실시간 예방, 탐지, 대응을 고려한 내부통제 방안 - IBM · 2014-05-21 · 2014 보안위협동향과내부통제를위한ibm의제언 2014년5월20일 실시간 예방,

© 2014 IBM Corporation

� 2014 보안 위협 동향과 내부 통제를 위한 IBM의 제언

� 2014년 5월 20일

실시간 예방, 탐지, 대응을

고려한 내부통제 방안

나병준(CISSP), 보안사업부,SWG

© 2014 IBM Corporation2

2014 보안 위협 동향과 내부 통제를 위한 IBM의 제언

Agenda

도입: 복잡성과 파편화

실시간 대응, 탐지, 대응 방법

성공적인 통제의 예시

결언



복잡성과 파편화

85 개의 툴 45 벤더



귀사의 보안/감사/내부통제 팀은 노이즈를 보고 있습니다…



IBM 보안 프레임워크통제 도메인을 통해 위협 요소에 대해 예방을 수행하고, 노이즈로부터 의미있는 데이터를 감지하여 공격에 효과적으로 대응합니다.

인텔리전스

통합

전문지식 활용

IBM 보안 프레임워크



Agenda




결언



공격

체인

향상된 외부로부터의 위협은 다섯 단계의 공격 체인에 따릅니다

유출외부 네트워크로 데이터 유출Command and Control

침투엑세스를 얻기 위한 정찰, 스피어 피싱, 리모트 익스플로잇

은닉발판을 마련하기 위한 멜웨어 및백도어 설치

Command and Control

수집 기밀 정보의 획득 및 집적화

확장현재 수준을 유지하면서 액세스증가를 위한 추가 행위 수행



공격

체인

내부 위협은 네 단계의 공격 체인에 따릅니다

유출네트워크/매체를 통한 데이터 유출

침투엑세스를 얻기 위한 정찰, 스피어 피싱, 리모트 익스플로잇

사기액세스를 위한 권한 획득

수집 기밀 정보의 획득 및 집적화

확장현재 수준을 유지하면서 액세스증가를 위한 추가 움직임 수행



공격

체인

공격 체인을 효과적으로 끊기 위해서 솔루션에 대한 순차적 접근 및통합이 필요합니다.

사기

유출

확장

수집



다수의 인증정보 저장소와 조직 외부에서의 연결의 증가는Identity 통제의 어려움을 증가시킵니다.

“사람”을 예방하는 것이 통제의 본질이나 점점 복잡해지고 있습니다.

Identity 검증 내부 위협과 Identity 사기 방지

Identity 관리Identity 통합

• ‘누구’가 ‘누구’인지 결정해야하는 문제• ‘식별 공간’의 통합 • Identity 라이프사이클 관리수행

• 공유 식별자 보안과 타겟공격 방지Identity 예방 과제:

• 복수개의 사용자 액세스 포인트는공격자가 침투해 들어갈 수 있는 가장약한 고리를 제공함 (임직원, 계약직, 협력사)

• Identity 보안이 모바일, 클라우드, 소셜로 확장

• 매우 많은 특권이 주어진 내부자는“보석이 박힌 왕관”에 접근하는 셈

• 복수개의 인증 저장소와 사용자데이터의 파편화는 컴플라이언스에노출되어 있음

• 통제를 위한 실시간 사용자 활동데이터 요구 증가

분석과 대응탐지예방 통합 통제 전략



모바일, 클라우드, 소셜에 대한 보안가이드를 통해 인증저장소를 단순하게 만들고 Identity 인텔리전스와 액세스어슈어런스를 통해 내부 위협을 감소시킵니다.

Identity와 접근을 통제 측면에서 바라보는 새로운 경계선을 정의

IBM Security Access Manager

IBM SecurityPrivileged Identity Manager

IBM Security Identity Manager

IBM Security Directory Server and Integrator 식별자 주위의 안전한 경계선을생성합니다

• 조직 내/외부로부터의 모든 사용자연결을 관리합니다. • 웹 애플리케이션에 대한 비정상접근을 방어합니다. • 보안 도메인에 걸쳐 사용자액티비티를 실시간으로 모니터링하고Identity 인텔리전스를 확장합니다.

• ‘누구’가 ‘누구’인지 결정• ‘식별 공간’의 통합 • Identity 라이프사이클 관리수행

• 공유 식별자 보안과 타겟공격 방지 및 Session Replay분석과 대응탐지예방 통합 통제 전략



실시간 사용자 활동 모니터링과 비정상 탐지를 위한 솔루션 통합

• IAM 이벤트 로그를 통합하여 실제 사용자와 권한에대한 풍부한 통찰력을 제공합니다.

• IAM 과 QRadar SIEM 의 통합은 실제 사용자와권한이 밀접하게 관련된 파괴행위를 실시간으로탐지합니다.



엔드포인트, 애플리케이션, 데이터베이스, 네트워크 디바이스수의 증가는 복수의 공격 경로를 만듭니다.

예방활동은 복잡성 증가에 따라 난이도가 상승합니다.

분석과 대응탐지예방 통합 통제 전략엔드포인트 네트워크

데이터베이스애플리케이션

• 도난 방지, 디바이스 통제, 패치관리• 웹 애플리케이션의 취약성악용 • 데이터베이스 Lock Down

• 안전한 네트워크 트래픽예방 과제

• 모바일 디바이스 확산과 BYOD의채택

• Hybrid와 퍼블릭 클라우드의 채택

• 빅데이터의 급속한 확산

• 웹 애플리케이션 취약성을 악용한정보 침해 (비인증 접근, SQL Injection, XSS등 )



각 통제 요소의 취약성을 요소 별, 자산 별로 파악하여위험도를 측정하고, 해당 위험도 순위에 따라 예방 조치를수행합니다.

보안 및 통제 솔루션의 통합을 통한 예방

IBM QRadar

IBM X-ForceResearch and Development

IBM Endpoint ManagerIBM Security

Network Protection XGS

IBM InfoSphere GuardiumIBM Security AppScan

• 디바이스 관리, DLP, 매체제어, 패치 관리• 웹 애플리케이션 취약성 예방 • 데이터베이스 사용통제

• 데이터베이스 암호화

• 네트워크 트래픽 보안 (P2P, 불법애플리케이션 통제)분석과 대응탐지예방 통합 통제 전략



어떻게 예방을 하는가 : 실제적 단계

내부통제/감사/보안담당자는..

• 사용자 이상행위를 실시간으로탐지하고 대응우선순위를 설정

• 애플리케이션 사용 통계, 비정상 사용 실시간 탐지

• 주요 데이터베이스 액세스에대한 비정상 행위 탐지

• 취약성에 대한 실시간 스캔 및위험요소 제공

IBM QRadarSIEM/Vulnerability Manager

위험을발견하고

우선순위 설정

• 수십만 대의 엔드포인트를 단일 Agent로 관리

• 이기종 엔드포인트에 대해 자동으로 통제 정책을적용(매체제어, DLP, 탈옥/루팅, App자산등록 등)

엔드포인트

예방조치 IBM Endpoint Manager애플리케이션

예방조치 IBM AppScan• 복수개의 소스 코드 스캐닝 기술 활용

• 취약성 진단을 위한 웹 애플리케이션 스캔

DB

예방조치 IBM InfoSphere Guardium• 정책 별 데이터베이스 접근 통제, 감사

• 데이터베이스 암호화

• 보안 프로파일에 따른 트래픽 이용 차단

• 애플리케이션 레벨 통제(P2P, 포트, 사용자 등)네트워크

트래픽

예방조치 IBM Network Protection XGS



위협 연구

분석과 대응탐지예방 통합 통제 전략장기적인 공격자는 탐지 과제를 도출합니다.

도메인에 걸친 비정상 행위의 탐지 및 해당 탐지 사실의상관분석은 위협 행위에 대한 통합된 가시성을 생성합니다.

네트워크 트래픽

• 네트워크를 통해 시도되는불법 트래픽 차단• 애플리케이션에 대한 비정상행위는 접근 전 차단 필요애플리케이션 접근 엔드포인트 보호

• 엔드포인트 멜웨어에 대한능동적 탐지 및 방어

특권 사용자

• 사용자 행위에 대한 상관분석을위해 특권 사용자 세부 정보 전송탐지 과제:

• 사용자는 새로운 디바이스와위치로부터 연결됨

• 특권 사용자의 패스워드와 접근에대해 통제가 부족함

• 엔드포인트의 숫자, 디바이스타입의 숫자, O/S의 숫자는지속적으로 증가함

• 공격자는 통제 정책을 우회하려 함



IBM X-ForceResearch and Development

실시간 발견과 차단을 가능하게 하는 통합된 기능 제공

사용자, 엔드포인트, 애플리케이션, 네트워크에 걸친 위협행위 탐지 및 차단을 수행합니다.

IBM SecurityNetwork Protection XGS• 네트워크를 통해 흐르는불법 트래픽 차단• 애플리케이션에 접근 시도 전불법 접근 차단 비정상 행위 탐지를 위한 행위베이스라인 생성

• 이벤트, 플로우, 자산, 토폴로지, 취약성, 위협정보에 대한 인텔리전트상관분석• 행위 가능한 인텔리전스 생성

IBM QRadar보안 인텔리전스

IBM Security Access Manager IBM Trusteer Apex

• 엔드포인트 멜웨어에 대한능동적 탐지 및 방어

IBM Privileged Identity Manager

• 사용자 행위에 대한 상관분석을위해 특권 사용자 세부 정보 전송분석과 대응탐지예방 통합 통제 전략



불법 첨부파일Email

웹 액세스통제

악성 파일

통합된 기능을 통한 지속적 위협 행위 방어IBM QRadarSIEM

Trusteer ApexPrivileged Identity Manager

X-Force Research

Network Protection XGSAppScanSiteProtector

• XGS 는 첨부파일이 달린 Email을 차단• XGS는 네트워크 플로우를 생성하여 QRadar가추가적인 비정상행위를 탐지함• 웹 애플리케이션에 대한 불법 접근 시도, 권한상승 시도 등을 QRadar를 통해 실시간 경보• QRadar 경보를 기반으로, 애플리케이션취약점 발견을 위한 AppScan 수행• 네트워크 레벨에서 AppScan은 취약점이 있는자산에 대해 Virtual Patch를 SiteProtector에생성• SiteProtector가 XGS에 정책 적용• Apex은 애플리케이션 상태 context를사용한 zero-day exploit을 탐지 및 차단• Privileged Identity Manager는 비이상적인 특권 상승탐지• Privileged Identity Manager는 Session을 기록하여escalation 이벤트를 QRadar로 전송

Network Protection XGS

이벤트이벤트

이벤트이벤트네트워크 플로우

� 이벤트 상관분석

� 히스토리컬 포렌식

� 실시간 분석

� Predictive analytics

위반행위관찰Access ManagerAMP 5100

특권상승



Agenda




결언



통합적 최신 위협 인텔리전스

IBM X-Force 연구결과가 Network Protection XGS에 활용됨

Network Protection XGS 콘솔이 통제 정책을나열함

X-Force URL 평판 데이터를 카테고리 별로활용

XGS 정책이 접속 금지된 URL들에 대해 연결거부를 하도록 설정 함

22

33

11



특권 사용자의 악의적 행위를 탐지함

공격자가 시스템 관리자 로그인 정보를불법적으로 취득하여 일반 사용자의 권한을상승시킴

Privileged Identity Manager가 권한 상승에대한 상세 내역을 QRadar로 전송

감사/통제관은 공식 절차를 벗어나는 관리자권한 행위를 recording된 결과를 통해 재현

감사/통제관은 추가적인 악의적 행위를 방지하기 위해계정 액세스 권한을 회수

QRadar가 분석 결과를 통지 22

33

11



자산

분석과 대응탐지예방 통합 통제 전략내부통제를 위한 분석은 빅 데이터 문제입니다.

통제를 위한 분석은 데이터의 다양성과 가시성의 부족으로어려움을 겪고 있는 대표적인 분야입니다.

플로우PCAP

이벤트

분석 과제:

• 통제/보안 데이터의 크기가급속도로 증가함

• 다양한 데이터 소스로부터비호환적인 정보가 생성됨

• 다수의, 파편화된 통제/보안시스템은 개별적인 대시보드를가지고 있음

• 애플리케이션, 구성, 사용자컨택스트의 부재



자산

통합된 IBM 솔루션은 액션 가능한 인텔리전스를 제공합니다.

QRadar SIEM은 수백만 개의 이기종 데이터에 대해 Analytics를수행하여, 핵심 위반행위를 도출합니다.

• IBM Network Protection XGS 장치에서 네트워크트래픽과애플리케이션컨택스트 확보플로우PCAP

이벤트

• IBM InfoSphereGuardium으로부터데이터베이스 컨택스트와액티비티 확보

• IBM Endpoint Manager로부터엔드포인트 상태확보• IAM으로부터 사용자컨택스트 확보

• IBM QRadar Risk Manager로부터 네트워크토폴로지 확보

• IBM QFlow• IBM QIF/QPC 네트워크와 컨택스트 데이터를결합한 Advanced Analytics 수행 :

• 이벤트 상관분석• 액티비티 베이스라이닝• 비정상 탐지• 위반행위 식별

IBM QRadarSIEM

IBM X-Force연구와 개발• IBM Network Protection XGS, IBM AMP5100에서 이벤트확보

분석과 대응탐지예방 통합 통제 전략



보안/감사이벤트보안/감사이벤트도메인간에 걸친 이벤트 분석을 통해 가시성을 확보합니다.

IBM QRadarSIEM

6일전, 사용자 IP로 회사외부로터 접근이 관찰됨5일전, 사용자 기기로부터비업무 사이트로 접속이 관찰됨사용자가 민감한 데이터에 대한액세스를 요청

사용자들이 아직 발표되지않은 매출기록에 접근함3개의 서로 다른 사용자의동일한 IP에 대한 비정상적행위가 관찰됨관련 기기에서의 저장매체사용 기록은 없음

보안/감사이벤트조사 수행 …IAM

XGSQFlowGuardiumEndpointManager

IAMGuardium• 정상적인 업무 시간 이외의 사용자데이터베이스 엑세스

• 협력사 계정에 의한 사용자 인증 및연결

• 비정상적인 네트워크 트래픽 흐름 식별

QRadar는 3개의 이벤트를 분석하여위반행위를 도출함

• XGS 정책을 업데이트하여 해당사용자 및 비업무사이트에 대한접근 차단

• 운영팀에 통지하여 해당 사용자의접근 권한 회수

• 민감 데이터 조회 리포트 생성

22

33

결과…사용자 IP 주소에서의 모든사용자 활동 관찰사용자 접근권한에 최근의변화가 있었는가?

해당 사용자들로부터 지난6일간 어떠한 데이터베이스에접속했는지 확인해당 IP로부터 모든 네트워크연결 및 관련된 기타 연결이있는지 확인관련 기기에 대한 저장매체사용기록 확인

대응행위

11XGS



Agenda




결언



세션 데이터 분석을 통해 기본적인

애플리케이션 통찰력 확보

QRadar가 네트워크 활동에 대한 더 명확한 증거요청에 답하기 위해포렌식과 결합했습니다.

확장된 관계성을 통한 완전한 가시성과 내재된

컨텐츠 가시성 제공



QRadar가 사용자 활동에 대한 더 명확한 증거요청에 답하기 위해포렌식과 결합했습니다.

표준 자산 정보로부터 사용자

식별 정보 획득확장된 관계를 통해 사용자의 디지털 활동에

대한 풍부한 가시성을 확보

이메일

VoIP

채팅 소셜

웹

네트워크



IBM Security Systems PortfolioIBM Security Systems Portfolio

People Data Applications Network Infrastructure EndpointIdentity Management Guardium Data Security and Compliance AppScanSource Network Intrusion Prevention Trusteer ApexAccess Management Guardium DB Vulnerability Management AppScanDynamic Next Generation Network Protection Mobile and Endpoint ManagementPrivileged Identity Manager Guardium / OptimData Masking DataPower WebSecurity Gateway SiteProtectorThreat Management Virtualization and Server SecurityFederated Access and SSO Key Lifecycle Manager Security Policy Manager NetworkAnomaly Detection MainframeSecurityIBM X-Force Research

Advanced Fraud ProtectionTrusteerRapport Trusteer PinpointMalware Detection Trusteer PinpointATO Detection Trusteer Mobile Risk EngineSecurity Intelligence and AnalyticsQRadar SIEM/LM QRadar Incidents Forensic QRadar Risk Manager QRadar Vulnerability Manager

IBM과 상의하십시오

Documents

실시간 예방, 탐지, 대응을 고려한 내부통제 방안 - IBM · 2014-05-21 · 2014 보안위협동향과내부통제를위한ibm의제언 2014년5월20일 실시간 예방,