2014 년 7 월 17 일 보안인텔리전스기반의차세대네트워크포렌식 나병준차장 bjna@kr.ibm.com 보안솔루션사업부한국 IBM 소프트웨어그룹 2014 IBM Corporation
Agenda 배경실시간보안인텔리전스와포렌식 Use Case 결언
오늘날 : 새로운위협에대한리소스관리와의싸움 공격의고도화복잡성의증가리소스제한 다자인된멜웨어 스피어피싱 지속성 백도어 정교한공격기법의증가 경계선의증발 보안침해의가속화 지속적인인프라변경 복수벤더로부터의너무많은제품들로인한구성과유지보수비용증가 적절하지못하고비효율적인툴들 전체조직하부의보안팀 진짜위협을발견하기에는데이터오버로드, 제한된리소스와기술이발목을잡음 컴플라이언스로인한관리와모니터링요청증가
성공적인보호를위해서는적절한솔루션이필요합니다 중요한위험과취약점은무엇인가? 향상된위협에대응할수있도록구성되어있는가? 지금시점에서발생하고있는보안인시던트는무엇인가? 조직에대한영향도는무엇인가? 취약성 침해이전 침해 침해이후 대응활동 예견 / 예방단계 대처 / 대응단계 조직의보안현황에대한가시성을확보하고보안정책과의 GAP 을식별함 APT 에대한조기경보를식별할수있는기준을선정하고기준과의차이점을탐지함 대응활동프로세스최적화를위한취약성우선순위를도출하고침해전핵심적인노출요소를찾아제거 빠른영향도분석을위해우선순위화된워크플로우를통한자동화된위협탐지 향상된보안 Analytics 를통해상황에대한완전한인식확보 근본원인을찾기위한시간단축을위해포렌식조사수행, 그결과를이용하여더빠른대응활동수행 보안인텔리전스조직에서가용한보안관련데이터에대한 Analysis 를통해액션가능한정보를획득함
내재된인텔리전스를통한자동화된위반행위식별 확장된데이터소스 보안디바이스 서버와메인프레임 네트워크및가상화활동 데이터활동 애플리케이션활동 구성정보 취약성과위협 사용자와 Identity 글로벌위협인텔리전스 자동화된위반행위식별 대규모의데이터축소 자동화된데이터수집, 자산발견과프로파일링 실시간의자동화된통합 Analytics 활동기준선설정과비정상탐지 Out-of-the box 규칙 ( 룰 ) 과템플릿 내재된인텔리전스 우선순위별인시던트 의심스러운인시던트
보안사고대응시매순간매순간이중요 사고로부터복구와가용한위협대응수단에는커다란차이가존재한다 엄청난데이터속에숨어있는진짜인시던트를식별하는어려움 지체되지않은빠른재추적과인시던트분석을수행하는데어려움이따름 정밀한관찰을수행하는데에전문적인기술이필요함 보안팀은위협을감지하고대응하는시간을줄여야한다. 혼란및시간낭비는공격자를돕는길이다.
현재의 PCAP 관찰
차세대네트워크포렌식 : 무엇이일어났는지를빠르게인지함 보안인텔리전스플랫폼은제한된 IT 보안리소스내에서강력한기능을제공 QRadar Incident Forensics 소개 : QRadar 의강점과결합하여고도의공격과데이터유출에대한조사과정및증거확보를최적화함 언제인시던트가발생하였는지정확하게알려줌 실제위반행위를발견하기위해 QRadar SIEM 과결합 검색엔진기술이적용됨 수초이내에자세한, 멀티레벨검색결과가도출됨 전체인시던트활동에대한빠른재추적을가능하게함 완전한세션재구성을위한풀패킷캡처 모든플로우, 사용자, 이벤트, 포렌식정보를위한단일화된뷰 시간순서에따른활동재추적 관찰및조사를위한도움제공 공격인자관계성을가시적으로구성 복수 ID 들에대해세밀한사용자와애플리케이션프로파일생성
QRadar 의인텔리전스를인시던트조사영역으로확장함 보안디바이스들애플리케이션액티비티 QRadar SIEM QRadar Incident Forensics 서버, 메인프레임 글로벌위협인텔리전스네트워크와가상액티비티취약점과위협들구성정보사용자와식별정보들 자동화된데이터수집과자산발견 실시간, 통합된분석 대량데이터의리덕션 비정상탐지 QRadar 에의해식별된오펜스들 풀 PCAP 포렌식 자세한인시던트메타데이터증거 컨텐츠와인시던트액티비티의재구성 데이터액티비티 데이터소스들추출식별조사
IBM Security QRadar Incident Forensics 구성모델 보안인텔리전스플랫폼 QRadar 보안인텔리전스 Console 끊김없는, 통합된단일 UI 대시보드 Tab 에새로운 Forensics 포함 인시던트조사 workflow 지원 QRadar Packet Capture 어플라이언스 풀패킷챕쳐수행 최적화된어플라이언스솔루션 확장가능한스토리지 QRadar Incident Forensics 모듈 어플라이언스, S/W, 버추얼어플라이언스 표준 PCAP 포맷지원 인시던트로부터 PCAP 을불러들여와포렌식을위한세션을재구성
변화된네트워크포렌식활동방법론 QRadar Incident Forensics 은작업의단순화, 결과가속화, 더향상된결과를가져오도록지원함 도입전 기술적으로훈련된포렌식연구가에의해수행 정해진타임프레임내에서비정상행위검색 위협행위자인지와악성조건에대한대응활동 도입후 인터넷검색엔진과같은단순함을통한직관화 보안 Analytics 를따르거나, 위협인텔리전스공급을통한방향성제시 완전한명확성을위한 step-by-step 움직임재추적 기대효과 포렌식 Analysis 를위한기술 GAP 극복 진짜위협을발견하고데이터분실을방지하는싸움에서의승리 근본원인을파악하고보안침해를방지
QRadar Incident Forensics 사용사례 네트워크보안 POS 시스템및연결된내부시스템으로부터고객결재데이터의승인받지않은복제를탐지 내부위협분석 가해자발견, 협력자들의식별, 악용된시스템지적및탈취된데이터문서화 사기탐지 복수의연결된상호작용을포함한, 복잡한금전세탁방법을밝혀냄 증거수집 보안시스템침투, 민감한데이터의삭제또는탈취등의불법행위들에대한증거를모음
QRadar 통합
명확한증거를획득하기위한인텔리전스제공 Digital Impressions 식별된 identity 추적을위한관련된데이터증거집성 확장된관계를보여주는 digital impression 의완전한가시성 Chat Social EMAIL Suspect Content 의심스러운행위를식별하기위한컨텐츠기반의룰셋정의 Entity Alert Scanning IP Botnet VoIP Web Network Content Categorization 메타데이터기반의컨텐츠의다이나믹분류및노이즈를필터아웃하기위한 X-Force Feed 지원
직관적인데이터탐색과검색 Surveyor 시간순서대로활동을재추적함 Searchable Results 특정데이터에대한빠른피벗을위한데이터 item 제공 Visual Analytics 데이터 item 들사이의상관관계파악을위한비주얼 Navigation 제공
세션재구성 - Inspectors Inspectors 는패킷으로부터정보를획득 1. 풍부한검색환경제공 IPAddress = 192.168.6.27 AND WebHost = bank AND Content: credentials Port = [ 774 TO 899 ] AND File = emaillist.doc 2. 사용자가가시적으로재구성된세션과이벤트를볼수있도록함 웹페이지 소셜네트워킹사이트 문서 인스턴트메시지 프로토콜
차세대포렌식의비교포인트 확장가능함 심플 인텔리전트 수백테라바이트에서페타바이트까지의데이터를검색하는포렌식분석 시간순서에따른활동에따라보안데이터와흔적을추적하는포렌식분석을수행하는데에초소한의기술요구 포렌식분석과생산성향상을가이드하는지식과통찰을파악함 (Digital Impression, 의심컨텐츠, 컨텐츠카테고라이제이션 ) 고속 강력함 상세화 포렌식분석에있어서빠른진행률을보이는검색 다양한데이터타입 ( 텍스트, 멀티미디어 ) 과언어를지원하는강력한검색과세선재구성기능 포렌식분석중추출가능한메타데이터와상세컨텐츠의가시화
보안인텔리전스아키텍처 IBM QRadar Security 인텔리전스플랫폼 Log Management NextGen SIEM Network Activity Monitoring Risk Management Vulnerability Management Network Forensics 미래 Northbound APIs Security Intelligence Operating System 실시간및분석기반워크플로우 실시간상관관계분석 / 자동화된보안분석 빅데이터스토어 / 웨어하우스 / 아카이빙 Southbound APIs 실시간정형보안데이터 비정형운영 / 보안데이터
명확한보안인시던트의라이프사이클을확보하십시오 베스트프랙티스의선제적공식화 새로운위협탐지방법을개발을위해명확한조사를수행 인시던트대응시간감소 근원지발견, 통신차단, 취약성패치 반복적침해위험을감소 영향도의전체범위를평가하거나보안정책과의 GAP 을최소화 보안침해를식별하기위한향상된능력 새로운공격기법을탐지하거나기손상된시스템을감지 컴플라이언스와의차이를탐지 고려되는조건하에서의사후분석수행
IBM Security Systems Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection and response to improper access from within and outside your enterprise. Improper access can result in information being altered, destroyed or misappropriated or can result in damage to or misuse of your systems, including to attack others. No IT system or product should be considered completely secure and no single product or security measure can be completely effective in preventing improper access. IBM systems and products are designed to be part of a comprehensive security approach, which will necessarily involve additional operational procedures, and may require other systems, products or services to be most effective. IBM DOES NOT WARRANT THAT SYSTEMS AND PRODUCTS ARE IMMUNE FROM THE MALICIOUS OR ILLEGAL CONDUCT OF ANY PARTY. www.ibm.com/security Copyright IBM Corporation 2013. 2014. All rights reserved. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any kind, express or implied. IBM shall not be responsible for any damages arising out of the use of, or otherwise related to, these materials. Nothing contained in these materials is intended to, nor shall have the effect of, creating any warranties or representations from IBM or its suppliers or licensors, or altering the terms and conditions of the applicable license agreement governing the use of IBM software. References in these materials to IBM products, programs, or services do not imply that they will be available in all countries in which IBM operates. Product release dates and/or capabilities referenced in these materials may change at any time at IBM s sole discretion based on market opportunities or other factors, and are not intended to be a commitment to future product or feature availability in any way. IBM, the IBM logo, and other IBM products and services are trademarks of the International Business Machines Corporation, in the United States, other countries or both. Other company, product, or service names may be trademarks or service marks of others. 20 2014 IBM Corporation