See, Understand and Act with Security Intelligence 프로세스관점의선제적보안취약점관리 방안 전사적보안프레임웍수립을지웎하는 HP의제로데이취약점리서치홗동및선제방어시스템소개 이윤경차장 한국 HP 보안사업부 (Enterprise Security Products)
HP Enterprise Security Products (ESP) 2 시장을선도하는보안제품과서비스 : 네트워크보앆 보앆위협연구 보앆정보및이벤트관리 로그 / 이벤트중앙수집및관리 소프트웨어 / 애플리케이션보앆 웹애플리케이션취약점방어 데이터보호 보앆서비스 One Team, One Vision ATALLA
HP Enterprise Security Products (ESP) HP 보안솔루션인 TippingPoint, ArcSight, Fortify, WebInspect, Atalla 등의보안사업총괄 1,500 여명의보안전문가마케팅 / 기술지웎그룹, 1,500 여명의 HP Enterprise Service 컨설턴트, 2,700 여명의 HP 보안연구조직으로부터의강력한후웎 3 Magic Quadrant for Network Intrusion Prevention Systems 2012 Magic Quadrant for Application Security Testing 2013 Magic Quadrant for Security Information and Event Management 2013 The Magic Quadrant graphic was published by Gartner, Inc. as part of a larger research note and should be evaluated in the context of the entire report. The Gartner report is available upon request from HP.
HP 의전사적 Security Framework 4 HP Security Framework = 3 단계 Security Intelligent Platform 내부 / 외부보앆위협으로부터 IT Application/Information/Operation 에관련된모든 Activity 를 Security Intelligence 를기반으로모니터수행 (#1 SEE Everything) 의미있는정보만을추출하여 (#2 Provide Context) 하여 내부자산을보호하고리스크관리를수행한다 (#3 Manage Risk)
Criminal Education Lessons from the criminals and their methods
What s so significant about these numbers? 6 84, 68, 416, 94
7 84% 의 공격이 그중에서도특히 Mobile App 에대한 취약점발견율이 Application Layer 에서발생하고있음 68% 이상 증가하고있음
8 416 days 기업에서보안위협을탐지 / 관찰하는데소요되는평균시간 2012 April May June July August September October November December 2013 January February March April May June
9 94% 자사에보안침해사고가있었다는것을 외부 에서알려줌 : 보안침해사고를자체인지하는프로세스의부재
보안침해사고의전형적인패턴 10 취약점조사 Attackers 침투 도주 권한획득 / 탐사 정보획득 Our enterprise
기업의보안투자우선순위 11 취약점조사 Attacks 경계구간침투방어 도주 권한획득 / 탐사 정보획득 Our enterprise 5X 1X
12 If you know the enemy and know yourself, you need not fear the result of a hundred battles. 知彼知己, 百戰不殆. - Sun Tzu( 孫武 ), The Art of War
보안침해사고최소화및선제대응방안 1. 전문적인자체보안연구인력및글로벌보안연구조직과의협업을통한선제적인보안인텔리전스확보 / 관리
HP 보안연구소 (HPSR) - HP 보안솔루션의혁싞기지 WW No.1 & Largest Security research (2,750+ Researchers) Collect network and security data from around the globe Co-Work with SANS, CERT, NIST, OSVDB, Software & Reputation vendors Security specific research within TippingPoint, Fortify and ArcSight 14
HP 보안연구소 (HPSR) 의역할및서비스 - 기출시된상용소프트웨어 / 애플리케이션의알려지지않은보안취약점발견연구 - 발견된보안취약점은관렦소프트웨어 / 애플리케이션제조사에보안패치개발권고 2,750+ independent researchers Frost & Sullivan winner for vulnerability research At any given moment, HP uniquely protects its customers against 200-300 zero-day vulnerabilities 15 HP DVLabs leads in critical disclosures HP DVLabs
HP 보안연구소 (HPSR) 의역할및서비스 - cont d - 소프트웨어개발언어상의보안취약점발견연구 16 Full taxonomy online: http://www.hpenterprisesecurity.com/vulncat/ko/vulncat/index.html ULSAN 발표자료
HP 보안연구소 (HPSR) 의역할및서비스 - cont d - HP 보안연구소의보안인텔리전스공유 17 Podcast and Report on the Web and itunes hp.com/go/hpsrblog Global threat activity ZDI vulnerability research Threat actor profiles and compaigns
애플리케이션취약점 사이버공격의귺웎 2. 소프트웨어 / 애플리케이션의보안약점을코딩단계에서부터웎천제거하여공격의루트가되는 Security Hole 을사전차단
Cyber attackers are targeting to Applications 네트워크 / 하드웨어 / 운영체제에서개별소프트웨어 / 애플리케이션으로공격대상이동 19 네트워크 하드웨어운영체제 / 서비스 애플리케이션 Security Measures 지적재산권 Switch/Router security Firewalls NIPS/NIDS 고객 / 개인정보 VPN Net-Forensics Anti-Virus/Anti-Spam 경영관리정보 DLP Host FW Host IPS/IDS Vuln. Assessment 기업비밀 tools 데이터로의모듞접귺경로는보호되어야한다
기출시된상용소프트웨어 / 애플리케이션의보안취약점관리및대응 20 App
80 70 60 50 40 30 20 10 기출시된상용소프트웨어 / 애플리케이션의알려지지않은보안취약점대응방안 0 21 2012 Adobe & Microsoft Vulnerability Acknowledgements TippingPoint PAN IBM McAfee CheckPoint Sourcefire Cisco HP Adobe MSFT *Compiled from publicly available data on Adobe and Microsoft advisory pages. 250 200 150 100 50 0 2007-2012 Adobe & Microsoft Vulnerability Acknowledgements TippingPoint IBM PAN McAfee Checkpoint SourceFire Cisco HP Frost & Sullivan Market Share Leadership Award for Vulnerability Research 3 years in a row! At any time, 200 to 300 zero day vulnerabilities only HP ESP can protect Adobe MSFT
기출시된상용소프트웨어 / 애플리케이션의알려지지않은보안취약점대응방안 - cont d *Compiled from publicly available data on Microsoft advisory pages. 22 MS13-055 에서설명한문제점을 HP TippingPoint( 영문 ) 의 Zero Day Initiative( 영문 ) 와협력하여보고해주신다수연구자 Source : 2013 년 7 월 Microsoft 보앆공지요약 http://technet.microsoft.com/ko-kr/security/bulletin/ms13-jul
코딩단계의소프트웨어 / 애플리케이션보안취약점관리및대응 23 App
No access to 3rd party source code How can you trust these software/applications? 엔터프라이즈에서사용중인상당수의 Software & Application = Developed by 3rd Party 소스코드에대한보안검사없이해당 Software & Application을싞뢰할수있을까? 24 Commercial vendors Outsourced to contractors Open sourced
How expensive is this approach? 개발후운영중인애플리케이션보안문제해결코딩단계에서의보안문제해결비용대비 30 배이상소요 25 Cost 2X Requirements 애플리케이션이실제운영홖경에설치된후애플리케이션보안문제해결비용은 SDLC 상에서 보안성을탑재했을때대비최대 30 배이상소요! Source: NIST 10X 5X Coding Integration/ component testing 15X System testing 30X Production
애플리케이션보안현실 > expensive, reactive 개발팀과보안팀간의대화 / 협업부족으로비싸고수동적. 26 bad software 생산 1 2 IT팀 bad software 설치 : 테스트시간 / 기술, 권한부재로인해.. 개발자로하여금 bad Software 수정요청 4 침해사고를당하거나보안스캐닝에의해 bad software 가설치되어운영중임을확인 3
개발단계의소프트웨어 / 애플리케이션보안취약점분석기법 HP Fortify On Premise 27 Static Analysis HP Fortify Static Code Analyzer 대규모엒터프라이즈에서검증된소스코드레벨보안취약점스캐닝 (Static/WhiteBox, Internal) 21개의개발언어지원 (Java, Objective-C, ASP.NET, C#, VB.NET, PHP, COBOL, ColdFusion, Classic ASP,...) Dynamic Analysis HP WebInspect 실제운영홖경의 Application 대상보앆취약점스캐닝 (Dynamic/BlackBox/Ru n-time, External) 세가지테스팅레벨 (Baseline, Standard, Premium...) Manual Review Security Experts 테스트결과상의오탐최소화를위한보안전문가집단 Manual Review
정적분석을통한소스코드보안취약점발견및조치 28 - HP Fortify Static Code Analyzer (SCA) 소스코드정적보안취약점분석 De facto standard 제품 500개이상보안카테고리및업계최다인 21개의개발언어대상코드레벨정적보안취약점분석지웎 (Java7, HTML5 포함 ) 업계유일 Mobile app 개발언어분석지웎 (Apple Objective-C/Xcode, Android Java 모두지웎 ) 업계유일 1 Hybrid 분석기술채용을통해 Static/Dynamic 분석기법의한계극복, 보안취약점에대한우선순위기반보안취약점관리제공
동적분석을통한웹보안취약점발견및조치 - HP WebInspect 네트워크를통한웹서버대상보안스캐닝을통해짫은시간안에고위험도웹애플리케이션보안취약점탐지및조치가이드 개발프로젝트짂행, 보안검수시점과운영중웹보안품질측정 통해보안취약점에대한상시점검 1 Hybrid 분석기술채용을통해소스코드분석결과와동적분석결과연계, 보안취약점에대한우선순위기반보안취약점관리방안제공 (SecurityScope) 1 Hybrid 분석기술 : 정적분석기법인소스코드분석 (Static code analysis) 과런타임분석기법인프로그램실행분석 (Security Scope), 동적분석기법인웹보안취약점스캐너인 WebInspect 를상호연동, 애플리케이션보안취약점에대해통합분석함으로써, 동적분석의한계인분석범위를확장하고정적분석결과를실제공격이가능한순으로분류하여분석결과를제공하므로위험도와실행가능성이높은보안취약점을빠르게식별및우선적으로수정할수있도록하여전체개발비용과소요시간을급격히절감할수있는新기술 29
HP TippingPoint IPS와 HP WebInspect 보안스캐너와의연동자동화된 Web Application 보안성향상 Servers Database Storage XXX Internet 4 Vulnerability Report 30 XXX Copyright 2013 Hewlett-Packard XXX Development Company, L.P. The information contained herein is subject to change without notice. 2 XXX 1 HP WebInspect Scan 3 DV Toolkit Vulnerability Export Vulnerability Page and Parameter 웹보안취약점짂단 1. 웹취약점스캐너를사용하여웹응용프로그램보앆취약점점검 (HP WebInspect) 2. 웹보앆취약성진단현황리포트생성 자동화된웹보안필터생성 3. 진단결과보고서기반으로 DVToolKit 과의연동을 통해 자동공격탐지필터 생성 4. 생성된웹보앆필터를 HP TippingPoint N/NX- Platform에적용 (Virtual Software Patch) 함으로서, 취약점이있는소스코드를수정하게끔시간을벌어주게됨 5. 웹취약점재진단, Virtual Software Patch 수행이정상수행되었는지확인 웹접속로그모니터링통한중복체크 6. HP ArcSight( 아크사이트 ) 를통해웹접속로그를 모니터링하여추가적인보앆위협관리
마이너리티리포트 3. 상관관계분석을통한비정상행위탐지 4. 외부 C&C 서버의평판관리를통한 APT 방어
기졲로그관리방식의한계점로그 / 이벤트에대한가시성부재 32 Cloud Virtual Physical Too much data Too many security solutions NO integrated intelligence 1,000+ Security Vendors
통합로그분석시스템의 4 가지필수요소 A new approach: Risk based, adversary-centric 33 Collect ( 수집 ) 모듞장치로부터의다양한로그대상자동300여개이상 / 수동, 고속의무손실수집기법제공 Consolidate ( 통합 ) 웎시로그의공통된포맷으로의정규화 normalization / 비슷한 종류의로그에대한범주화 categorization 를통한다양한웎시로그의단일화및중앙관리 Correlate ( 상관분석 ) 이기종디바이스 / 애플리케이션실시간상관관계분석 Collaborate ( 협업 ) 이벤트분석프로세스, IT GRC, IT 보앆, IT 운영시스템과의정보공유자동화, HP 솔루션과의협업을통한보안성극대화
SIEM 의보안상관관계 (Correlation) 분석이란? 34 계정도용탐지 9:10 분재무팀의 홍길동 계정이한국에서사내 Network 으로접속 9:30 분 홍길동 계정이중국에서 VPN 으로접속 9:10 분한국 SEARCH 홍길동 /Pa$$wd ID: PWD: 상관관계분석 홍길동 Pa$$wd 계정도용 or 오남용사례! 9:30 분중국 홍길동 /Pa$$wd
SIEM 의보안협업 (Collaboration) 의중요성 Use Case: 평판기반네트워크모니터링 35 사례연구 : 3.3 DDoS 발생시 4 개의악성코드전파파일서버중 2 개는이미 HP * 평판 DB* 에보유, 이를통한보안사고징후탐지시홗용 Security Intelligence 제공 Source : 3.3 DDoS Report, Sang-Keun Jang, HAURI
SIEM 의보안협업 (Collaboration) 의중요성 - cont d Use Case: 평판기반네트워크모니터링 사례연구 : 6.25 사이버테러시연루추정된악성 IP 및도메인 vs. ArcSight 평판 DB 보유현황 36 1/2 차 (2013.05.24~05.30) 3 차 (2013.5.31~6.3) 4 차 (2013.06.04~06.13) 5 차 (2013.06.17) 6 차 (2013.06.14~06.25) 구분 Download 46 6.25 사이버테러시연루추정 C&C 서버 관렦전체 IP 및도메인수 ArcSight 평판 DB 보유현황 (2013-06-25 18:37:11.28 기준 ) 비고 도메인 IP 도메인 (36%) IP(13%) 31 44 C&C 51 10 10 27 C&C 13 3 Download 22 Download/C&C 69 69 23 11 Download 10 6 32 55 C&C 73 15 Download 73 Source : CONCERT 사무국, "[ 긴급공유 ]6.25 사고관련 _ 악성코드배포지 / 경유지 /C&C 서버정보제공 " 이메일내첨부엑셀파일 8 5 2
Reminder: 보안침해사고의전형적인패턴 37 취약점조사 Attackers 침투 도주 권한획득 / 탐사 정보획득 Our enterprise
Kill Chain 탐지부터타격까지 30 분내완료 ' 킬체인 (Kill Chain)' 추짂 2013. 2. 6 합동참모본부 38
Kill Chain 선제방어 Process 구축으로보안침해최소화 39 전문적인보안연구소를통한선제적인보안취약점조사인텔리전스확보 / 관리 Attackers S/W 보안취약점침투사전제거를통한침투방어 외부C&C도주서버의평판관리를통한도주방어 상관관계권한획득분석을 / 탐사통한 비정상행위탐지 선제대응으로정보획득비정상행위차단 Our enterprise
New Approach 40 People Process (Gainful vs. Painful) Technology
Use Your Security Intelligence! 41
See, Understand and Act with Security Intelligence 경청해주셔서감사합니다 보안솔루션관렦문의처 : espkorea@hp.com 한국 HP 보안사업부 (Enterprise Security Products)