The Leader in Computer Forensics and Incident Response Solutions EnCase Enterprise 쿠퍼스시스템즈 2009. 4
Agenda P A G E 1 1. 기업활동과정보보안개요 2. EnCase Enterprise 개요 3. EnCase Enterprise 제품개요 4. EnCase Enterprise 제품구성 5. EnCase Enterprise 제품구성도 6. EnCase Enterprise 기대효과 7. EnCase Enterprise 교육 ( 기술지원 )
1-1. 정보보안침해로인한기업의위험 P A G E 2 디지털지적자산손실 기업기밀정보유출 고객정보유출 직접적피해 간접적피해 잠재적매출손실 브랜드이미지실추 경쟁적우위저하 신용도위협 기업활동에치명적위협 자본의비효율적인운용 비즈니스연속성결여 기업정보비효율적사용 복구비용발생 생산성저하 법적피해 주요계약파기에대한위협 프라이버시보호실패 불법적인활동 임원에대한불신
1-2. 기업활동에있어서 IT Compliance 필요성 P A G E 3 IT Compliance 는기업의리스크관리및투명성강화를위해해당기업에대해서정부나관련기관들이강제사항으로규제하는각종규제법안의요건들을만족시킬수있도록기업의 IT 측면에서이를준비하고관련시스템을재정비하는것을의미한다. 규제법안의시초는 1988 년 7 월국제결제은행내의바젤위원회에서금융기관들의각종리스크증대에대처하고자자기자본규제에대한기준을설정한바젤 I 이시초이며, 현재는그기준을강화한바젤 II 가준비되고있다. 국내의규제로는정통부가주요기업을대상으로고시한 전산망안전신뢰성기준 과금융정보화추진분과위원회에서마련한 금융정보망안전대책강화방안 등이있다.
1-3. 정보보안의의무화를강제하는법규의등장 P A G E 4 미국의회는기업의경영전략과목표의효율성제고및기업의반도덕행위로부터투자자의보호를위해 2002 년 Sarbanes-Oxley (SOX) 법안을제정하였다. 이는미국내법인뿐만아니라미국증시에주식예탁증서를발행하였거나, 직상장되어있는국내의기업들도해당되며, 또한국내에서도국내기업들을대상으로 SOX 와거의유사한 신회계개혁법 이발의, 입법중이다. Section 806 Section 1107 Section 301 Section 802 Infrastructure 부정행위발견보고직원에대한보호규정 부정행위에대한진술및조사요구에대한처리 증거보존및증거인멸에대한책임 Internal Investigation Infrastructure Internal Investigations Enterprise Computer Forensics = Best Practices 모든증거자료 디지털 탈세, 횡령, 뇌물에해당하는화이트칼라범죄에대한컴퓨터상의증거자료 증거자료는신속하고완벽한방법으로수집, 분석, 보존 Section 302 CEO/CFO 의내부부정행위에대하여발표하고내부통제에대한평가에대한의무 Section 409 적시보고체계요건 증권위원회법 44969 증거자료확보및제출에대한의무법제화 Section 404 효율적인내부통제요건
1-4. IT Compliance 를위한보안관리인프라체제강화 P A G E 5 상호보완및새로운개념의보안인프라구축 보안기능의통합 Enterprise Security Management 기업경영활동의투명성보장을위한규제에대응하고급변하는환경에대처할수있는 IT Infrastructure 의구현 회계규정및내부통제시스템구축 정보접근및보안관리, 감사시스템구축 컴퓨터보안위험요소 기업의신뢰성보장을위한규제및환경에능동적대처 IT Compliance 기업의투명성재고를위한법규대응미비 바이러스침해사고 기업 / 개인정보유출 트래픽증가에따른인터넷취약성 해킹 / 바이러스툴의공개화 기업내 / 외부불법행위발생 기업이미지및신인도실추 고객불만가중및이탈 비즈니스연속성위협 시스템인프라의심각한혼란초래
1-5. IT Compliance 가요구하는주요보안기능 P A G E 6 Visualize Uncover Investigate 보안사고조사및재발방지 보안정책강화 실시간네트워크모니터링 트랜잭션데이터수집및 Knowledge Base 에저장 타보안시스템및네트워크관리시스템으로부터로그수집 네트워크 Map 구현및시각화 트래픽볼륨, 트래픽소스사용자 ID, 내용물종류및시간에의거한데이터분석 보안위반행위에대한소스및패턴분석 특정사용자및정보에대한추적과정시각화 보안위반행위패턴 이벤트에대한플레이백 의심행위에대한사전보고및시각적자료생성 핵심보안및네트워크정보에대한보고
1-6. 일반적보안관리의문제점 P A G E 7 블로킹제지물탐지 외부인 직원 파트너 경영간부 디지털자산 $$$ Brand Value 물리적, 가상장애물정책과법률샘플링정보감사 자산 장애물들이접근을방지하지만숙련된자가우세합니다 제지물들이접근을방지하지만결심한자가우세합니다 탐지과정이접근을방지하지만은밀한자가우세합니다
1-7. Computer Forensic 의대두 P A G E 8 Computer Forensic 정의 컴퓨터관련보안사고 ( 범죄포함 ) 에대한법적증거자료가법적증거물로서제출될수있도록증거물을 수집, 복사, 분석, 제출하는일련의행위 Computer Forensic 의목적 컴퓨터범죄를행하는범죄자를빠른시간안에정확하게찾아냄 행위에이용된증거확보를통한법적대응을가능하게함 컴퓨터범죄를지속적으로감소시킴 Computer Forensic 의유형 디스크포렌식스 (Disk Forensics) 네트워크포렌식스 (Network Forensics) 전자우편포렌식스 (E-mail Forensics) 인터넷또는웹포렌식스 (Internet or www Forensics) 휴대정보기기포렌식스 (Mobile device Forensics) 데이터베이스포렌식스 (Database Forensics)
1-7. Computer Forensic 의대두 P A G E 9 Computer Forensic 의기술 디지털증거물획득기술 -디스크쓰기방지 -비트스트림복제 디지털증거물분석기술 -디렉토리/ 파일열람 -로그/ 프로세스분석 -패턴검색및열람프로그램호출 -해시/ 시그니쳐 / 시계열분석 -삭제된파일 / 전자우편 /DB 복구 -암호화파일볼호화및패스워드크랙 -증거물저장 / 관리및보고서작성 / 생성 증거의무결성확보기술 - 해쉬함수 / 메시지다이제스트
2-1. 보안침해대응의해결책 : EnCase 솔루션 P A G E 10 1997 년에설립된 Guidance Software 는전세계적으로컴퓨터조사용솔루션업계의리더로인정받고있습니다. Guidance Software 사의 EnCase 솔루션은기업, 정부및법집행기관으로하여금데이터의과학수사적무결성을유지하는동시에모든유형의컴퓨터조사를효율적으로수행하고 ediscovery 요청을신속하게처리하며디지털증거와관련된내부조사를빠르고철저하게수행할수있도록해주는, 법진행기관과기업조사모두를위한토대를제공합니다. 2 만명이상의조사관이 EnCase Software 를사용하고있으며매년 5 천명이상의조사관들이 Guidance Software 의과학수사방법론교육에참여하고있습니다. 전세계의수많은법원이인증한 EnCase Software 는 eweek, SC Magazine, Network Computing 및기타매체로부터최고의보안소프트웨어로인정받고있습니다.
2-2. EnCase 제품소개 P A G E 11 EnCase Software 는 Network 에접속되어있는 Server 및 PC 들를대상으로침해사고대응및내부통제를할수있는기업전용 보안감시통제솔루션 입니다. EnCase Software 는기업내 / 외부컴퓨터보안관련사고에즉시대응하며, 보안사고에대한정보를수집, 분석, 증거자료확보및사전감사절차를체계화할수있는 통합보안평가관리체계 을제공합니다
2-3. 통합보안관리에서의 EnCase Enterprise P A G E 12 Encase Software 는컴퓨터와관련된보안침해사고에실시간으로대응하며조사 ( 감사 ) 에필요한정보의수집, 분석및증거자료확보를위한 Infrastructure 를제공함으로써효율적인 통합보안관리체계 구축을지원합니다. 엔터프라이즈조사기반확립 Fraud Detection ( 부정수단발견 ) ediscovery/audit ( 디지털문서감사 ) Computer Related Incident Response ( 컴퓨터와관계된침해사고대응 ) 내부통제관리 내부정책및규정통합관리 Timestamp 을통한디지털문서의 History 관리 고객정보 / 내부기밀문서에대한통제및 Tracking 법정소송사건지원 정보감사와디지털자산보호 ZERO-DAY 공격대응
3. EnCase Enterprise 기능 P A G E 13 3.1 EnCase Enterprise 기본기능 시스템중단없이사고에즉시대응 시스템의실행중인네트워크세션, 열린파일및실행중인프로세스를포함한휘발성데이터캡처분석 중앙에서 LAN/WAN 상의시스템을안전하게조사, 분석가능 Deleted, Renamed File들을검색또는복구가능 동시에여러대의시스템의 HDD를조사및분석 법정에서인정하는방식으로데이터수집및보존 법집행기관및법무대리인과증거파일공유 문서의수집, 분석및보존할수있는 ediscovery 를효율적이고효과적으로수행가능 승인되지않은프로세스및네트워크연결에대한개별또는다중시스템감사가능 제로데이공격에의한손상에대비한시스템감사 Windows 기반커널 Hidden Processor 및루트킷확인및자동대응 SCSI, USB, EIDE Device 사본작성가능 ( 무결성보장 ) 암호복호화가능 (EDS 추가시 ), IE, EFS, Outlook등 FAT12, FAT16, FAT32, NTFS, HFS, HFS+, UFS, Solaris, AIX, JFS, JFS2, Ext2/3, Reiser, Pal, CDFS, Joliet, UDF, 지원가능
3. EnCase Enterprise 기능 P A G E 14 3.2 하드디스크및휘발성데이터분석기능 Data At Rest Volatile Data Forensics Concurrent Connections let you: 동시에여러 Target node 의 disk 를조사및분석할수있게합니다. Target node 의 Data 를획득하거나보존할수있게합니다. Snapshot Concurrent Connections let you: 1000 대이상의 Target node 를 30 분안에스캔이가능합니다. 원하는특정시점에조사하고자하는컴퓨터의 Volatile Data( 휘발성데이터 ) : Physical Memory, Open Port, Open Files, Running Process 등를확보하여컴퓨터포렌식조사범위를확장시키며침해사고의원인을분석할수있습니다.
3. EnCase Enterprise 기능 P A G E 15 3.3 ediscovery/audit Service - 디지털문서검색및수집기능 EnCase ediscovery Suite 를이용하여업무의중단없이전체네트워크의모든시스템에대한문서의수집및문서에대한 Tracking 을제공합니다. Search, Acquire, and process Only Potentially Relevant Data Process Data Legal Review and Analysis 디지털문서의검색및수집을위한자동화기능제공 검색된시스템및수집도중각시스템에서수집된파일수를추적하는내장형 DB 제공 관련메타데이터를보존하면서개별파일 / 문서를검색하고수집가능 수집도중데이터검색및필터링제공 다음조건으로검색및분석제공 File type (.doc,.xls,.ppt ) Key words ( 검색고유내용 ) Metadata ( 생성, 수정또는최근액세스날짜및시간, etc.) Hash values ( digital fingerprints ) Custodians (by user name or SID) Foreign Language Support (Unicode and code pages) Produced Documents
3. EnCase Enterprise 기능 P A G E 16 3.4 ediscovery/audit Service - 디지털문서검색및수집기능 대형지점 대상컴퓨터 중소지점 대상컴퓨터 1 Examiner 컴퓨터에서단일혹은다수의컴퓨터를대상으로관련데이터수집명령을실행 외부감사인 내부감사인 SAFE Examiner 대상컴퓨터 대상컴퓨터 2 조사대상컴퓨터에서관련데이터만집중조사 대상컴퓨터 3 EnCase 만의수집기능인 Metadata 를포함한검색결과는수집된후 Examiner 로전송됨 보고자료 DB Examiner 대상컴퓨터 4 수집된정보는감사용자료형식으로 DB 에전송되어보관됨 SAFE 대상컴퓨터 5 감사조직은보고서를작성함 본사 감사조직 EnCase ediscovery Suite
4. EnCase Enterprise 구성요소 P A G E 17 4.1 The SAFE 4.2 The Enterprise Examiner The SAFE (Secure Authentication For EnCase): PKI 인증, Examiner 접근제어, 사용자생성, 역할지정, 보안로그인을제공하여 Target 시스템에비트 - 레벨로접근할수있는사용자를관제하고통제할수있습니다. 128bit 산업표준 AES 로암호화된데이터스트림을사용하여 Examiner 와 Servlet 간의통신시안전하게정보가교환되고가로채이지않도록합니다. 시스템요구사항 Windows 2000 혹은 2003 Server 1.6GHz 이상의인텔혹은 AMD 프로세서 512MB 이상의메모리 (1GB 권장 ) 1 USB Port 서버용 NIC The Enterprise Examiner: 허가된조사관의컴퓨터에설치되어침해대응, 조사및감사를행하는 S/W 입니다. SAFE 로로그인하여권한과역할을확인받은후대상네트워크노드로포렌식업무와조사를진행합니다. 시스템요구사항 Windows 2000, XP, 혹은 2003 Server 3GHz 이상의인텔혹은 AMD 프로세서 1GB 이상의 RAM (2GB 이상권장 ) 1 USB Port 증거수집자료의보관을위한저장장치탑재권장
4. EnCase Enterprise 구성요소 P A G E 18 4.3 Servlet The Servlet (on Target Nodes) 조사대상컴퓨터나서버에설치되어모니터링을가능하게하는기존시스템과충돌하지않으며자동업데이트하는 Passive S/W Agent 입니다. 대상시스템에서서비스, 프로세스, 혹은실행파일형식으로자동혹은수동으로실행할수있고원하는경우일반유저에게보이지않도록 Hidden 설정도가능합니다. 통신 Port 와 Process 이름등은사용환경에맞게설정가능합니다. Examiner 가 SAFE 를통한인가된명령을내릴때까지는시스템에서동면상태입니다. 원격으로자동화설치가가능합니다. 현재지원가능한시스템은다음과같습니다. Windows 95, 98, Me, NT, 2000, XP 와 2003 Server Linux 커널 2.4 이상 (Red Hat, Suse, Mandrake 배포판 ) AIX 4.3, 5.1, 5.2 와 5.3 Apple OS-X 10.2, 10.3 과 10.4 Sun Solaris 8, 9 (32bit 64bit 모두지원 ) 4.4 Enterprise Connection Enterprise Connection Examiner 와조사대상컴퓨터사이에이루어지는가상의보안접속입니다. Concurrent Connection 수는동시에분석할수있는컴퓨터의수량을의미합니다. Concurrent Connection 의수는 License 에의해결정됩니다. 다수의컴퓨터를논리적 / 물리적차원에서개별적으로검사및분석가능케합니다. 포렌식차원에서활용가능한데이터를수집하고확보하게합니다.
4. EnCase Enterprise 구성요소 P A G E 19 4.5 Snapshot 4.6 Professional Suite( 선택사양 ) Snapshot (Incident Response Analysis) 원하는특정시점에조사하고자하는컴퓨터의 Volatile Data( 휘발성있는데이터, Physical Memory, Open Port, Open Files, Running Process 등 ) 를확보하여전통적인컴퓨터포렌식조사범위를확장시키며작업진행속도를향상시킵니다. 30 분에 10,000 대이상의컴퓨터를검색할수있습니다. 정상데이터, 악성데이터, 미확인데이터를빠른속도로식별합니다. IDS/SIM 등과연동하여실시간침해사고대응이가능하게합니다. PDE Module(Physical Disk Emulator): 포렌식업무에서용의자의 OS 환경으로부팅하여조사하는것은필수입니다.. PDE 모듈과 VMWARE 의조합은 EnCase, DD, SafeBack 등의증거파일을가지고즉시용의자의 OS 환경으로부팅하여안전하게 ( 쓰기작업없이, 디스크복원없이 ) 과학적인수사를가능하게함. VFS Module(Virtual File System): EnCase, DD, SafeBack 등의증거파일을읽기전용네트워크드라이브로마운트하여윈도우익스플로러가접근할수있게합니다. 미디어에바이러스검사를수행하여 Rootkit 이나 Trojan 을검출하고조사자가가지고있지않은많은응용프로그램을실행할수있게합니다. EDS Module(Encase Decryption Suite): 그동안한국으로의수출이제한되어있으나 2005 년부터제품공급이가능하게되었습니다. 윈도우 2000/XP 등의 OS 에서 폴더암호화 수행으로 EFS 가설정된경우 EFS 복호화를성공적으로수행할수있는전세계적으로유일한툴입니다. 인터넷익스플로러등에서자동으로입력된암호를추출및 Outlook2003 등의암호를복호화할수있습니다.
5. EnCase Enterprise 구성 P A G E 20 5.1 Encase Enterprise 논리적구성도 Local Si Network Remote SQL Concurrent Connection Snapshot Si TCP/IP Windows Even t& Reporting Database Examiner TCP/IP Windows Examiner SAFE TCP/IP Windows SAFE Servlet TCP/IP Windows 사용자 사용자 Local 에 Target node 를조사할수있는 Examiner 와 Examiner 에서수집된 Data 를저장할수있는 DB 를설치합니다. Examiner 의권한을관리할수있는 SAFE 를설치합니다. Remote 에있는 Target node 에 Servlet 를설치합니다.
5. EnCase Enterprise 구성 P A G E 21 5.2 Encase Enterprise 네트워크구성도 Remote A Local 에설치된 Examiner 가 SAFE 의관리하에정책에따른 감사와 Local 및 Remote PC 의 Fraud 를감시합니다. Target Node Remote B Remote Group 마다 SAFE 를따로구성하여실정에맞게관리를 할수있습니다. Target Node Aggregation Database Remote Y SAFE Si Network Examiner Target Node Remote Z Examiner Local Target Node
6. EnCase Enterprise 기대효과 P A G E 22 사용자들의활동정보와네트워크에대한정보부족은큰문제를만들어냅니다. 바이러스및해킹침해사고발생 내부부정및기밀유출사고발생 사건 / 사고사후대처로인한문제점발생 The Best SECURITY ever Zero Day 사건들에즉시대응합니다. 다운타임없이컴퓨터보안사건에대한분석을원격으로수행할수있습니다. 네트워크침입사건이일어난후에철저한원인분석을완수할수있습니다. 모든사고에대해네트워크포렌식조사를수행할수있습니다. Encase Software 를적절히결합시켜이러한문제들을방지하고완화해드리고동시에시간, 비용을절약해드립니다.
7. EnCase Enterprise 교육 P A G E 23 7. 교육훈련지원 Guidance Software 에서준비한 14 가지의 EnCase 전문교육과정중해외또는국내에서개설되어진행되는 정규과정이준비될시담당자가해당교육과정에참석하여수강할수있도록지원합니다.
P A G E 24 감사합니다 Q & A 영업문의 : 장영진이사 silbaram@coupers.co.kr, 010-3455-6431