Embed Size (px)
Citation preview
Cisco and/or its affiliates. All rights reserved. Presentation_ID Cisco Public
“Information Security is when you have
a budget to protect your network.
“Cyber Security is when someone else
has a budget to attack it”
Cyber Security에 대한 준비가 되어 있나요?
Cisco and/or its affiliates. All rights reserved. Presentation_ID Cisco Public
Global Risks 2014 > Cyber attacks & Data Loss
World Economic Forum – Global Risks 2014 Insight Report
3
Cisco and/or its affiliates. All rights reserved. Presentation_ID Cisco Public
World Economic Forum – Global Risks 2014 Insight Report
Global Risks 2014 > Top 5 Risks of Likelihood
4
Cisco and/or its affiliates. All rights reserved. Presentation_ID Cisco Public
World Economic Forum – Global Risks 2014 Insight Report
Global Risks 2014 > Top 5 Risks of Impact
5
Cisco and/or its affiliates. All rights reserved. Presentation_ID Cisco Public
보안 트렌드 변화 > Anomaly Based Threat Defense
Send this person
for secondary security inspection 너무나 많은 오탐 및 보안 비용 증가 ▶
1. 항상 일반석을 탐승하는 승객이
1등석을 구매
2. 주로 Kayak (온라인 항공권 구매
사이트) 에서 구매하는 사람이
현금으로 오프라인에서 구매
3. 여행 경험이 거의 없는 사람이 거의
사용하지 않는 방식으로 티켓을
구매
4. 연휴(Holiday)에 여행하는 사람이
관광지가 아닌 곳으로 가는 티켓
구매
Current Model – Anomaly Based
1. 편도로 1등석 티켓을 구입한 승객
2. 현금으로 티켓을 구입한 승객
3. 같은날 동시에 여행을 하는 승객
4. 여러 개의 여행 일정 중에 하나를
Skip하는 승객
5. 특정한 장소로 여행하는 승객
6. 신분을 확인할 수 있는 ID를
제시하지 않는 승객
After 9/11 – Signature Based
6
시스코 보안 컨설팅 서비스
Cyber Range 서비스
Why Cisco Service?
Cisco and/or its affiliates. All rights reserved. Presentation_ID Cisco Public
시스코 보안 컨설팅 서비스
8
취약점 분석 / 모의해킹
보안 아키텍처 설계
보안 프로세스 진단 / 수립
24 x 7 원격 보안 모니터링
Big Data + 행동 기반
Cisco SIO 분석 데이터
Behavior 기반 위험 탐지 / 차단 시스템 구축 서비스
라우터/스위치, 방화벽 등의 Netflow 데이터 기반 분석
보안 정보 이벤트 관리(SIEM) 시스템 기반 위협 탐지/차단 시뮬레이션 서비스
룰 기반 및 행위 기반 탐지/차단
보안 진단 서비스
위협 차단(MTD) 매니지드 서비스
사이버 위협 차단(CTD) 서비스
Cyber Range 서비스
Cisco and/or its affiliates. All rights reserved. Presentation_ID Cisco Public 9
보안 진단 서비스 > 취약점 분석 / 모의 해킹
• 취약점 진단 수행 Tool
- NeXpose(Rapid7) : 상용 Tool
- AutoSPA-NG : 시스코 자체 개발 Tool
• 시스템에 대한 취약점 도출 및 개선 방안 권고
• 비인가 사용자에 의한 취약점 도출/개선 방안 권고
• 비정상 행동 또는 공격에 대한 탐지 능력 검증
Cisco and/or its affiliates. All rights reserved. Presentation_ID Cisco Public 10
보안 진단 서비스 > 아키텍처 진단 컨설팅
• Cisco Security Framework(CSF) 방법론
- 시스코 내부 IT 서비스 모델
(COPM – Cisco Operational Process Model)
- 네트워크 영역별 필요한 보안 활동 정의
- 국내외 보안 표준 준수(Compliance) 여부 검증
(PCI, ISO 27002, 금감원, KISA 등)
- 6개 보안 활동에 대해 100여개의 IT 인프라에 대한
보안 점검 리스트
Internal Network
Perimeter Network
Wireless Network
Identify
9.7
6.8
8.9
Monitor
5.8
5.2
6.7
Correlate
3.5
2.8
2.2
Harden
9.1
8.7
7.8
Isolate
8.0
9.1
2.8
Enforce
2.6
7.5
3.1
Total Score
6.45
6.68
5.25
Cisco and/or its affiliates. All rights reserved. Presentation_ID Cisco Public 11
사이버 위협 차단 서비스 – Cyber Threat Defence(CTD)
• 사이버 위협 차단(CTD) 서비스
- 기존 Signature 기반의 보안 솔루션에서 탐지/차단할 수
없는 APT 공격 등에 대한 보안 솔루션 구축 서비스
- Network Behavior Analysis를 통한 위협 탐지/차단
• 사이버 위협 차단(CTD) 보안 솔루션
- 스위치/라우터의 Netflow 데이터 및 ISE 연동
- ASA의 NSEL(Netflow Security Event Logging) 기반
- Lancope StealthWatch Management 시스템을 통해
가시성 및 제어
Today
Cisco and/or its affiliates. All rights reserved. Presentation_ID Cisco Public
위협 차단 매니지드 서비스 – Managed Threat Defence
12
6
1
2
3
5
4
엑새스
제어
NetFlow / HTTP1
Kvasir
① 컨텍스트 데이터베이스 ② NetFlow / HTTP 이상감지 ③ Log 어그리게이션/분석 ④ 메타데이터 어그리게이션 ⑤ 풀 패킷 캡쳐 ⑥ IDS / AMP (5.3) ⑦ 위협정보
구성요소 Flume
Qosmos SIR
T A
pplication
Defense Center
로그텔레메트리2
취약성 데이터
Ela
sticsearc
h
RE
ST
HDFS
Flume
Flume Flume
Flume Flume
Flume Flume
Flume Flume
Kafk
a
Sto
rm
Kafk
a
Stinger
JDB
C
Flume CIF 7
IDS
AMP
Cognitive (Cisco® Cloud)
AMP (Cisco Cloud)
MR
• Cyber Big Data 기반 위협/차단 서비스
- 고객 IT 인프라의 모든 데이터(Full Packet) 분석
- 이메일/웹 트래픽 악성 코드 감지
- 대용량/비정형 데이터 파싱
- 시스코 위협 정보(SIO / 500명 보안 전문가)
- Signature, Network Behavior 기반 침입 감지
• Out-of-Band 정보 수집
• 고객 정보를 고객사 내에 보관
• 24/365 모니터링 서비스 및 구축 컨설팅
MTD(OpenSoC) 서비스 프레임워크
Cisco and/or its affiliates. All rights reserved. Presentation_ID Cisco Public 13
Cyber Range 서비스
• 50여개의 공격 유형
• 9개 시스코 보안 솔루션 + 3rd Party 솔루션
• 500개 이상의 Malware에 감염된 100 개 이상의 어플리케이션
• Heartbleed 등의 최신 취약점에 대한 공격/탐지/제어 시뮬레이션
• IT 인프라에 대한 아키텍처 보안 검증
• 위협 차단 프로세스 또는 Playbook 생성을 위한 경험 축적 및 검증
• 보안팀 교육(War Game) 및 사고 대응(Incident Response) 연습
• 새로운 악성코드(Zero Day) / 위협에 대한 차단 전략/기술 검증
Cyber Range Lab 환경
기대 효과
시스코 보안 컨설팅 서비스
Cyber Range 서비스
- 공격 탐지 및 차단 사례 중심으로
Why Cisco Service?
Cisco and/or its affiliates. All rights reserved. Presentation_ID Cisco Public
Cyber Range Network Overview
15
Splunk
Analytics
Inside Host Inside Host Inside Host
Cyber Threat Defense
Web Security Appliance
Email Security
Appliance Identity Services
Engine
FC Flow Collector
SMC StealthWatch
Management
NetFlow
AVC
TrustSec
Internet
Sourecefire IPS
ASA IPS
ASA
Firewall
Prime
Infrastructure
SIO
Wireless Security
Virtual
Security
Cisco and/or its affiliates. All rights reserved. Presentation_ID Cisco Public
Cyber Range Lab
16
Infrastructure
유선 / 무선 / 원격 접속
Attacks Visibility & Control
네트워크 & 라우팅
단말/서버 시뮬레이터
App. 시뮬레이터
트래픽 제네레이터
Day 0 Attack / New threats
DDoS / 네트워크 정찰
App. 공격 / Data Loss
컴퓨터/모바일 악성코드
봇넷 시뮬레이션
오픈 소스 공격 툴
가상 / 무선 네트워크 공격
Global Threat intelligence
NG IPS / NG FW
Signature Based Detection
Behavior Based Detection
Data Loss Prevention
Event Correlation
TrustSec-STG
Cisco and/or its affiliates. All rights reserved. Presentation_ID Cisco Public
보안 이벤트 전체 화면
17
Cisco and/or its affiliates. All rights reserved. Presentation_ID Cisco Public
Computer Attack > Email 위협 / 차단
평판 기반 차단
SIO + ESA 솔루션
Main > Email Security > Message in Quarantine & Interesting Subjects 분석
SIO 평판(Reputation) 정보를 기반으로 ESA 솔루션에 의해 Malware에 감염된 Email 치료
Attacker
인터넷
SIO
ESA
18
Cisco and/or its affiliates. All rights reserved. Presentation_ID Cisco Public
Computer Attack > Web 위협 / 차단
평판 기반 차단
SIO + WSA 솔루션
Main > Web Security > Computer Security 분석
SIO 평판(Reputation) 정보를 기반으로 WSA 솔루션에 의해 Bad Reputation Web 접속 단말 분석
Attacker
인터넷
SIO
WSA
19
Cisco and/or its affiliates. All rights reserved. Presentation_ID Cisco Public
Malware Attack > NG-IPS에 위협 Dashboard
Sourcefire IPS 솔루션
Main > Network Security > IPS Dashboard 화면
< Top Targets > < Top Attackers > < Top Signatures >
< 시간대별 위협 현황 >
Signature 기반 차단
Attacker
인터넷
SIO
Sourcefire
IPS
VRT
Sourcefire
1101
0011
20
Cisco and/or its affiliates. All rights reserved. Presentation_ID Cisco Public
Malware Attack > 위협 탐지 / 차단 사례(1)
Main > Network Security > IPS Analyst 화면
외부에서의 공격/탐지 - Sourcefire NG-IPS에서 탐지한 CVE-2012-2763 공격에 대한 세부 정보
“CVE-2012-2763” 공격 위험도 = High
공격 소스 목적지
세부 정보
Signature 기반 차단
Sourcefire IPS 솔루션
Attacker
인터넷
SIO
Sourcefire
IPS
VRT
Sourcefire
1101
0011
21
Cisco and/or its affiliates. All rights reserved. Presentation_ID Cisco Public
Malware Attack > 위협 탐지 / 차단 사례(2)
Main > Network Security > IPS Analyst 화면
내부에서의 공격/탐지 - Sourcefire NG-IPS에서 탐지한 crafted packet 공격에 대한 세부 정보
“crafted packet” 공격 위험도 = Medium
공격 소스 목적지
세부 정보
Signature 기반 차단
Attacker
인터넷
SIO
Sourcefire
IPS
VRT
Sourcefire
1101
0011
Sourcefire IPS 솔루션
22
Cisco and/or its affiliates. All rights reserved. Presentation_ID Cisco Public
Malware Attack > 위협 탐지 / 차단 사례(3) - Heartbleed
Signature 기반 차단
Attacker
인터넷
SIO
Sourcefire
IPS
VRT
Sourcefire
1101
0011
Sourcefire IPS 솔루션
23
Cisco and/or its affiliates. All rights reserved. Presentation_ID Cisco Public
Malware Attack > 위협 탐지 / 차단 사례(3) - Heartbleed
Signature 기반 차단
Attacker
인터넷
SIO
Sourcefire
IPS
VRT
Sourcefire
1101
0011
Sourcefire IPS 솔루션
24
Cisco and/or its affiliates. All rights reserved. Presentation_ID Cisco Public
Behavior Based Attack > CTD 위협 Dashboard(1)
Main > Cyber Threat Defense > Dashboard 화면
< 의심 내부 단말 > < Top 소스 그룹 > < Top 목적지 그룹 >
< 시간대별 위협 현황 >
< 의심 외부 단말 >
Behavior 기반 차단
Sourcefire
IPS
ASA + ISE + SMC
C&C
인터넷
Botnet
ASA SMC
(Lancope)
NSEL
25
Cisco and/or its affiliates. All rights reserved. Presentation_ID Cisco Public
Behavior Based Attack > CTD 위협 Dashboard(2)
StealthWatch Management Console > Internet World Map 화면
Internet World Map
Worm Activity (2) Worm Activity (14)
Worm Activity (4)
• Suspect Data Loss (4)
• High Total traffic work activity (20)
Behavior 기반 차단
ASA + ISE + SMC
C&C
인터넷
Botnet
ASA SMC
(Lancope)
NSEL
26
Cisco and/or its affiliates. All rights reserved. Presentation_ID Cisco Public
Behavior Based Attack > CTD 위협 Dashboard(3)
StealthWatch Management Console > Internet Usage 화면
Internet Usage
Netflow 기반 트래픽 모니터링을 통한
Behavior Based Attack 탐지
Behavior 기반 차단
ASA + ISE + SMC
C&C
인터넷
Botnet
ASA SMC
(Lancope)
NSEL
27
Cisco and/or its affiliates. All rights reserved. Presentation_ID Cisco Public
Behavior Based Attack > CTD 위협 Dashboard(4)
StealthWatch Management Console > 국가별 위협 정보 디스플레이
BP Test 회사 네트워크
Behavior 기반 차단
ASA + ISE + SMC
C&C
인터넷
Botnet
ASA SMC
(Lancope)
NSEL
28
Cisco and/or its affiliates. All rights reserved. Presentation_ID Cisco Public
Behavior Based Attack > 위협 탐지 / 차단 사례(1)
StealthWatch Management Console > 국가별 위협 정보 디스플레이 > 중국 선택
Netflow 트래픽 모니터링을 통해 허가받지 않은 서비스를 이용한 외부 ↔ 내부 서버 통신 탐지
공격 소스 : 중국 공격 목적지 : 금융 서버
• 정의되지 않은(Undefined) 서비스를 통해
중국에 있는 서버와 통신 (위협 탐지)
- Malware, DDoS, Worm Attack 등
Behavior 기반 차단
ASA + ISE + SMC
C&C
인터넷
Botnet
ASA SMC
(Lancope)
NSEL
29
Cisco and/or its affiliates. All rights reserved. Presentation_ID Cisco Public
Behavior Based Attack > 위협 탐지 / 차단 사례(2)
StealthWatch Management Console > 평판 기반 사용자 트래픽 패턴 분석
Netflow 트래픽 모니터링을 통해 허가받지 않은 서비스를 이용한 외부 <-> 내부 서버 통신 탐지 >
내부 사용자 단말에서 서버로 의심스러운 트래픽 패턴 탐지
ASA + ISE + SMC
C&C
인터넷
Botnet
ASA SMC
(Lancope)
NSEL
Behavior 기반 차단
30
Why Cisco Service?
시스코 보안 컨설팅 서비스
Cyber Range 서비스
Why Cisco Service?
Cisco and/or its affiliates. All rights reserved. Presentation_ID Cisco Public
Cisco Security Products & Services
Discover
Enforce
Harden
Scope
Contain
Remediate
Detect
Block
Defend
After (사후 대응) During (실시간 대응) Before (사전 대응)
Firewall / NG-Firewall NG-IPS
UTM / VPN Email Security
Identity Service Engine Web Security
보안 진단 서비스
보안 전략 서비스
보안 설계 서비스 보안 구축 서비스 보안 최적화 서비스
위협 차단 솔루션 (CTD) 구축 컨설팅
위협 차단 매니지드 서비스 (MTD)
Cyber Range 서비스 (End-to-End 공격/탐지/차단 시뮬레이션 서비스)
Security
Activities
Security
Products
Security
Services
Advanced Malware Protection
Network Behavior Analysis
