기업에서의안 관제센터설계및운영 - IBM · SIEM Ticketing & Workflow Portal Integration Tools (e.g. Web Srvcs) Reporting / Dashboard Big Data Security Device Data Aggregate

© 2016 IBM Corporation

기업에서의 보안 관제센터 설계 및 운영

IBM Security BU유제광 부장

IBM Korea Security Summit 2016

© 2016 IBM Corporation2

Agenda

I. 배경

II. Security Operation Center(SOC)란?

III. IBM SOC Operating Model

IV. Why IBM

V. 구축 사례


I. 배경



IV. Why IBM

V. 구축 사례

4

“ 어떻게 다양한 보안솔루션을효율적으로 관리할 것인가? ”

“ 통합적인 보안체계 수립을위한 방법은 무엇일까? ”

“ 보안관제센터만 구축하면안전하게 기업자산을 보호할 수있는 것일까? ”

“ 우리 기업의 정책과 조직, 프로세스를 어떻게 연계할 것인가? ”


• 정교한 공격 기법의 증가

• 경계선의 증발

• 보안 침해의 가속화

• 지속적인 인프라 변경

• 복수 벤더로부터의 너무 많은 제품들로 인한 구성과 유지보수 비용 증가

• 적절하지 못하고 비효율적인 툴들

• 전체 조직 하부의 보안 팀

• 진짜 위협을 발견하기에는 데이터오버로드, 제한된 리소스와 기술이제한의 원인이 됨

• 컴플라이언스로 인한 관리와 모니터링요청 증가

스피어 피싱

지속성

백도어

다자인 된 멜웨어

▶ 공격의 고도화 ▶ 복잡성의 증가 ▶ 리소스의 제한

비즈니스 및IT환경의 급격한 변화

위협의 증가

각각의 사상(思想)에 따라구축된 업무·정보보호 솔루션

방대하지만상호연계성이 부족한정보보호 프로세스

갈수록 강화되는컴플라이언스

1. 보안 위협의 발전 및 기업의 현황

최근 공격기법들은 매우 다양하고 장기간에 걸쳐 시도 하므로, 기존 보안 장비 및 전통적보안 방식으로는 대응이 매우 어려운 상황입니다


2. 보안 운영(Security Operation)의 필요성 (1/2)

기업 환경의 변화 및 위협 증가로 인한 고도화된 보안 운영이 요구되고 있습니다

모바일 협업, BYOD

클라우드,가상화

복잡하고 규모있는IT 인프라

▶ 소셜 비즈니스

▶ 신규 비즈니스 모델 및 기술의 발전

▶ 규제의 강화

▶ 위협의 급증

데이터, 장비 도난 악성코드 감염 및생산성 저하

규제 위반으로 인한벌금, 과태료

데이터 유출

지적자산 및 개인정보의활발한 공유

정보보호 관련법률 및 처벌조항 강화

잠재적 리스크

“증가”


2. 보안 운영(Security Operation)의 필요성 (2/2)

가 공격을 발견하는데 몇주 이상이 소요되며, 발견이후 교정 및복구에 약 59%는 몇주/몇달이상이 걸린다고 응답하였음.183%

Time span of events by percent of breaches1

Initial attack to initial compromise

Initial compromise to data exfiltration

Initial compromise to discovery

Discovery to containment/restoration

Seconds Minutes Hours Days Weeks Months Years

10% 75% 12% 2% 0% 1% 0%

8% 38% 14% 25% 8% 8% 0%

0% 0% 2% 13% 29% 54%+ 2%

0% 1% 9% 32% 38% 17% 4%

침투 및공격성공까지걸리는시간…

…발견 및복구에걸리는시간

12012 Verizon Data Breach Investigations report, http://www.verizonenterprise.com/resources/reports/rp_data-breach-investigations-report-2012_en_xg.pdf

공격 및 침투에 대한 조기 발견 및 빠른 대응이 필요합니다

http://www.verizonenterprise.com/resources/reports/rp_data-breach-investigations-report-2012_en_xg.pdf


I. 배경



IV. Why IBM

V. 구축 사례


1. Security Operations Center(SOC) 란?

SOC는 위협 관리 및 리스크 최소화를 위해 Governance, Operation, Technology 관점의중앙집중화된 관리 포인트를 제공하며, 고도의 운영 능력이 요구되는 복합적인 보안 운영모델 입니다

▶ SOC는 다음 목적을 위해 설계 되어야 합니다.

법률 및 규제의 준수여부를 증명

지적 자산 및 개인정보를 보호

보안 운영의 효율적, 효과적 관리 지원

현재 보안 수준 대비 전략 수립을 위한 인사이트 제공

조직의 위협 대응을 위한 고도화된 보안 전략 제공

누가, 무엇을, 언제, 어떤 작업을 하였는지 추적성 제공


2. Technology 그 이상의 의미

In-house staff Partners Outsourced ProvidersPeople

Process

Technology

Log Management Compliance Reporting Event Correlation Threat Reporting

Vulnerability ScannersIdentity &

Desktop MgmtTicketing System Change Tracking

Threat Analysis Compliance Mgmt

SLA Mgmt

Risk AssessmentChange Mgmt

Vulnerability Mgmt Identity & Access Incident Mgmt

CustomersIn-house staff Partners Outsourced ProvidersPeople

Process

Technology

Log Management Compliance Reporting Event Correlation Threat Reporting

Vulnerability ScannersIdentity &

Desktop MgmtTicketing System Change Tracking

Threat Analysis Compliance Mgmt

SLA Mgmt

Risk AssessmentChange Mgmt

Vulnerability Mgmt Identity & Access Incident Mgmt

Customers

▶ Stakeholders, processes technologies 등다양한 관점의 고려사항 존재

▶ operational process framework

▶ 물리적 공간과지리적 위치

▶ 필요 Skill set : Security analysts, shift leads, SOC managers

•

•

•

•


I. 배경



IV. Why IBM

V. 구축 사례


1. IBM SOC Operating model

SOC방법론을 활용해 고객 환경과 발전방향을 고려한 실용적 설계가 요구 됩니다

※ SOC : Security Operation Center

IBM SOC Operating Model & Strategy

SO

CG

overn

ance

SO

CO

pera

tions

SO

CTech

nolo

gy

Executive Security Intelligence Briefings

Local Reg. Security Oversight

SOC GovernanceConsolidated Security

Analytics & DashboardsLocal/Reg. Intel.

Briefings

Cyber-Security Command Center (CSCC)

SOC Service Delivery Management

Service Level Management Operational Efficiency Service Reporting Escalation

Security IntelligenceIncident Hunting Use Case Recommendations

Security Analytics andDashboards

Security Integration

CSIRTManagement

ThreatRespond

Threat Triage

Threat Monitoring

Projects and Admin Support

SIEMTicketing &Workflow

PortalIntegration Tools(e.g. Web Srvcs)

Reporting /Dashboard

Big Data

Security Device Data

Aggregate Security Events

Event Data Correlation

Log Data (Transactional)

Event Patterns

Unstructured Data (Big Data)

Custom Rules

SOC Data Sources

Logs (Transactional) Business Data Asset information Unstructured (Big Data)

SOC Platform Components

향후 관제 발전방향

사전 탐지 및 대응에 초점

통합적인 프로세스 제공

C레벨의 관리 감독 지향

신규 위협에 선제적 대응

위협 범위 축소에 중점

외부 인텔리전스 활용 및 공유

관제를 중요한 업무로 인지

위협기반의 룰 업데이트

성과측정 및 스코어보드 활용


Cyber-Security Command Center (CSCC) SOC Service Delivery Management

SOC Governance

SOC Operations

SOC TechnologyIBM 보유 Asset 및 제공 서비스

Security Operation Governance model 수립

Responsibility matrix 정의

Executive Dash board 제공

2. SOC Governance


Board of directors

Enterprise steering committee

Executive steering committee

Security operations

Security operations center

Tier 3Escal

Tier 2Triage

Tier 1Mon

Enterprise ITHR

LegalFraudAudit

Annual

Quarterly

Monthly

Weekly

Daily

Reporting and meetings

Organizationalstrategy layer

Securitystrategy

layer

Securityplanning

layer

Securityoperations

layer

This is a complete governance program that includes all stakeholders and defines the required communications, reporting, and escalation procedures.

Business

units

Secu

rity

inte

lligence

team

2. SOC Governance > Governance Model

Security Operation 거버넌스 모델의 초기 수립으로 기업 전반의 보안 관련 프로그램을통제 및 관리할 수 있는 Decision making framework을 제공 합니다


2. SOC Governance > Executive Dashboard – Business insight 제공


Security Intelligence Security Integration Security Analytics and dashboards Threat Monitoring, Triage, Respond CSIRT

SOC Governance

SOC Operations

SOC Technology

IBM 역량

다양한 Security Operation Catalog

SOC Capacity 측정을 위한 Tool 제공

검증된 공격 대응 시나리오 및 프로세스 제공

(Use Case 활용)

3. SOC Operations


산정 기준 (예)50 potential incidents per day 2.5 hour average handle time 30 minutes queue time

Intervals are modelled in 30 minute periods because it “smoothes” the distribution and facilitates scheduling.

Key drivers to develop a SOC capacity plan:

Incoming threat rate (per half hour)

Average Threat Handling Time (ATHT)

(rule modeling is to be used to establish ATHT)

Service level

Target Threat Response Time

3. SOC Operations > SOC 모델링 툴

Capacity modeling tool을 통한 최적의 SOC 운영을 위한 인력 구성, SLA 정의, 투자비용등 최적의 SOC 운영에 필요한 요건을 산정 및 정의할 수 있습니다


Did it Happen?

Can it Happen?

Root Cause Analysis

Data Analysis

No Test Exposure

Document, The End

No

Can we detect?(attack profile)

Yes

Countermeasure

Threat identification and measurement

Response

Report

Threat Identified

Emergency Response

Governance Review

1

2

3

5

7

8

9 10

11

12

13

Yes

Compromise? 4

Yes

Contain Threat

No

6

14 Circular Info Model

15

Continuous Business Improvement

*

**

* Key Performance Indicators

*

*

*

*

RESPONSE PROCEDURE

Did it Happen?

Can it Happen?

Root Cause Analysis

Data Analysis

No Test Exposure

Document, The End

No


Yes

Countermeasure


Response

Report

Threat Identified

Emergency Response

Governance Review

1

2

3

5

7

8

9 10

11

12

13

Yes

Compromise? 4

Yes

Contain Threat

No

6


15


Hunter SAC SOC

Contain Threat

Contain Threat

Compromise? Compromise?

Did it Happen?

Can it Happen?

Root Cause Analysis

Data Analysis

No Test Exposure

Document, The End

No


Yes

Countermeasure


Response

Report

Threat Identified

Emergency Response

Governance Review

1

2

3

5

7

8

9 10

11

12

13

Yes

Compromise? 4

Yes

Contain Threat

No

6


15


Hunter SAC SOC

Did it Happen?

Can it Happen?

Root Cause Analysis

Data Analysis

No Test Exposure

Document, The End

No


Yes

Countermeasure


Response

Report

Threat Identified

Emergency Response

Governance Review

1

2

3

5

7

8

9 10

11

12

13

Yes

Compromise? 4

Yes

Contain Threat

No

6


15


Hunter SAC SOC

3. SOC Operations > 다양한 시나리오 및 Use Case 보유


SIEM Ticketing & Workflow Portal Integration tools Reporting / dashboard Big data

SOC Governance

SOC Operation

SOC Technology

IBM 역량

SOC Consulting

SIEM 구축 및 운영

Security Portal 개발

ITSM (Ticketing)

4. SOC Technology


SOC Integration Method

사업기획사업발주

분석 설계Key Activity

Tasks

계획 ( 사업전략 ) 구축 운영

구현 운영 개선사전조사

Security Operations Optimization Consulting Engagements

IBM SOC 구축 및 운영 방법론IBM

서비스

IBM 협업제안

Key Tasks:Proof of ConceptPilot OperationsSimulated Live Ops.

•기간 :

•인력 구성- 글로벌 SOC컨설턴트- 국내컨설턴트

참여 인력

• IBM SOC 성숙도 진단 항목을기준으로 현황진단 및 선진사대비 GAP

•목표수준 정의•목표 달성을 위한 Conceptual 구성안 제시

수행내용

•SOC 구축방향 및로드맵 제공

기대효과

• 해외 SOC컨설팅 인력지원을 위한 최소한의협력관계 ( 예: MOU )

전제조건

SOC 구축방향 수립을 위한 “IBM SOC Maturity 진단 Workshop” 을 진행하겠습니다.

4. SOC Technology > SOC Consulting – 사업 전략 수립

SOC 성숙도 진단을 통해 기업 현황 이해를 토대로 SOC사업에 대한 방향성 수립을 지원합니다


I. 배경



IV. Why IBM

V. 구축 사례


SOC에 필요한 모든 노하우 및 지식 보유

: People, Process, Technology, Metrics, Reporting, Governance

구축 단계별 풍부한 자료 및 다양한 툴 보유

미래 지향적 비전 제공

비즈니스 측면의 SOC 가치 측정 가능

다양한 구축 사례 보유

1. SOC 구축·운영 관련 전체 범위 역량 보유

많은 고객들이 IBM은 SOC 설립에 대한 가장 광범위한 경험, 전문성, 레퍼런스를 보유하고 있습니다


Source: Forrester Research Inc. “Forrester WaveTM”: Information Security Consulting Services, Q1 2013”. And Forester Wave: Managed Security Services providers Q1, 2012

Full report can be accessed at http://www.ibm.com

Security Consulting Managed Security Services

2. 공신력 있는 보안 컨설팅 및 보안관제서비스 역량


I. 배경



IV. Why IBM

V. 구축 사례


SOC Incident Manager(상위관리자)

Tier 3 구조의 대응 팀 (Call Center, Detection&Incident Mgnt, Advanced IR Analysis)

Facilities, US-CERT, Mgnt, Legal, HR, Privacy Official 등의 외부 기관과 연계

네트워킹 그룹, IT 보안 분석가, 관리자 / 사용자

외부 취약점 및 위협 DB, 테스트 데이터

이기종 장비 로그

시설 로그

e-mail, 전화, 팩스, Pager 등을 통한 접수

Incident 및 위협의 상관관계 분석과 DB 저장

보고, 문서 작성, 프로세스, 통보(게시판)

이벤트 상관관계 분석

흐름 분석

IDS 패킷 분석

Content 모니터링 및 Capture

Host 및 자산 모니터링

SIM

1. 캐나다 글로벌 은행

로그분석 및 SIM, 사고 및 위협 분석, SOC portal 등 기능별 모듈화 단위로 구성


Profile:

Global property and casualty insurer.

Third largest insurer in the United States.

Fortune 100 company.

Operates in 900 location s distributed across 18 countries.

The company has 50,000+ employees worldwide.

고객의 상황 :

글로벌 보안 프로그램에 대한 가시성, 효과성, 효율성에 대해 고려 중

주요 이슈- 보안 위협 식별에 수 일 소요(딜레이)- 현재 MSSP의 False Positive 비율이 높음- 명확한 R&R 구분 및 정의 부재- 보안 분석 및 대시보드 부족

도입 내용 :

- SOC 아키텍처 개발- SIEM 운영화(ArchSight)- 보안 티케팅 시스템 개선- Capacity 모델을 포함하여 SOC 조직 설계- 보안 운영 보고서 및 대시보드 구현- 기존 MSSP에서 IBM Managed Services로 전환

고객사의 이점Client Benefits:

보안 사고 식별 시간 감소( 몇시간 > 몇분), 일원화된 운영 채널로리스크 및 관련 비용 절감

End-to-end 보안 사고 관리를 통한 글로벌 보안 수준 향상

2. 미국 글로벌 보험사

SOC 아키텍쳐 수립 및 SIEM 도입을 통한 보안 체계 개선


그룹 담당자

관제요원

보안관리자

대시보드

A

통합컨트롤러

업무PC

CCTV업무서버

상황실

관제 포탈 SIEM

관제요원 뷰 관리자 뷰 그룹담당자뷰

보안정보티켓,업무

정보통계정보

그룹 별현황

권한 별현황

이슈 현황

관제 운영

공지사항 보안 이슈 업무처리

통합검색 권한관리 계정관리

게시판생성

관리기능시스템연동

임원

QRadar 대시보드

종합위험도

보안위협모니터링

외부공격시도

보고서

Log 수집

QVM

Offe

nse

/Rule

uDSM

취약점스캐너

취약점정보

LSX

UDP Syslog

TCP Syslog

JDBC

FTP

TCP multiline

UDP multiline

IBM Security Directory Integrator

WEB

WEB

WEB

사용자 통합보안관제센터 OO금융그룹

그룹담당자

인터넷

DB

C

OO보안현황 뷰

+ 선진 금융 구성 참조

+ 계열 데이터 분리수집

+ 계열사 트랜잭션 통제

+ 유연한 확장성

+ 중앙 집중화된 저장

+ 장애 포인트 최소화

A 계열사

B 계열사

C 계열사

D 계열사

E 계열사

F 계열사

::

특징

3. 국내 은행

SOC 프레임워크 및 아키텍쳐 수립과 SIEM 구축, 관제인력 운영


01

02

03

보안관제센터는 C Level의 참여와 각 이해관계자의협업이 요구됩니다.

보안관제센터는 기술 뿐만 아니라, 거버넌스, 인력, 성과측정 등 다양한 세부사항 연계가 필수 입니다.

급변하는 IT트렌드와 신규 보안 위협에 대응하기 위한보안관제 전략 수립이 선행되어야 합니다.


Q&A

© Copyright IBM Corporation 2015. All rights reserved. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any kind, express or i

mplied. IBM shall not be responsible for any damages arising out of the use of, or otherwise related to, these materials. Nothing contained in these materials is intended to, nor shall have the effect of, creating any

warranties or representations from IBM or its suppliers or licensors, or altering the terms and conditions of the applicable license agreement governing the use of IBM software. References in these materials to IBM

products, programs, or services do not imply that they will be available in all countries in which IBM operates. Product release dates and / or capabilities referenced in these materials may change at any time at IB

M’s sole discretion based on market opportunities or other factors, and are not intended to be a commitment to future product or feature availability in any way. IBM, the IBM logo, and other IBM products and servi

ces are trademarks of the International Business Machines Corporation, in the United States, other countries or both. Other company, product, or service names may be trademarks or service marks of others.

Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection and response to improper access from within and outside your enterprise. Im

proper access can result in information being altered, destroyed, misappropriated or misused or can result in damage to or misuse of your systems, including for use in attacks on others. No IT system or product s

hould be considered completely secure and no single product, service or security measure can be completely effective in preventing improper use or access. IBM systems, products and services are designed to b

e part of a lawful, comprehensive security approach, which will necessarily involve additional operational procedures, and may require other systems, products or services to be most effective. IBM DOES NOT WA

RRANT THAT ANY SYSTEMS, PRODUCTS OR SERVICES ARE IMMUNE FROM, OR WILL MAKE YOUR ENTERPRISE IMMUNE FROM, THE MALICIOUS OR ILLEGAL CONDUCT OF ANY PARTY.

THANK YOUwww.ibm.com/security

THANK YOUwww.ibm.com/security

http://www.ibm.com/security




Documents

기업에서의안 관제센터설계및운영 - IBM · SIEM Ticketing & Workflow Portal Integration Tools (e.g. Web Srvcs) Reporting / Dashboard Big Data Security Device Data Aggregate