잠재보안위협관리 / 분석및모의해킹솔루션 (Nexpose Enterprise & Metasploit Pro) 준정보통신 July., 2016
보안취약점 (Vulnerability) 이란? 컴퓨터의하드웨어또는소프트웨어의결함이나설계상의허점 으로인해사용자 ( 특히, 악의를가진공격자 ) 에게허용된권한이상의동작이나허용된범위이상의정보열람을가능하게하는약점. 악의적공격자들이가장먼저탐색하는것 취약점악용 불법적인사용자의접근허용 정상적인서비스방해 중요데이터의유출, 변조및삭제
CVE (Common Vulnerabilities and Exposures) 취약점 Heart Bleed Bash Shell Shock Poodle Attack Linux Ghost Open SSL Linux/Mac OS SSL 3.0 Linux CVE : 컴퓨터하드웨어또는소프트웨어고유의결함이나설계상의허점 ( 허점을이용하여데이터유출, 변조및삭제등 ) CCE : 단지시스템상의설정오류만찾아줌 ( 예 : 비밀번호변경주기등 ) (Common Configuration Enumeration) Nexpose 는 CVE 기반취약점스캐너로써시스템이가지는취약점을발견할수있으며알려진취약점공격뿐만 아니라제로데이공격의영향이될수있는위협대상자산을빨리발견하고조치할수있게해준다.
Heart Bleed 취약점제로데이공격사례 Yahoo.com 에서다른사람의아이디, 비밀번호가노출되는사례 FreeBSD 9.1 에서개인키값이보인사례
CVE (Common Vulnerabilities and Exposures) 취약점진단 RAPID7 모 CVE 기반국내솔루션 2014.04.07 CVE-2014-0160 취약점발견 2014.04.09 Update 2014.04.30 Update 2014 년 4 월 7 일발견된 OpenSSL Heartbleed 제로데이공격에 Rapid7 Nexpose 는이틀만에바로대응!!!
CVE (Common Vulnerabilities and Exposures) 취약점진단 RAPID7 모 CVE 기반국내솔루션 취약점정보없음 Rapid7 Nexpose 가상환경취약점인 VENOM 관련 16 개의취약점보유 (2015 년 5 월최신취약점실시간업데이트 ) 국내솔루션 가상환경취약점인 VENOM 관련취약점정보없음
보유보안취약점개수또는점검항목수 RAPID7 모 CVE 기반국내솔루션 63,000 개이상의취약점 DB 보유 150,000 개의취약점점검항목보유 10 배의취약점 DB 30 배의취약점점검항목 5,000 여개취약점 DB 보유 6,000 여개취약점점검항목보유
ISMS 인증심사기준 / 주요정보통신시설취약점평가지침 정보통신기반보호법제9조 주요정보통신기반시설취약점평가가이드 - 주요정보통신기반보호시설관리기관은매년취약점분석, 평가를실시하여야함 ( 주요정보통신기반시설확대, 13년 209개 현 292개 ) 실제 ISMS 규정내용은 CVE 취약점진단도포함하고있으나국내에서는 CCE 분야에한정된보안설정점검항목만준수하도록공공, 금융회사에배포하고있는상황 결국, CVE 기반취약점진단을강제하지않은결과 Heartbleed, Shellshock 와같은제로데이취약점출현시국내공공, 금융회사가즉각적이고체계적인대응을못하고있음
전자금융거래법에따른금융위원회보안점검강화지침 전자금융서비스의보안수준에대한사후적점검강화 1 금융회사의자체보안점검내실화유도 - 형식적으로이루어졌던신규서비스에대한 취약점분석평가 의평가항목및평가기준을내실화하여취약점분석평가운영을개선 * 금융회사는신규서비스출시시 1개월내에금감원에자체 취약점분석평가 실시결과를제출 ( 전자금융업법시행령제11조의5) 2 신종거래구조, 신종인증수단등을채택하여보안우려가있는신규전자금융서비스에대해서는사후검사강화 - 신규서비스출시전자체보안성심의의충실한수행여부점검등금감원정기검사시보안성검사강화 - 보안우려가큰중요 IT서비스에대해서는금감원이불시기동점검방식의적극적인테마검사수행 - 근래제로데이취약점을비롯한미국발주요위험경보에대한점검현황을상시 / 비상시적으로보고하도록지시 현황 자체보안점검의내실화를유도하는방향으로지침이변경되었으나여전히많은금융기업들은 기존의 CCE 기반진단항목만점검하는데목표를두고있는실정
국내보안취약점관리현황과자동화관리방식의비교 구분수동진단 [ 기존방식 ] 자동화진단 / 관리 [ Nexpose ] 진단주기년 1~2 회 / 일회성서비스수시진단 / 관리 수행결과 [1 일기준 ] Man / Months [ 50 대 Max. ] Man / Months [ Unlimited EA ] 무제한범위진단수행 수행방법자체제작스크립트 (Script) 진단수행에이전트없이네트워크를통한원격진단 수행범위샘플링 (Sampling), 부분적취약점만진단전수조사, 거의모든알려진취약점진단 신규도입 / 변경 비용 / 속도 자산의신규도입또는서비스변경시누락또는취약점장기간존재위험 고비용저효율방식으로고급인력참여기피 자산의신규도입또는서비스변경시즉시진단수행 지속적인비용및리소스절감저비용, 매우빠른진단속도 보고서수동으로작성 [ 텍스트형태의결과물 ] 다양한자동화보고서산출 조사범위 / 깊이 인력을통한스크립트기반진단수행진단범위제한적진단속도매우느림 잘알려진모든운영체제, 어플리케이션, 서버, 웹, DB, 유무선네트워크, 보안시스템등폭넓은영역을빠른속도로정확하게진단
보안의침해는단한대의취약한시스템으로부터발생 최근침해사고통계에따르면결국서버와사용자단말을통해데이터유출이증가하는추세 IT 인프라의고도화에따라통제되지않는자산및비인가서비스를통해보안위협이증가 IT 인프라의근본적보안관리문제에대한요구증대 Heartbleed 등의제로데이취약점위협에신속한대응이요구되는추세 취약점진단과모의침투테스트규정이강화된국내외컴플라이언스에대비한글로벌표준자동화솔루션검토 연도별데이터침해사고유형의순위
취약점관리자동화솔루션의역할 인증 접근통제 기밀성무결성 해킹대응 모니터링 안티바이러스 기술적보안 네트워크, VoIP, 무선 시스템 어플리케이션 방화벽 VPN 무선 IPS 네트워크접근제어 EAM( 통합인증관리 ) PMS 로그분석 SecureOS 및시스템엑세스컨트롤 EAM 유해사이트차단 SSL VPN 로그분석웹어플리케이션방화벽소스코드분석및코드수정 NMS ESM 자산관리시스템 스팸메일차단컨텐츠필터링 IPS/Virus Wall (UTM) Anti-Virus Anti-Malware 각보안제품들의기능이정상적으로수행되는지검증하는역할수행 DB DB 접근제어 VPN 무선 IPS OTP/Token DB 암호화로그분석 이벤트모니터링 PC EAM( 통합인증관리 VPN 무선 IPS PC 방화벽, 네트워크접근제어 자산관리 안티키로깅 Anti-Virus Anti-Malware 관리적보안 인적관리업무순환 / 서약퇴직자관리외주업체관리 정보자산관리진단 / 감사교육비상계획 자산분류 위험평가 인증 보안진단 보안감사 정보자산평가 전문기술습득 인식제고교육 교육수준평가 계획 / 대책수립 대응조직구성 훈련 침해사고대응보안사고접수보안관제침해사고대응 보안취약점진단은관리적보안영역에속함
개발사소개 - RAPID7 1 2 주요사항 본사 : 미국보스턴 90+% CAGR from 2004 to 2014 90개국 3,900여곳의고객 솔루션 3나스닥상장 4 업계평가 2015 년 7 월 17 일 IPO
보안취약점분석 / 관리솔루션의리더 세계최고수준의취약점진단기술 2014/2015 년 최고의 취약점관리 솔루션으로 2013 년가트너에서 Strong Positive 로 최고등급선정 선정 보안리서치영역의리더최신위협동향을반영고객과긴밀한파트너쉽 Metasploit 설립자이며 Rapid7의 CRO인 HD Moore에의해리딩 200,000 오픈소스커뮤니티에공헌하는전세계 20만명의회원들 LABS 200+ IT 환경전반에대한 취약점분석의 All-In-One 솔루션세계에서가장많이사용되는모의침투테스트솔루션 올해 12 개연합 프로그램에참여한 200여고객과파트너십 96%+ Frontline 에서 기술지원으로 97% 고객만족평가
해외시장평가 Strong Positive Source: Forrester Wave for Vulnerability Manag ement, Q2/2010 Source: Gartner, Market Scope for Vulnerability Assessment, Sep. 2013
마켓쉐어 November 2015 Worldwide Device Vulnerability Assessment Revenue Share by Vendor, 2014 IDC WW Device Vulnerability Management Assessement Market Share by Vendor Published Published Published Market Share CAGR 8/2013 8/2014 11/2015 Gain Growth% 2012 2013 2014 Qualys 14.50% 14% 13.30% -0.7% -4% Rapid7 8.70% 10.90% 12.40% 1.5% 20% McAfee 9% 8.60% 7.90% -0.7% -6% Tenable 7.20% 7.90% 9.20% 1.3% 13% ncircle/tripwire 5.30% 5.90% 5.30% -0.6% 1% Market Size US$569.5M US$628.4M US$784.5M 17.59%
78 개국 3,000 여고객 Technology/ Communication Retail/ Wholesale Energy Financial Services Healthcare Manufacturing Education Media & Entertainment Public Sector Government Other
국내주요레퍼런스 기업 IT 기업금융관공서기타
Nexpose Enterprise 포괄적가시성 위협및위험관리모델 컴플라이언스단순화 물리적, 가상화자산을포함한 IT인프라전체자산과어플리케이션자동식별 취약점과보안설정의통합진단 Nexpose에서탐지된취약점을 Metasploit 모의침투테스트로검증 실제위험과실제환경을기반으로리스크우선순위화 PCI DSS, FISMA, HIPPA, SOX, GLBA, NERC CIP, CIS 컴플라이언스별다양한기준점제시및보고서제공
Nexpose Enterprise 의차별화된특장점 통합전수 main 검사 title 다양한네트워크장비및시스템을한번에취약점전수검사 6 만개이상의취약점을 150,000 개의체크방법으로점검 스캔엔진의main 정확성title 빠른탐지속도 main title 실제위험요소로취약점위험을 main 평가title 미국샌디아국립연구소에서 NASA 를위해개발한 JESS 기반의인공지능스캔엔진 계층별로연관성있는취약점을연속적으로탐지해들어가는해커의접근방식알고리즘 1% 미만의오탐율로정확성이뛰어남 64bit 기반엔진으로, 대량의서버전수검사시탐지속도가빠름. 10 대동시진단, 서버 1 대평균스캔시간 5 분내외 취약점중실제로악성코드감염이나 Exploit 가능한취약점을자동으로산출하여실제적위험지표에따라조치순서와솔루션을제공 강력한자산식별및관리기능 IT 자산별특성을자동분류하는강력한자산그룹관리기능 보안관점에서자산별특성및중요도를관리자가원하는대로입력및분류 풍부한리포트 main title main title 외부솔루션과정보공유를위한유연한연동 20 가지이상의미리정의된리포트형식을지원하고수정편집가능 리포트정보의공유로관리자가원하는외부리포트서식으로출력 자체모의해킹솔루션 Metasploit 과 UI 로연동하여모의해킹결과에따른실제위험을자동검증 Open API 를제공하여취약점데이터공유및원격제어를위해외부보안관리시스템과연동 세계 30 여글로벌회사의유명한보안솔루션들과데이터상호연동구현
Nexpose Enterprise 솔루션의기대효과 가시성확대 - 시스템및네트워크의보안취약점파악 - 양호 상태의변경원인파악 ( 예 : 구성 ) - 목표지수를이용하여인지, 행동, 의무수행 보안위험의우선순위관리 - 방어에필요한데이터산출 - 단순한보안취약점만이아닌, 이용가능성에따른치료방법의우선순위설정 - 위험해결을위한수치화가가능한대책마련 자동화 - 평가와치료주기의자동화 - 데이터정확성증가를위한지속적인평가가능 - 업무연관 IT위험의영향산출 위협대비 효율성증가 업무생산성증대
모의침투테스트의필요성 발견된취약점의위험을검증 보안통제장치들의실제효력을시험 사용자들의보안인식을향상 패스워드정책의검증테스트및감사 침해공격가능한시스템검출 침해공격상황의영향분석 PCI 와같은컴플라이언스요구
Metasploit Pro 모의침투테스트 보안취약점검증 피싱시뮬레이션 실제적인해킹공격을안전하게시뮬레이션하여보안실태점검 자동화된툴을통해모의침투테스트를 45% 빠르게수행 리스크실제증명을위해취약점검증 Nexpose와 Closed-Loop 방식으로연동 피싱관련사용자의식을평가및교육하여사용자로인한리스크경감 스피어피싱및파밍등다양한사회공학적공격기법제공
Metasploit Framework vs. Metasploit Pro 토픽 Metasploit Framework Metasploit Pro 생산성 공격적보안에집중된오픈소스프로젝트 오픈소스프로젝트를발판으로, 45% 의시간절약 ( 사용자조사결과 ) 회피 (Evasion) 취약점검증 피싱 (Phishing) Anti-virus 와 IPS 회사가오픈소스 Metasploit Framework 으로그들의솔루션을테스트 취약점검증솔루션에결과를반영하지못하고수작업에의한분석결과처리 피싱, SET 와의통합구축없음. 설정에시간소모 리포팅없음 Metasploit Pro 는 AV 와 IPS 를자동적으로회피하는 Dynamic Payload 와 Stage Encoding 제공 Nexpose 와의자동화된임포트, 취약점검증, 그리고단일화된검증과예외리포트를통하여, Closedloop 취약점검증과시간절감제공 독립된피싱캠페인화면제공 모의침투테스트를위한빠르고쉬운피싱캠페인 리포팅을통한보안의식평가 지원 Community 24/7 Technical Support & Community
Metasploit Pro Workflow
Metasploit Pro 모의침투테스트솔루션 외부공격자 ( 해커 ) 와같은방법을사용하여조직의다양한네트워크방어체계에대한통합검증수행 테스트자산에대한안전한공격시뮬레이션 세계에서가장신뢰도가높은검증된취약점공격모듈선별 NEXPOSE와함께사용하여실제보안위험상태를검증 소셜엔지니어링 ( 피싱기법 ) 과로그인인증검사를통해, 조직의보안인식과방어상태측정및관리 VPN PIVOTING 및 PROXY PIVOTING과같은정교한공격에대한대응훈련 수동침투테스트대비 45% 이상빠른수행 취약점우선순위에 기반한검증 개인유저에대한 피싱위험도검증
보안취약점검증 ( 상호연동 ) 1. 익스플로잇가능성있는 취약점파악 확인된리스크 2. 넥스포즈로부터스캔결과 자동전송 취약점분석및보안설정평가 5. 치료를위해검증된취약점 우선순위분석 검증된실제리스크 4. 넥스포즈로결과자동 재전송 침투테스트및위협, 리스크검증 3. 익스플로잇가능성증명을 위해간이마법사사용 EXPLOIT : 공격용코드 ( 즉악의적인목적을위해만든소스코드 )
RAPID7 솔루션의활용사례 IT 시스템전체에대한실시간가시성확보로보안취약점전수및상시진단 Agentless 방식의자동진단으로시간및비용절감 ( 수천대의 IT자산보안취약점을단하루만에진단가능 ) 하트블리드와같은긴급조치가필요한취약점대상시스템자동식별및분류 인가되지않은장비 ( 비인가 AP, NAS 등 ) 및시스템자동식별 물리적시스템뿐만아니라가상화및클라우드인프라에대한보안취약점점검및관리 데이터센터통합, 증축및이전, 해외신규사업장오픈전 IT 인프라에대한취약점점검및검증 신규시스템 ( 예 : 서버 ) 도입시사내네트워크연결전보안취약성점검 기존사용중인보안시스템 ( 예 : 방화벽 ) 에대한지속적인보안취약점관리 급증하는 IoT 장비관련취약점점검, 관리
감사합니다. 준정보통신 (RAPID7 공인 Elite Partner) JUN Information & Communications 담당자 : 이경목상무연락처 : 010-9734-5324, kmlee@junic.co.kr http://www.junic.co.kr