끊임없는공격의시대, 어떻게대비해야할까요? 시스코보안컨설팅서비스 김성국수석부장 컨설팅팀 / Cisco Service

끊임없는공격의시대, 어떻게대비해야할까요? 시스코보안컨설팅서비스 김성국수석부장 sungkkim@cisco.com 컨설팅팀 / Cisco Service

Cyber Security 에대한준비가되어있나요? Information Security is when you have a budget to protect your network. Cyber Security is when someone else has a budget to attack it

Global Risks 2014 > Cyber attacks & Data Loss World Economic Forum Global Risks 2014 Insight Report 3

Global Risks 2014 > Top 5 Risks of Likelihood World Economic Forum Global Risks 2014 Insight Report 4

Global Risks 2014 > Top 5 Risks of Impact World Economic Forum Global Risks 2014 Insight Report 5

보안트렌드변화 > Anomaly Based Threat Defense After 9/11 Signature Based 1. 편도로 1등석티켓을구입한승객 2. 현금으로티켓을구입한승객 3. 같은날동시에여행을하는승객 4. 여러개의여행일정중에하나를 Skip하는승객 5. 특정한장소로여행하는승객 6. 신분을확인할수있는 ID를 제시하지않는승객 Current Model Anomaly Based 1. 항상일반석을탐승하는승객이 1 등석을구매 2. 주로 Kayak ( 온라인항공권구매 사이트 ) 에서구매하는사람이현금으로오프라인에서구매 3. 여행경험이거의없는사람이거의 사용하지않는방식으로티켓을구매 4. 연휴 (Holiday) 에여행하는사람이관광지가아닌곳으로가는티켓구매 너무나많은오탐및보안비용증가 Send this person for secondary security inspection 6

시스코보안컨설팅서비스 Cyber Range 서비스 Why Cisco Service?

시스코보안컨설팅서비스 보안진단서비스 취약점분석 / 모의해킹 보안아키텍처설계 보안프로세스진단 / 수립 사이버위협차단 (CTD) 서비스 Behavior 기반위험탐지 / 차단시스템구축서비스 라우터 / 스위치, 방화벽등의 Netflow 데이터기반분석 위협차단 (MTD) 매니지드서비스 24 x 7 원격보안모니터링 Big Data + 행동기반 Cisco SIO 분석데이터 Cyber Range 서비스 보안정보이벤트관리 (SIEM) 시스템기반위협탐지 / 차단시뮬레이션서비스 룰기반및행위기반탐지 / 차단 8

보안진단서비스 > 취약점분석 / 모의해킹 시스템에대한취약점도출및개선방안권고 비인가사용자에의한취약점도출 / 개선방안권고 비정상행동또는공격에대한탐지능력검증 취약점진단수행 Tool - NeXpose(Rapid7) : 상용 Tool - AutoSPA-NG : 시스코자체개발 Tool 9

보안진단서비스 > 아키텍처진단컨설팅 Internal Network Perimeter Network Identify 9.7 6.8 Monitor 5.8 5.2 Cisco Security Framework(CSF) 방법론 - 시스코내부 IT 서비스모델 (COPM Cisco Operational Process Model) - 네트워크영역별필요한보안활동정의 - 국내외보안표준준수 (Compliance) 여부검증 Correlate Harden Isolate Enforce (PCI, ISO 27002, 금감원, KISA 등 ) - 6 개보안활동에대해 100 여개의 IT 인프라에대한 3.5 보안점검리스트 2.8 9.1 8.7 8.0 9.1 2.6 7.5 Total Score 6.45 6.68 Wireless Network 8.9 6.7 2.2 7.8 2.8 3.1 5.25 10

사이버위협차단서비스 Cyber Threat Defence(CTD) Today 사이버위협차단 (CTD) 보안솔루션 - 스위치 / 라우터의 Netflow 데이터및 ISE 연동 - ASA의 NSEL(Netflow Security Event Logging) 기반 - Lancope StealthWatch Management 시스템을통해가시성및제어 사이버위협차단 (CTD) 서비스 - 기존 Signature 기반의보안솔루션에서탐지 / 차단할수 없는 APT 공격등에대한보안솔루션구축서비스 - Network Behavior Analysis 를통한위협탐지 / 차단 11

Stinger JDBC Kafka Storm Kafka SIRT Application Elasticsearch REST 엑새스제어 위협차단매니지드서비스 Managed Threat Defence MTD(OpenSoC) 서비스프레임워크 취약성데이터 NetFlow / HTTP 1 로그텔레메트리 2 1 2 3 Kvasir Flume Flume Flume Flume Cognitive (Cisco Cloud) Cyber Big Data 기반위협 / 차단서비스 - 고객 IT 인프라의모든데이터 (Full Packet) 분석 - 이메일 / 웹트래픽악성코드감지 - 대용량 / 비정형데이터파싱 구성요소 1 컨텍스트데이터베이스 2 NetFlow / HTTP 이상감지 3 Log 어그리게이션 / 분석 4 메타데이터어그리게이션 5 풀패킷캡쳐 6 IDS / AMP (5.3) 7 위협정보 - 시스코위협정보 (SIO / 500 명보안전문가 ) - Signature, Network Behavior 기반침입감지 4 Qosmos Flume Flume Out-of-Band 정보수집 7 Flume CIF 5 Flume Flume 고객정보를고객사내에보관 6 IDS AMP Defense Center Flume Flume MR HDFS 24/365 모니터링서비스및구축컨설팅 AMP (Cisco Cloud) 12

Cyber Range 서비스 Cyber Range Lab 환경 50여개의공격유형 9개시스코보안솔루션 + 3rd Party 솔루션 500개이상의 Malware에감염된 100 개이상의어플리케이션 Heartbleed 등의최신취약점에대한공격 / 탐지 / 제어시뮬레이션기대효과 IT 인프라에대한아키텍처보안검증 위협차단프로세스또는 Playbook 생성을위한경험축적및검증 보안팀교육 (War Game) 및사고대응 (Incident Response) 연습 새로운악성코드 (Zero Day) / 위협에대한차단전략 / 기술검증 13

시스코보안컨설팅서비스 Cyber Range 서비스 - 공격탐지및차단사례중심으로 Why Cisco Service?

Cyber Range Network Overview StealthWatch Management SMC Internet SIO Flow Collector Identity Services Engine FC Web Security Appliance Email Security ASA IPS Appliance ASA Sourecefire IPS Firewall Prime Infrastructure Wireless Security Cyber Threat Defense Virtual Security NetFlow AVC TrustSec Inside Host Inside Host Inside Host Splunk Analytics 15

Cyber Range Lab Infrastructure 유선 / 무선 / 원격접속네트워크 & 라우팅단말 / 서버시뮬레이터 App. 시뮬레이터트래픽제네레이터 Attacks Day 0 Attack / New threats DDoS / 네트워크정찰 App. 공격 / Data Loss 컴퓨터 / 모바일악성코드봇넷시뮬레이션오픈소스공격툴가상 / 무선네트워크공격 Visibility & Control Global Threat intelligence NG IPS / NG FW Signature Based Detection Behavior Based Detection Data Loss Prevention Event Correlation TrustSec-STG 16

보안이벤트전체화면 17

Computer Attack > Email 위협 / 차단 평판기반차단 Main > Email Security > Message in Quarantine & Interesting Subjects 분석 SIO + ESA 솔루션 Attacker 인터넷 SIO SIO 평판 (Reputation) 정보를기반으로 ESA 솔루션에의해 Malware 에감염된 Email 치료 ESA 18

Computer Attack > Web 위협 / 차단 평판기반차단 Main > Web Security > Computer Security 분석 SIO + WSA 솔루션 Attacker 인터넷 SIO SIO 평판 (Reputation) 정보를기반으로 WSA 솔루션에의해 Bad Reputation Web 접속단말분석 WSA 19

Malware Attack > NG-IPS 에위협 Dashboard Signature 기반차단 Sourcefire IPS 솔루션 Attacker SIO Main > Network Security > IPS Dashboard 화면 < 시간대별위협현황 > 인터넷 1101 0011 VRT Sourcefire < Top Targets > < Top Attackers > < Top Signatures > Sourcefire IPS 20

Malware Attack > 위협탐지 / 차단사례 (1) Signature 기반차단 Main > Network Security > IPS Analyst 화면 Sourcefire IPS 솔루션 Attacker SIO 위험도 = High CVE-2012-2763 공격 1101 0011 인터넷 VRT Sourcefire 외부에서의공격 / 탐지 - Sourcefire NG-IPS 에서탐지한 CVE-2012-2763 공격에대한세부정보 Sourcefire IPS 공격소스 목적지 세부정보 21

Malware Attack > 위협탐지 / 차단사례 (2) Signature 기반차단 Main > Network Security > IPS Analyst 화면 Sourcefire IPS 솔루션 Attacker SIO 1101 0011 위험도 = Medium crafted packet 공격 인터넷 VRT Sourcefire 내부에서의공격 / 탐지 - Sourcefire NG-IPS 에서탐지한 crafted packet 공격에대한세부정보 Sourcefire IPS 공격소스 목적지 세부정보 22

Malware Attack > 위협탐지 / 차단사례 (3) - Heartbleed Signature 기반차단 Sourcefire IPS 솔루션 Attacker SIO 1101 0011 인터넷 VRT Sourcefire Sourcefire IPS 23

Malware Attack > 위협탐지 / 차단사례 (3) - Heartbleed Signature 기반차단 Sourcefire IPS 솔루션 Attacker SIO 1101 0011 인터넷 VRT Sourcefire Sourcefire IPS 24

Behavior Based Attack > CTD 위협 Dashboard(1) Behavior 기반차단 Main > Cyber Threat Defense > Dashboard 화면 ASA + ISE + SMC C&C < 시간대별위협현황 > 인터넷 NSEL < 의심내부단말 > < Top 소스그룹 > < 의심외부단말 > < Top 목적지그룹 > ASA SMC (Lancope) Botnet Sourcefire IPS 25

Behavior Based Attack > CTD 위협 Dashboard(2) Behavior 기반차단 StealthWatch Management Console > Internet World Map 화면 ASA + ISE + SMC C&C Worm Activity (2) Worm Activity (14) 인터넷 NSEL Internet World Map Worm Activity (4) ASA SMC (Lancope) Suspect Data Loss (4) High Total traffic work activity (20) Botnet 26

Behavior Based Attack > CTD 위협 Dashboard(3) Behavior 기반차단 StealthWatch Management Console > Internet Usage 화면 ASA + ISE + SMC C&C 인터넷 Internet Usage NSEL Botnet ASA SMC (Lancope) Netflow 기반트래픽모니터링을통한 Behavior Based Attack 탐지 27

Behavior Based Attack > CTD 위협 Dashboard(4) Behavior 기반차단 StealthWatch Management Console > 국가별위협정보디스플레이 ASA + ISE + SMC C&C 인터넷 NSEL BP Test 회사네트워크 ASA SMC (Lancope) Botnet 28

Behavior Based Attack > 위협탐지 / 차단사례 (1) Behavior 기반차단 StealthWatch Management Console > 국가별위협정보디스플레이 > 중국선택 ASA + ISE + SMC C&C 공격소스 : 중국 공격목적지 : 금융서버 인터넷 Netflow 트래픽모니터링을통해허가받지않은서비스를이용한외부 내부서버통신탐지 NSEL Botnet ASA SMC (Lancope) 정의되지않은 (Undefined) 서비스를통해중국에있는서버와통신 ( 위협탐지 ) - Malware, DDoS, Worm Attack 등 29

Behavior Based Attack > 위협탐지 / 차단사례 (2) Behavior 기반차단 StealthWatch Management Console > 평판기반사용자트래픽패턴분석 ASA + ISE + SMC C&C 인터넷 내부사용자단말에서서버로의심스러운트래픽패턴탐지 NSEL Netflow 트래픽모니터링을통해허가받지않은서비스를이용한외부 <-> 내부서버통신탐지 > ASA SMC (Lancope) Botnet 30

시스코보안컨설팅서비스 Why Cyber Cisco Range Service? 서비스 Why Cisco Service?

Cisco Security Products & Services Before ( 사전대응 ) During ( 실시간대응 ) After ( 사후대응 ) Security Activities Discover Enforce Harden Detect Block Defend Scope Contain Remediate Security Products Security Services Firewall / NG-Firewall UTM / VPN Identity Service Engine NG-IPS Email Security Web Security Advanced Malware Protection Network Behavior Analysis 보안진단서비스보안전략서비스 위협차단솔루션 (CTD) 구축컨설팅위협차단매니지드서비스 (MTD) 보안설계서비스 보안구축서비스 보안최적화서비스 Cyber Range 서비스 (End-to-End 공격 / 탐지 / 차단시뮬레이션서비스 )