시스코보안컨설팅서비스 끊임없는공격의시대, 시스코의해답
끊임없는공격의시대, 시스코의해답시스코보안컨설팅서비스 사이버공격은갈수록더복잡해지고, 표적화되고, 집요해지면서기업의비즈니스를위협하는심각한당면과제로떠올랐습니다. 모든것이인터넷을통해연결된만물인터넷사회에서진화하는사이버공격에대처하려면, 위협에집중하는간결하고확장가능한보안모델을갖춰야합니다. 시스코의새로운보안모델은사이버공격에대한사전, 실시간, 사후대응을하나로묶은보안솔루션입니다. 이모델은총체적인접근방식을통해사이버공격전과정에서가시성을확보할수있도록지원합니다. Attack Continuum BEFORE Discover Enforce Harden DURING Detect Block Defend AFTER Scope Contain Remediate Network Endpoint Mobile Virtual Cloud Point in Time Continuous Before During After 공격전에는방어대상을파악하기위해접속된애플리케이션과시스템의중요도에따라사용자신뢰수준을분류해야합니다. 방어대상을규명하고모니터링아키텍쳐를구축해야합니다. 차세대방화벽, 침입탐지 / 보호시스템과함께동적접근분할과같은첨단기능의구현이필요합니다. 고객의 IT 환경을비즈니스관점에서적절한수준으로제어하기위해, 경계를강화하고, 신뢰구간을설정하고, 비즈니스규정에따라각기다른보호프로필을지원할수있도록인프라와애플리케이션전반에걸쳐구획을설정하는계층방어가중요합니다. 중요자산이무엇이고그것을어떻게보호할것인지알기만하면, 보안제어실행을위한규칙과정책에기반하여화이트리스트를생성할수있습니다. 공격중에는조기에경고징후를탐지하고위협가시성및컨텍스트를개선할수있는기술을확보하여, 다양한레벨의다양한소스로부터수집한정보의상관관계를분석하여위협의전체양상을파악할수있어야합니다. 통합보안시스템과스마트프로세스로최대한초기단계에서보다효과적으로공격의원인을찾을수있습니다. 지능형지속공격 APT(Advanced Persistent Threat) 가발생하면행동분석이필요한데, 정상적행동에대한가이드라인을수립하는사전조치를하면비정상적행동을쉽게감지할수있습니다. 이단계에서는해킹된네트워크내부에서우회공격을시도할수있기때문에알려진감염노드및사용자에대한블랙리스트를작성하거나, 네트워크트래픽흐름을청소하는것이보안목표가될것입니다. 블랙리스트의신뢰성은여러분의보안가시화솔루션이얼마나정확하고시의적절하게악성트래픽을식별해내느냐에달려있습니다. 공격후, 보안팀은각 IT 그룹과협업하여침략된부분을클린업하고치료하고복구해야합니다. 치료에는패치및복구외에도재발방지를위해보안가시성과제어수준을점진적으로개선시키는일이포함됩니다. 감염된호스트나사용자가휴면상태에서벗어나면정찰, 명령및제어통신용채널을가동하거나데이터탈취를시도할수있기때문에네트워크가이들을신속하게식별할수있어야합니다. 감염된노드와사용자를확실하게식별해격리시킬수있는능력이요구되며, 이때무결성검증과트래픽흐름분석이중요한역할을할수있습니다. 효과적으로공격의경로및방법을역추적하고, 취약성을보완하며, 위협벡터를봉쇄할수있어야합니다
IT 인프라에대한가시성을공격전과정에걸쳐지속적으로확보하는것이보안아키텍처를수립하는데있어서는매우중요합니다. 시스코는다년간의보안서비스구축및운영경험을통해사이버공격전과정에대응할수있는보안솔루션을가지고있습니다. 시스코사이버보안솔루션은다차원적접근을통해핵심네트워크의내부와주변에보안통제체제를구축함으로써, 보안이지능형네트워크구조의기본요소가될수있도록합니다. 시스코보안컨설팅서비스는기업의보안프로그램과거버넌스실행의효과를평가하는데필요한설계, 구축, 관리서비스로구성되어있습니다. 시스코는기업위위험허용한도를반영하고, 이상감지및치료를제공하는보안네트워크아키텍처를설계하고구현할수있습니다. 또한 IT 인프라와함께숙련된보안프로세스와대처능력을가질수있도록도와드립니다. 고객사는다양한보안컨설팅서비스를통해안전, 지적자본, 자산, 프라이버시를위협하는현재의공격과새로운공격에유연하게대응할수있습니다. Before ( 사전대응 ) During ( 실시간대응 ) After ( 사후대응 ) Security Activities Discover Enforce Harden Detect Block Defend Scope Contain Remediate Security Products Firewall / NG-Firewall UTM / VPN Identity Service Engine NG-IPS Email Security Web Security Advanced Malware Protection Network Behavior Analysis 보안진단서비스 위협차단솔루션 (CTD) 구축컨설팅 Security Services 보안전략서비스 보안설계서비스 보안구축서비스 위협차단매니지드서비스 (MTD) 보안최적화서비스 Cyber Range 서비스 (End-to-End 공격 / 탐지 / 차단시뮬레이션 / 트레이닝서비스 ) 악성코드멀웨어 (Malware) 와 APT를이용한공격수법이점점더정교해지고있습니다. 기본보안어플라이언스만으로는이런위협들을더이상해결할수없기때문에, 대부분의기업들이보안관리에어려움을겪고있습니다. Bryan Palma(Global Security Solutions, Senior Vice President and General Manager)
아키텍처진단컨설팅 Security Design Assessment Cisco Security Framework는시스코내부 IT 서비스모델 (COPM Cisco operational Process Model) 을기반으로기업의표준네트워크보안아키텍처참조모델로개발된프레임워크로기업의보안정책 / 프로시저 / 아키텍처를정의하고있습니다. 이것은네트워크계층에따른보안참조모델을제시하는 Onion 모델을기반으로, 고객네트워크영역별보안에대한표준참조모델을제시합니다. 비즈니스연관성 Biz Relevance 보안정책 Security Polices 보안원리 Security Principals 보안활동 Security Actions 시스코보안진단컨설팅서비스는 Cisco Security Framework 를기반으로고객네트워크에대한다음과같은아키텍처진단컨설팅을제공하고있습니다. 비즈니스목표및시스템 위협및위험진단 보안정책 보안가시성 (Visibility) Identity Monitor Corelate 고객네트워크인프라에대한보안진단및보안강화 방안제시 최신보안솔루션트렌드및기술분석을통해최적의 보안솔루션권고 목표및시스템에대한위협 보안운영 / 조직 보안제어 (Control) Harden Isolate Enforce 네트워크보안강화를위한최적의 Configuration Guide 권고 비즈니스목표정의 목표에보안위협정의 위협및위험진단 보안정책 보안운영 / 조직 보안정책기반의핵심 보안원리정의 핵심 Action Item 정의 Cisco Security Framework Onion 모델에서제시하는네트워크영역별보안방안은기업의네트워크영역, 예를들어외부망, 사용자망, 개발망, 보안데이터망, 관리망, 무선망등에따른 6개의보안활동 ( 인지, 모니터링, 상관관계분석, 위험, 정책적용, 분리 ) 을정의하고있습니다. 이를통해기업은자사의네트워크보안이국내외산업보안표준에서 (ISO 27002, PCI-DSS, 금감원, KISA) 권고하는보안정책을준수하는지에대한검증을할수있습니다. 시스코보안진단컨설팅서비스는 Onion 모델을기반으로기업의네트워크영역별보안현황을분석하고보안취약네트워크영역에대한개선과제및이행방안을제시합니다. Network Security Onion Model
취약점진단 / 모의해킹컨설팅 Security Posture Assessment 취약점진단 / 모의해킹컨설팅은서비스는기업내부 (Internal) 네트워크및경계 (Perimeter) 네트워크에대한취약점을진단 / 모의해킹하는컨설팅입니다. 내부취약점진단 : 단말및데이터센터서버시스템에대한취약점진단 / 개선방안권고 경계네트워크 : 홈페이지등의대외서비스시스템및외부망에대한취약점진단 / 개선방안권고 취약점진단 / 모의해킹컨설팅서비스의수행내역을다음과같습니다. 시스템및어플리케이션에대한취약점도출및개선 방안권고 비인가사용자에의한시스템접속취약점도출및개선 방안권고 비정상행동또는공격에대한탐지능력검증 취약점진단 / 모의해킹컨설팅은국내및해외의시스코, 파트너사의보안전문가 (White Hacker) 로부터차별화된서비스를제공합니다. 상용 Tool(Nexpose from Rapid7) 을통해 IP 주소대역탐색및시스템취약점도출 취약점개선에대한이행과제선출을위해위험등급을정의하고선 / 후행분석을통해이행과제도출 도출된취약점에대해시스코데이터베이스를통해추가취약점설명및개선방안도출 취약점진단 / 모의해킹수행 Tool - NeXpose(Rapid7) : 상용 Tool로써금감원등의국내감독기관에서많이사용 - AutoSPA-NG : 시스코개발 Tool 로서 15년간의시스코취약점진단 ( 모의해킹 ) 컨설팅노하우를기반으로함 AutoSPA-NG 결과분석사례
Cyber Range 서비스 시스코 Cyber Range 서비스는기업 IT 인프라에대한다양한보안위협에대해시스코의보안솔루션을통해어떻게탐지및차단하는지에대한시뮬레이션을통해보안가시성향상및지능적제어기술을 Hands on 할수있는서비스입니다. 고객은 Cyber Range 서비스를통해자사의보안인력을공격팀 (Red)/ 방어팀 (Blue)/ 통합제어팀 (Command & Control) 으로구분하여모의훈련을수행함으로서보안인력에대한 End-to-End 보안기술향상을이룰수있습니다. 기대효과 가상환경을통해전세계어디에서든 사이버공격에대처할수있도록훈련가능 복잡한사이버공격에대한대응및방어하는방법을실제로경험 주요보안방법론, 운영방법, 절차에대한심도깊은이해 최신보안툴및기법을활용하는고급기술을습득 팀워크와책임관리방법구축 Cyber Range 공격탐지및제어시뮬레이션을위한 Lab 환경 50 여개의공격유형 (DDoS Attack, Day Zero Attack/New Threats, Network Reconnaissance, Application Attacks, Data Loss, Computer Malware, Wireless Attacks, Botnet Simulation, Open source attack tools, Virtual network attacks 등 ) 에주기적으로업데이트 500 개이상의 Malware 에감염된 100 개이상의어플리케이션 시스코보안솔루션 + 타사솔루션 Cyber Range 서비스에적용된보안솔루션 ASA F/W & IPS, Web Security Apllpiance & Email Security Appliance, Sourcefiew NGIPS, wips, Cyber Threat Defense(Netflow 기반모니터링 / 분석시스템, ISE), SIO Cisco Security Information Operation Center 의평판기술, Splunk Analytics, Prime Infrastruce Cyber Range 를통해가질수있는 Visibility & Control Global threat Intelligence(Cloud), Next Generation F/W and IDS/IPS, Signature based Detection, Behavior based Detection, Data Loss Prevention, Web & Email Security, Application Visibility & Control, Wireless Security, Identity & access management, Event Coreraltion, Packet Capture & Analysis, TrustSec-STG, Virtual Network Security AutoSPA-NG 결과분석사례
위협차단매니지드서비스 Managed Threat Defense (MTD) 시스코 Managed Threat Defense, 위협차단매니지드서비스는글로벌보안운영센터에서가동되어, 연중무휴지속적인감시, 사고대응분석, 보고및치료에대한권장사항을제공하는서비스입니다. 시스코의보안전문가들이잠재적인위협을점검하고맞춤형권장사항을제공하며, 고객과긴밀하게협력하여문제를해결할수있도록합니다. 이를통해새로운각종칩입, 제로데이공격및지속적인지능적위협으로부터방어받을수있습니다. 취약성데이터 Kvasir Columbo 액세스제어 NetFlow/HTTP 1 로그텔레메트리 2 Qosm os Kafka Storm Kafka Elasticsearch REST SIRT 애플리케이션 (Cisco 클라우드 ) 구성요소 1. 컨텍스트데이터베이스 2. NetFlow/HTTP 이상감지 3. 로그어그리게이션 / 분석 4. 메타데이터어그리게이션 / 분석 5. 풀패킷캡처 6. IDS/AMP(5.3) 7. 위협정보 CIF IDS AMP 방어센터 MR HDFS Stinger JDBC Columbo (Cisco 클라우드 ) Cyber Big Data 기반위협차단서비스 - 고객 IT 인프라의모든데이터 (Full Packet) 분석 - 이메일 / 웹트래픽악성코드감지 - 대용량 / 비정형데이터파싱 - 시스코위협정보활용 (SIO) 70만개이상센서, 20개보안센터 - Signature, Network Behavior 기반침입감지 Out-of-Band 정보수집 고객정보를고객사내에보관 500명이상의보안전문가 24X365 모니터링
사이버위협차단서비스 Cyber Threat Defense (MTD) 사이버위협차단 (CTD) 보안솔루션 - 스위치 / 라우터의 Netflow 데이터및 ISE 연동 - ASA의 NSEL(Netflow Security Event Logging) 기반 - Lancope StealthWatch Management 시스템 사이버위협차단 (CTD) 서비스 - 기존 Signature 기반의보안솔루션에서탐지 / 차단할수없는 APT 공격에대한보안솔루션구축서비스 - Network Behavior Analysis를통한 APT 탐지 / 차단 시스코시스템즈코리아 Cisco Systems Korea Ltd. 서울특별시강남구삼성동 159-1 무역센터아셈타워 5층 ( 우 )135-798 5F ASEM Tower, World Trade Center, 159-1, Samsung-dong, Gangnam-gu, Seoul, 135-789, Korea Tel 02.3429.8000 Fax 02.3453.0851 제품및구매문의 080.808.8082 홈페이지 www.cisco.com/kr @CiscoKR ciscokorea Blog www.ciscokrblog.com 시스코서비스관련문의 askservices_kr@cisco.com 2014 Cisco and/or its affiliates. All rights reserved.