Title slide - PDF Free Download

Agenda 개요공격유형및대응솔루션 Overview 애플리케이션보안소스코드및웹취약점점검, 실시간방어 데이터보안 End to End 데이터중심차세대암호화및키관리 통합로그관리및보안운영침해시도및이상행위에대한실시간탐지 / 분석 / 대응

개요

Attack Life Cycle 침투 ( 침입 ) Phishing Attack and Malware 조사 ( 연구 ) Research Potential Targets 목표발견 Mapping Breached Environment. 수익화 Data Sold on Black Market 데이터탈취 Obtain data 탈출 ( 유출 )/ 파괴 Exfiltrate/Destroy Stolen Data Data

공격유형별대응솔루션 공격유형보안영역 HPE Security Products 침투 ( 침입 ) 네트워크보안, 애플리케이션보안, 시스템 /DB 보안, 엔드포인트보안, 애플리케이션보안 ( 소스코드및웹취약점점검, 실시간방어 ) Fortify SCA WebInspect App Defender 데이터탈취, 유출 데이터보안 데이터보안 (End to End 데이터중심차세대암호화및키관리 ) SecureData SecureMail ESKM(Enterprise Secure Key Manager) 침투 ( 침입 ), 목표발견, 데이터탈취, 탈출 ( 유출 )/ 파괴 통합로그관리및보안운영 (SIEM) 통합로그관리및보안운영 ( 침해시도및이상행위에대한실시간탐지 / 분석 / 대응 ) ArcSight Logger, ESM Analytics(UBA, DMA, App) Security Intelligence(RepSM/Threat Central ) http://www8.hp.com/kr/ko/software-solutions/enterprise-security-products-services/ http://www8.hp.com/us/en/software-solutions/enterprise-security.html 5

애플리케이션보안

개발라이프사이클대응시큐어코딩솔루션 시큐어코딩관리 (SCM) 웹서비스로깅및보호 (HP APP Depender) 시큐어코딩진단 (HP Fortify SCA) 개발자 ( 단위진단 ) 보안운영 개발라이프사이클 시큐어코딩진단 (HP Fortify SCA) 침투테스트 (HP WebInspect) 보안테스트 런타임분석 (HP WebInspect-Agent) 빌드서버 ( 전수진단 ) 보암담당자 / 감사자 7

시큐어코딩 ( 정적진단 ), 침투테스트 ( 동적진단 ) 통합분석 요구검토설계구현검토배포 S 정적 (Static) 분석 D 동적 (Dynamic) 분석 R 런타임 (Runtime) 자가방어 Fortify SCA/ 1 SSC WebInspect/ 1 SSC App Defender H 하이브리드 (Hybrid) 분석 WebInspect-Agent/ 1 SSC 8

국내외동종업계최다개발환경지원 시큐어코딩솔루션 - HP Fortify SCA(Static Code Analyzer) 개발프로세스와연계하여 시큐어코딩진단프로세스 로사용 취약점조치가용이하도록개발자관점정보 ( 소스파일, 라인, 함수, 로직 ) 제공 업계최다개발언어및모바일언어완벽지원 (22개개발언어 ) Adobe, ASP.NET, C/C++, C#, Classic ASP, HTML(HTML5), JAVA, JAVA Script/AJAX, JSP, PHP, PL/SQL, MS T-SQL, VB for Applications, VB Script, VB.NET, XML, Flex, 환경 (Apache, J2EE, EJB,.NET, Weblogic 등 ), Android JAVA, ios Objective-C, RUBY, 프리미엄언어 (COBOL, ColdFusion, Python, ABAP) 업계최다 IDE Plug-ins (VS.net, Eclipse, IBM WSAD/RAD, Borland JBuilder) 지원 국내외주요컴플라이언스완벽지원 OWASP Top 10, OWASP Mobile Top 10, 안행부 SW 보안약점 / 안드로이드가이드, PCI, CWE, SANS 등 모의침투테스트솔루션 - HP WebInspect, WebInspect-Agent WebInspect : 웹소프트웨어실행시클라이언트관점에서취약점진단 ( 침투테스트 ) WebInspect-Agent : 웹애플리케이션실행시내부로직을점검하여취약점진단 Fortify SCA 와연계하여하이브리드분석제공 9

글로벌애플리케이션보안 ( 시큐어코딩 ) 리더제품 애플리케이션보안기술리더선정 2015 가트너애플리케이션보안취약점테스팅 (AST) 에대한견해 AST = SAST + DAST + IAST + Mobile 제조사는위의취약점진단원천기술및진단결과상관분석가능해야취약점진단시시너지기대 HP Fortify 는유일하면서강력한브랜드 폭넒은개발언어에대한포괄적인 SAST(Static Application Security Testing) 기능제공 세계최고의모바일소스코드분석기술보유 ios, Android 애플리케이션에대한세계최고의 AST 기능제공 IAST (Interactive Application Security Testing) 기술보유 업계유일 SAST, RAST, DAST 를통합기술인혁신적인 IAST 기능제공 HP 고유의애플리케이션보호기술제공 RASP(Runtime Application Self Protection) 기술을통해, 전통적인애플케이션보호솔루션없이자체보호기능제공 출처 : 가트너그룹 10

국내외엔터프라이즈전반에적용된검증된솔루션 국내최다사업실적 제1,2 금융권최다도입 텔레콤사최다도입 그룹사시큐어코딩표준선정 그룹사최다도입 제조, 유통, 전자상거래, 포털, 소프트웨어개발등다양한사업분야최다도입 해외 1,000 개사엔터프라이즈실적 글로벌최대규모은행 10개사중 9개사도입 글로벌최대규모텔레콤 10개사전체도입 글로벌최대규모보험사 10개사전체도입 글로벌소프트웨어벤더 10개사중 9개사도입 글로벌항공우주산업 10개사중 6개사도입 11

데이터보안

Data security coverage Introducing: Data-centric security Threats to Data Traditional IT infrastructure security Data Ecosystem Security Gaps Credential Compromise Authentication Management Data and applications Security gap Traffic Interceptors SSL/TLS/firewalls Middleware Security gap SQL injection, Malware Database encryption Databases Security gap Malware, Insiders SSL/TLS/firewalls File systems Malware, Insiders Disk encryption Security gap Storage 13

Data security coverage End-to-end Protection HPE Security Data Security provides this protection Threats to Data Traditional IT infrastructure security Data Ecosystem Security Gaps HPE Security data-centric security Credential Compromise Authentication Management Data and applications Security gap Traffic Interceptors SSL/TLS/firewalls Middleware Security gap SQL injection, Malware Database encryption Databases Security gap Malware, Insiders SSL/TLS/firewalls File systems Malware, Insiders Disk encryption Security gap Storage 14

전통적인데이터보안솔루션의문제점 애플리케이션및데이터구조변경필요 전체적으로암호화데이터는복호화해야사용가능 생성된암호화 Key 의복잡한관리적이슈 7412 3456 7890 0000 AES 8juYE%Uks&dDFa2345^WFLERG? Ija&3k24kQotugDF2390^3 20OWioNu2(*872weWaasI Uahjw2%quiFIBw3tug^5a 보안적인이슈해결을위해여러개의단편적인보안솔루션구성필요

기존데이터포멧유지는데이터구조및애플리케이션변경없이 기술 암호화제공 주요특징 AES-256 기반 FPE FFX 암호화제공 암호화시원본데이터포멧유지가능 원본데이터의무결성보장 분석 / 운영환경에서의실시간데이터보호 특허등록정보 US Patent 7,864,952 Format-Preserving Encryption (FPE) Tax ID FPE 253-67-2356 934-72-2356 First Name: Gunther Last Name: Robertson JuminNo: 901020-1356321 DOB: 08-07-1966 First Name: Uywjlqo Last Name: Muwruwwbp JuminNo: 901020-3356321 DOB: 01-02-1972 AES 8juYE%Uks&dDFa2345^WFLERG Ija&3k24kQotugDF2390^32 0OWioNu2(*872weW Oiuqwriuweuwr%oIUOw1@

비보존형토큰아키텍쳐기반 기술 동적데이터비식별화제공 StatelessToken 주요특징 기존토큰화방식의토큰 DB 문제점제거 PCI DSS 감사범위축소 다양한애플리케이션및분석환경활용 저비용운영환경제공 특허등록정보 US Patent 8,595,850 Secure Stateless tokenization methods and applications of tokenization methods Credit Card JuminNo 1234 5678 8765 4321 901014-1722356 SST 8736 5533 4678 9453 347232-3988309 Partial SST Obvious SST 1234 5633 4678 4321 1234 56AZ UYTZ 4321 347232-3722356 AZSUXS-C722356

데이터보안플랫폼아키텍쳐 HSM HPE SecureData HPE SecureData Management Console Authentication & authorization sources (e.g. active directory) Volume Key Management HPE SecureData Web Services API HPE SecureData Command Lines HPE SecureData Native APIs (C, Java, C#/.NET) HPE SecureData File Processor HPE SecureData Native UDFs HPE SecureData z/protect, z/fpe Partner integrations SaaS & PaaS cloud apps Payment terminals Policy controlled data protection and masking services & clients Business applications, data stores and processes Volumes and storage Enterprise applications Production databases Payment systems ETL & data integration suites 3 rd party applications Teradata, Hadoop & HPE Haven HPE Nonstop Applications & Databases Mainframe applications & databases Network Interceptors Web/cloud applications (AWS, Azure) 3 rd party SaaS gateways 18

우리는결국기업내에서 무엇을 지켜야하는가? 일상업무중빈번하고, 많은시간을할애하는 중요한기밀데이터 첨부파일, 내부문서 / 데이터등 이메일 빅데이터

Identity-Based Encryption(IBE) 표준기반 HPE SecureMail 기존이메일암호화솔루션의한계 Legacy PKI: S/MIME, PGP, OpenPGP Proprietary Symmetric Key Proprietary Webmail Difficult to Use Data Loss Risk Costs Rise w/ Use Not business friendly / no ad-hoc Complex key management Key and message stores to manage Incompatible (Gmail, Android) Active code in messages / PDFs e-discovery breaks, fines High TCO TCO may be high Limited functionality

Identity-Based Encryption(IBE) 표준기반 HPE SecureMail IBE Public Key vs. RSA Public Key 기술차이점 IBE Public Key 발신자 (Sender) 는수신자신원정보만필요 ( 예, bob@corp.com) RSA Public Key 발신자 (Sender) 는암호화키와인증서정보가필요 o o o o 신원 (Identities) 정보이용비대칭키 (Asymmetric keys) 생성하는공개키암호방식 (PKI) 인증서 (Certificates) 불필요 RSA Public Key(1024-bit) 수준강도제공 IBE wrapper 함께 S/MIME message format 지원 Public exponent=0x10001 Modulus=135066410865995223349603216278805969938881475605667027524 48514385152651060485953383394028715057190944179820728216447 15513736804197039641917430464965892742562393410208643832021 10372958725762358509643110564073501508187510676594629205563 68552947521350085287941637732853390610975054433499981115005 6977236890927563

Identity-Based Encryption(IBE) 표준기반 HPE SecureMail Identity-Based Encryption (IBE) 표준기술이란? IBE 는비대칭키기반 Public key, Private key 기술 Ad-hoc 이메일주소기반키생성 Stateless 키관리가능 : 키저장불필요 No keys store generated on the fly 100% Push: 싱글메시지포맷 Innovation 1984 년, Adi Shamir 에의해제안 전통적인 PKI 의복잡성해소목적으로디자인 2000 년미국방성에서 Standford 대학의 IBE 연구후원 2002 년 Voltage 창업 IBE 기술리뷰및표준화 IEEE 1363.3 Standard for Identity-Based Cryptographic Techniques using Pairings RFCs: RFC 5091, RFC 5408, RFC 5409

Identity-Based Encryption(IBE) 표준기반 HPE SecureMail 동작방식 : 앨리스 (Alice) 가밥 (Bob) 에게메일을보낼때 IBE 기반암호화전송 HPE SecureMail Key Server 발신자 (Sender) 는수신자신원정보 bob@corp.com 이용하여암호화이메일전송 1 bob@corp.com Bob s Private Key 3 2 23

HPE SecureMail : 다양한플래폼환경에서제공되는아키텍쳐하나의솔루션으로다양한플랫폼지원 (Desktop, Web, and Mobile) Mail Archive Same solution for desktop, web, mobile HPE SecureMail Gateway HPE SecureMail Key Server Native Mobile Apps DLP / AV AS / MTA HPE SecureMail Encryption client Mail Server & Mobile Server HPE SecureMail Encryption client HPE SecureMail Applications (REST API) Native Mobile Apps Corporate Network HPE SecureMail Gateway DMZ HPE SecureMail ZDM Client Internet ZDM

통합로그관리및보안운영

보안이상징후 : 어떻게맞설것인가? SIEM 을활용한이상징후대응체계구현 1 목표정찰 ( 스캔 ) 2 공격전달 3 공격코드수행 4 원격제어툴설치 5 원격명령제어 Rule 1 Rule 2 C Rule n Rule 1 Rule 2 C Rule n Rule 1 Rule 2 Rule n Rule 1 Rule 2 Rule n Rule 1 Rule 2 C Rule n 주의리스트 보안위협인텔리전스 경계리스트 침해사고대응 ( 심각 ) 리스트 관심리스트 10 데이터유출 / 장애유발 9 장기잠복 8 내부공격전이 7 내부인프라정찰 6 로컬시스템장악 Rule 1 C Rule n Rule 1 Rule n Rule 1 Rule n Rule 1 Rule n Rule 1 Rule 2 Rule n 모든장치로부터의다양한로그대상자동350여개이상 / 수동, 고속의무손실수집기법제공 원시로그의공통된포맷으로의정규화 normalization / 비슷한종류의로그에대한범주화 categorization 를통한다양한원시로그의단일화및중앙관리 인메모리기반상관관계분석 : 실시간공격대응위한 SIEM 핵심기능 RepSM : 110 만개이상의악성 IP/ 도메인의실시간평판관리 1 메모리기반영구저장소 2 변수 (Variable) 이벤트분석프로세스, IT GRC, IT 보안, IT 운영시스템과의정보공유및협업 / 공격대응자동화를통한보안성극대화, 하둡과의연동

ArcSight portfolio today SIEM Analytics ArcSight ESM ArcSight User Analytics ArcSight DMA ArcSight App Analytics ArcSight Marketplace Framework for Security Operations providing essential use cases and processes ArcSight Data Platform Threat Central 27

자동연동방식과수동연동툴을제공하여, 연동단계최적화지원다양한데이터소스에대한이기종상관분석을위해, 최적화된수집기능제공 연동지원제품자동파서내장 SYSLOG 350 개이상의다양한시스템 / 어플리케이션지원 DB Files SmartConnector FlexConnector Access and Identity Data Security Integrated Security Switch Anti-Virus Firewalls Mail Server OS Applications AD/LDAP Network Monitoring Mainframe Content Security Host IDS/IPS Net Traffic Analysis VPN NetFlow 비정형로그를위한파서 Wizard 내장

로그표준화및정형화를통한탐지분석능력향상 모든데이터를 CEF 형태로변환하여 1) 검색, 2) 레포트, 3) 데이터보관 효율성제공 Raw machine data Jun 17 2009 12:16:03: %PIX-6-106015: Deny TCP (no connection) from 10.**.215.102/15605 to 204.**.227.16/443 flags FIN ACK on interface outside Jun 17 2009 14:53:16 drop gw.foobar.com >eth0 product VPN-1 & Firewall-1 src xxx.xxx.146.12 s_port 2523 dst xxx.xxx.10.2 service ms-sql-m proto udp rule 49 Unified data (Benefit: Single data for searching, indexing, reporting, and archiving) Time (Event Time) name Device Vendor DeviceProduct Category Behavior Category DeviceGroup Category Outcome 6/17/2009 12:16:03 Deny Cisco PIX /Access /Firewall /Failure 6/17/2009 14:53:16 6/17/2009 15:23:43 Drop Reject Discard Disconnect Checkpoint Juniper Firewall-1 NetScreen /Access/ /Access/ /Firewall /Firewall /Failure /Failure

내부네트워크및주요자산를식별하여탐지기반제공 Network Modeling 과정을통하여내부조직환경에맞게쉽게분석가능함 네트워크를분리설정하면 IP 가중복될경우에도각영역별로분리되어식별이가능함 IP 대역을기반으로네트워크를식별하고정의 정의할수있는영역에개수제한이없고모니터링할자산을자동으로식별하며관리함

사용자가쉽게룰을생성 / 관리할수있는직관적인단일 GUI 방식 GUI 화면에서사용자가직관적으로이해할수있는연산자와이벤트필드의조합으로룰셋을쉽게생성하며, 재사용및복사와이동이자유로운구조로사용편리성제공 기존룰 Copy 를통한재사용용이

자산및보안취약점기반이벤트상관분석 취약점스캐너를통한자산식별및애플리케이션취약점연동을통한분석순위관리 취약점스캐너 Network Devices Physical Access Agent Severity ( 이벤트심각도 ) Mapping of reporting device severity to ArcSight severity 이벤트우선순위화 TippingPoint Mobile Servers Identity Sources Severity(Active Lists) ( 이미공격당한서버 ) Already compromised? Already a target? Model Confidence (0,4,8,10) ( 스캔결과포트및취약점이존재한경우 ) Has asset been scanned for open ports and vulnerabilities? Relevance ( 공격에취약여부 ) Vuln. exploited? Is it vulnerable? Desktop Databases Email App Applications Asset Criticality (User Input) ( 자산의중요도별매핑 ) How important is this asset to the business?

Security Intelligence 기반이벤트상관분석 HP 보안연구소의평판 DB 기반으로내부네트워크를모니터링하여내부위협조기탐지 ( 세계최초 ) 보안전반에걸친알려진 Bad 트래픽 Reputation Database 기반탐지제공, * 사용자가선택할수있는부가서비스 * 글로벌 #1 Security Research Team 에의한평판분석및악성보안지수화 ( 오탐율최소화, APT 대응 ) 취약점연구소 (HPSR) IPv4 Addresses IPv6 Addresses DNS Names Each refreshed every 2-24 hours Rep SM Database 70K+ IP / DNS Addresses 600K+ DNS Names Updates Every 2 Hr In-Memory ActiveList Reputation Data Source HP Tipping-Point light-house attack sensors World-wide HP TippingPoint IPS installations Third-party Malware, Web, and E-Mail Research, Open Source Community ( esoft, SANS, Malware Domain List, Sunbelt Border Patrol List, EmergingThreats, IPTrust.com, ) Botnet C&C Scanner Spam Malware P2P Phishing Spyware 연동대상장비 : Source IP 혹은 Destination IP, 호스트이름, Request URL 을지니는모든장비 Firewalls, IDS/IPS, VPN, Web Proxy Server Network equipment(routers, Switches, wireless access points) Network monitors, managers, Traffic analyzers

다계층 (Multi-Stage) 방식으로룰셋구현보안담당자가정 / 오탐을판단할수있는적정한수량의탐지결과를제공

사용자가직접시나리오룰구현이용이함룰셋생성에개수제한이없으며, 환경에맞게시나리오기반으로다양한룰셋을생성 외부 - 단위연동시스템 [ 단일시나리오 ] [ 복합시나리오 ] FW / UTM 위협탐지이벤트 WAF 특정 WebSite 접근시도탐지 IDS/IPS Anti-DDoS Web Detecter(webkeeper) TAS(Traffic Analysis System) 내부 - 단위연동시스템 1 차 Rule 분석 FW Deny log 지속발생탐지 IPS Exploit 시그니처탐지 2 차 Rule 상관분석 [ 공격탐지 ] 고객사환경및보안이벤트를분석하여, 이상징후를탐지할수있는시나리오기반의룰개발지원 NAC APC Privacy-i NGS 1 차 Rule 분석 위협탐지이벤트 N/W대역으로트래픽발생악성코드치료실패 FTP를통한파일전송탐지 2 차 Rule 상관분석 관제요원 Web 접근 log+ 정보유출 DMZ 접근 + 트래픽급증 + 정보유출 Email + 관리자 + 백신 OFF + 서버접근 시나리오 Base 상관분석

( 예시 ) 사용자가직접시나리오룰구현이용이함국내 / 외다양한고객환경에서운영하여검증된, 보안관제 Platform 시나리오 DRM 해제권한을가지고대량으로문서해제를한사용자가내부에서외부로파일전송 ( 시도 ) 하는행위 위사용자가저장매체사용및알려진공격행위시도 DRM 대량해제 (10 건이상 ) 한사용자목록 탐지조건 연동장비 DRM( 해제내역 ) 방화벽 ( 내부에서외부로파일전송내역 ) 기대효과 사용자역할및행위에기반한비정상행위탐지 인가되지않은정보유출시도의신속한탐지 / 대응 정확한탐지및탐지범위확대를위해추가연동대상장비도출 비정상행위에대한모니터링을통해내부사용자의보안인식제고 탐지결과 시각화분석

지속적인사용자지원체계구축이후에도유지보수및 Martketplace 와 Protect724 사용자커뮤니티를통하여다양한 Use-Case( 룰셋포함 ) 및리소스 ( 기술문서등 ) 을제공 사용자가직접룰셋관리를할수있는편리한구조 Activate Framework 를통해쉽게적용 유지보수를통한최신룰셋지원 Protect724 및 Marketplace 를이용하여 Use-case 공유

ArcSight 와타시스템과의연동을통한보안성극대화유연한 ArcSight 연동 API : Rule 에의한공격자자동격리 (1) 혹은수동격리지원 (2) 1 2

ArcSight 와타시스템과의연동을통한보안성극대화 유연한 ArcSight 연동 API : 1)Google Map 과의연동을통한 IP 가시성극대화, 2)Virus Total 과연동 1 2 3 Malicious HTTP request from PC 1 4 2 http://www.rexswain.com/eicar.com Malicious URL sample http://www.rexswain.com/eicar.com

Known Unknown Unknown SIEM HPE Security ArcSight ESM Threat + Intelligence + Threat Central Analytics HPE Security DMA HPE Security UBA HPE Security Application Defender = Security Intelligence Automation