APT 공격에대한 통합대응방안
Contents 1 2 3 제안배경 APT 공격형태및방어방안 APT 대응방안 4 솔루션소개
1 제안배경
1. 제안배경 1-1. APT 의보안위협사례 정보유출사고 2008/07 저축은행대출정보관리시스템해킹으로다량의고객정보유출 2011/04 H 사서버취약점을이용해다량의고객정보와신용등급정보유출 2011/05 L 사홈페이지관리서버해킹으로개인정보유출 서비스마비 2011/04 외주직원의노트북이악성코드에감염된체 N 사서버에접근하여인터넷뱅킹, 개발서버등마비되어정상적인서비스제공중단 서비스장애 2013/03 금융권및방송사등 PMS 특성을이용악성코드전파를통해 DB 서버및 ATM 등데이터삭제로인한서비스장애 1
1. 제안배경 1-2. 악성코드유입경로 1. 웹사이트접속 2. 이메일사용 악성코드 Internet DMZ 웹메일패치관리 4, 비인가내 / 외부접속 PC PC 3. USB 사용 USB DB 서버 응용서버 업무서버업무서버 통신사 WiFi Zone 2
1. 제안배경 1-3. 감독기관규정 법 / 규정내용적용대상 전자금융감독규정 (2007.04) 공공분야주요기반시설관리기관망분리기술기준 (2012.05) 개인정보보호법 (2012.08) 금융전산망분리가이드라인 (2013. 09) 전자금융감독규정 (2011.10) 제 15 조해킹등방지대책내부통신망에서인터넷등외부통신망 ( 무선포함 ) 접속금지정보보호제품은국가기관의평가 인증받은장비를사용 9. 회선구분등기타고려사항업무망 인터넷간망분리시 WIPS 설치및통신차단등보안대책강구 4. 망분리후업무망 PC 보안관리 3 와이브로ㆍ무선랜등업무망 PC 에서의무선인터넷연결금지 4 테더링등스마트폰기능을활용한정보유출등악용방지 개인정보기술적 관리적보호조치기준개정으로망분리의무화개인정보처리시스템에접속하는외부인터넷망차단 ( 무선포함 ) 제 2 절 PC 보안관리 / 2. 업무 PC 보안관리망분리의무화, 무선보안권고 - 와이브로, 무선랜등비인가무선인터넷연결을차단 제 3 절주요시스템보안 1. 인터넷메일사용 / 1.2 보안관리메일서버는메일을이용하여전파되는악성코드또는스팸메일등을차단하기위한보안시스템적용 5. 망간자료전송 / 1.2 보안관리전송통제서버는자료전송및서비스연계시악성코드검사를통한유입방지 전자금융감독규정제 15 조 ( 해킹등방지대책 ) 정보보호시스템을우회한외부통신망 ( 무선통신망포함 ) 접속금지 무선접속망차단시스템구축및모니터링체계운영 비인가무선접속장비설치 접속여부등주기적점검 - 금융 - 공공 / 민간 - 개인정보처리자 - 공공 - 금융 - 금융 3
1. 제안배경 1-3-1. 망분리가이드라인안악성코드규제 금융감독원 _ 전산금융감독규정정부개정규정안 4
1. 제안배경 1-3-2. 망분리법 / 규정안무선보안규제 국가사이버안전센터 _ 공공분야주요기반시설관리기관망분리기술기준 ( 망분리후업무망 PC 보안관리 ) 무선보안규제규정 in 망분리법 / 규정 2012. 05 금융감독원 _ 전산금융감독규정정부개정규정안 2011. 11 5
2 APT 공격형태및방어방안
2. APT 공격형태및방어방안 2-1. 일반환경에서의위협및대응방안 : 웹 감염된웹서버 인터넷 C&C 서버 악성코드가설치된이후에추가적인 공격을실행 사용자환경바이러스백신설치 PC 레벨방화벽운영 PMS 운영호스트 IPS 운영 WebMPS 익스플로잇탐지 가상실행을통한실시간분석 콜백접속차단 OS 및어플리케이션의취약점탐지 ( 웹서버, Java, Html, Pdf, ptx, jpg, doc 등 ) 사용자환경과동일하게실행분석 OS 및어플리케이션. 행위기반을통한 C&C 접속차단 6
2. APT 공격형태및방어방안 2-2. 일반환경에서의위협및대응방안 : 이메일 해킹그룹 Targeted 된스피어피싱이메일을사내담당자들에게전송 C&C 서버 인터넷 네트워크스위치 방화벽 /IPS 기존보안장비 Anti-Spam 바이러스월장비 EMPS 첨부파일및본문 URL 분석 문서화일, 실행화일, 압축화일 사용자환경바이러스백신설치 PC 레벨방화벽운영 PMS 운영호스트 IPS 운영 이메일서버 가상실행을통한실시간분석 악성이메일격리및알람 사용자환경과동일하게실행분석 OS 및어플리케이션. 악성메일차단담당자및관리자알람이벤트전송 7
2. APT 공격형태및방어방안 2-3. 일반환경에서의위협및대응방안 : USB 악성코드가담긴문서보안 USB 통제서버에저장 인터넷 FMPS 보안 USB 통제서버 /PMS 서버 방화벽 /IPS 기존보안장비 통제서버내에모든파일분석 문서화일, 실행화일, 압축화일 사용자환경바이러스백신설치 PC 레벨방화벽운영 PMS 운영호스트 IPS 운영 가상실행을통한실시간분석 악성파일삭제및격리 사용자환경과동일하게실행분석 OS 및어플리케이션. 악성파일격리 8
2. APT 공격형태 및 방어방안 2-4. 일반환경에서의 위협 및 대응방안 : 보안시스템 우회(비인가 불법접속) 3 2 6 1 통신사 이동 통신망 5 4 유선유출 유선위협 방화벽/IPS/NAC 등 1 : 외부 AP 사용 2 : USB 타입 랜카드 3 : 스마트폰 테더링 내부 자료 유출 및 바이러스 유입급증 4 : 불법 공유기 설치 5 : 통신사 모뎀 사용 6 : 노트북 1:1 연결 무선 보안사고 후 침입 인지 불가 내부 N/W 보안 취약부분 발생 9
2. APT 공격형태및방어방안 2-5. 알려지지않은악성코드대응필요성 악성코드의진화 알려지지않은악성코드 1 일 200.000~300,000 개생성 VS 패턴업데이트 1 일 200 개 빠르게진화하는악성코드 알려지지않은 (Unknown) 악성코드의증가 악성코드의범람, 피할곳無 10
2. APT 공격형태 및 방어방안 인터넷 망 업무 망 제로데이공격/변종악성코드 탐지 및 차단 불가 AV 워터링 홀 해커 망전송통제서버 망전송통제서버 위협 변종 악성코드 제로데이 공격 업무 PC 11
2. APT 공격형태및방어방안 2-6. 망분리환경에서의위협및대응방안 : 망연계 / 보안 USB 사용시 악성코드유입위협 1 망연계 2 보안 USB 12
2. APT 공격형태및방어방안 망연계사용시, 대응방안 업무망 비 ( 非 ) 보안영역 인터넷망 파일전송 3 업무망전송통제서버 Non-TCP 인터넷망전송통제서버 암호화 바이러스체크 1 2 악성코드체크 1 단계 : 업무망통제서버에서백신으로바이러스체크후악성코드탐지솔루션으로파일전송 2 단계 : 악성코드탐지솔루션으로 unknown 악성코드감영여부에대한 2 차확인 - 파일이악성일경우격리후담당자및관리자에게알람전송. 3 단계 : 정상파일경우관리자의승인을통한자료전송 13
2. APT 공격형태및방어방안 보안 USB 사용시, 대응방안 업무망 비 ( 非 ) 보안영역 인터넷망 파일이동 3 보안 USB 통제서버 1 바이러스체크 업무 PC 2 인터넷 PC 악성코드체크 1 단계 : 보안 USB 통제서버에서인증을발급받은후악성코드탐지솔루션으로파일전송 2 단계 : 악성코드탐지솔루션으로 unknown 악성코드감영여부에대한 2 차확인 - 악성코드에감염된파일은격리및관리자에게통보 3 단계 : 정상일경우관리자의승인을통한자료이동 14
2. APT 공격형태 및 방어방안 2-7. 망분리 환경에서의 위협 및 대응방안 : 보안시스템 우회(비인가 불법접속) 3 2 6 1 통신사 이동 통신망 5 4 유선유출 유선위협 방화벽/IPS/NAC 등 1 : 외부 AP 사용 2 : USB 타입 랜카드 3 : 스마트폰 테더링 내부 자료 유출 및 바이러스 유입급증 4 : 불법 공유기 설치 5 : 통신사 모뎀 사용 6 : 노트북 1:1 연결 무선 보안사고 후 침입 인지 불가 내부 N/W 보안 취약부분 발생 15
3 APT 대응방안
3. APT 대응방안 3-1. 일반환경에서의대응방안 업무망 1, 악성코드탐지 / 차단 인터넷망 DMZ 2 악성메일탐지 / 차단 웹메일패치관리 AX AX 3 비인가접속탐지 / 차단 USB Rogue AP 무선위협차단 PC 내부직원 DB 서버 응용 업무 서버 서버 업무서버영역 16
3. APT 대응방안 3-2. 망분리환경에서의대응방안 Internet 망간자료전송시스템 외부중계서버 내부중계서버 인터넷 PC 중계스토리지 전용프로토콜 AX 1, 악성코드탐지 / 차단 DB 서버 응용서버 업무서버 2, 비인가내 / 외부접속차단 무선위협차단 메일서버 외부연동서버 업무 PC 외부망 업무망 17
4 솔루션소개
4. 제안솔루션 4-1. FireEye 특장점 1_VXE(Virtual Execution Engine) Known Signature AV Engine (optional) FireEye Heuristic Phase-1... 최대 192 개동시실행 VXE (Phase-2) 차단을위한 DB 업데이트 XML/SNMP/SYSLO G 형태의 Alert 제공 Appliance Local Update MPC Global Update 전용 Hypervisor 내부구현이어려움 VM 회피악성코드탐지가능성능및기능최적화문맥분석가능 범용 Hypervisor 구현이용이 VM 회피악성코드탐지불가범용용도라성능및기능부족문맥분석이불가능 18
4. 제안솔루션 4-1. FireEye 특장점 2_ Multi Flow 단계별연계분석 탐지 Callback 단계별연계로 Multi Flow 가능숨어있는악성코드탐지! Dropper 모든의심트래픽수집 보안 ( 악성코드분석 ) 목적에따른가상머신실행 Malware에대한문맥분석및가상머신실행 공격사이클에대한가시성및포렌직제공 Exploit 19
4. 제안솔루션 4-1. FireEye 특장점 3_ 행위기반을통한공격패턴업데이트 20
4. 제안솔루션 4-2. FireEye 제품군 NX series EX series FX series AX series Multi-Vector Virtual Execution Central Management System Dynamic Threat Intelligence WebMPS 를이용해 Web 을통한 watering hole 차단 EmailMPS 를이용해 email 을통한 spear phishing 차단 FileMPS 를이용해악성코드가내부로확산되는것을방지 CMS 를이용해 MPS 제품을통합관리 MAS 를이용해악성코드에대한세부분석및포렌식수행 Cloud service 를통해공격에대한즉각적인대응 21
4. 제안솔루션 4-3. FireEye 구성도 이메일서버 지사망 FireEye MAS CERT FireEye EmailMPS FireEye WebMPS 기존보안장비 인터넷라우터 INTERNET 내부망 FireEye WebMPS FireEye CMS FireEye FileMPS 내부파일공유서버 22
4. 제안솔루션 4-4. FireEye 레퍼런스 _ 글로벌 인터넷 /IT 기업 금융권, 의료기관, 제조분야 연방정부 교육기관 주정부, 지방공공기관 23
4. 제안솔루션 국내 일반기업금융권공공기관교육기관게임 / 포털 24
4. 제안솔루션 4-5. AirSCAN 특장점 전자금융감독규정 (2011.10) 전자금융감독규정제 15 조 ( 해킹등방지대책 ) 정보보호시스템을우회한외부통신망 ( 무선통신망포함 ) 접속금지 무선접속망차단시스템구축및모니터링체계운영 비인가무선접속장비설치 접속여부등주기적점검 정보보호시스템을우회한외부통신망 ( 무선통신망포함 ) 접속금지 무선접속망차단시스템구축및모니터링체계운영 / 비인가무선접속장비설치 접속여부등주기적점검 25
4. 제안솔루션 금융전산망분리가이드라인 (2013. 09) 제 2 절 PC 보안관리 / 2. 업무 PC 보안관리망분리의무화, 무선보안권고 - 와이브로, 무선랜등비인가무선인터넷연결을차단 - 금융 와이브로, 무선랜등비인가무선인터넷연결에대한탐지및차단 26
4. 제안솔루션 공공분야주요기반시설관리기관망분리기술기준 (2012.05) 4. 망분리후업무망 PC 보안관리 3 와이브로ㆍ무선랜등업무망 PC 에서의무선인터넷연결금지 - 공공 / 민간 - 개인정보처리자 3G/LTE 모뎀등업무망 PC 에서의무선인터넷연결금지 27
4. 제안솔루션 공공분야주요기반시설관리기관망분리기술기준 (2012.05) 4. 망분리후업무망 PC 보안관리 4 테더링등스마트폰기능을활용한정보유출등악용방지 - 공공 / 민간 - 개인정보처리자 테더링등스마트폰기능을활용한정보유출등악용방지 28
4. 제안솔루션 4-6. AirSCAN 구성도 Internet Switch AirSCAN Agent Rogue AP 위치추적 사무실 #4 Switch AirSCAN Agent Rogue AP 위치추적 스마트폰테더링 사무실 #3 Switch Firewall 3G/4G/Wibro Switch AirSCAN Agent Rogue AP 위치추적 사무실 #2 AirSCAN Server Server Farm Communication AirSCAN Server AirSCAN Agent : UDP 10000 Switch AirSCAN Agent Ad-Hoc 사무실 #1 29
4. 제안솔루션 4-7. AirSCAN 규격 제품명구분상세설명서버사양 TB-AS-SA-300 AirSCAN Enterprise Central Management Server with 300 client licenses for Appliance Server TB-AS-SA-500 Standard Appliance AirSCAN Enterprise Central Management Server with 500 client licenses for Appliance Server CPU : Xeon Quad core 2.4 GHz Memory : 4 G HDD : 320 G TB-AS-SA-1000 AirSCAN Enterprise Central Management Server with 1000 client licenses for Appliance Server TB-AS-PA-2000 TB-AS-PA-3000 Premium Appliance AirSCAN Enterprise Central Management Server with 2000 client licenses for Appliance Server AirSCAN Enterprise Central Management Server with 3000 client licenses for Appliance Server CPU : Xeon Quad core 2.4 GHz Memory : 8 G HDD : 320 G 30
4. 제안 솔루션 4-8. AirSCAN 레퍼런스 More 31