보안위협 조혜민 한국마이크로소프트
지피지기백전불태 그를알고나를알면백번싸워도위태롭지않음 적과아군의실정을잘비교검토한후승산이있을때싸운다면백번을싸워도결코위태롭지아니하다. 그리고적의실정은모른채아군의실정만알고싸운다면승패의확률은반반이다. 또적의실정은물론아군의실정까지모르고싸운다면싸울때마다반드시패한다.
대기업에는두종류가있습니다. 해킹을당해본기업과해킹을당한지도모르는기업입니다. - J A M E S C O M E Y, F B I 국장 200 일 + 80 일 $3Trillion $3.5Million 공격이발견되기전, 피해자의네트워크에머무는평균기간 탐지후전체복구까지걸리는평균기간 성장및생산성손실로인한영향 데이터침해로인한평균비용 ( 전년대비 15% 증가 )
뉴스에서의 CYBERSECURITY
랜섬웨어는흑사병이되었음 Cisco 의 Talos 는 " 우리는매우복잡한악용키트와셀수없는스팸활동으로퍼진램섬웨어가인터넷의흑사병이되었다는것을크게또자주말할수없습니다." 고말합니다. 공격자는더많은돈을지불할수있는더큰목표를추구하며, 잠재적으로큰재앙이발생할수있습니다. PC 랜섬웨어의위험한부분은이제크랙하는것이불가능함 STEVE DENT Engadget 2016 년 3 월 17 일 Source: A dangerous piece of PC ransomware is now impossible to crack, Steve Dent, Engadget, Macrh 17, 2016
랜섬웨어가상태서비스를종료 병원랜섬웨어 : 으스스한모닝콜 VIOLET BLUE Engadget 헐리우드의한장로교교인은랜섬웨어의비상상태를선언했습니다 익명의의사는기자에게 CT 스캔, 문서, 실험실작업, 약국기능과전자통신을담당하는시스템이작동불능이었다고말했습니다 방사선과종양학도일시적으로중지되었다고보고되었습니다. 2016 년 2 월 19 일 Source: Hospital ransomware: A chilling wake-up call, Violet Blue, Engadget, February 19, 2016
해커가 2 억달러의 NASA 드론을하이잭 HIJACK 그룹에서는 사람들이이놀라운보안의부족을찾을지도모르지만우리의경험에따르면이건매우일반적이다. 라고말합니다. 당신이주방어선을한번통과하게된다면, 당신이액세스를유지할수있는동안네트워크를통해이를매우순조롭게증식시킬수있습니다. 해커는이른바 NASA 에대규모침해 massive breach 후드론을하이잭 MIKAEL THALEN INFOWARS.COM 2016 년 1 월 31 일 Source: Hackers Allegedly Hijack Drone After Massive Breach at NASA, Mikael Thalen, Infowars.com, January 31, 2016
예상치못한 IOT 디바이스? 무서운 IoT 검색엔진은당신이모르는사람의웹캠을염탐할수있도록해줌 JENNINGS BROWN 과 ADI COHEN Vocativ 수백만대의디바이스에비디오피드가달려있다는것을생각해보십시오 예를들어아이의침대위에있는베이비모니터혹은당신의뒤현관에있는보안카메라. 사물인터넷 (IoT) 에서가장인기있는검색엔진의새로운기능은바로이러한피드를쉽게찾을수있도록해주는것입니다. 그리고이것은당신이상상할수있는것보다더오싹합니다. 2016 년 1 월 25 일 Source: Terrifying IoT Search Engine Lets You Spy On Strangers Webcams, Jennings Brown and Adi Cohen, Vocativ, January 25, 2016
경쟁력높은지하생태계 Uber, PayPal, 심지어 Netflix 계정이범죄자에게더가치가있습니다 Uber 계정정보는지하시장에서계정당평균 $3.78 에거래되는반면, 개인식별정보 (PII) 는평균 $1 에서 $3.30 에거래됩니다 2014 년에 PII 는 $4 로거래되었습니다. Uber 계정을훔치는것이카드를훔치는것보다더가치있음 HARRIET TAYLOR CNBC 2016 년 1 월 20 일 Source: Stolen Uber accounts worth more than stolen cards, Harriet Taylor, CNBC, January 20, 2016
TOP 25 에여전히 123456, PASSWORD, PASSW0RD 사용 인터넷최악의암호에대한 SplashData 의제 5 회차트가발표되었고, 사람들은교훈을얻지못한것으로보입니다. SplashData 는 2015 년에유출된약 2 백만개의암호를집계하였고, 쉽게추측할수있는암호가여전히사용되고있습니다. 너무나많은사람이여전히끔찍한암호를사용 Source: Too many people still use terrible passwords, Daniel Cooper, Engadget, January 18, 2016
우크라이나전력망 공격자는우크라이나국가망에속해있는컴퓨터에성공적으로침투할수있었으며, 그결과 Ivano- Frankivsk 지역의수백가구가어둠에휩싸이게되었습니다. 이는전력망에대한첫번째사이버공격인것으로생각됩니다. 해커가우크라이나의전력망을정지시킴 MATT BRIAN Engadget 2016 년 1 월 6 일 Source: Hackers shut down power grid in Ukraine, Matt Brian, Engadget, January 6, 2016
미국인사국 OFFICE OF PERSONNEL MANAGEMENT 그것은미국국가보안에있어역대가장큰피해일것입니다. 세계에서가장민감한데이터일부에액세스할수있는사람은다른사람의신원조사를할수있었으며... 익명의공격자에의해도난당했습니다. 우리는아직침해의영향에대해확인하지못했지만, 미국국내와외국의외교및정보작업에해를끼칠것입니다. 2,200 만이상의정부노동자가 blackmail* 에취약함 ZACH WHITTAKER ZDNet October 2, 2015 *Blackmail: 누군가의비밀을폭로하는것과같이신상에해가되는행위를하지않는대가로돈을요구하며위협하는행위 Source: 2015's biggest data breaches: CVS, Anthem, IRS, and worse, Zack Whittaker, ZDNet, October 2, 2015
SONY 각본에테러추가 Sony 해커가 9/11 을언급하며 인터뷰 상영하지말라위협 2001 년 9 월 11 일을기억하라. 전세계가두려움에떨게될것이다. 그날영화관에서멀리떨어져있을것을권한다. BRENT LANG Variety 2014 년 12 월 5 일 Source: Hackers Threaten Sony Employees in New Email: Your Family Will Be in Danger, Dave McNary, MSN, December 5, 2014. Image: G. Hodan
백악관 무제한의예산, 하지만여전히취약 백악관네트워크를침해한해커가민감한데이터에액세스 STEVEN MUSIL CNET 2015 년 4 월 13 일 미국무부침해사고에서부서의분류된이메일시스템은전혀영향을받지않았다고국무성고관은말했습니다. 하지만해커는백악관네트워크에침입하기위해그침해를사용했습니다. Source: Hackers who breached White House network accessed sensitive data, Steven Musil, CNET, April 13, 2015
데이터유출 87% 58% $240 기록당 240 달러 87% 의고위관리자는본인메일또는클라우드계정에파일을업로드한다고고백했습니다. 58% 의사람들은다른사람에게민감한정보를보낸적이있습니다. $240 이데이터누출시발생되는비용의평균입니다. 1 Stroz Friedberg, 경험을바탕으로 : 미국산업의정보보안, 2013 2 HIPPA Secure Now, 제목 보건데이터누출비용의단면, Art Gross, 2012 년 3 월 30 일
일반적인공격의해부
침해가어떻게발생하는가? 46% 99.9% 맬웨어와취약점만걱정할것이아님 맬웨어없이손상된시스템 CVE* 가게시된후일년이상계속사용되는악용된취약점 *CVE (Common Vulnerabilities and Exposures) 빠르고효율적인피싱공격은반응할시간을주지않음 23% 피싱메시지를열어본수신인 (11% 는첨부파일을클릭 ) 50% 1 시간내에첨부파일을열고클릭한사람
이러한공격이일반적으로어떻게시작되는가? 공격이들어오는방법 스피어피싱 * / 소셜엔지니어링 e.g. 조작된이메일, Microsoft 지원 전화통화, 주차장에흘린 USB 키. 워터링홀 Watering hole e.g. 악용된웹사이트외부에접해있는서버에대한직접해킹내부자지식이나권한 권한을획득하는방법 0-day 익스플로잇취약점 (CVE) 취약한방어소셜엔지니어링 * 스피어피싱 (Spear Phishing) 이란작살낚시에빗댄표현으로, 불특정다수가아닌특정기관이나기업의내부직원을표적삼아집중적으로공격하는행위를일컫는용어입니다. 다시말해정부기관이나기업조직등특정타깃의내부이용자를은밀히염탐하고해당조직의기밀정보를빼내기위해, 신뢰할수있는내용처럼위장한악성이메일을관련자들에게전송시켜감염시킵니다. 이후원격제어및데이터탈취등을시도하는대표적인지능형표적공격입니다. 취
고급공격 ADVANCED ATTACK 의특성 공격자의 kill-chain 공격자의도전과제 정찰배달악용 명령과제어 EoP& 측면이동 Lateral movement 자산 Asset 탈출 Exfiltrati on 실생활공격과매우유사하게공격을성공하기위해계획, 제어와시간이필요함 무엇이 APT 를만드는가? 목표가있는공격은빈번하고복잡하고장기간의작업 손상자체는몇분이걸리는반면, 계획과측면이동, 데이터의탈출은며칠, 몇주혹은몇달이소요됨
공격의해부 :) 정상적인컴퓨터 사용자가이메일을수신 사용자가악의적인사이트에액세스 디바이스가맬웨어에감염됨
:) 정상적인컴퓨터 사용자가이메일을수신 사용자가 HelpDesk 악의적인가사이트에디바이스에액세스로그온 Identity 디바이스가도난, 공격자가맬웨어에상승된권한을감염됨가짐
가수신 사용자가악의적인사이트에액세스 디바이스가맬웨어에감염됨 HelpDesk 가디바이스에로그온 Identity 도난, 공격자가상승된권한을가짐
새로운문제에는신규플랫폼이필요합니다. 신원보호 데이터보호 위협대응 디바이스보안
위협을해결하기위해새로운접근법이필요함 : 공격자의경제모델을파산시킴 공격자의각본을파괴 공격자의벡터 vector 를제거 모든것 inside out 에대한보안 더큰벽을넘어
클라이언트보안관리 조혜민 한국마이크로소프트
고객들이저희에게해주시는말들 비밀번호로는더이상충분하지않습니다 제가기업데이터를어떻게지켜야하나요 저희는고객들만큼빨리신기술을활용할필요가있습니다 저희사용자들은언제어디서든앱과데이터에접속할수있어야합니다 저희는마이크로소프트에더많은투명성과열린대화를원합니다. 모바일기기의보안이저희의가장큰걱정입니다 툴이너무많고너무분열되어있습니다 더이상대규모개발이있어선안됩니다 IT 예산에압박이있습니다. 저희가 IT 비용을어떻게줄일수있을지보여주세요.
더많은퍼스널컴퓨팅생성 자연스러운상호작용경험의모바일데이터보호에대한신뢰고객 & IT 모두에게사랑받음
정교함 보안공격의진화 2003-2004 부피와영향 아마추어해커들블래스터, 슬래머동기 : 장난 표적
정교함 보안공격의진화 2005- 현재 2003-2004 조직범죄 랜섬웨어신원도용 동기 : 이윤 아마추어해커들블래스터, 슬래머동기 : 장난 표적
정교함 보안공격의진화 이후 2005- 현재 조직범죄 2003-2004 아마추어해커들블래스터, 슬래머동기 : 장난 랜섬웨어신원도용 동기 : 이윤 민족국가, 운동가, 테러그룹뻔뻔하고복잡하며지속적임동기 : IP 절도, 손상, 붕괴 표적
오늘날우리는혁명적인사이버위협을경험하고있습니다.
신원보호 데이터보호 위협대응 디바이스보안
DEFENDING AGAINST MODERN SECURITY THREATS 기기보호 위협대응 신원보호 정보보호
신원보호
공유된비밀 쉿! 잘못관리되거나잃어버리기쉬움 ( 사용자가문제임 )
사용자의골칫거리, 패스워드문제 패스워드는복잡하고성가신문제 패스워드를재사용함 패스워드를어디에써두기도함 패스워드를잊어버림 패스워드의보안상의취약점 내것이라는증명이없음 추측, 무차별대입공격에취약함 기존 2 단계인증 (Two Factor) 은비싸고복잡함
인터넷사용자 ID 와비밀번호 사이트와사용자간의약점 사용자 1 은행 소셜 네트워크 나쁜사람 2 1 웃긴사이트 유명하지않은사이트
기업사용자 ID 와비밀번호 사용자와디바이스간의약점 2 1 3 IDP 전자정보처리시스템 사용자 IDP 디바이스 4 5 IDP 나쁜사람 네트워크리소스
" 패스더해시 공격
차세대사용자자격증명 Microsoft Passport 새로운접근법 1 사용자 인트라넷리소스 4 2 3 IDP 활성디렉토리 Azure AD 구글페이스북마이크로소프트계정 인트라넷리소스 4 윈도우 10
자격증명을하는 2 가지방법 별도의비밀번호 (PIN) 생체정보 (Windows Hello) 가장간단한적용옵션 기존의디바이스에활용가능 사용자친화적 다중인증을가능하게함 손쉽게적용가능 잊어버릴염려가없음
생체정보를활용한인증 Windows Hello (1/2) - Demonstrate False Acceptance Rate (FAR)*: 1/100,000 - With False Rejection Rate(FRR)*: 2-4%, - Provide live-ness measures *FAR ( 誤수락율 ) : 등록된사용자를잘못인식하여수락하는확률 *FRR ( 誤거부율 ) : 등록된사용자가인식이안되어거부하게될확률
생체정보를활용한인증 Windows Hello (2/2) Windows Hello: can identical twins fool Microsoft and Intel? http://www.theaustralian.com.au/business/in-depth/windows-hello-can-identical-twins-fool-microsoft-and-intel/story-fnw66tov-1227490164701
정보보호
정보유출문제 87% 58% $240 기록당 240 달러 87% 의고위관리자는본인메일또는클라우드계정에파일을업로드한다고고백했습니다. 58% 의사람들은다른사람에게민감한정보를보낸적이있습니다. $240 이데이터누출시발생되는비용의평균입니다. 1 Stroz Friedberg, 경험을바탕으로 : 미국산업의정보보안, 2013 2 HIPPA Secure Now, 제목 보건데이터누출비용의단면, Art Gross, 2012 년 3 월 30 일
기업정보보호 (1/6) 비즈니스앱및데이터관리영역 for business personal 개입앱및데이터비관리영역
기업정보보호 (2/6) 프로비저닝 : 키와정책 1 2 사용자
기업정보보호 (3/6) 데이터수신 사용자
기업정보보호 (4/6) 데이터송신 : ( 앱에서디스크로 ) 사용자
기업정보보호 (5/6) 데이터송신 : ( 앱간또는네트워크 ) 사용자
기업정보보호 (6/6) 폐기 사용자
Annual Report Draft 1 Personal Contoso
Marketing Plan Microsoft Work D
2014 total return has increased significantly, outperforming both the S&P 500 and NASDAQ indices. Britta Simon
WARNING! Britta Simon Pasting content from a corporate document to a public location is not allowed. OK
위협대응및기기보호
우선신뢰하고실행했을때의문제 지금까지의앱 기본적으로신뢰하여설치됨, 악성코드가탑재되어있을경우 A/V 에서탐지후조치매일약 300,000 개이상의악성코드가새롭게발견되는지금, 사후조치적인방법의한계존재 실행되기전에신뢰되어야한다.
디바이스가드 디바이스가드란? 모든프로그램의실행을원천적으로차단하고 ( 어떠한것도신뢰하지않는 Trust Nothing), 조직내또는 PC 제조사에서허가한프로그램만실행하도록잠겨있는보안기술 하드웨어기술과연계되어더욱강력 UEFI 2.3 또는그이상버전의펌웨어 TPM 2.0 Virtualization
UMCI @ 디바이스가드 User Mode Code Integrity Windows Store 사설인증서, 공인인증서 Microsoft Device Guard Signing Portal ( 금년말제공 )
로컬보안인증서비스 가상 TPM 하이퍼바이저코드무결성 Hypervisor Code Integrity (HVCI) @ 가상보안모드 앱 가상보안모드 (VSM) 윈도우
Windows Defender Windows Defender 의기능 Windows Defender 가켜져있으면스파이웨어및기타사용자동의없이설치되는소프트웨어가컴퓨터에서자체적으로설치또는실행될때알림이표시 기본설정을사용할경우 Windows Defender 는새로운정의 ( 소프트웨어가스파이웨어인지확인하는데사용되는파일 ) 가있는지확인하고권장제거작업이있는항목이검색될경우자동으로제거
Windows Defender ATP(Advanced Threat Protection) Pre breach Post breach Device Guard 기기통제보안정책 Built-in 2FA Credential Guard Microsoft Passport Windows Hello 기기보호 / 드라이브암호화 Enterprise Data Protection (EDP) 조건부접속 AppLocker Device Guard Windows Defender 네트워크 / 방화벽 Windows Defender ATP 기기보호신원보호정보보호위협저항 붕괴탐지조사 & 대응
Windows Defender ATP(Advanced Threat Protection) 고급공격과데이터침해를탐지하고해결할수있도록지원 내장된에이전트가클라이언트기기에서발생한모든것을기록 (log) 하고클라우드에전송합니다. 온라인자산생태계전반에서수집한정보를활용한클라우드머신러닝분석으로작동됩니다. 자사헌터, 분석가, 커뮤니티등으로인해더강화되었습니다.
분실로인한정보유출 정보유출의대표사례
비트락커를활용한데이터보호 비트락커가필요한시나리오 컴퓨터를분실하거나, 습득했을경우, 해당컴퓨터에서하드디스크를빼서, 딴컴퓨터를이용해서열어보면, 하드디스크내데이터가모두다접근이가능 비트락커가하는일 초기부팅구성요소와부팅구성데이터의무결성을확인하여, 시스템이악성코드나외부에의해위변조되지않았는지를확인 하드웨어와연계하여, 운영체제볼륨과데이터볼륨에대한암호화를지원 즉 BitLocker 를통해서암호화된하드디스크는암호화를진행한컴퓨터가아니라면, 해독이불가능하고, 하드디스크만뽑아서다른컴퓨터에연결하더라도, 데이터를인식시킬수가없음
미국국방성보안대비를위해 Windows 10 으로업그레이드 미국국방성이선택한플랫폼 400 만대컴퓨터를 Windows 10 으로 Windows 10 에대한신뢰 Windows 10 의보안기능
신원보호 데이터보호 위협대응 디바이스보안
Enterprise 고객을위한프로그램안내
Windows 10 고객방문세미나 Windows 10 고객방문세미나 & 교육 대상 : Windows 10에대해더많은것을알고싶으신고객사 고객의요구에맞는세미나 / 교육을직접방문하여제공해드립니다. 방문세미나 / 교육을원하시는분은담당영업대표를통해말씀해주시기바랍니다. ( 신청상황에따라진행이어려울수있는점, 양해부탁드립니다.)
Windows 10 PoC 전문파트너사와함께하는 Windows 10 PoC 대상 : Windows 10 업그레이드를고려하고계신고객사대상 Windows 10 호환성및배포등과관련한사전검증작업을진행합니다. 실재 Windows 10 PoC 수행을위해고객비용이발생할수있습니다. 방문세미나를원하시는분은담당영업대표를통해말씀해주시기바랍니다.