라내 / 외부자의위협요소를제거할수있는 [ 지속적인보안관리 ] 가요구되고있습니다. 연도별보안취약점 보안사고피해급증의원인 단위2,456 - 건2007 2,456 4,928 6,602 6,651 시스템및환경보안관리미흡 정보보호에대한잘못된인식 인터넷접속의급격한증가 2004 2005 2006 출처 : nvd.nist.gov/statistics.cfm 3
I. 제안개요 1. 제안배경 3 인터넷기반의비즈니스환경변화로정보보호의중요성과함께기업들의핵심역량집중에따른 [ 정보보호아웃소싱 ] 도입확대 AS-IS 보안장비운영한계점 - 지능화된해킹기법증가 TO-BE 보안기술발전에따른대응 / 적용 - 최신보안기술적용 보안전문인력양성한계점 - 보안전문인력부재 보안전문인력의탄력적용 / 관리 - 보안기술인적자원과노하우활용 24 시간모니터링한계점 - 관리비용및인건비증가 24 시간실시간모니터링 / 대응 - 기업인프라안정성확보 4
I. 제안개요 2. 도입효과 보안관제서비스도입으로나타나는직접적인효과는 [ 보안침해사고감소로기업인프라의안전성확보및비용 절감 ] 이며부가적인효과는핵심역량에경영자원집중, 전문업체의폭넓은인적자원과노하우활용, 서비스품 질의지속적인개선등이있습니다. 자체운영비용 보안아웃소싱운영비용 10 8 6 전단인원인건비 유지보수비용 장애비용 추가보안솔루션구입 업그레이드비용 10 8 6 전문인력상주 365*24*7 감시 사고대응정확 4 2 0 고가보안솔루션구입비용 전담인원필요 초기비용운영비용추가비용안전성 전문인력필요 근무시간만감시 경험부족 4 2 0 추가비용없음 초기비용운영비용추가비용안전성 5
II. 서비스소개 1. 서비스개요 고객의 IT 자산에대한종합정보보호기능을제공하는 TISC(Total Information Security Care) 서비스로 KT 시큐어넷관제센터를통해 365 일 *24 시간실시간모니터링및침해 / 장애대응 기본서비스 통합보안관제서비스 ( FW+IPS+Viruswall ) 침입방지관제서비스 ( IPS ) 침입탐지관제서비스 ( IDS ) 웹방화벽관제서비스 ( Web FW ) 부가서비스 네트워크관제서비스 ( Router, S/W ) 웹서버관제서비스 ( 웹위변조 + 응답속도 ) 취약점분석서비스 / 모의해킹서비스 인력파견 공통제공기능 1. 사전보안컨설팅서비스 2. 취약점점검서비스 ( 분기별 1회 ] 3. Critical Event Monitoring 서비스 4. 장애 / 침해대응처리서비스 5. Reporting 서비스 6. Help Desk 서비스 6
II. 서비스소개 2. 서비스개념도 원격지에설치된고객별보안장비하단의망과물리적, 기술적으로안전한보안관제센터망으로구성함 A 고객사 Network 마포보안관제센터 F/W B 고객사 Network F/W IP-Network 관제업무수행 분당 KT IDC-ESM 시스템 C 고객사 Network ESM Server F/W V 7
II. 서비스소개 3. 서비스구성 KT 통합관제센터또는고객사내부에서 KT ESM( 통합보안관리시스템 ) 을통한통합관제서비스제공 원격통합관제서비스 고객사가기소유한보안 ( 네트워크포함 ) 장비또는당사가제공한적합한보안장비를 KT ESM( 통합보안관리시스템 ) 에연동 원격지에서전문가에의해모니터링, 해킹분석및대응서비스, 고객사가요청한보안정책적용, 관리를제공하는통합관제서비스 - 24*7*365 관제서비스형 - 주말, 야간관제서비스형 파견통합관제서비스 고객사의요청에따라고객사환경에맞는적절한전문가를고객사에파견하는서비스 파견된전문가에의해고객사내에서모니터링, 해킹분석및대응과함께고객사가요청한보안정책을적용 / 관리하는통합관제서비스 - 24*7*365 관제서비스형 - 주간관제서비스형 - 주말, 야간관제서비스형 Hybrid 통합관제서비스 주간 : 파견통합관제서비스 + 야간 : 원격통합관제서비스 8
II. 서비스소개 4. 서비스종류 - 공통서비스 KT 통합관제센터또는고객사내부에서 KT ESM( 통합보안관리시스템 ) 을통한통합관제서비스제공 서비스종류 기본설명 사전보안컨설팅서비스 보안과네트워크를고려한최적의보안설계제안및구성 취약점점검서비스 ( 분기별 1 회 ] 자동점검툴을통한취약점점검및대응방안서비스 Critical Event Monitoring 서비스 사전에정의된 Critical Event 에대한 24*365 일모니터링서비스 공통서비스 장애 / 침해대응처리서비스 장애원인및침해원인을진단 / 분석 / 대응서비스 Reporting 서비스 정기적 / 비정기적보고서제공서비스 Help Desk 서비스 보안기술지원및서비스개선사항접수 9
II. 서비스소개 4. 서비스종류 - 기본 / 부가서비스 KT 통합관제센터또는고객사내부에서 KT ESM( 통합보안관리시스템 ) 을통한통합관제서비스제공 서비스종류 통합보안 [UTM] 관제서비스 기본설명 다양한보안기능을갖춘통합보안장비 (UTM) 에대한통합관제및 관리운영서비스제공 침입방지 [IPS] 관제서비스 IPS [ 침입방지 ] 에대한관제및관리운영서비스제공 기본서비스 침입탐지 [IDS] 관제서비스 IDS [ 침입탐지 ] 에대한관제및관리운영서비스제공 웹방화벽 [Web FW] 관제서비스 Web F/W ( 웹방화벽 ] 에대한관제및관리운영서비스제공 네트워크장비관제서비스 Router 및 Switch (L2, L3, L4] 에대한관제서비스제공 부가서비스 웹서버관제서비스 웹서버에대한통합관제서비스제공 취약점분석및모의해킹서비스 해커입장 ( 외부자 ) 에서의모의해킹과내부자입장에서의취약점분석으로외부 에서내부네트워크를점검하는서비스 10
III. 서비스세부내역 1. 통합보안 [UTM] 관제서비스 서비스제공형태 - 침입차단 [FW]+ 침입방지 [IPS]+ 바이러스월 [VirusWall] 등의기능을갖춘통합보안장비 (UTM) 에대한통합관제및관리운영서비스제공제공내역 구분 세부사항 사전보안컨설팅실시간모니터링실시간이벤트분석결과제공정책최적화정책관리하드웨어상태점검 Reporting 서비스 보안과네트워크를고려한최적의보안설계제안및구성 24시간 365일대상장비에대한실시간관제서비스제공실시간 Critical Event 분석및차단, 통보서비스제공고객사별장비정책최적화서비스제공고객요청에따른정책변경및적용서비스제공실시간서비스장비에대한실시간 CPU 및 MEMORY 상태점검서비스제공정기적 ( 월별 )/ 비정기적 ( 침해및장애시 ) 보고서제공 서비스구성도 통합보안장비 업무용서버 Internet KT SecureNet ESM 업무용 PC 11
III. 서비스세부내역 2. 침입방지 [IPS] 관제서비스 서비스제공형태 - 침입방지 [IPS] 전용장비에대한에대한통합관제및관리운영서비스제공 제공내역 구분 세부사항 사전보안컨설팅실시간모니터링실시간이벤트분석결과제공정책최적화정책관리하드웨어상태점검 Reporting 서비스 보안과네트워크를고려한최적의보안설계제안및구성 24시간 365일대상장비에대한실시간관제서비스제공실시간 Critical Event 분석및차단, 통보서비스제공고객사별장비정책최적화서비스제공고객요청에따른정책변경및적용서비스제공실시간서비스장비에대한실시간 CPU 및 MEMORY 상태점검서비스제공정기적 ( 월별 )/ 비정기적 ( 침해및장애시 ) 보고서제공 서비스구성도 IPS 업무용서버 Internet KT SecureNet ESM 업무용 PC 12
III. 서비스세부내역 3. 침입탐지 [IDS] 관제서비스 서비스제공형태 - 침입탐지 [IDS] 에대한통합관제및관리운영서비스제공 제공내역 구분 세부사항 사전보안컨설팅실시간모니터링실시간이벤트분석결과제공정책최적화정책관리하드웨어상태점검 Reporting 서비스 보안과네트워크를고려한최적의보안설계제안및구성 24시간 365일대상장비에대한실시간관제서비스제공실시간 Critical Event 분석및차단, 통보서비스제공고객사별장비정책최적화서비스제공고객요청에따른정책변경및적용서비스제공실시간서비스장비에대한실시간 CPU 및 MEMORY 상태점검서비스제공정기적 ( 월별 )/ 비정기적 ( 침해및장애시 ) 보고서제공 서비스구성도 업무용서버 Internet IDS KT SecureNet ESM 업무용 PC 13
III. 서비스세부내역 4. 웹방화벽 [Web FW] 관제서비스 서비스제공형태 - 웹방화벽 [Web FW] 에대한통합관제및관리운영서비스제공 제공내역 구분 세부사항 사전보안컨설팅실시간모니터링실시간이벤트분석결과제공정책최적화정책관리하드웨어상태점검 Reporting 서비스 보안과네트워크를고려한최적의보안설계제안및구성 24시간 365일대상장비에대한실시간관제서비스제공실시간 Critical Event 분석및차단, 통보서비스제공고객사별장비정책최적화서비스제공고객요청에따른정책변경및적용서비스제공실시간서비스장비에대한실시간 CPU 및 MEMORY 상태점검서비스제공정기적 ( 월별 )/ 비정기적 ( 침해및장애시 ) 보고서제공 서비스구성도 Web FW 업무용서버 Internet KT SecureNet ESM 업무용 PC 14
III. 서비스세부내역 5. 네트워크장비관제서비스 서비스제공형태 - Router 및 Switch[L2,L3,L4] 에대한통합관제서비스제공 제공내역 구분 세부사항 사전보안컨설팅실시간모니터링하드웨어상태점검 Reporting 서비스 네트워크과보안을고려한최적의보안설계제안및구성 24시간 365일대상장비에대한실시간관제서비스제공실시간서비스장비에대한실시간 CPU 및 MEMORY 상태점검서비스제공정기적 ( 월별 )/ 비정기적 ( 침해및장애시 ) 보고서제공 서비스구성도 Router Switch 업무용서버 Internet KT SecureNet ESM 업무용 PC 15
III. 서비스세부내역 6. 웹서버관제서비스 서비스제공형태 - 웹서버에대한통합관제서비스제공 제공내역 구분 세부사항 사전보안컨설팅실시간모니터링웹응답속도웹위변조탐지 Reporting 서비스 네트워크과보안을고려한최적의보안설계제안및구성 24시간 365일대상장비에대한실시간관제서비스제공웹서버응답시간및응답속도모니터링서비스제공실시간웹위변조감시및위변조내용통보서비스제공제공정기적 ( 월별 )/ 비정기적 ( 침해및장애시 ) 보고서제공 서비스구성도 업무용서버 Internet 웹서버 KT SecureNet ESM 업무용 PC 16
III. 서비스세부내역 7. 취약점분석및모의해킹서비스 서비스제공형태 - 해커입장 ( 외부자 ) 에서의모의해킹과내부자입장에서의취약점분석으로외부에서내부네트워크를점검하는서비스제공프로세스 사전협의 정보수집분석 취약성분석 실제침투 보고서작성 정기보고 침투대상파악 침투정도협의 침투시간결정 보고서일정협의 네트워크구성 서버자산파악 보안장비파악 운영 Application 취약점진단 네트워크취약성 서버취약성 Application 취약성 취약점공격 공격전이 / 확산 공격결과확보 공격결과복구 취약점원인 공격과정 공격결과 대응책수립 보고서제출 결과보고 기술이전 향후계획 17
III. 서비스세부내역 8. 장애대응절차 감지한장애는단계별장애대응절차에따라대응및보고하며신속한복구및장애처리를수행합니다. 대응주체 대응절차 1차대응 ( 전담요원 ) 장애처리및원인파악 - 장애유형파악 - 장애차단 - 장애원인파악 - 복구 / 보고서작성 - 이력관리 - 향후대응책마련 절차 사고대응 경영층 긴급요청 2차대응 (Virtual TFT팀 ) 장애처리및원인파악 - 비상연락망에의한공조체계가동 - 제품벤더사및협조기관기술지원 - 장애유형파악및장애대응 - 원인파악및보고내용작성 - 이력관리및향후대응책마련 보고및통보 향후대응 ( 개선 ) 책마련 보고 / 통보 관리자 운영자 18
III. 서비스세부내역 9. 침해대응절차 사고의심각성정도에따라차별화된보고및대응체계수립후운영요원, CERT, 협력사의공조를통해사고의 피해최소화 고객사 관제요원 침해사고발생 접수 보고 1 차분석 - 침해유형파악 - 침해차단 - 침해원인파악 CERT 이관 Yes Forensic 수행 접수 사고처리진행상황보고 No 사고분석 - 상세침해원인파악 내용확인및현장보존 침해로그및취약점 DB 결과진행보고 사고처리 - 침해원인에따른복구 정밀조사 사고처리완료보고 보고서작성 사후대책관리 사고처리및확산방지 / 추적 침해사고대응완료 변경이력관리 DB 19
IV. 특화서비스 1. 최신보안 HOT 이슈 1 DDOS 공격은대규모유해트래픽을일시에유입시켜서비스를마비시키는그특성상사전에탐지하기어렵고, 효율적인방어가어렵다는문제가있다. 20
IV. 특화서비스 1. 최신보안 HOT 이슈 2 비즈니스연속성피해사례 DDOS 21
IV. 특화서비스 2.DOS/DDOS 공격설명 개념 - 지역적으로널리분산된다수또는집단으로형성된공격자들에의해목표시스템이집중적으로공격받는형태 (N:1 공격 ) - 공격의원인과공격자를추적하기어렵고공격시이를감지하게되어도마땅한해결방안이없음 DOS/DDOS( 분산서비스거부 ) 공격형태좀비PC DDoS 의인프라공격 DDoS 의대역폭공격 DDoS 의서버공격 22
IV. 특화서비스 3.DOS/DDOS 대응서비스 국내최대의네트워크망을소유한 KT 가 [ 네트워크 + 보안 ] 의상호공조모델을통한 DOS/DDOS 대응서비스 [ 국내최초 ] 제공 제공내역 구분 DDOS방어전용Zone내보안컨설팅실시간 DDOS공격모니터링실시간 DDOS공격대응서비스정책최적화정책관리하드웨어상태점검 Reporting 서비스 세부사항 IDC내 DDOS방어전용Zone 네트워크환경을고려한최적의보안설계제안및구성 24시간 365일 IDC 상단라우터및하단보안장비에대한실시간 DDOS공격모니터링서비스제공실시간 DDOS공격에대한공격차단및대응, 통보서비스제공 IDC 백본네트워크환경을고려한고객사장비정책최적화서비스제공고객요청에대해서 IDC운영팀과상호협의후정책변경및적용서비스제공실시간서비스장비에대한실시간 CPU 및 MEMORY 상태점검서비스제공정기적 ( 월별 )/ 비정기적 (DDOS 공격시 ) 보고서제공 서비스구성도 Router IPS FW Switch Internet IDC 서버 KT SecureNet ESM DDOS 방어전용 Zone 23
감사합니다 24