웹방화벽시장의 글로벌리더 임퍼바 SecureSphere 웹방화벽제품소개서 · 웹방화벽시장의글로벌리더 임퍼바SecureSphere 웹방화벽제품소개서

웹방화벽 시장의 글로벌 리더

임퍼바 SecureSphere 웹방화벽 제품 소개서

1

2017.01

싸이버텍홀딩스 보안사업부황정길 부장(010-6518-7677)[email protected]

2

1. 제안사 /제조사 소개……………… .… . . .…… . . 3

2. 웹방화벽의 필요성………………… .…………13

3. SecureSphere 특장점…… .…………… .… . .15

4. 도입 시 기대효과……………………… . .……16

5. SecureSphere 기능 소개………… . .…… . . .17

6. 구축 사례……………………………… . . . . . .………52

7. SecureSphere For AWS………… .…………55

3

보안솔루션 제공 교육서비스 기술지원 통합 보안 솔루션 (NGFW)

웹 & DB보안 솔루션 (웹방화벽)

침입 방지시스템 (IPS)

방화벽 정책 관리 솔루션

Webshell 탐지 솔루션

DRM & 개인정보 보호 솔루션

장애 지원

보안정보제공

Help Desk운용

Hot Call운용

관리자 교육

CCSA, CCSE

Network기본

Security기본

회 사 명 ㈜싸이버텍홀딩스 대 표 자 백 승 학

사 업 분 야 정보통신, 소프트웨어 개발, 무역 외

자 본 금 1억 2014년 매 출 액 62억

전 화 번 호 02-785-0103 팩 스 번 호 02-785-0106

회 사 설 립 일 1995년 9월 최초 설립 이후 2006년 12월 법인 재등록

통합 보안 솔루션 (NGFW)

- CheckPoint 2012 New Appliances

- CheckPoint Power-1 Appliances

- CheckPoint UTM-1 Appliances

- CheckPoint Software blades

침입방지시스템 (IPS)

- HP TippingPoint

웹&DB보안솔루션 (웹방화벽)

- Imperva SecureSphere Webshell 탐지-차단솔루션

- Shell Monitor

방화벽 정책관리 솔루션

- Tufin SecureTrack

1. 제안사/제조사 소개

4

대표이사

경영기획팀 보안 영업 팀 모바일 사업팀보안 기술 팀

감 사경영이사

신 사업팀

(2015년 기준)

기술 등급과 인력현황 (단위:명)

구분 계 관리 PM PL 개발자 연구 기타

특급 1 1

고급 4 4

중급 10 3 7

초급 5 5

계 20 5 3 12

비율 100% % 25% % % 15% 60%

초급기술자(25%)

중급기술자( 50%)

고급기술자(20%)

특급기술자(5%)



5

“Imperva is taking control of datacenter security”

Mission고객사의 비즈니스와 Apps, Data를 보호하는 선도 솔루션 제공

Market Segment대기업 군의 Data Security

Global Business

• 2002년도에 설립

• 미국 캘리포니아 Redwood Shores에 위치

• 1,000명 이상의 직원

• 전세계 90개국 이상에 고객 보유

4,300+direct; thousands Cloud-Based

• 325개 이상의 공공기관

• 글로벌 2000기업 중 425개 이상의 기업

• 글로벌 통신사 Top 10 중 7개의 기업

2014

Rank

2014

Market ShareVendor 2014 Revenue

1 10.2% IBM 5,067,306$

2 4.9% Cisco 2,339,458$

3 3.3% Symantec 1,997,504$

4 3.1% Intel 1,524,688$

5 2.9% Check Point 1,459,687$

6 2.3% HP 1,155,121$

7 2.0% Dell 1,138,617$

8 1.9% RSA 922,726$

9 1.5% Palo Alto Networks 738,932$

10 1.4% Fortinet 719,879$

11 1.4% Trend Micro 707,399$

12 1.2% Juniper Networks 593,600$

13 0.8% FireEye 376,392$

14 0.6% Kaspersky 284,400$

15 0.4% Huawei 195,400$

16 0.4% Imperva 157,745$

17 0.3% Webroot 134,000$

18 0.3% F-Secure 133,450$

19 0.2% CyberArk 91,990$

SOURCE: TBR(Technology Business Research)

TBR

Total Enterprise Security Revenue Market Share

of Top 19 Vendors (in $ Thousands USD)

제조사인 Imperva는 NASDAQ(IMPV)에 상장된 글로벌 Data Security(Web, DatabaseWeb,Database,File,SharePoint) Leader 기업입니다.

2002년 설립되어 전 세계 4300여 고객사에 Total Data Security(Web/DB/File/Share Point)를 공급하는 보안 전문 회사로서

2014년~2016년 3년 연속 가트너 발표 Web Application Firewall 시장의 유일한 리더입니다.


6

제조사인 Imperva는 NASDAQ(IMPV)에 상장된 글로벌 Data Security(Web, DatabaseWeb,Database,File,SharePoint) Leader 기업입니다.

2002년 설립되어 전 세계 4300여 고객사에 Total Data Security(Web/DB/File/Share Point)를 공급하는 보안 전문 회사로서

2014년~2016년 3년 연속 가트너 발표 Web Application Firewall 시장의 유일한 리더입니다.

2014 2015 2016


7

CC(Common Criteria) 인증서


8

당사에서 구축 완료한 국내 주요 웹방화벽 도입 고객사


9

해외 주요 Web Application Firewall 고객사

Credit CardFinance Media/Telco Healthcare/

Insurance

http://www.otpp.com/web/website.nsf/web/home

http://www.scottrade.com/index.asp

http://www.svb.com/index.asp

http://new.egg.com/visitor/0,,3_11060--View_819,00.html

http://www.rbs.co.uk/default.htm

http://www.tiaa-cref.org/index.html

http://www.verizonwireless.com/b2c/index.html

http://www.orange.co.uk/?linkfrom=&link=header_logo

http://www.wireless.att.com/

http://www.thedoctors.com/default.asp

http://www.leumi-card.co.il/LeumiCard/CardHolders

http://www.dccard.co.jp/index.shtml?_cA=logo


10

해외 주요 Web Application Firewall 고객사

Government eCommerce/ Retail Technology Other

http://www.energy.gov/index.htm

http://www.esteelauder.com/home.tmpl

http://welcome.hp.com/country/us/en/welcome.html

http://www.intuit.com/

http://www.clpgroup.com/clp/?lang=en


11

제품 라인업 - 게이트웨이

모델명 X10K X8510 X6510 X4510 X2510

최대 처리 트래픽 10 Gpbs 5 Gbps 2 Gbps 1 Gbps 500 Mbps

인터페이스슬롯1

기본 2 x 10G SR 4 Copper 4 Copper 4 Copper 4 Copper

옵션4 Copper OR 4 x 1G OR

2 x 10G SR/LR4 Copper OR 4 x 1G OR




2 x 10G SR/LR

인터페이스슬롯2

기본 N/A 4 Copper 4 Copper 4 Copper 4 Copper

옵션4 Copper OR 4 x 1G OR





2 x 10G SR/LR

메모리 128 GB DDR3 128 GB DDR3 64 GB DDR3 32 GB DDR3 16 GB DDR3

저장공간 3 x 2TB RE4 (RAID 5) 3 x 2TB RE4 (RAID 5) 3 x 2TB RE4 (RAID 5) 2 x 2TB RE4 (RAID 1) 2 x 2TB RE4 (RAID 1)

사이즈 2U 2U 2U 2U 2U

애드온 모듈Default: IPMI*¹

Optional: Fiber Channel*², HSM*³

Default: IPMIOptional: Fiber Channel,

HSM

Optional: Fiber Channel,

HSM, IPMI


HSM, IPMI


HSM, IPMI

SSL 가속카드Optional SSL High

performanceOptional SSL High

performance

Default SSL Standard performance

Optional SSL high performance

Optional SSL standard performance

Optional SSL standard performance

*¹ IPMI(Intelligence Power Management Interface) : 원격 전원 관리 카드*³ Fiber Channel : SAN Disk 연동 카드

*² HSM(Hardware Security Module) : 하드웨어 기반의 암호화 키 관리 장비


12

제품 라인업 - 관리서버

모델명 M160 M110

이중화하드디스크 이중화 (핫스왑 지원),

전원 공급장치 이중화 (핫스왑 지원)미지원

메모리 32GB DDR3 8GB

저장공간 2X500GB 10K RPM(RAID 1) 500GB

Fiber Channel 옵션 미지원

관리용 포트 2 x 100/1000 Copper 2 x 100/1000 Copper

전원장치 400W 이중화 250W 단일

사이즈 2U 1U

2. 웹방화벽의 필요성

13

▪ 전형적인 방화벽은 오직 Network Layer만 보호 가능.

Only inspect IP address, port/service number

▪ IPS 제품은 오직 알려진 취약성 패턴에 대해서만 보호 가능

Application을 이해 하지 못함

정형화된 패턴에 의한 오탐율이 높음

No session/user tracking;

SSL traffic에 대해 보호하지 못함

▪ 인터넷 사용 증가와 함께 보안 취약성 증대

웹어플리케이션의 약 93%가 공격에 취약

기존 방화벽 기술로는 가장 보편적인취약점조차 완벽한 차단이 불가능

“A New Solution Is Needed”

▪ 보안위협 분석 역량 증가 , 대응 능력은?

다양한 분석 솔루션을 통해 웹보안 위협 탐지능력은 향상되었으나, 기존 보안 솔루션으로 대응에는 한계 존재

▪ 침해사고 추세

일반 기업 대상으로 개인정보 탈취를 목적으로 제로데이취약점을 이용한 공격 및 웹서버의 취약점을 이용한공격(Phishing 포함)이 지속적으로 증가

▪ 침해 사고에 의한 비즈니스 손실

침해 사고에 의한 비즈니스 손실

핵심 데이터 유출

매출 기회 상실 및 기업 이미지 악화

금융 거래 중단 사태 우려출처:http://www.hackmageddon.com/

2016년 Cyber Attack 통계

14

Technical 공격 (전통적인 공격)

(OWASP Top-10)

• 인젝션

• 인증 및 세션 관리의 취약점

• 크로스 사이트 스크립팅 (XXS)

• 취약한 직접 객체 참조

• 보안 설정오류

• 민감 데이터 노출

• 기능 수준의 접근 통제 누락

• 크로스 사이트 요청변조(CSRF)

• 알려진 취약점이 있는 컴포넌트 사용

• 검증되지 않은 리다이렉트 및 포워드

해커에 의한 공격

자동화된 공격 (BOT 이용)

(OWASP Top-20)

• Account Creation and Aggregation

• Credit Carding, Card Cracking

• Credential Cracking, Stuffing

• DDoS Attacks

• Fingerprinting, Footprinting

• Site Scraping

• Comment Spamming

• Skewing, Spamdexing

• Token Cracking

• Vulnerability Scanning

봇에 의한 자동화된 공격

웹어플리케이션 공격의 변화

2. 웹방화벽의 필요성

3. SecureSphere 특장점

15

• 로그인 대입식/계정도용 확인 공격 차단 • 실망에서 검증된 고성능/안정성

• 정밀한 웹방화벽 보안 정책 운용 • ThreatRadar

•게임사에서 검증된 BruteForce 정책 운용

•임계치 기반의 자동화된 방어

• 국가별 정책 적용을 통한세분화된 정책 적용

•HTTP/HTTPS의 모든 구성요소를 이용한웹방화벽 정책 적용

•정규식을 이용한 사용자 정의정책 적용

• 순수 인라인 아키텍처 구성

• 룰 개수와 상관없는 장비 성능 보장

• 게임사/포털에서 검증된 안정성

• 공격 IP의 국가별 정보 제공

• 전 세계 악성IP 정보 제공

• 익명 프록시 서버를 통한 접속 탐지/차단

1 2

3 4

4. 도입 시 기대효과

16

웹서버 보안 강화를 통한 대 고객 신뢰 강화

▪ 실질적인 웹보안 위협 차단을 통한 신속한 ROI

- 규정준수/감사 대비를 위한 단순 장비 구축 No!

- 2005년 국내에 처음으로 웹방화벽 제품 소개 후 10년 이상 국내에 SecureSphere

공급 및 기술지원을 통한 고품질의 기술지원 제공

- 웹방화벽 기술지원 경력 10년 이상의 전문 엔지니어의 기술지원

- 국내 게임사/대기업 기술지원 경험을 바탕으로 고객사 환경에 최적화된 웹방화벽

운용 가이드 제시

실질적인 웹방화벽 운용

▪ 웹서버 보안성 강화- 기존 알려진 공격/알려지지 않은 공격에 대한 대응 가능

- 사내 보안위협에 특화된 세밀한 커스터마이징 정책 수립 가능

- 글로벌 보안 위협에 실시간 대응이 가능한 글로벌 벤더의 기술지원

▪ 웹서비스 안정성 유지- 대형 게임사/포털 및 온라인 비즈니스를 영위하는 고객사에서 검증 받은 장비 운용

- 타 벤더의 프록시 기반의 인라인 장비가 아닌 순수 인라인 아키텍처 기반의 제품으로

대량 트래픽 처리 시 성능 저하 없음

웹서버 보안성 강화 & 웹서비스 안정성 유지

▪ 글로벌 Web Application Firewall 시장 선도 벤더

- 2014~2016년 가트너 선정 Web Application Firewall 제조사 유일한 리더 벤더

- NASDAQ(IMPV) 상장 기업

- CC Certificate

- 2002년 설립 이후 13년간 오직 데이터(Web,DB) 보안에만 사업을 영위하는 전문기업

- 가상 웹방화벽/AWS(Amazon Web Service)와의 협업을 통한 클라우드 웹방화벽 제공

글로벌 Top 제품 도입

▪ 자동화된 로그인 대입식 공격 차단- 특정 국가별 BruteForce 공격 대응

- 임계치 기반의 능동적인 대응

- 예외처리를 통한 오탐 최소화

▪ 계정 도용 확인 공격 차단- HTTP HEADER 및 HTTP Body를 구성하는 모든 인자를 조합하여 외부 공격으로

부터의 효과적인 대응

- HTTP Header : URL,Method,User Agent,Referer

- HTTP Body : Parameter Name,Parameter Value의 특정 String

로그인 대입식/계정도용 확인 공격 차단

17

iMPERVA SecureSphere - OWASP Top10 2013 대응

항목 설명 대응

A1 - 인젝션

• SQL, 운영체제, LDAP 인젝션 취약점은 신뢰할 수 없는 데이터가 명령어나 질의문의 일부분으로서 인터프리터로보내질 때 발생한다.

• 공격자의 악의적인 데이터는 예상하지 못하는 명령을 실행하거나 적절한 권한 없이 데이터에 접근하도록인터프리터를 속일 수 있다

A2 – 인증 및 세션 관리 취약점• 인증과 세션 관리와 관련된 애플리케이션 기능은 정확하게 구현되어 있지 않아서, 공격자가 패스워드, 키 또는 세션

토큰을 해킹하거나 다른 구현 취약점을 공격하여 다른 사용자 ID로 가장할 수 있다

A3 – 크로스 사이트 스크립팅(XSS)

• XSS 취약점은 애플리케이션이 신뢰할 수 없는 데이터를 가져와 적절한 검증이나 제한 없이 웹 브라우저로 보낼 때발생한다. XSS는 공격자가 피해자의 브라우저에 스크립트를 실행하여 사용자 세션 탈취, 웹 사이트 변조, 악의적인사이트로 이동할 수 있다.

A4 – 취약한 직접 객체 참조

• 직접 객체 참조는 개발자가 파일, 디렉토리, 데이터베이스 키와 같은 내부 구현 객체를 참조하는 것을 노출시킬 때발생한다. 접근 통제를 통한 확인이나 다른 보호수단이 없다면, 공격자는 노출된 참조를 조작하여 허가 받지 않은데이터에 접근할 수 있다.

A5 – 보안 설정 오류

• 훌륭한 보안은 애플리케이션, 프레임워크, 애플리케이션 서버, 웹 서버, 데이터베이스 서버 및 플랫폼에 대해 보안설정이 정의되고 적용되어 있다. 기본으로 제공되는 값은 종종 안전하지 않기 때문에 보안 설정은 정의, 구현 및유지되어야 한다. 또한 소프트웨어는 최신의 상태로 유지해야 한다.

A6 – 민감 데이터 노출

• 많은 웹 애플리케이션들이 신용카드, 개인 식별 정보 및 인증 정보와 같은 중요한 데이터를 제대로 보호하지 않는다. 공격자는 신용카드 사기, 신분 도용 또는 다른 범죄를 수행하는 등 약하게 보호된 데이터를 훔치거나 변경할 수 있다. 중요 데이터가 저장 또는 전송 중이거나 브라우저와 교환하는 경우 특별히 주의하여야 하며, 암호화와 같은보호조치를 취해야 한다.

A7 – 기능 수준의 접근 통제 누락

• 대부분의 웹 애플리케이션은 UI에 해당 기능을 보이게 하기 전에 기능 수준의 접근 권한을 확인한다. 그러나애플리케이션은 각 기능에 접근하는 서버에 동일한 접근통제 검사를 수행한다.

• 요청에 대해 적절히 확인하지 않을 경우 공격자는 적절한 권한 없이 기능에 접근하기 위한 요청을 위조할 수 있다

A8 – 크로스 사이트 요청 변조(CSRF)

• CSRF 공격은 로그온 된 피해자의 취약한 웹 애플리케이션에 피해자의 세션 쿠키와 기타 다른 인증정보를 자동으로포함하여 위조된 HTTP 요청을 강제로 보내도록 하는 것이다.

• 이것은 공격자가 취약한 애플리케이션이 피해자로부터의 정당한 요청이라고 오해할 수 있는 요청들을 강제로 만들수 있다.

A9 – 알려진 취약점이 있는 컴포넌트 사용

• 컴포넌트, 라이브러리, 프레임워크 및 다른 소프트웨어 모듈은 대부분 항상 전체 권한으로 실행된다. 이러한 취약한컴포넌트를 악용하여 공격하는 경우 심각한 데이터 손실이 발생하거나 서버가 장악된다.

• 알려진 취약점이 있는 컴포넌트를 사용하는 애플리케이션은 애플리케이션 방어 체계를 손상하거나, 공격 가능한범위를 활성화하는 등의 영향을 미친다.

A10 – 검증되지 않은 리다이렉트 및포워드

• 웹 애플리케이션은 종종 사용자들을 다른 페이지로 리다이렉트 하거나 포워드하고, 대상 페이지를 결정하기 위해신뢰할 수 없는 데이터를 사용한다.

• 적절한 검증 절차가 없으면 공격자는 피해자를 피싱 또는 악성코드 사이트로 리다이렉트 하거나 승인되지 않은페이지에 접근하도록 전달할 수 있다.

5. SecureSphere 기능 소개


18

논리엔진(Correlation Engine)

Hacker SecureSphereWAF

/login.php?ID=5 or 1=1

SQL 인젝션 공격 SQL Injection Engine with Profile Analysis

Signature, Protocol Violations 탐지

SQL Injection Signature와정확히 매칭 되는 공격은 차단

Correlation Engine에 의한차단

Web Server

SQL Injection 공격 의심 시Correlation Engine으로 전달

단순 패턴 매칭 뿐 아니라 자체 엔진을 통한 다계층 분석으로 오탐 최소화

• SecureSphere는 오탐/미탐을 줄이기 위한 다계층 분석 Correlation Attack validation 엔진을 제공합니다.

• 하나의 보안정책에 위배되면 무조건 Block 시키는 것이 아니라 추가 검사엔진을 통하여 정밀한 분석을 통해

오탐을 최소화한 상태에서 외부로부터의 공격에 대응할 수 있습니다.


19

Dynamic Profiling

Directory

URL/Method

Parameter Name Parameter Type Parameter value Length Hidden Field

학습된 Profile 정보 학습된 Parameter 정보

• 클라이언트가 정상적으로 접속(HTTP Response code 200)한 도메인/URL/Method/Parameter

Name/Parameter Type/Parameter Value Length/Hidden Field 유무 등을 자동 학습하여 Profile 화 하여

기존에 알려지지 않은 비정상적인 공격에 대한 방어를 할 수 있습니다.


20

Dynamic Profiling - 계속

Profiling 후 제공되는 정보 가장 많이 접속한 URL 정보 Link가 끊어진 URL 정보

• Dynamic Profiling을 통해 Directory/URL/Parameter 정보 뿐 아니라 Cookie/URL 정보/URL 별 접속 통계 등과

같은 웹서버 관련 추가적인 정보 제공하여 별도 추가 솔루션 없이 임퍼바 자체에서 웹트래픽 분석을 통한

유용한 웹서버 접속 정보를 제공합니다.


21

시그니처 업데이트

ADC 업데이트 정보

정책 설정 메뉴

시그니처 분류 현황

• 가트너 선정 3년 연속 유일한 리더인 웹보안 전문 제조사-임퍼바의 시그니처 자동 업데이트를 통해

웹서버 보안 패치 전에 신속한 제로데이 취약점 공격에 대응할 수 있습니다.

[2016년 12월 16일 기준 전체 7038개 패턴 등록]


22

사용자 정의 시그니처

사용자 정의 시그니처Dictionary 작성

단순패턴 및정규식(Regex) 이용한사용자 정의 시그니처

작성

시그니처 탐지 범위 지정(URL/Parameter/Header/Res

ponse Content)

사전 분류된 시그니처 사용자 정의 시그니처

• 사용자 정의 시그니처를 이용하여 당사의 웹보안 위협에 정확하게 대응하는 정책을 수립할 수 있습니다.

• 단순패턴(part=“xxxx”) 외 정규식(Regex) 지원을 통한 외부로부터의 비정형 공격에 대한 유연한 패턴 작성이

가능하며, 패턴 적용 범위(URL/Parameter/Header/Response content) 지정을 통해 오탐을 최소화한 상태에서

보안 정책을 적용할 수 있습니다.


23

http Protocol Validation

Security Policy Web Protocol Policy

• RFC2616 HTTP Protocol에 대한 표준을 준수하지 않는 경우 탐지 및 차단을 통해 비정상적인 웹서버 접속에 대한

차단 기능으로 웹서버의 보안을 강화할 수 있습니다.

• 웹서버의 장애를 유발하는 Overflow 공격에 대한 차단 기능으로 웹서버 가용성을 강화할 수 있습니다.


24

BruteForce (대입식 공격) 대응

로그인 대입식 공격 대응 계정도용 확인 공격 대응

기타

약 27%

자동화된 공격에 대한 자동화된 방어

– 특정 국가별 대응

– 임계치 기반의 능동적인 대응

– 예외처리를 통한 오탐 최소화

계정도용 확인 공격 차단

– HTTP 헤더 및 HTTP 바디를 구성하는 모든 인자를 조합하여 외부 공격으로 부터의 효과적인 대응

• 특정 URL에 대한 단순 임계치 기반이 아닌 HTTP를 구성하는 모든 인자 및 정규식을 이용하여

오탐을 최소화한 정교한 BruteForce(대입식 공격) 차단 정책을 생성할 수 있습니다.

• 임퍼바 SecureSphere를 운영하는 국내 메이저 게임사에서 검증된 기능으로 안정성을 사전 담보하여

BruteForce 정책을 적용할 수 있습니다.

• 오랜 기간 다수의 고객사 지원경험을 토대로 지능적인 BruteForce(대입식 공격) 공격에 대한 대응 방안을 제시 해

드립니다.


25

사전 정의 정책

Security Policy – Custom Policy

• 임퍼바 SecureSphere에서 기본 제공되는 100여 개 이상의 웹보안 정책 활성화를 통해

기존 알려진 웹서버의 취약점 공격(CVE 관련) 및 알려진 웹서버 공격에 대한 차단을 신속히 수행할 수 있습니다.

• 웹 서버 관련 신규 취약점 발표 시 임퍼바에서 자동 시그니처 업데이트를 통해 웹서버에 대한 보안 패치 전

취약점 공격 차단이 가능하여 웹서버에 대한 보안을 강화할 수 있습니다.


26

사용자 정의 정책

HTTP Request의 header/parameter/URL에서 원하는String 검출

HTTP Request의 Cookie에서원하는 String 검출

특정 IP가 특정 시간 동안 특정 횟수 이상 접속 시정책 적용

일주일 단위로 특정 시간(최소 30분 단위)에 보안정책 적용

상세 Custom Policy 설정

• 임퍼바에서 기본 제공되는 웹보안 정책 이외에 현재 운영 중인 웹서버에 유입되고 있는 위협에 대응할 수 있는

정교한 사용자 정의 정책을 수립할 수 있습니다.

• 최대 40여개의 인자를 조합하여 신뢰성 높은 타깃 맞춤형 사용자 정의 정책을 작성함으로써

오탐을 최소화할 수 있습니다.


27

사용자 정의 정책 - 계속

Criteria 검색 조건

HTTP Request Accept-Language • Header의 Accept-Language가 특정 조건일 때 정책 적용

HTTP Request • Header/Parameter/URL에서 특정 String일 때 정책 적용

Cookie Name • Header의 cookie 명이 특정 조건일 때 정책 적용

HTTP Host Name • Header의 접속 도메인 명이 특정 조건일 때 정책 적용

HTTP Request Method • HTTP Request Method 종류(GET/POST 등)로 정책 적용

HTTP Request Parameter Name • HTTP Body의 Parameter Name이 특정 조건일 때 정책 적용

HTTP Request Referer URL • HTTP Header의 Referer URL이 특정 조건일 때 정책 적용

HTTP Response Status Code • HTTP Response code가 특정 값일 경우 정책 적용

Number of Occurrences • 특정 시간동안 특정횟수 이상 접속 시 정책 적용

Signatures • SecureSphere에서 보유중인 특정 Signature 조건으로 정책 적용

Source GeoLocation • 특정 국가 별 조건으로 정책 적용

Source IP Addresses • 특정 IP 별 정책 적용

Time Of Day • 특정 요일 및 특정 시간으로 정책 적용

Web Page Response Size • 웹서버의 응답 데이터 사이즈 조건으로 정책 적용

Web Page Response Time • 웹서버의 응답 시간을 조건으로 정책 적용

조합 가능 항목 주요 항목 설명

• HTTP를 구성하는 헤더/바디의 모든 인자(총 40개)에 대해 조건을 설정하여 사용자 정의 정책을 생성할 수 있습니다.

• 웹서버로 유입되는 트래픽 분석을 통해 오탐을 최소화한 상태에서 공격 트래픽만 차단되도록

설정함으로써 비즈니스의 연속성을 확보할 수 있습니다.


28

개인정보 보호기능

주민등록 번호 탐지 시그니처를이용한 탐지 정책 적용

사전 정의되어 있는주민등록번호,신용카드 패턴

탐지 시그니처

사전 정의 되어 있는 신용카드 번호패턴 탐지를 통한 정보 유출 방지

• 내부 웹서버에서 주민등록 번호/신용카드 번호와 같은 민감한 개인정보 유출 시 탐지/차단함으로써

고객의 소중한 개인정보 유출 사고에 대응할 수 있습니다.


29

히든필드 변조를 통한 공격 차단

URL 세부 속성 학습

웹서버의 모든 Parameter에 대한속성값에 대한 Read-only 속성 학습

Read-Only로 설정된 parameter값이변조될 경우 탐지/차단 정책 적용

Web Profile Policy

• Paros와 같은 프록시를 이용하여 특정 히든 필드의 인자를 조작하여 웹서버의 비정상적인 작동을 유도하는 공격에

대해 임퍼바 SecureSphere는 “Web Profile Policy”를 이용하여 대응할 수 있습니다.


30

DDoS 공격 대응

DDoS Mitigation – Response Time DDoS Mitigation – Resource Size

클라이언트의 과도한 요청에 의한웹서버의 응답이 지연될 경우

탐지/차단

클라이언트의 과도한 요청에 의한웹서버의 응답 데이터가 과다 발생될

경우 탐지/차단

• 웹서버에 대한 DDoS 공격 시 발생하는 웹페이지 응답속도 저하 및 응답 데이터 증가를 모니터링 하여

별도 솔루션 도입 없이 웹보안 정책으로 웹서버에 대한 DDoS 공격에 대응할 수 있습니다.


31

오탐 발생 시 신속한 예외처리

예외처리 버튼

상세 Alert 메뉴

Policy 예외처리 처리 결과

• 웹방화벽 운영 시 주요 이슈 사항인 오탐으로 인한 접속 장애 발생 시

로그 조회 화면에서 즉시 예외처리 기능을 통한 신속하게 서비스 장애에 대응할 수 있습니다.


32

예외처리의 정밀성 및 직관성

Policy 메뉴예외처리 별 코멘트

입력을 통한 이력 관리

최대 22개의 다양한 인자를조합한 예외처리로 예외처리에

따른 리스크 최소화

• 예외처리에 따른 리스크 최소화를 위해 각 정책 별 예외처리 시 다양한 인자를 조합할 수 있습니다.

• 전문지식이 없어도 GUI 상에서 손쉽게 상세 예외처리를 함으로써 운영의 효율성을 높일 수 있습니다.

• 예외처리 시 코멘트 입력을 통한 이력 관리(CSR) 지원 및 리포팅 기능을 통한 예외처리 내역 리스트를 제공할 수

있어 효율적으로 보안 감사에 대응할 수 있습니다.


33

Data Enrichment(로깅 강화)

• AD 서버의 계정 정보(사번/부서 등)을 웹방화벽 로그에 추가로 생성하여 로그에 대한 분석의 용이성 제공합니다.

• 엑셀형태의 사용자 리스트를 SecureSphere에 업로드하여 IP와 매칭되는 기관명을 웹방화벽 로그에 추가로 생성하여

로그에 대한 분석 용이성 제공합니다.


34

모니터링

관리서버 상세 성능 정보

CPU에 부하를 주는 각상세 항목 정보 제공

게이트웨이 상세 성능 정보

게이트웨이 부하를 주는 Policy 별/서비스 별/공격패턴 별 상세 정보 제공

Dashboard

관리서버에 연동된 전체게이트웨이의

Connection/트래픽 정보확인

관리서버에 연동된 전체게이트웨이의 CPU

사용률 확인

• SecureSphere의 “Dashboard” 메뉴에서 시스템에 대한 실시간 CPU 사용률/TPS(Transaction Per Second)/트래픽에대한 실시간 정보 확인을 통해 시스템의 특이사항을 실시간으로 확인할 수 있습니다.


35

자동화된 백업

백업 스케줄설정

2차 백업 설정 메뉴(ftp,scp,SAN

Storage)

• SecureSphere의 자동화된 2차 백업을 통해 일별/주별/월별로 시스템 설정을 백업함으로써 향후 시스템 장애 발생 시신속하게 시스템 복구를 할 수 있습니다.


36

Web Error Page 정책

Web Error Page Policy Web Error Page Policy 세부 설정 채널링 서비스 시 구동 방식

• 웹서버에 접근하는 클라이언트의 레퍼러(Referer) 또는 아이피와 같은 특정 조건에 따라 리다이렉트 시킬 페이지를지정함으로써 채널링 서비스와 같이 외부 업체와의 연동 서비스 진행 시 유연한 운영 환경을 제공합니다.


37

봇 차단 정책

Human

Bot

SecureSphere WAFWeb Server

Bot Mitigation Policy

Bot 차단을 통한근본적인 유해 트래픽

유입 차단

• 임퍼바에서 기본 제공하는 “Bot Mitigation Policy”를 이용하여 알려지지 않은 공격 툴을 이용한 자동화된 로그인시도, 불법적인 접속에 대한 효과적으로 대응할 수 있습니다.


38

Followed Action

Followed action이란?보안정책 위배 시 차단후 추가적인 조치사항을

설정하는 메뉴특정 보안 정책 위배 시

추가적으로하루(86400초)동안

Blacklist 등록으로 접근원천 차단

Followed action 설정 메뉴Custom Policy

• 특정 웹보안 정책 위배 시 건 별 차단이 아닌 자동화된 블랙리스트 등재를 통해민감한 보안 정책 위반 및 대량으로 불법적인 접근에 대해 원천적으로 차단함으로써악성 IP에 대한 효과적인 대응할 수 있습니다.


39

Followed Action - 계속

실시간 통보를 위한시스템의 다양한

조건

Syslog 전송 시 전송데이터 포맷을

유연하게 수정 가능

• 시스템 중단, 바이패스 모드 전환, CPU 임계치 도달, 트래픽 임계치 도달과 같이 시스템에 비정상적인 상황 발생 시

메일 발송 및 ESM/SIEM 장비로 Syslog 이벤트를 보냄으로써 시스템 장애 발생 시 신속하게 대응할 수 있습니다.


40

HTTPS(SSL) Inspection

1 웹서버 SSL인증서 Import

23

암호화된 웹트래픽을 복호화웹보안 정책 적용다시 암호화 후 데이터 전달

Https를 통한 로그인 또는제품 구매

• 임퍼바 SecureSphere의 SSL Inspection 기능을 통해 로그인 서버와 같이 필수적으로 HTTPS(SSL) 암호화를 해야

하는 구간에 대해서도 웹보안 정책을 적용할 수 있습니다.

• 대다수의 임퍼바 웹방화벽 고객사는 SecureSphere의 안정적인 HTTPS(SSL) 검사 기능 적용으로

고객의 소중한 개인정보를 보호하고 있습니다.


41

Threat Radar(별도 옵션)

• SecureSphere WAF에 Add-on 형태로 제공

• 주요 기능

✓ 전세계의 알려진 Proxy IP로 접속 시 탐지/차단

✓ Spam서버 IP로부터의 접속 시 탐지/차단

✓ 특정 국가별 접근 탐지/차단

✓ DDoS에 동원된 IP에 대한 탐지/차단

✓ TOR 네트워크 IP 탐지/차단

1. 전세계에서 악성 IP 추적

2. 1시간 단위로 악성IP 정보를웹방화벽에 전달

3. 자동으로 웹방화벽 정책에 IP정보 업데이트및 차단 정책 적용

4. 악성IP의 정상적인 접속 – 실제 공격 전사전 차단


42

로그 조회 기능

로그 지원항목

Violation Type

Policy Name

Alert Number

Immediate Action

Signature

Signature Description

Matched Text

Found in

Header

Dictionary name

Event Detail

Server Group

Host

Source Geolocation

Connection

User

Response Code

Response Size

1. Request의 header/body 정보 모두 표시2. 보안정책에 위배되는 String 하이라이트를

통한 직관적인 위배사항 확인 가능

최근 12시간 동안 공격유형 건에 대한 건 수제공으로 최신 보안

위협 트래픽 파악 용이

CSV,PDF 포맷으로출력 지원

Quick Filter를 통한신속한 로그 검색

• Quick filter/Advanced Filter를 통해 시간, 소스/목적지 IP, 웹서버, 동작결과, 공격유형, 수준에 대한 실시간 검색

기능을 제공합니다.

• 클라이언트에서 전송한 트래픽에 대한 http 헤더 및 바디에 대한 전체 데이터 정보 및 위배된 문자열에 대한

하이라이트 기능으로 신속한 트러블슈팅 기능을 제공합니다.


43

감사 기능

• 시스템 로그인, 패스워드 변경, 정책 추가/수정/삭제와 같이 시스템에서 수행된 모든 행위를 기록함으로써

향후 보안사고 및 감사 진행 시 관련 자료를 제공할 수 있습니다.


44

외부 시스템 연동(ESM,SIEM)

MX Server

Syslog 전송 시 전송 데이터 포맷을 유연하게수정 가능하여 통합보안관리 솔루션과 원활한

연동 지원

• ESM,SIEM과 같은 외부 시스템과 연동 시 Syslog 포맷을 유연하게 수정할 수 있어

연동 관련 개발 기간 단축 및 통합보안관리 솔루션과의 원활한 연동을 보장합니다.


45

장애 발생 시 업무 연속성 확보

• 시스템 과부하 및 하드웨어 장애 발생 시 자동으로 트래픽을 바이패스 시켜 안정적인 웹서비스를 제공할 수

있습니다.

하드웨어 장애, 과부하 발생 시

하드웨어 장애 시 Bypass 모듈로 즉시트래픽을 전환하는 Fail Open 모드지원

CPU/Memory 리소스 100% 소진 시트래픽을 자동으로 Bypass 시켜 서비스안정성 확보

Bypass 모듈 내장

인터페이스 카드 내에Bypass 모듈 내장으로신뢰할 수 있는 Bypass 지원


46

웹스캐너 통합

• 웹 스캐너와의 연동으로 웹 스캐너에서 발견된 취약점에 대한 자동화된 차단 정책 적용으로

보안인프라 통합을 통한 보안강화 및 업무 자동화를 통한 운영 효율성을 극대화할 수 있습니다.

[스캐너를 이용한 취약점 점검]

[스캔결과 취약점 대응 정책 Import]

[웹서버 모니터링]

[연동 가능 웹스캐너 회사]


47

자동화된 웹방화벽 업무

Trigger 기반 웹보안 정책 자동화

예외처리 자동화

객체 생성 자동화

Global 평판 서비스

사전 위협 탐지

업무 자동화


48

GUI 한글지원

한글 GUI

메뉴 및 보안이벤트에대한 완벽한 한글 GUI

구현

• 클릭 한 번으로 GUI의 기본 언어인 영어를 한글로 손쉽게 전환할 수 있습니다.

• 메뉴 명 및 보안이벤트/시스템 이벤트에 대해 100% 한글화가 되어있어 보다 친숙하게 시스템을 운영할 수 있습니다.


49

유연한 구성 방식

구성 방식 설명

Inline Bridge

• Proxy 모드로 구현된 Inline이 아니라 순수 L2 Bridge로동작하여 안정성 확보 및 스위치 수준의 Latency 보장

• 기존 네트워크 인프라 변경 불필요• Bypass 모듈 자체 내장으로 하드웨어 장애/전원 Off 장애

시에도 서비스 보장• LLCF(Link Loss Carry Forward) 기능 기본 제공

Proxy Mode&

Routing Mode

• L2 Proxy 구조 지원(상하단 같은 네트워크)• L3 Proxy 구조 지원(상하단 다른 네트워크)• One-Arm 구조 지원(하나의 인터페이스)• Proxy 구조에서는 Response rewrite 및 SSL Offload

기능지원• One-Arm 구조에서 각 VIP별 default Gateway 지정 가능

Sniffing Mode

• 기존 네트워크 인프라에 영향 전무• 단일 패킷 공격에 대한 이슈 발생 가능성• 서버 단으로 Reset 패킷 전송을 통한 Session Termination

지원• SSL 인스펙션 가능

Sniffing Mode

Web Servers

Web Servers

Inline Mode

INTERNET

Proxy Mode

1) Sniffing mode에서 보안정책 위배 시서버단으로 Reset 패킷 전송을 통한 차단

2) Sniffing mode에서 SSL 트래픽 검사 지원

• 고객사 네트워크 환경에 맞게 다양한 구성 방식을 지원합니다.

• 초기 설치 시 보안정책 최적화를 위한 sniffing Mode를 제공하여 서비스 안정성을 확보한 상태에서

웹보안정책에 대해 최적화 작업을 진행할 수 있습니다.


50

통합 관리

MX 관리서버

SecureSphere Operations Manager

• MX 관리서버(M160/M110)

✓ 다수의 게이트웨이를 관리서버 1대에서 통합 관리

✓ 통합 정책 관리 및 통합 로그 관리 지원

✓ 관리서버 이중화 구성을 통한 관리서버 무중단 운영

✓ AD/LDAP 연동을 통한 외부 인증 지원MX 관리서버

• SecureSphere OperationManager(SOM)

✓ Management of Management

✓ 다수의 MX 관리서버를 단일 콘솔에서 통합 관리지원


51

리포트

게이트웨이 시스템/트래픽 정보

GUI에서 게이트웨이 별 실시간 CPU 사용률/이벤트 건수/보안 정책 별 CPU 사용률 확인이 가능합니다.

사전 정의된 공격 유형 별 이벤트 건에 대해 손쉽게리포트 생성이 가능합니다.

기본 제공되는 리포트 템플릿

리포트 샘플

• 일/주/월별 스케줄링 리포트 생성 및 공격자 IP/대상 웹서버/공격유형 및 수준별 내용 등 기본 제공되는 리포트

템플릿을 통해 신속하게 리포트 생성이 가능하며 운영자가 기본 리포트 템플릿을 수정하여 종합보고서를 작성할 수

있습니다.

52

구축 사례

▪ 사업 범위 : 온라인,모바일 게임 소프트웨어 개발 및 공급 업

▪ 사업 내용 : 게임소프트웨어 제작

▪ 기업 형태 : 대기업

▪ 로그인서버에 대한 BruteForce 공격에 대한 효과적인 대응 필요

▪ 타 사이트에서 도용된 계정으로 자동화된 로그인 접속 시도/성공 시 게임 아이템,게임 캐시 탈취 공격에 대한 효과적인 대응

▪ Splunk를 통해 수집된 웹서버 로그 분석을 통해 보안위협 분석의 신속성은 증가하였으나, 보안분석을 기반으로 정확하게 대응할 수 있는

보안솔루션의 부재

▪ 웹서버 보안 업데이트가 매달 1회 진행되어 웹서버에 대한 제로데이 공격에 실시간 대응 불가

6. 구축 사례

6. 구축 사례

53

구축 사례

개인정보보호

• 실망 BruteForce 정책 검증

• 웹서버 제로데이 공격 신속 대응

• 보안위협 사전 탐지 시 신속 대응

벤더,총판역량

• 글로벌 수준의 구축/지원 역량 보유

• 웹방화벽 실 운용 사례 조사

• PoC로 업체 기술지원 역량 확인

6. 구축 사례

54

구축 사례

INTERNET

백본스위치

방화벽

라우터

웹서버

▪ 운용 장비 : 관리서버(M160), 게이트웨이(X6500)

▪ Global Reputation Service : ThreatRadar를 이용한 Global 수준의 평판서비스

▪ SIEM 연동 : Splunk 연동

▪ 개인정보 보호 강화

-> SecureSphere Custom Policy를 이용하여 Cert팀에서 분석된 데이터를 기반

의 타겟 맞춤형 정책 운용으로 오탐이 최소화된 정책 운용

▪ 시그니처 자동 업데이트를 통한 제로데이 공격 대응

-> 매월 정기 PM시 진행하던 웹서버 보안업데이트와 별도로 제로데이 공격에

실시간 대응함으로써 보안 위협 대응 능력 강화

▪ 업무 자동화

-> 향후 정책 관련 API 추가 제공 시 웹방화벽 운용 담당자의 개입 최소화

▪ 웹스캐너 통합

-> SecureSphere와 연동 가능한 웹스캐너 도입 후 연동을 통해 보안 취약점

확인 및 차단 정책 생성

55

AWS(Amazon Web Service) – 퍼블릭 클라우드

[클라우드 시장 점유율] [클라우드 도입 시 고려사항]

7. SecureSphere For AWS


56

AWS 컴피턴시 프로그램(Competency Program) 인증 벤더 - IMPERVA

https://aws.amazon.com/ko/security/partner-solutions/

https://aws.amazon.com/ko/partners/competencies/


57

웹방화벽 운영의 일관성 유지

최근 12시간 동안 공격유형 건에 대한 건 수제공으로 최신 보안

위협 트래픽 파악 용이Quick Filter를 통한신속한 로그 검색

1. Request의 header/body 정보 모두 표시2. 보안정책에 위배되는 String 하이라이트를

통한 직관적인 위배사항 확인 가능

• SecureSphere WAF 장비와 100% 동일한 GUI 환경 제공으로 별도의 운영자 교육 없이

AWS 환경으로 웹서비스 마이그레이션 시 즉시 웹보안 정책을 적용할 수 있습니다.


58

구성 방식 – SecureSphere 도입 전

Users

Internet Gateway

NATInstance

WindowsClient

SecureSphere Admin

External ElasticLoad Balancer

Availability Zone 1 Availability Zone 2

AWS Region

Virtual Private Cloud

Web

ServerWeb

Server

Web

Server

Web

ServerWeb

Server

Web

Server

Scaling Group 1 Scaling Group 2


59

구성 방식 – SecureSphere 도입 후

Users

Web

ServerWeb

Server

Web

Server

Web

ServerWeb

Server

Web

Server

Internet Gateway

NATInstance

WindowsClient

SecureSphere Admin

External ElasticLoad Balancer

SecureSphereVirtual Gateway Scaling

Group

Internal ElasticLoad Balancer

Internal ElasticLoad Balancer

Scaling Group 1 Scaling Group 2

Availability Zone 1 Availability Zone 2

AWS Region

Virtual Private Cloud

SecureSphereManagement Server


60

구성 방식 – 네트워크 구성도


61

CloudFormation을 이용한 신속하고 간편한 구축

BYOL/PAYG MX(관리서버),Gateway

장비 Template 제공

자동 AutoScaling 그룹생성,Multi Availability

Zone 설정 등 고급설정에 대한 간편한입력 값 설정 지원

• SecureSphere는 CloudFormation을 지원하며 JSON 기반의 템플릿을 통해 신속하고 간편하게 구축할 수 있습니다.


62

자동화된 AutoScaling Group 생성 및 커스터마이징

Gateway 생성 시자동으로 AutoScaling

Group 생성

CPU/트래픽 in/out 기준으로 Instance 자동추가/삭제 정책 생성 및

커스터마이징 지원

• CloudFormation을 이용하여 게이트웨이 생성 시 자동으로 AutoScaling Group 생성 및 커스터마이징을 통해

CPU 임계치 기반 및 트래픽 증가,증감에 따른 자동화된 Scale up/down을 지원합니다.


63

SecureSphere Physical WAF / AWS WAF 주요 항목 비교

항목 Physical WAFAWS WAF

BYOL PAYG

구성 방식 Inline mode/Reverse Proxy mode/Sniffing mode 지원Reverse Proxy Mode만 지원

(Inline/Sniffing mode 미 지원)

장비 라인업 500M/1G/2G/5G/10급 장비 지원 100M/500M급 가상 장비 지원

라이선스 정식 라이선스 구매 시 영구적으로 운영 가능(단, 유지보수 계약 체결 시에만 시그니처 업데이트 지원)

BYOL(Bring Your Own License) 및PAYG(Pay As You Go) 지원

Auto Scaling 미 지원 지원

ThreatRadar 별도 라이선스 구매 필요별도 라이선스 구매 필

요기본 제공


64

SecureSphere 장비 별 구매 가능 방식

AV1000WAF

GATEWAY

AV2500WAF/DAMGATEWAY

AVM150MANAGEMENT

SERVER

Bring Your OwnLicense(BYOL)Annual Subscription(연간 계약)

On-DemandHourlySubscription

On-DemandAnnualSubscription(연간 계약)


65

SecureSphere for AWS Model

Performance AV1000 AV2500 AVM150

Throughput 최대 100M 최대 500M 해당사항 없음

Minimum Requirements For Each SecureSphere For Aws Instance

Minimum AWS Instance Type

M3 Large M3 Extra Large M3 Extra Large

SecureSphere For Aws Technical Details

AWS Service Integration EC2,CloudFormation,CloudWatch,VPC,AutoScale (WAF Only)

SecureSphere Operation System

CentOS version 6.3

Delivery Method CloudFormation

66

신속한 웹 보안위협대응을 통한대 고객 신뢰 강화

보안성과 비즈니스연속성이 보장된

웹보안 정책 적용

자동화된 업무를통한신속한 ROI 달성

대내외 환경 변화에따른 지속가능한

솔루션 운영

감사합니다.

Question?

Documents

웹방화벽시장의 글로벌리더 임퍼바 SecureSphere 웹방화벽제품소개서 · 웹방화벽시장의글로벌리더 임퍼바SecureSphere 웹방화벽제품소개서