NAC 기능이제공하는엔드포인트 통합보안솔루션 최용 SE 과장시만텍코리아 ( 주 )

NAC 기능이제공하는엔드포인트 통합보안솔루션 최용 SE 과장시만텍코리아 ( 주 )

I. NAC 의개념및구분방식

NAC 개념및방식구분 NAC 의개념 사용자 PC 가내부네트워크에접근하기전에보안정책을준수여부를검사하고네트워크접속을통제하여기업의엔드포인트의위협 (Risk) 를최소화하는기술 Access Control ( 접근제어 ) Ensure Compliance ( 무결성검사 ) 3

NAC 개념및방식구분 NAC 의핵심개념 : 접근제어 Access Control( 접근제어 ) 사용자인증 IT 인프라자산관리 사용자내부방화벽서비스 내부네트워크사용통제 IP 및 Patch Management 이상트래픽감지및노트통제 사용자접근관리 사용자 / 시스템자원관리 사용자트래픽관리 내부 PC 의 Network 접근 4

NAC 개념및방식구분 NAC 의핵심개념 : 무결성검사 Ensure Compliance( 무결성검사 ) : 광범위한무결성검사 OS 보안설정 파일 OS Service Pack 레지스트리 서비스 / 프로세스 안티바이러스 HI 사용자정의 HI 운영체제 HI 일반소프트웨어 5

NAC 개념및방식구분 NAC 구현방식구분 Agent 방식 사용자 PC 단에 Agent 프로그램이설치됨 Agent 프로그램에의해 PC 무결성검사및접근제어가수행됨 Agent less 방식 사용자 PC 단에설치되는프로그램없음 NAC 네트워크장비에서트래픽모니터링을통해이상트래픽을일으키는 Node 에대해차단및접근제어 Thin Agent 방식 기본구성형태는 Agentless 방식과같음 단, Agent less 방식의단점을극복하기위해 (PC 무결성검사 ) 내부 Portal 접속시 ActiveX 형태로 thin-agent 사설치되어패치확인등기본적인무결성검사수행 6

NAC 구현방식별비교 에이전트기반방식 네트워크기반방식 (Agentless) 인가단말 비인가단말 동작방식 Enforcer( 차단장비 ) 에의해 NAC Agent 미설치단말차단 ( 설치유도 ) Agent 에의해 PC 상태점검및자동치료 동작방식 ARP(MAC) 스푸핑을이용해서서브넷별 Sensor 장비로트래픽 Re-Direct 장점 탄력적인 NAC 정책적용가능 고정사용자 ( 임직원 ) 에대해 NAC 적용후사용자불편최소화 장점 구축간용이성 단점 Agent 배포필요 단점 치명적인보안결함및고정사용자 ( 임직원 ) 불편초래 PC 상태점검을위해 Agent(Active-X) 필요 - 7 -

II. NAC 의도입목적및기대효과 NAC 도입시고려사항

NAC 도입목적및기대효과 인가받은사용자가안정성이검증된 PC 를통해서만내부네트워크접속할수있는프로세스를보증하는시스템구축 사내엔드포인트환경의보안성을지속적으로향상시켜보안사고에의한네트워크중단에대한사전대응 해결되지않는고민에대한자동화된해결방안제공 비인가 PC 의자유로운기업 LAN 접속사용 사용자의존적 PC 보안의한계발생 악의적사용자 Well-known attack Un-known attack AV AV AV 기업주요정보노출 날로지능화되는보안공격 - 9 -

NAC 도입시고려사항 제안사상 구축 / 운영용이성을고려한설계 (Gateway Enforcement 방식,, 향후변경가능 ) 기도입보안솔루션에대한활용도최대화 ( 백신,, TCO 등 ) 사용자불편을최소화하는방식으로 NAC 프로세스구현 (Full Auto-Remediation) NW 인프라변경최소화 (Gateway Enforcement Type) 향후 802.1x 방식마이그레이션고려 ( 기투자보호 ) 기투자보안솔루션과의연동 ( 보안솔루션활용도최대화 ) 비인가및정책미준수사용자격리 ( 취약단말및사용자원천격리 ) 완벽한사용자보안구현 보안솔루션통합 자동화 구축용이성 사용자불편최소화 ( 격리후치료및비격리치료등다양한옵션 ) 향후인프라개선을고려한유연성 (MS Active Directory 또는 802.1x) 검증된솔루션 (Market Leader 솔루션 ) 보안문제발생지역의격리 ( 각 Location( 지역 ) 별격리정책 ) 기사용중인보안솔루션변경에따른비종속성 ( 범위솔루션을지원할수있는유연성 ) 보안관련자원의효율적관리증대 (OS 보안등 ) 향후통합엔드포인트보안로드맵고려 ( 백신,IPS,FW, 매체제어, 암호화 ( 향후 ) + NAC 등 ) - 10 -

III. Symantec NAC 소개

Symantec NAC 솔루션개요 기업환경및특성에맞는보안정책을탄력적으로구성하고, 100% 일괄자동 실행시켜주는 End-Point 통합 Security Solution Network Access Control 접속인증 Transparent( 단말인증 ) Basic( 사용자인증 ) 단말무결성검사 PC Host Integrity Check Integrate Security Protection 취약성기반사전방역행위기반사전방역정책기반사전방역 개인방화벽 /IPS 차단 / 격리 LAN Enforcer : 802.1x 격리 DHCP Enforcer : DHCP 격리 Gateway Enforcer : Gateway 격리 매체제어 치료 Auto Security Recovery User Manual Recovery 유도 Symantec Network Access Control 안티바이러스 - 12 -

Symantec NAC 개념및구현방식 SNAC 구현방식 Enforcer SEPM ( 정책관리서버 ) 구분 SPM Server SEP Agent Enforcer 주요기능 PC 보안정책및 NAC 정책설정및배포 해당 PC Agent 상태모니터링및 Report PC 보안기능수행 ( 방화벽 /IPS/ 바이러스월 ) PC 보안무결성검사및 NAC 연동 Event 로깅 네트워크접근제어 ( 차단 / 격리 ) : 802.1x, GW, DHCP Agent HI Check 요소 네트워크접속 네트워크접속 네트워크접속 SPA SPA 1 3

Symantec NAC 기능개요 SNAC Agent 기능개요 SNAC 은기존의 NAC 기능및 AntiVirus 제품을포함한솔루션을통합함으로써포인트기술을하나의제품으로통합함으로써보안성향상과관리의단순화를이룸. Symantec Endpoint Protection 네트워크접근제어 (NAC) 매체제어 침입탐지 방화벽 Network access control 기능포함 (Sygate) Agent 에포함, 별도의 Agent 설치가불필요 Endpoint 매체제어를통한정보유출보호 (Sygate) USB 드라이브, MP3, CD-RW 등보호 행위기반침입탐지 (Whole Security) NIPS ( 네트워크 ) 와 HIPS ( 호스트 ) 의통합 업계최고의 Endpoint 방화벽기술 (Sygate) Gartner MQ Leader 4 년연속 위치에따른정책적용 Single Agent 안티스파이웨어 안티바이러스 최고의 Rootkit 탐지및제거 VxMS 스캐닝기술포함 (Veritas) 세계선두안티바이러스솔루션 42 회연속 VB100 수상 (2009 년 2 월까지 ) 다형성바이러스탐지의선두 1 4

Symantec NAC 주요기능소개 안티바이러스기능 Symantec Endpoint Protection 의안티바이러스기능은글로벌 Leader 의제품인 Symantec AntiVirus 를통합하여높은탐지율과시스템안정성을보장하여, 특히기존엔진을개선하여시스템부하를획기적으로줄여서높은탐지율을가벼운엔진으로제공함. 안티바이러스시장을선도하는기술 VB100 Award 42 회연속수상 (09 년 02 월현재 ) Virus Bulletin Feb 2007 1 5

Symantec NAC 주요기능소개 안티스파이웨어기능 Symantec Endpoint Protection 의안티스파웨어기능은기존버전의기능에서 Rootkit 에대한탐지, 제거기능을크게강화하였음. 특히최근의 Rootkit 은그존재를은폐하기위해 Kernel Level 에서동작하여파일시스템을감시하는기존안티스파이웨어기술로는탐지및제거가불가능함. 기존 Veritas 의 VxMS 기술을접목하여하드드라이브의섹터데이터 (Sector Data) 를직접접근하여악성 Rootkit 을제거함. VxMS 기술을이용한 Kernel Lever Rootkit 제거 Thompson Security Lab 테스트결과 (Sep, 2006) 여러제품중에유일하게 20 개 Rootkit 모두탐지 치료개수또한경쟁사대비거의 2 배수기록 Source: Thompson Cyber Security Labs, August 2006 1 6

Symantec NAC 주요기능소개 방화벽기능 방화벽기능의모든방화벽정책은개인사용자관리가아닌중앙서버에서정책관리가이루어지며정책적용시모든사용자 PC 로일괄배포됩니다. 특히애플리케이션기반의방화벽정책 ( 예 :e 동키 P2P 어플리케이션금지 ) 설정으로관리자가쉽게 PC 의방화벽정책을설정가능 가장가볍고가장강력한방화벽엔진 (By Gartner MQ Report) 4 년연속 Gartner MQ Report Leader 평가 직관적인정책설정인터페이스로손쉬운관리 Sygate NAC Agent 의방화벽모듈채용 Application+Host+ 서비스 + 시간 + 인터페이스조건을복합적으로설정 SEPM F/W 정책 F/W Policy 관리 / 배포 Central Management 향상된 Application Centric 기반 Firewall Rule 생성지원 1 7

Symantec NAC 주요기능소개 사전방역기능 Symantec Endpoint Protection 는안티바이러스및기존 IPS 등시그니처기반의알려진공격위주로보호하는기술을넘어서행동기반또는취약성기반차단방식을통해제로데이웜공격과같은신종위협에효과적으로대응 행동기반사전방역기능 TruScan - 행동기반사전방역기술의 Leader 인 Whole Security 사를인수 - 시스템메모리에로드되는프로세스의행위감시 - 메모리상주프로세스에대해서수백개의탐지모듈을이용하여정상 (Valid) 또는악성 (Malicious) 프로세스로구분 - 실제제로데이탐지사례 : Sasser-d, Mytob-bd, Sober-F 등다수 - 오탐지율 0.005% No False Alarm 16M Installations Only 20 False Positives for every 1 Million PC s False Alarms - 18 -

Symantec NAC 주요기능소개 취약성기반의사전방역 Symantec Endpoint Protection 는안티바이러스및기존 IPS 등시그니처기반의알려진공격위주로보호하는기술을넘어서행동기반또는취약성기반차단방식을통해제로데이웜공격과같은신종위협에효과적으로대응 OS 및어플리케이션의취약성이발견된후점점더빨라지는악성코드의출현에대응하기위한수단 (Generic Exploit Blocking GEB 및시그니처기반의 IDS) 제공 취약성이발견되면그취약성을악용하는공격행위에대한탐지기법제공 취약성을가진어플리케이션 / 서비스에대한 Buffer Overflow 시도등을탐지 / 차단 취약성기반사전방역기능 : Generic Exploit Blocking(GEB) 차단 위협노출 0 취약점발견 GEB 패턴업데이트방어수취약점으로인해 DeepSight 에서발견한취약점 ( 글로벌모니터링 ) 행 발생될수있는공격코드공격발생 AV 시그니처업데이트 패치업데이트 시간 - 19 -

Symantec NAC 주요기능소개 정책기반의장치및애플리케이션제어 위협및내부보안규정정책준수를위한응용프로그램의프로세스에대한정책적사전방역정책지원 접근허용 / 차단 / 종료 / 로그기록 / 사용자알림등다양한기능수행 장치에한정적으로적용또는예외처리가능 정책기반응용프로그램제어 SEPM 관리서버 보안정책설정예 응용프로그램보안정책 SEP 클라이언트 - 20 -

Symantec NAC 주요기능소개 보안요건강화 위치에따른정책강화 자동위치인식기능에의한보안정책차별화 DNS 서버, IP 주소, 서브넷주소등의자동위치인식을위한트리거를통하여 Endpoint 의위치에따라적용되는정책을자동으로할당할수있는기능 (Endpoint 의위치에따른요구보안수준의차별화제공 ) 예 ) 노트북사용자의경우사무실내에서사용하는경우, 집에서사용하는경우또는지사에출장시시스템을사용하는경우각네트워크위치에맞게보안정책을따로지정하여자동으로해당정책이활성화 자동위치인식기능 확인조건 SEPM 관리서버 위치별보안정책 위치확인 위치별보안정책 위치확인 사무실내부보안정책 - 중앙관리서버로정의파일다운로드 - 시스템부팅시 Quick Scan SEP 클라이언트 - 예약검사 : 점심시간자동스캔 - 점심시간을제외한업무시간내특정포탈및주식사이트접근차단 - 사내정책에따른사용금지프로그램실행차단 - 이동식미디어의읽기만허용하며, 실행및작성은차단 - 전반적으로사내는안전한네트워크라고판단하고상대적으로가벼운정책적용 위치이동 - 21 - SEP 클라이언트 사무실이아닌지역의보안정책 - 집 (HOME) - 인터넷으로부터정의파일다운로드 - 시스템부팅시 Full Scan - 모든파일에대한실시간보호기능수행 - 백신프로그램임의변경방지기능수행 - 전반적으로사외는안전하지못한네트워크라고판단하고상대적으로강력한정책적용

IV. 성공사례및요약

성공사례및요약 80% NAC 정책에의한치료 ( 협력직원 ) 80% NAC 정책에의한치료 ( 정직원 ) 60% 60% 52% 60% 40% 20% 16% 39% 25% 40% 20% 6% 25% 32% 23% 2% 0% 2% PMS PC보안 TCO 문서보안 백신 0% 1% PMS PC보안 TCO 문서보안백신 적용대상 PMS PC 보안 TCO 문서보안백신 ( 치료 ) 428 명 67 256 224 169 105 -> 7 ( 위반율 ) 16% 60% 52% 39% 25% -> 2% 적용대상 PMS PC 보안 TCO 문서보안백신 ( 치료 ) 386 명 25 96 123 87 9 -> 4 ( 위반율 ) 6% 25% 32% 23% 2% -> 1% ( 백신에대해 NAC정책을적용한결과적용전 75% 에서 ( 정직원의경우백신에대해서는높은기업보안정책이적용후 98% 의높은기업보안정책이행으로보안성이향행수준을보였으나기타프로그램들은 NAC에의한확인상됨.) 필요.) 다양한협력직원의보안정책준수미흡으로많은보안위반탐지 à 불특정다수에대한강력하고효율적인보안통제수행 NAC에의한격리및필수소프트웨어설치유도수행 à 깨끗하고안전한기업내부망유지 기밀문서유출등의경우심대한보안침해발생가능 à- 23 NAC - 구축으로보안침해발생방어

요약 최고의제품 Global Security Market Leader Gartner, NetworkWorld 등전문가평가에서최고평가 검증된기술력 대형기업고객성공적인구축을통한축적된노하우 최상의사후지원 Advanced 서비스를통한시만텍전담전문가배정 24X7X365 글로벌상시지원체계 엔드포인트보안로드맵 암호화 (Encryption), 정보유출차단, 자산관리등엔드포인트통합로드맵 - 24 -