Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
© 2016 IBM Corporation
기업에서의 보안 관제센터 설계 및 운영
IBM Security BU유제광 부장
IBM Korea Security Summit 2016
© 2016 IBM Corporation2
Agenda
I. 배경
II. Security Operation Center(SOC)란?
III. IBM SOC Operating Model
IV. Why IBM
V. 구축 사례
© 2016 IBM Corporation3
I. 배경
II. Security Operation Center(SOC)란?
III. IBM SOC Operating Model
IV. Why IBM
V. 구축 사례
4
“ 어떻게 다양한 보안솔루션을효율적으로 관리할 것인가? ”
“ 통합적인 보안체계 수립을위한 방법은 무엇일까? ”
“ 보안관제센터만 구축하면안전하게 기업자산을 보호할 수있는 것일까? ”
“ 우리 기업의 정책과 조직, 프로세스를 어떻게 연계할 것인가? ”
© 2016 IBM Corporation5
• 정교한 공격 기법의 증가
• 경계선의 증발
• 보안 침해의 가속화
• 지속적인 인프라 변경
• 복수 벤더로부터의 너무 많은 제품들로 인한 구성과 유지보수 비용 증가
• 적절하지 못하고 비효율적인 툴들
• 전체 조직 하부의 보안 팀
• 진짜 위협을 발견하기에는 데이터오버로드, 제한된 리소스와 기술이제한의 원인이 됨
• 컴플라이언스로 인한 관리와 모니터링요청 증가
스피어 피싱
지속성
백도어
다자인 된 멜웨어
▶ 공격의 고도화 ▶ 복잡성의 증가 ▶ 리소스의 제한
비즈니스 및IT환경의 급격한 변화
위협의 증가
각각의 사상(思想)에 따라구축된 업무·정보보호 솔루션
방대하지만상호연계성이 부족한정보보호 프로세스
갈수록 강화되는컴플라이언스
1. 보안 위협의 발전 및 기업의 현황
최근 공격기법들은 매우 다양하고 장기간에 걸쳐 시도 하므로, 기존 보안 장비 및 전통적보안 방식으로는 대응이 매우 어려운 상황입니다
© 2016 IBM Corporation6
2. 보안 운영(Security Operation)의 필요성 (1/2)
기업 환경의 변화 및 위협 증가로 인한 고도화된 보안 운영이 요구되고 있습니다
모바일 협업, BYOD
클라우드,가상화
복잡하고 규모있는IT 인프라
▶ 소셜 비즈니스
▶ 신규 비즈니스 모델 및 기술의 발전
▶ 규제의 강화
▶ 위협의 급증
데이터, 장비 도난 악성코드 감염 및생산성 저하
규제 위반으로 인한벌금, 과태료
데이터 유출
지적자산 및 개인정보의활발한 공유
정보보호 관련법률 및 처벌조항 강화
잠재적 리스크
“증가”
© 2016 IBM Corporation7
2. 보안 운영(Security Operation)의 필요성 (2/2)
가 공격을 발견하는데 몇주 이상이 소요되며, 발견이후 교정 및복구에 약 59%는 몇주/몇달이상이 걸린다고 응답하였음.183%
Time span of events by percent of breaches1
Initial attack to initial compromise
Initial compromise to data exfiltration
Initial compromise to discovery
Discovery to containment/restoration
Seconds Minutes Hours Days Weeks Months Years
10% 75% 12% 2% 0% 1% 0%
8% 38% 14% 25% 8% 8% 0%
0% 0% 2% 13% 29% 54%+ 2%
0% 1% 9% 32% 38% 17% 4%
침투 및공격성공까지걸리는시간…
…발견 및복구에걸리는시간
12012 Verizon Data Breach Investigations report, http://www.verizonenterprise.com/resources/reports/rp_data-breach-investigations-report-2012_en_xg.pdf
공격 및 침투에 대한 조기 발견 및 빠른 대응이 필요합니다
© 2016 IBM Corporation8
I. 배경
II. Security Operation Center(SOC)란?
III. IBM SOC Operating Model
IV. Why IBM
V. 구축 사례
© 2016 IBM Corporation9
1. Security Operations Center(SOC) 란?
SOC는 위협 관리 및 리스크 최소화를 위해 Governance, Operation, Technology 관점의중앙집중화된 관리 포인트를 제공하며, 고도의 운영 능력이 요구되는 복합적인 보안 운영모델 입니다
▶ SOC는 다음 목적을 위해 설계 되어야 합니다.
법률 및 규제의 준수여부를 증명
지적 자산 및 개인정보를 보호
보안 운영의 효율적, 효과적 관리 지원
현재 보안 수준 대비 전략 수립을 위한 인사이트 제공
조직의 위협 대응을 위한 고도화된 보안 전략 제공
누가, 무엇을, 언제, 어떤 작업을 하였는지 추적성 제공
© 2016 IBM Corporation10
2. Technology 그 이상의 의미
In-house staff Partners Outsourced ProvidersPeople
Process
Technology
Log Management Compliance Reporting Event Correlation Threat Reporting
Vulnerability ScannersIdentity &
Desktop MgmtTicketing System Change Tracking
Threat Analysis Compliance Mgmt
SLA Mgmt
Risk AssessmentChange Mgmt
Vulnerability Mgmt Identity & Access Incident Mgmt
CustomersIn-house staff Partners Outsourced ProvidersPeople
Process
Technology
Log Management Compliance Reporting Event Correlation Threat Reporting
Vulnerability ScannersIdentity &
Desktop MgmtTicketing System Change Tracking
Threat Analysis Compliance Mgmt
SLA Mgmt
Risk AssessmentChange Mgmt
Vulnerability Mgmt Identity & Access Incident Mgmt
Customers
▶ Stakeholders, processes technologies 등다양한 관점의 고려사항 존재
▶ operational process framework
▶ 물리적 공간과지리적 위치
▶ 필요 Skill set : Security analysts, shift leads, SOC managers
•
•
•
•
© 2016 IBM Corporation11
I. 배경
II. Security Operation Center(SOC)란?
III. IBM SOC Operating Model
IV. Why IBM
V. 구축 사례
© 2016 IBM Corporation12
1. IBM SOC Operating model
SOC방법론을 활용해 고객 환경과 발전방향을 고려한 실용적 설계가 요구 됩니다
※ SOC : Security Operation Center
IBM SOC Operating Model & Strategy
SO
CG
overn
ance
SO
CO
pera
tions
SO
CTech
nolo
gy
Executive Security Intelligence Briefings
Local Reg. Security Oversight
SOC GovernanceConsolidated Security
Analytics & DashboardsLocal/Reg. Intel.
Briefings
Cyber-Security Command Center (CSCC)
SOC Service Delivery Management
Service Level Management Operational Efficiency Service Reporting Escalation
Security IntelligenceIncident Hunting Use Case Recommendations
Security Analytics andDashboards
Security Integration
CSIRTManagement
ThreatRespond
Threat Triage
Threat Monitoring
Projects and Admin Support
SIEMTicketing &Workflow
PortalIntegration Tools(e.g. Web Srvcs)
Reporting /Dashboard
Big Data
Security Device Data
Aggregate Security Events
Event Data Correlation
Log Data (Transactional)
Event Patterns
Unstructured Data (Big Data)
Custom Rules
SOC Data Sources
Logs (Transactional) Business Data Asset information Unstructured (Big Data)
SOC Platform Components
향후 관제 발전방향
사전 탐지 및 대응에 초점
통합적인 프로세스 제공
C레벨의 관리 감독 지향
신규 위협에 선제적 대응
위협 범위 축소에 중점
외부 인텔리전스 활용 및 공유
관제를 중요한 업무로 인지
위협기반의 룰 업데이트
성과측정 및 스코어보드 활용
© 2016 IBM Corporation13
Cyber-Security Command Center (CSCC) SOC Service Delivery Management
SOC Governance
SOC Operations
SOC TechnologyIBM 보유 Asset 및 제공 서비스
Security Operation Governance model 수립
Responsibility matrix 정의
Executive Dash board 제공
2. SOC Governance
© 2016 IBM Corporation14
Board of directors
Enterprise steering committee
Executive steering committee
Security operations
Security operations center
Tier 3Escal
Tier 2Triage
Tier 1Mon
Enterprise ITHR
LegalFraudAudit
Annual
Quarterly
Monthly
Weekly
Daily
Reporting and meetings
Organizationalstrategy layer
Securitystrategy
layer
Securityplanning
layer
Securityoperations
layer
This is a complete governance program that includes all stakeholders and defines the required communications, reporting, and escalation procedures.
Business
units
Secu
rity
inte
lligence
team
2. SOC Governance > Governance Model
Security Operation 거버넌스 모델의 초기 수립으로 기업 전반의 보안 관련 프로그램을통제 및 관리할 수 있는 Decision making framework을 제공 합니다
© 2016 IBM Corporation15
2. SOC Governance > Executive Dashboard – Business insight 제공
© 2016 IBM Corporation16
Security Intelligence Security Integration Security Analytics and dashboards Threat Monitoring, Triage, Respond CSIRT
SOC Governance
SOC Operations
SOC Technology
IBM 역량
다양한 Security Operation Catalog
SOC Capacity 측정을 위한 Tool 제공
검증된 공격 대응 시나리오 및 프로세스 제공
(Use Case 활용)
3. SOC Operations
© 2016 IBM Corporation17
산정 기준 (예)50 potential incidents per day 2.5 hour average handle time 30 minutes queue time
Intervals are modelled in 30 minute periods because it “smoothes” the distribution and facilitates scheduling.
Key drivers to develop a SOC capacity plan:
Incoming threat rate (per half hour)
Average Threat Handling Time (ATHT)
(rule modeling is to be used to establish ATHT)
Service level
Target Threat Response Time
3. SOC Operations > SOC 모델링 툴
Capacity modeling tool을 통한 최적의 SOC 운영을 위한 인력 구성, SLA 정의, 투자비용등 최적의 SOC 운영에 필요한 요건을 산정 및 정의할 수 있습니다
© 2016 IBM Corporation18
Did it Happen?
Can it Happen?
Root Cause Analysis
Data Analysis
No Test Exposure
Document, The End
No
Can we detect?(attack profile)
Yes
Countermeasure
Threat identification and measurement
Response
Report
Threat Identified
Emergency Response
Governance Review
1
2
3
5
7
8
9 10
11
12
13
Yes
Compromise? 4
Yes
Contain Threat
No
6
14 Circular Info Model
15
Continuous Business Improvement
*
**
* Key Performance Indicators
*
*
*
*
RESPONSE PROCEDURE
Did it Happen?
Can it Happen?
Root Cause Analysis
Data Analysis
No Test Exposure
Document, The End
No
Can we detect?(attack profile)
Yes
Countermeasure
Threat identification and measurement
Response
Report
Threat Identified
Emergency Response
Governance Review
1
2
3
5
7
8
9 10
11
12
13
Yes
Compromise? 4
Yes
Contain Threat
No
6
14 Circular Info Model
15
Continuous Business Improvement
Hunter SAC SOC
Contain Threat
Contain Threat
Compromise? Compromise?
Did it Happen?
Can it Happen?
Root Cause Analysis
Data Analysis
No Test Exposure
Document, The End
No
Can we detect?(attack profile)
Yes
Countermeasure
Threat identification and measurement
Response
Report
Threat Identified
Emergency Response
Governance Review
1
2
3
5
7
8
9 10
11
12
13
Yes
Compromise? 4
Yes
Contain Threat
No
6
14 Circular Info Model
15
Continuous Business Improvement
Hunter SAC SOC
Did it Happen?
Can it Happen?
Root Cause Analysis
Data Analysis
No Test Exposure
Document, The End
No
Can we detect?(attack profile)
Yes
Countermeasure
Threat identification and measurement
Response
Report
Threat Identified
Emergency Response
Governance Review
1
2
3
5
7
8
9 10
11
12
13
Yes
Compromise? 4
Yes
Contain Threat
No
6
14 Circular Info Model
15
Continuous Business Improvement
Hunter SAC SOC
3. SOC Operations > 다양한 시나리오 및 Use Case 보유
© 2016 IBM Corporation19
SIEM Ticketing & Workflow Portal Integration tools Reporting / dashboard Big data
SOC Governance
SOC Operation
SOC Technology
IBM 역량
SOC Consulting
SIEM 구축 및 운영
Security Portal 개발
ITSM (Ticketing)
4. SOC Technology
© 2016 IBM Corporation20
SOC Integration Method
사업기획사업발주
분석 설계Key Activity
Tasks
계획 ( 사업전략 ) 구축 운영
구현 운영 개선사전조사
Security Operations Optimization Consulting Engagements
IBM SOC 구축 및 운영 방법론IBM
서비스
IBM 협업제안
Key Tasks:Proof of ConceptPilot OperationsSimulated Live Ops.
•기간 :
•인력 구성- 글로벌 SOC컨설턴트- 국내컨설턴트
참여 인력
• IBM SOC 성숙도 진단 항목을기준으로 현황진단 및 선진사대비 GAP
•목표수준 정의•목표 달성을 위한 Conceptual 구성안 제시
수행내용
•SOC 구축방향 및로드맵 제공
기대효과
• 해외 SOC컨설팅 인력지원을 위한 최소한의협력관계 ( 예: MOU )
전제조건
SOC 구축방향 수립을 위한 “IBM SOC Maturity 진단 Workshop” 을 진행하겠습니다.
4. SOC Technology > SOC Consulting – 사업 전략 수립
SOC 성숙도 진단을 통해 기업 현황 이해를 토대로 SOC사업에 대한 방향성 수립을 지원합니다
© 2016 IBM Corporation21
I. 배경
II. Security Operation Center(SOC)란?
III. IBM SOC Operating Model
IV. Why IBM
V. 구축 사례
© 2016 IBM Corporation22
SOC에 필요한 모든 노하우 및 지식 보유
: People, Process, Technology, Metrics, Reporting, Governance
구축 단계별 풍부한 자료 및 다양한 툴 보유
미래 지향적 비전 제공
비즈니스 측면의 SOC 가치 측정 가능
다양한 구축 사례 보유
1. SOC 구축·운영 관련 전체 범위 역량 보유
많은 고객들이 IBM은 SOC 설립에 대한 가장 광범위한 경험, 전문성, 레퍼런스를 보유하고 있습니다
© 2016 IBM Corporation23
Source: Forrester Research Inc. “Forrester WaveTM”: Information Security Consulting Services, Q1 2013”. And Forester Wave: Managed Security Services providers Q1, 2012
Full report can be accessed at http://www.ibm.com
Security Consulting Managed Security Services
2. 공신력 있는 보안 컨설팅 및 보안관제서비스 역량
© 2016 IBM Corporation24
I. 배경
II. Security Operation Center(SOC)란?
III. IBM SOC Operating Model
IV. Why IBM
V. 구축 사례
© 2016 IBM Corporation25
SOC Incident Manager(상위관리자)
Tier 3 구조의 대응 팀 (Call Center, Detection&Incident Mgnt, Advanced IR Analysis)
Facilities, US-CERT, Mgnt, Legal, HR, Privacy Official 등의 외부 기관과 연계
네트워킹 그룹, IT 보안 분석가, 관리자 / 사용자
외부 취약점 및 위협 DB, 테스트 데이터
이기종 장비 로그
시설 로그
e-mail, 전화, 팩스, Pager 등을 통한 접수
Incident 및 위협의 상관관계 분석과 DB 저장
보고, 문서 작성, 프로세스, 통보(게시판)
이벤트 상관관계 분석
흐름 분석
IDS 패킷 분석
Content 모니터링 및 Capture
Host 및 자산 모니터링
SIM
1. 캐나다 글로벌 은행
로그분석 및 SIM, 사고 및 위협 분석, SOC portal 등 기능별 모듈화 단위로 구성
© 2016 IBM Corporation26
Profile:
Global property and casualty insurer.
Third largest insurer in the United States.
Fortune 100 company.
Operates in 900 location s distributed across 18 countries.
The company has 50,000+ employees worldwide.
고객의 상황 :
글로벌 보안 프로그램에 대한 가시성, 효과성, 효율성에 대해 고려 중
주요 이슈- 보안 위협 식별에 수 일 소요(딜레이)- 현재 MSSP의 False Positive 비율이 높음- 명확한 R&R 구분 및 정의 부재- 보안 분석 및 대시보드 부족
도입 내용 :
- SOC 아키텍처 개발- SIEM 운영화(ArchSight)- 보안 티케팅 시스템 개선- Capacity 모델을 포함하여 SOC 조직 설계- 보안 운영 보고서 및 대시보드 구현- 기존 MSSP에서 IBM Managed Services로 전환
고객사의 이점Client Benefits:
보안 사고 식별 시간 감소( 몇시간 > 몇분), 일원화된 운영 채널로리스크 및 관련 비용 절감
End-to-end 보안 사고 관리를 통한 글로벌 보안 수준 향상
2. 미국 글로벌 보험사
SOC 아키텍쳐 수립 및 SIEM 도입을 통한 보안 체계 개선
© 2016 IBM Corporation27
그룹 담당자
관제요원
보안관리자
대시보드
A
통합컨트롤러
업무PC
CCTV업무서버
상황실
관제 포탈 SIEM
관제요원 뷰 관리자 뷰 그룹담당자뷰
보안정보티켓,업무
정보통계정보
그룹 별현황
권한 별현황
이슈 현황
관제 운영
공지사항 보안 이슈 업무처리
통합검색 권한관리 계정관리
게시판생성
관리기능시스템연동
임원
QRadar 대시보드
종합위험도
보안위협모니터링
외부공격시도
보고서
Log 수집
QVM
Offe
nse
/Rule
uDSM
취약점스캐너
취약점정보
LSX
UDP Syslog
TCP Syslog
JDBC
FTP
TCP multiline
UDP multiline
IBM Security Directory Integrator
WEB
WEB
WEB
사용자 통합보안관제센터 OO금융그룹
그룹담당자
인터넷
DB
C
OO보안현황 뷰
+ 선진 금융 구성 참조
+ 계열 데이터 분리수집
+ 계열사 트랜잭션 통제
+ 유연한 확장성
+ 중앙 집중화된 저장
+ 장애 포인트 최소화
A 계열사
B 계열사
C 계열사
D 계열사
E 계열사
F 계열사
::
특징
3. 국내 은행
SOC 프레임워크 및 아키텍쳐 수립과 SIEM 구축, 관제인력 운영
© 2016 IBM Corporation28
01
02
03
보안관제센터는 C Level의 참여와 각 이해관계자의협업이 요구됩니다.
보안관제센터는 기술 뿐만 아니라, 거버넌스, 인력, 성과측정 등 다양한 세부사항 연계가 필수 입니다.
급변하는 IT트렌드와 신규 보안 위협에 대응하기 위한보안관제 전략 수립이 선행되어야 합니다.
© 2016 IBM Corporation29
Q&A
© Copyright IBM Corporation 2015. All rights reserved. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any kind, express or i
mplied. IBM shall not be responsible for any damages arising out of the use of, or otherwise related to, these materials. Nothing contained in these materials is intended to, nor shall have the effect of, creating any
warranties or representations from IBM or its suppliers or licensors, or altering the terms and conditions of the applicable license agreement governing the use of IBM software. References in these materials to IBM
products, programs, or services do not imply that they will be available in all countries in which IBM operates. Product release dates and / or capabilities referenced in these materials may change at any time at IB
M’s sole discretion based on market opportunities or other factors, and are not intended to be a commitment to future product or feature availability in any way. IBM, the IBM logo, and other IBM products and servi
ces are trademarks of the International Business Machines Corporation, in the United States, other countries or both. Other company, product, or service names may be trademarks or service marks of others.
Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection and response to improper access from within and outside your enterprise. Im
proper access can result in information being altered, destroyed, misappropriated or misused or can result in damage to or misuse of your systems, including for use in attacks on others. No IT system or product s
hould be considered completely secure and no single product, service or security measure can be completely effective in preventing improper use or access. IBM systems, products and services are designed to b
e part of a lawful, comprehensive security approach, which will necessarily involve additional operational procedures, and may require other systems, products or services to be most effective. IBM DOES NOT WA
RRANT THAT ANY SYSTEMS, PRODUCTS OR SERVICES ARE IMMUNE FROM, OR WILL MAKE YOUR ENTERPRISE IMMUNE FROM, THE MALICIOUS OR ILLEGAL CONDUCT OF ANY PARTY.
THANK YOUwww.ibm.com/security
THANK YOUwww.ibm.com/security