APT 공격 징후 탐지 및 보안사고 분석 · 보안사고에 대한 대응을 위한 솔루션 및 툴, 대응 조직 및 사람 그리고 대응 프세스에 대한 정의

© 2015 IBM Corporation

IBM Security

1 © 2015 IBM Corporation

APT 공격 징후 탐지 방법 및 보안사고 분석 사례 소개

2015. 12. 16

IBM Security Services

유 형 석 과장


IBM Security

2

Agenda

주요 보안 이슈

사고 분석 사례

공격 징후 탐지 대응책

Q & A


주요 보안 이슈


IBM Security

4

2016 정보보호 10대 이슈 – KISA

• 주요 기반시설 해킹

• 국가간 사이버 갈등 심화

• 클라우드 보안

• 생체인증

• 정보보호 관리체계

• 랜섬웨어

• 개인정보 국외 이전

• 커넥티드카 해킹

• 드론

• 정보보호산업진흥 법률


IBM Security

5

Hactivism


IBM Security

6

Cyber Warfare


IBM Security

7

Ransomware


IBM Security

8

Cyber Insurance


IBM Security

9

빠른 환경변화에 따라 위협 역시 빠르게 증가 및 진화 되고 있음

1McAfee Labs Threat Report, August 2014 http://www.mcafee.com/us/security-awareness/articles/mcafee-labs-threats-report-q2-2014.aspx ; 2Symantec Internet Security Threat Report 2014, volume 19: www.symantec.com/content/en/us/enterprise/other_resources/b-istr_main_report_v19_21291018.en-us.pdf; 3From Q4 2013 to Q1 2014; 4From 2013 to 2014; Note: Average number per breach, M = million

금융사기

해킹

램섬웨어 (Ransom-

ware)

사이버첩보활동

(Cyber-espionage)

표적공격

도난/분실

악의적인 내부 직원

4.7M 데이터유출발생시 유출되는 평균 개인정보2

해마다4 증가되는 모바일 관련 악성코드 샘플1

167% 31M 매분기 새롭게 업데이트되는 악성코드 샘플1

240 매분마다 발견되는 새로운 위협 1

http://www.mcafee.com/us/security-awareness/articles/mcafee-labs-threats-report-q2-2014.aspx













http://www.symantec.com/content/en/us/enterprise/other_resources/b-istr_main_report_v19_21291018.en-us.pdf






IBM Security

10

공격의 방법의 진화는 더욱더 정교한 공격이 가능하도록 함

사회공학기법(스피어 피싱)

서비스 거부 공격 (DDos)

SQL1 injection

취약한 암호 및 설정

스마트폰 모바일 해킹

대상: 목적:

회사/기관내 임직원 • 공격전 사전 정보 수집 • 소셜 및 네트워킹의 신뢰를 활용 • 최초의 공격 및 감염 경로

엔드포인트(PC/Laptop) 및 서버 • 최초의 침투 시도 경로 • 다른 시스템으로 확장 경로 • 취약점을 이용하여 권한 상승

네트워크 및 애플리케이션 인프라 • 서비스 및 운영 중단 • 다른 공격을 위한 전환/가짜

공격 수단

모바일 및 임베디드 디바이스 • 새로운 공격대상 • 기업의 네트워크로 침투하기

위한 새로운 대상 • 모바일 OS 및

애플리케이션의 취약점을 사용하여 권한 획득 및 정보 유출

데이터베이스 서버 • 권한 획득 및 접근 권한 탈취 • 민감 데이터 및 개인정보

데이터에 접근 및 탈취하기 위함

악성코드, 제로데이, 봇넷

엔드포인트(PC/Laptop) 및 서버 • 시스템 접근권한 • 백도어 설치 및 생성 • 명령제어서버(C&C)와 통신 연결

1Structured query language (SQL)

대상: 목적:

대상: 목적:

대상: 목적:

대상: 목적:

대상: 목적:


IBM Security

11

경계가 사라짐으로 인해서 공격의 기회는 더욱더 늘어나게 됨

사회공학기법을 활용한 공격

시스템에 대한 공격

네트워크와 애플리케이션에 대한 공격

엔드포인트에 대한 공격

모바일에 대한 공격

데이터 베이스에 대한 공격

경계가 애매모호해지며, 사라지고 있음


IBM Security

12

공격 및 침투에 대한 조기 발견 및 빠른 대응이 필요함

가 공격을 발견하는데 몇주 이상이 소요되며, 발견이후 교정 및 복구에 약 59%는 몇주/몇달이상이 걸린다고 응답하였음.1 83%

Time span of events by percent of breaches1

Initial attack to initial compromise

Initial compromise to data exfiltration

Initial compromise to discovery

Discovery to containment/restoration

Seconds Minutes Hours Days Weeks Months Years

10% 75% 12% 2% 0% 1% 0%

8% 38% 14% 25% 8% 8% 0%

0% 0% 2% 13% 29% 54%+ 2%

0% 1% 9% 32% 38% 17% 4%

침투 및 공격 성공까지 걸리는 시간…

…발견 및 복구에 걸리는 시간

12012 Verizon Data Breach Investigations report, http://www.verizonenterprise.com/resources/reports/rp_data-breach-investigations-report-2012_en_xg.pdf

http://www.verizonenterprise.com/resources/reports/rp_data-breach-investigations-report-2012_en_xg.pdf










IBM Security

13

데이터 유출사고 원인과 개인정보단위의 피해 금액

악성코드 및 외부 해커의 공격으로 부터 발생되는 정보유출사고가 가장 많은 데이터 유출 및 비용적 손실을 초래 합니다.

Source: 2014 Cost of Data Breach Study: Global Analysis, Ponemon Institute, sponsored by IBM, http://www-935.ibm.com/services/us/en/it-services/security-services/cost-of-data-breach/ Note: Figures are per capita costs for the top three root causes of data breaches, shown in US dollars

데이터 유출사고의 주된 원인 및 피해 금액

악성코드 및 외부 해킹 공격

42%

시스템결함 및 취약점

29%

임직원의 실수

30%

US$117 Per record US$159

Per record

US$126 Per record

http://www-935.ibm.com/services/us/en/it-services/security-services/cost-of-data-breach/














사고 분석 사례


IBM Security

15

분석 사례 1. DB 유출

사고 흐름도

SW 업데이트 서버 해킹

공격 시도

악성코드 생성

내부 침투

DBA PC 장악

피해 확산

DB 유출

최종 목표


IBM Security

16

분석 사례 1. DB 유출

악성 해커들의 주요 타겟

DB 암호화

신뢰도 하락


IBM Security

17

분석 사례 2. 랜섬웨어

사고 흐름도

취약 사이트 감염

공격 시도

Drive by Download

내부 침투

Network Storage

피해 확산

파일 감염

최종 목표


IBM Security

18


98726231 0.4초 9872623157 40초 9872!231 5분 A872!231 24시간 A872!62357 10년


IBM Security

19



IBM Security

20


사후 대응 어려움

악성 해커들의 차세대 이익 모델

보안 수준에 따른 피해 수준 상이


공격 징후 탐지 대응책


IBM Security

22

Cyber 위협 대응 체계

Open Integrations Global Threat Intelligence

Security Intelligence Ecosystem

IDS / IPS / FW / WAF

Smarter Prevention Security Intelligence

비상 대응 서비스

Continuous Response

X-Force 연구소

위협 가시성 확보

Endpoint 솔루션 SIEM / ESM Incident Forensics

DB 솔루션

엔드포인트 관리

악성코드 탐지 / 방지

외부 위협 차단 / 탐지

DB 보호, 취약점 관리

위협 행위 파악 / 분석

Compliance

사고 분석, 대응 가이드 안내, 조치 사항 제공

보안 Intelligence

다양한 정보의 연계 분석 및 대응

제품 간 정보 공유

업무 대응 체계 보유


IBM Security

23

APT 공격에 대비한 survival kit(생존도구)에는 무엇이 있을까?

APT 공격에 대비한 Survival kit(생존도구)!!!

APT 공격 징후 탐지 부터 긴급 대응 그리고 사고 조사 분석 까지 모든 단계를 지원하는 형태이어야 한다.

위기 대응 매뉴얼

취약점 점검 서비스

APT 공격 징후 탐지

보안 의식 향상

프로그램

보안사고 긴급대응

사고에 대한 사후

분석


IBM Security

24

Total APT survival kit

사전 대응 위협 진단 서비스 IBM Active Threat Assessment

APT survival kit은 공격에 대한 준비 및 잠재적인 위협 및 취약점을 발견하고 이에 대한 적절한 조치를 통해 선제적 대응이 가능

공격 시간

피해 미비

피해 증가

비즈니스 일상

교정 및 복구 사고 분석

긴급 대응 및 사고 분석 서비스 IBM Emergency Response Services

침투 및 취약점 점검 서비스 IBM Penetration Testing

공격 시나리오 구성 및 모의 훈련 Attack modeling With tabletop exercise

위기 대응 매뉴얼 준비 서비스 IBM Incident Response Planning

사이버 위협 및 보안 워크샵 Cyber- Security Awareness workshop

발견되지 않은 공격 시작

공격 징후 발견

PREVENTION WINDOW DETECTION WINDOW REMEDIATION WINDOW

네트워크 침투 및 취약점 점검 (Pen-test)

위기 대응 매뉴얼 (IRP)

긴급지원 및 사고조사 (ERS)

사전대응 위협 진단 (ATA)

Key APT survival kit


IBM Security

25

준비 단계 : 보안사고에 대한 위기 대응 매뉴얼은 준비되어 있나?

보안사고 및 정보유출사고에 대한 대응 매뉴얼 로써 기업이 가지고 있는 위기대응 매뉴얼을 검토하고 보안사고에 대응할수 있도록 보완 및 모의 훈련을 합니다.

IBM 보안전문가 기업내 보안부서 현업과 진행

위기 대응 매뉴얼을 체계화 하여 효과적인 대응 가능

위기 대응을 위한 조직구성 및 책임을 부여

보안사고 유형 및 우선순위 할당

상위 보고 절차 및 내외부 응대 방침 마련

보안 사고 및 정보 유출 사고에 대비한 사전 계획 및 대응 절차에 대한 정의

보안사고에 대한 대응을 위한 솔루션 및 툴, 대응 조직 및 사람 그리고 대응 프로세스에 대한 정의

위기 대응 매뉴얼 (IBM Incident Response Planning)

보안사고에 대한 대응 계획


IBM Security

26

실제 취약점 제거 : 해커의 침투에 대비한 네트워크 및 보안 취약점은 적절하게 조치되고 있나?

단순한 자동화된 툴에 의존하는 것이 아니라, IBM의 전문가가 직접 취약점을 발견하고 이를 통하여 수동으로 해킹을 시도

상세하고 심도 있는 리포트

분석 보고서와 교정가이드 제공

툴에 의존된 의미 없는 분석 결과 배제

알려진 최신 취약점 및 해커의 기술을 사용하여 테스트

취약점을 이용하여 실제 전문가의 매뉴얼적인 해킹 테스트 실시

개발 및 보안 전문 지식과 최신 위협 정보를 사용하여 형식적인 점검이 아니라 실질적인 취약점 발견

비지니스에 영향을 주지 않는 시간과 시스템에 대해서 취약점 점검을 실시하여 비즈니스 영향 최소화

침투 테스트 및 취약점 점검 서비스 (IBM Penetration Testing)

취약점을 조기에 발견 및 테스트하고 적절한 교정


IBM Security

27

실제 위협 발견 : 우리 회사내에 APT 공격의 징후 및 공격이 일어나고 있진 않을까?

IBM 보안 전문가가 현재 기업내의 위협들에 대한 상세한 분석 수행을 통해 초기에 잠재적 위협 및 공격의 징후를 발견할수 있음

최신 악성코드 및 공격기법 활용

공격의 징후(IOC: indicators of compromise)에 대한 스캐닝

메모리 스캐닝 및 로그 분석

중요 보안 항목들에 대한 점검 및 진단

현재 기업내에 존재하는 좀비PC 및 악성코드 감염 PC를 찾아내고 이를 통한 공격 징후가 있는지를 분석

현재 발견하지 못하고 있는 위협들(좀비PC 및 악성코드 감염PC) 에 대한 조기 발견을 통해 잠재적인 위협 제거

사전 대응 위협 진단 서비스 IBM Active Threat Assessment

실제 공격의 징후 및 위협에 대한 진단을 실시


IBM Security

28

긴급 지원: 공격에 대한 즉각적인 대응과 사고에 대한 조사 분석이 필요 합니다.!!!

보안사고에 대해서 ’119’ 역할을 수행하여 침투 및 악성코드 등 의심스러운 공격 징후에 대한 긴급 지원

매년 초기 보안사고 긴급 대응 워크샵 및 분기 별 주기적인 체크 포인트 회의를 실시

365일 24시간 지원 체계를 통해서 보안사고로 인한 기업의 평판과 비즈니스 영향 최소화

보안사고 및 정보유출사고에 대한 정확한 분석을 통해서 기업이 적용받는 규제 법률에 대한 대응방안 마련

IBM의 보안연구소인 X-Force® 에서 제공하는 최신 글로벌 위협정보 및 취약점 정보를 기업내 보안 담당자에게 제공

긴급 대응 및 사고 조사 분석 서비스 IBM Emergency Response Services

보안사고에 대한 긴급 대응 및 조사 분석


IBM Security

29

사전 대응 위협 진단 + 준비 태세 점검 서비스 상세

Active Threat Assessment

자산의 침해 및 보안 수준 점검

Forensic Readiness

위협 상황 대응에 필요한 준비 태세 점검

침해 여부 점검

고객 자산의 침투 현황, 비정상 행위, 악성코드 분석

다양한 흔적 조사 (프로세스, 파일, 서비스, 계정, 네트워크 등)

취약점 존재 여부 점검

시스템 외부 및 내부 관점 점검

주요 취약점 별 존재 여부 점검 (Heartbleed, Shellshock, MS patch, etc)

보안 설정 가이드

적절한 접근 제어 정책

Patch Management

시스템 보안 설정 검토

대응 준비태세 가이드

상황에 맞는 로깅 설정 검토

비정상 행위에 대한 탐지 현황 검토


IBM Security

30

Case Study

고객의 상황

취약점을 내부 직원이 아닌 다른 전문가와 툴을 사용하여 점검할 필요 있음

기존의 보안솔루션들이 발견해 내지 못하고 있는 내부 위협들에 대해서 조사 및 발견이 필요함

Penetration Testing + Active Threat Assessment

IBM Hybrid-ATA 수행 결과 3대의 Trojan(트로이 목마) 감염 사실을 발견 기존 사용중인 안티바이러스 솔루션에서 탐지 하지 못하고 있었음

중요 업무서버에 취약점을 이용하여 수동으로 해커처럼 해킹 시도 및 성공

중요 업무서버에 적용되어야 할 긴급 보안업데이트 패치가 적용되어 있지 않고 있었음


IBM Security

31

Client Side Attacks

Botnets

Buffer Overflow Attacks

Distributed Denial of Service (DDoS)

SQL Injection

Backdoors

Cross-site Scripting (XSS)

Malicious Content

Protocol Tunneling

Reconnaissance

Trojans

Worms

Exploit Toolkits

Peer-to-Peer Networks

IBM 보안연구소인 X-Force를 통해서 최신의 보안위협정보를 분석 및 탐지 대응할수 있도록 함

Cataloging, analyzing and researching vulnerabilities since 1997

Providing zero-day threat alerts and exploit triage to IBM customers worldwide

Building threat intelligence from collaborative data sharing across thousands of clients

Analyzing malware and fraud activity from 270M-plus Trusteer-protected endpoints

X-Force helps keep customers ahead of the threat

IBM Security Operations Centers and Security Products

Sharing real-time and anonymized threat intelligence


Q & A

Documents

APT 공격 징후 탐지 및 보안사고 분석 · 보안사고에 대한 대응을 위한 솔루션 및 툴, 대응 조직 및 사람 그리고 대응 프세스에 대한 정의