<4D F736F F F696E74202D BAB8BEC820C0CEC5DAB8AEC0FCBDBA20B1E2B9DDC0C720C2F7BCBCB4EB20B3D7C6AEBFF6C5A920C6F7B7BBBDC45FB3AAB

Similar documents
<4D F736F F F696E74202D20315FB9DAC7FCB1D920BACEC0E55FC0CEBCE2BFEB2E707074>

PowerPoint 프레젠테이션

정보보안의현재 2

Copyrights and Trademarks Autodesk SketchBook Mobile (2.0.2) 2013 Autodesk, Inc. All Rights Reserved. Except as otherwise permitted by Autodesk, Inc.,

[Brochure] KOR_TunA

배경및개요

Product A4

0125_ 워크샵 발표자료_완성.key

Copyright IBM Corporation 2015 한국아이비엠주식회사 ( ) 서울시영등포구국제금융로 10 서울국제금융센터 (Three IFC) TEL : (02) IBM 보안인텔리전스 QRadar 솔루션 20

커버컨텐츠

슬라이드 1

- 2 -

Copyright 2012, Oracle and/or its affiliates. All rights reserved.,.,,,,,,,,,,,,.,...,. U.S. GOVERNMENT END USERS. Oracle programs, including any oper

Oracle® DIVAnet - 보안 설명서

IBM Innovate 2010 Session Track Template

QRadar Network Insights_소개_2017_CO

사용시 기본적인 주의사항 경고 : 전기 기구를 사용할 때는 다음의 기본적인 주의 사항을 반드시 유의하여야 합니다..제품을 사용하기 전에 반드시 사용법을 정독하십시오. 2.물과 가까운 곳, 욕실이나 부엌 그리고 수영장 같은 곳에서 제품을 사용하지 마십시오. 3.이 제품은

서현수

<32382DC3BBB0A2C0E5BED6C0DA2E687770>

PI ZH-CN

11¹Ú´ö±Ô

No

토익S-채용사례리플렛0404

Office 365, FastTrack 4 FastTrack. Tony Striefel FastTrack FastTrack

MOVE TO THE LEFT OF THE KILL CHAIN AND STOP THE BAD GUYS MOVE TO THE RIGHT

5th-KOR-SANGFOR NGAF(CC)

미디어 및 엔터테인먼트 업계를 위한 Adobe Experience Manager Mobile

< FC1A4BAB8B9FDC7D D325FC3D6C1BEBABB2E687770>


< BFCFB7E15FC7D1B1B9C1A4BAB8B9FDC7D0C8B85F31352D31BCF6C1A4C8AEC0CE2E687770>

hwp

Model Investor MANDO Portal Site People Customer BIS Supplier C R M PLM ERP MES HRIS S C M KMS Web -Based

DR-M140 사용 설명서

Æí¶÷4-¼Ö·ç¼Çc03ÖÁ¾š

APOGEE Insight_KR_Base_3P11

HTML5* Web Development to the next level HTML5 ~= HTML + CSS + JS API

F1-1(수정).ppt

*금안 도비라및목차1~9

,,,,,,, ,, 2 3,,,,,,,,,,,,,,,, (2001) 2

Microsoft PowerPoint - G3-2-박재우.pptx


vm-웨어-앞부속

*금안14(10)01-도비라및목차1~12

Copyright 0, Oracle and/or its affiliates. All rights reserved.,.,,,,,,,,,,,,.,...,. U.S. GOVERNMENT RIGHTS Programs, software, databases, and related

한아IT 브로셔-팜플렛최종

IBM Presentations: Blue Pearl DeLuxe template


Output file

06_À̼º»ó_0929

<BFA9BAD02DB0A1BBF3B1A4B0ED28C0CCBCF6B9FC2920B3BBC1F62E706466>

810 & 는 소기업 및 지사 애 플리케이션용으로 설계되었으며, 독립 실행형 장치로 구성하거 나 HA(고가용성)로 구성할 수 있습니다. 810은 표준 운영 체제를 실행하는 범용 서버에 비해 가격 프리미엄이 거의 또는 전혀 없기 때문에 화이트박스 장벽 을

목 차 1. 서론 1.1. 문제 제기 및 연구 목적 1.2. 연구 대상 및 연구 방법 2. 교양 다큐 프로그램 이해 3. 롤랑바르트 신화론에 대한 이해 3.1. 기호학과 그 에 대하여 3.2. 롤랑바르트 신화 이론 고찰 4. 분석 내용 4.1. 세계테마기행 에 대한 기

API 매뉴얼

00내지1번2번

< FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>

OMA Bcast Service Guide ATSC 3.0 (S33-2) T-UHDTV 송수신정합 Part.1 Mobile Broadcast (Open Mobile Alliance) 기반 Data Model ATSC 3.0 을위한확장 - icon, Channel No.

소프트웨어개발방법론

<4D F736F F F696E74202D F20B0EDB0B420BAD0BCAE20C1F8B4DC20B9D7204A756D BCADBAF1BDBA20BCD2B0B32E707074>

라우터

Intro to Servlet, EJB, JSP, WS

Migrating to Multi Cloud Securely with Confidence Think Korea Douglass Wilson Distinguished Engineer, IBM Security Connect June 2019 IBM Securit

2016

: Symantec Backup Exec System Recovery 8:

QRadar Incident Forensics

지능정보연구제 16 권제 1 호 2010 년 3 월 (pp.71~92),.,.,., Support Vector Machines,,., KOSPI200.,. * 지능정보연구제 16 권제 1 호 2010 년 3 월

10방송통신서비스_내지최종

±èÇö¿í Ãâ·Â

<4D F736F F F696E74202D203137C0E55FBFACBDC0B9AEC1A6BCD6B7E7BCC72E707074>

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론


Microsoft PowerPoint - XP Style

피해자식별PDF용 0502

TTA Journal No.157_서체변경.indd

요 약 문 1. 제목 : 개인정보 오남용 유출 2차 피해 최소화 방안 2. 연구의 배경 개인정보란 살아 있는 개인에 관한 정보로서 개인을 알아볼 수 있는 정보로 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다.

○ 제2조 정의에서 기간통신역무의 정의와 EU의 전자커뮤니케이션서비스 정의의 차이점은

*금안 도비라및목차1~17

커버콘텐츠

08SW

06_ÀÌÀçÈÆ¿Ü0926

Cisco FirePOWER 호환성 가이드

BSC Discussion 1

슬라이드 1

<332EC0E5B3B2B0E62E687770>

Observational Determinism for Concurrent Program Security

이 설명서의 올바른 참고문헌 인용은 다음과 같습니다. SAS Institute Inc SAS University Edition: Amazon Web Services 용 설치 가이드 Cary, NC: SAS Institute Inc. SAS Universit

1.장인석-ITIL 소개.ppt

공급 에는 3권역 내에 준공된 프라임 오피스가 없었다. 4분기에는 3개동의 프라임 오피스가 신규로 준공 될 예정이다.(사옥1개동, 임대용 오피스 2개동) 수요와 공실률 2014년 10월 한국은행이 발표한 자료에 따르면 한국의 2014년 경제성장률 예측치는 3.5%로 지

about_by5

SANsymphony-V

<C0C7B7CAC0C720BBE7C8B8C0FB20B1E2B4C9B0FA20BAAFC8AD5FC0CCC7F6BCDB2E687770>

<31335FB1C7B0E6C7CABFDC2E687770>

민속지_이건욱T 최종


,,,.,,,, (, 2013).,.,, (,, 2011). (, 2007;, 2008), (, 2005;,, 2007).,, (,, 2010;, 2010), (2012),,,.. (, 2011:,, 2012). (2007) 26%., (,,, 2011;, 2006;

001지식백서_4도

Microsoft PowerPoint - SVPSVI for LGNSYS_ ppt

consulting

U.Tu System Application DW Service AGENDA 1. 개요 4. 솔루션 모음 1.1. 제안의 배경 및 목적 4.1. 고객정의 DW구축에 필요한 메타정보 생성 1.2. 제품 개요 4.2. 사전 변경 관리 1.3. 제품 특장점 4.3. 부품화형

,.,..,....,, Abstract The importance of integrated design which tries to i

네트워크 안정성을 지켜줄 최고의 기술과 성능 TrusGuard는 국내 최초의 통합보안솔루션으로서 지난 5년간 약 4천여 고객 사이트에 구축 운영되면서 기술의 안정성과 성능면에서 철저한 시장 검증을 거쳤습니다. 또한 TrusGuard는 단독 기능 또는 복합 기능 구동 시

Transcription:

2014 년 7 월 17 일 보안인텔리전스기반의차세대네트워크포렌식 나병준차장 bjna@kr.ibm.com 보안솔루션사업부한국 IBM 소프트웨어그룹 2014 IBM Corporation

Agenda 배경실시간보안인텔리전스와포렌식 Use Case 결언

오늘날 : 새로운위협에대한리소스관리와의싸움 공격의고도화복잡성의증가리소스제한 다자인된멜웨어 스피어피싱 지속성 백도어 정교한공격기법의증가 경계선의증발 보안침해의가속화 지속적인인프라변경 복수벤더로부터의너무많은제품들로인한구성과유지보수비용증가 적절하지못하고비효율적인툴들 전체조직하부의보안팀 진짜위협을발견하기에는데이터오버로드, 제한된리소스와기술이발목을잡음 컴플라이언스로인한관리와모니터링요청증가

성공적인보호를위해서는적절한솔루션이필요합니다 중요한위험과취약점은무엇인가? 향상된위협에대응할수있도록구성되어있는가? 지금시점에서발생하고있는보안인시던트는무엇인가? 조직에대한영향도는무엇인가? 취약성 침해이전 침해 침해이후 대응활동 예견 / 예방단계 대처 / 대응단계 조직의보안현황에대한가시성을확보하고보안정책과의 GAP 을식별함 APT 에대한조기경보를식별할수있는기준을선정하고기준과의차이점을탐지함 대응활동프로세스최적화를위한취약성우선순위를도출하고침해전핵심적인노출요소를찾아제거 빠른영향도분석을위해우선순위화된워크플로우를통한자동화된위협탐지 향상된보안 Analytics 를통해상황에대한완전한인식확보 근본원인을찾기위한시간단축을위해포렌식조사수행, 그결과를이용하여더빠른대응활동수행 보안인텔리전스조직에서가용한보안관련데이터에대한 Analysis 를통해액션가능한정보를획득함

내재된인텔리전스를통한자동화된위반행위식별 확장된데이터소스 보안디바이스 서버와메인프레임 네트워크및가상화활동 데이터활동 애플리케이션활동 구성정보 취약성과위협 사용자와 Identity 글로벌위협인텔리전스 자동화된위반행위식별 대규모의데이터축소 자동화된데이터수집, 자산발견과프로파일링 실시간의자동화된통합 Analytics 활동기준선설정과비정상탐지 Out-of-the box 규칙 ( 룰 ) 과템플릿 내재된인텔리전스 우선순위별인시던트 의심스러운인시던트

보안사고대응시매순간매순간이중요 사고로부터복구와가용한위협대응수단에는커다란차이가존재한다 엄청난데이터속에숨어있는진짜인시던트를식별하는어려움 지체되지않은빠른재추적과인시던트분석을수행하는데어려움이따름 정밀한관찰을수행하는데에전문적인기술이필요함 보안팀은위협을감지하고대응하는시간을줄여야한다. 혼란및시간낭비는공격자를돕는길이다.

현재의 PCAP 관찰

차세대네트워크포렌식 : 무엇이일어났는지를빠르게인지함 보안인텔리전스플랫폼은제한된 IT 보안리소스내에서강력한기능을제공 QRadar Incident Forensics 소개 : QRadar 의강점과결합하여고도의공격과데이터유출에대한조사과정및증거확보를최적화함 언제인시던트가발생하였는지정확하게알려줌 실제위반행위를발견하기위해 QRadar SIEM 과결합 검색엔진기술이적용됨 수초이내에자세한, 멀티레벨검색결과가도출됨 전체인시던트활동에대한빠른재추적을가능하게함 완전한세션재구성을위한풀패킷캡처 모든플로우, 사용자, 이벤트, 포렌식정보를위한단일화된뷰 시간순서에따른활동재추적 관찰및조사를위한도움제공 공격인자관계성을가시적으로구성 복수 ID 들에대해세밀한사용자와애플리케이션프로파일생성

QRadar 의인텔리전스를인시던트조사영역으로확장함 보안디바이스들애플리케이션액티비티 QRadar SIEM QRadar Incident Forensics 서버, 메인프레임 글로벌위협인텔리전스네트워크와가상액티비티취약점과위협들구성정보사용자와식별정보들 자동화된데이터수집과자산발견 실시간, 통합된분석 대량데이터의리덕션 비정상탐지 QRadar 에의해식별된오펜스들 풀 PCAP 포렌식 자세한인시던트메타데이터증거 컨텐츠와인시던트액티비티의재구성 데이터액티비티 데이터소스들추출식별조사

IBM Security QRadar Incident Forensics 구성모델 보안인텔리전스플랫폼 QRadar 보안인텔리전스 Console 끊김없는, 통합된단일 UI 대시보드 Tab 에새로운 Forensics 포함 인시던트조사 workflow 지원 QRadar Packet Capture 어플라이언스 풀패킷챕쳐수행 최적화된어플라이언스솔루션 확장가능한스토리지 QRadar Incident Forensics 모듈 어플라이언스, S/W, 버추얼어플라이언스 표준 PCAP 포맷지원 인시던트로부터 PCAP 을불러들여와포렌식을위한세션을재구성

변화된네트워크포렌식활동방법론 QRadar Incident Forensics 은작업의단순화, 결과가속화, 더향상된결과를가져오도록지원함 도입전 기술적으로훈련된포렌식연구가에의해수행 정해진타임프레임내에서비정상행위검색 위협행위자인지와악성조건에대한대응활동 도입후 인터넷검색엔진과같은단순함을통한직관화 보안 Analytics 를따르거나, 위협인텔리전스공급을통한방향성제시 완전한명확성을위한 step-by-step 움직임재추적 기대효과 포렌식 Analysis 를위한기술 GAP 극복 진짜위협을발견하고데이터분실을방지하는싸움에서의승리 근본원인을파악하고보안침해를방지

QRadar Incident Forensics 사용사례 네트워크보안 POS 시스템및연결된내부시스템으로부터고객결재데이터의승인받지않은복제를탐지 내부위협분석 가해자발견, 협력자들의식별, 악용된시스템지적및탈취된데이터문서화 사기탐지 복수의연결된상호작용을포함한, 복잡한금전세탁방법을밝혀냄 증거수집 보안시스템침투, 민감한데이터의삭제또는탈취등의불법행위들에대한증거를모음

QRadar 통합

명확한증거를획득하기위한인텔리전스제공 Digital Impressions 식별된 identity 추적을위한관련된데이터증거집성 확장된관계를보여주는 digital impression 의완전한가시성 Chat Social EMAIL Suspect Content 의심스러운행위를식별하기위한컨텐츠기반의룰셋정의 Entity Alert Scanning IP Botnet VoIP Web Network Content Categorization 메타데이터기반의컨텐츠의다이나믹분류및노이즈를필터아웃하기위한 X-Force Feed 지원

직관적인데이터탐색과검색 Surveyor 시간순서대로활동을재추적함 Searchable Results 특정데이터에대한빠른피벗을위한데이터 item 제공 Visual Analytics 데이터 item 들사이의상관관계파악을위한비주얼 Navigation 제공

세션재구성 - Inspectors Inspectors 는패킷으로부터정보를획득 1. 풍부한검색환경제공 IPAddress = 192.168.6.27 AND WebHost = bank AND Content: credentials Port = [ 774 TO 899 ] AND File = emaillist.doc 2. 사용자가가시적으로재구성된세션과이벤트를볼수있도록함 웹페이지 소셜네트워킹사이트 문서 인스턴트메시지 프로토콜

차세대포렌식의비교포인트 확장가능함 심플 인텔리전트 수백테라바이트에서페타바이트까지의데이터를검색하는포렌식분석 시간순서에따른활동에따라보안데이터와흔적을추적하는포렌식분석을수행하는데에초소한의기술요구 포렌식분석과생산성향상을가이드하는지식과통찰을파악함 (Digital Impression, 의심컨텐츠, 컨텐츠카테고라이제이션 ) 고속 강력함 상세화 포렌식분석에있어서빠른진행률을보이는검색 다양한데이터타입 ( 텍스트, 멀티미디어 ) 과언어를지원하는강력한검색과세선재구성기능 포렌식분석중추출가능한메타데이터와상세컨텐츠의가시화

보안인텔리전스아키텍처 IBM QRadar Security 인텔리전스플랫폼 Log Management NextGen SIEM Network Activity Monitoring Risk Management Vulnerability Management Network Forensics 미래 Northbound APIs Security Intelligence Operating System 실시간및분석기반워크플로우 실시간상관관계분석 / 자동화된보안분석 빅데이터스토어 / 웨어하우스 / 아카이빙 Southbound APIs 실시간정형보안데이터 비정형운영 / 보안데이터

명확한보안인시던트의라이프사이클을확보하십시오 베스트프랙티스의선제적공식화 새로운위협탐지방법을개발을위해명확한조사를수행 인시던트대응시간감소 근원지발견, 통신차단, 취약성패치 반복적침해위험을감소 영향도의전체범위를평가하거나보안정책과의 GAP 을최소화 보안침해를식별하기위한향상된능력 새로운공격기법을탐지하거나기손상된시스템을감지 컴플라이언스와의차이를탐지 고려되는조건하에서의사후분석수행

IBM Security Systems Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection and response to improper access from within and outside your enterprise. Improper access can result in information being altered, destroyed or misappropriated or can result in damage to or misuse of your systems, including to attack others. No IT system or product should be considered completely secure and no single product or security measure can be completely effective in preventing improper access. IBM systems and products are designed to be part of a comprehensive security approach, which will necessarily involve additional operational procedures, and may require other systems, products or services to be most effective. IBM DOES NOT WARRANT THAT SYSTEMS AND PRODUCTS ARE IMMUNE FROM THE MALICIOUS OR ILLEGAL CONDUCT OF ANY PARTY. www.ibm.com/security Copyright IBM Corporation 2013. 2014. All rights reserved. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any kind, express or implied. IBM shall not be responsible for any damages arising out of the use of, or otherwise related to, these materials. Nothing contained in these materials is intended to, nor shall have the effect of, creating any warranties or representations from IBM or its suppliers or licensors, or altering the terms and conditions of the applicable license agreement governing the use of IBM software. References in these materials to IBM products, programs, or services do not imply that they will be available in all countries in which IBM operates. Product release dates and/or capabilities referenced in these materials may change at any time at IBM s sole discretion based on market opportunities or other factors, and are not intended to be a commitment to future product or feature availability in any way. IBM, the IBM logo, and other IBM products and services are trademarks of the International Business Machines Corporation, in the United States, other countries or both. Other company, product, or service names may be trademarks or service marks of others. 20 2014 IBM Corporation