빅데이터 기술을...
DESCRIPTION
보안 패러다임 변화 지능형 보안(Security Intelligence), 빅데이터 기술을 적용한 차세대 SIEM 적용 시 고려 사항TRANSCRIPT
2014 빅데이터활용기술실태와비즈니스모델및수익창출세미나
2014 빅데이터활용기술실태와비즈니스모델및수익창출세미나
2014 빅데이터활용기술실태와비즈니스모델및수익창출세미나
CO
NTEN
TS
정보보안, 안녕들하십니까?
빅데이터와정보보안의만남
Security Intelligence & SIEM
차세대 SIEM 검토시고려사항
2014 빅데이터활용기술실태와비즈니스모델및수익창출세미나
들어가며…
• 주요기관 IT 10대 전망 비교(2013 vs 2014)
3
Source: 주요기관 IT 10대 전망 비교 분석, 마이크로소프트웨어, 2014.1
2014 빅데이터활용기술실태와비즈니스모델및수익창출세미나
정보보안, 안녕들하십니까?
• 다양하게 진화하는 보안의 위협: 주요 사건
4
2014 빅데이터활용기술실태와비즈니스모델및수익창출세미나
정보보안, 안녕들하십니까?
• 최근 10年間 주요 위협 및 대응
5
Source: 빅데이터 환경에서 차세대 통합보안 기술, 2013.1.27
2014 빅데이터활용기술실태와비즈니스모델및수익창출세미나
정보보안, 안녕들하십니까?
• 3.20 전산대란(2013.3.20)
6
Source:, 2013년 국내 IT 10대 핫 이슈, 마이크로소프트웨어, 2013.12
2014 빅데이터활용기술실태와비즈니스모델및수익창출세미나
정보보안, 안녕들하십니까?
• 카드사 고객정보 유출(2014.1.8)
7
2014 빅데이터활용기술실태와비즈니스모델및수익창출세미나
정보보안, 안녕들하십니까?
• 기업의 보안 현실: 보안 침해 사고 분석 해보니…
8
침해사고중76%의네트워크침입은 취약하거나훔친자격증명을
이용하여발생 엄격한정책적용을통해쉽게
예방가능
보안침해사고는 69%는외부기관에의해발견
9%는고객에의해발견
보안침해사고중 이메일,전화통화및소셜기법
은전체보안공격의29%
Source: 2013 데이터 보안 침해 조사 보고서, Verizon, 2013
2014 빅데이터활용기술실태와비즈니스모델및수익창출세미나
정보보안, 안녕들하십니까?
• 기업의 보안 현실: 보안 침해 기간
9
Source: 2013 데이터 보안 침해 조사 보고서, Verizon, 2013
보안침해중66%는발견하는데수개월에서수년
84%의사고에서수시간이내에초기유출
보안침해가발생한영역을격리하는데수개월(22%)
2014 빅데이터활용기술실태와비즈니스모델및수익창출세미나
정보보안, 안녕들하십니까?
• 기업의 보안 현실: 보안 침해 기간
– Analysis of zero-day attacks that go undetected
10
Source: Big Data Analytics for Security Intelligence, CSA, 2013.9
평균10 개월소요,60%의취약점은이전에파악된적이없음
2014 빅데이터활용기술실태와비즈니스모델및수익창출세미나
빅데이터와보안의만남
• 빅데이터 전망
11
Source: Hype Cycle for Emerging Technologies, Gartner, 2011. 2012. 2013
2014 빅데이터활용기술실태와비즈니스모델및수익창출세미나
빅데이터와보안의만남
• 글로벌 빅데이터 활용 성과
– 빅데이터 활용에 따른 기업 매출 증대 효과 입증
12
Source: Avanade, 2012.6
2014 빅데이터활용기술실태와비즈니스모델및수익창출세미나
• 국내 빅데이터의 현주소(공급자 측면)
• 국내 빅데이터의 현주소(수요자 측면)
‘빅데이터도입미정’답변46.7%,‘전사적으로도입해서활용하거나파일럿프로젝트실행단계’답변15.6%
빅데이터도입및활용시가장큰방해요인으로는‘활용분야미발견’(30%),‘데이터전문가부족’(20%),‘빅데이터인프라구축미비’(13%)등
데이터와관련한거의모든 IT업체가빅데이터시장진출을선언 포털,통신업체도빅데이터시장에뛰어든형국 실제성과를낸업체들은사실몇되지않음 얼마나성장할지장담할수없는것이바로국내빅데이터시장
빅데이터와보안의만남
13
Source: 한국IDG, 2013.6.21
2014 빅데이터활용기술실태와비즈니스모델및수익창출세미나
빅데이터와보안의만남
• 정보보안 영역
14
DataDB암호화
전송정보 암호화
문서암호화중요정보유출차단 출력물보안통합PC보안 네트워크접근제어사용자인증
접속기록관리
메일 저널링
정기감사
정보유출감사
웹취약점 차단
사용자인증 네트워크접근제어 중요정보유출차단
네트워크접근제어
사용자인증
웹/메일공격차단
좀비PC탐지차단
개인정보유출차단
Intranet
Services
2014 빅데이터활용기술실태와비즈니스모델및수익창출세미나
빅데이터와보안의만남
• 통합 관점의 정보보안관리체계
– 이기종 단위보안시스템(네트워크, 시스템)의 로그와 이벤트를 수집하여 통합 및 분석하고 IT 자산정보와 취약점 정보를 결합하여 종합적으로 위험분석
15
2014 빅데이터활용기술실태와비즈니스모델및수익창출세미나
빅데이터와보안의만남
• 빅데이터와 보안 빅데이터
16
2014 빅데이터활용기술실태와비즈니스모델및수익창출세미나
Security Intelligence & SIEM
• 보안 패러다임의 변화와 지능형 보안(Security Intelligence)의 개념(1)
17
Source: Gartner, 2012.3, IBM
2014 빅데이터활용기술실태와비즈니스모델및수익창출세미나
Security Intelligence & SIEM
18
지능형보안의개념은APT공격과같은알려지지않은치명적인공격에대
응하기위해주요IT기반주요시설의네트워크,시스템,응용서비스등으로
부터발생하는데이터및보안이벤트간의연관성을분석하여보안지능을
향상시키는차세대보안정보분석기술
가트너그룹,“지능형보안은다양한보안기술의상호작용을가능하게하
는개념과방법론으로써다양한소스로부터정보를통합하고상호연관성
을갖는콘텍스트기반의분석기술”
• 보안 패러다임의 변화와 지능형 보안(Security Intelligence)의 개념(2)
2014 빅데이터활용기술실태와비즈니스모델및수익창출세미나
Security Intelligence & SIEM
• 지능형 보안을 위한 다중 소스 데이터 모니터링
19
Source: Gartner, 2012.3
2014 빅데이터활용기술실태와비즈니스모델및수익창출세미나
Security Intelligence & SIEM
• Hype Cycle for Application Security
20
Source: : Gartner, 2012.7)
2014 빅데이터활용기술실태와비즈니스모델및수익창출세미나
빅데이터와보안의만남
• 로그 데이터를 수집하는 이유
21
Source: SANS, 2012.5
2014 빅데이터활용기술실태와비즈니스모델및수익창출세미나
빅데이터와보안의만남
• 수집된 로그 데이터 활용의 어려운 점
22
Source: SANS, 2012.5
2014 빅데이터활용기술실태와비즈니스모델및수익창출세미나
Security Intelligence & SIEM
• 빅데이터 기술 스택과 SIEM 구성요소
23
2014 빅데이터활용기술실태와비즈니스모델및수익창출세미나
Security Intelligence & SIEM
• SIEM의 발전 단계
24
1, 2 세대 3 세대 4 세대 5 세대
Source: 빅데이터 환경에서 차세대 통합보안 기술, 2013.1.27(재구성)
2014 빅데이터활용기술실태와비즈니스모델및수익창출세미나
Security Intelligence & SIEM
• SIEM 참조 모델(CSA)
25
Source: SecaaS Implementation Guidance – Category 7 SIEM
2014 빅데이터활용기술실태와비즈니스모델및수익창출세미나
Security Intelligence & SIEM
26
Source: Log Management and SIEM Vendors, Raffael Marty, 2013.7
• Log Management and SIEM Vendors
2014 빅데이터활용기술실태와비즈니스모델및수익창출세미나
차세대 SIEM 검토시고려사항
• 산업군, 기업의성격별로도입접근방법도다르게이뤄져야…
27
분류 주요고려사항
일반기업• 기존기업구축경험과BMT, POC를통해입증된제품을비교대상선정
• 대용량로그의완벽한처리, 실시간빠른분석/검색성능을주요사항으로검토
금융권
• 거래로그등주요로그가포함돼있기때문에무결성과안전성, 처리성능이검
증된제품
• 고객환경에안정적으로적응할수있는있는지여부
공공기관• 관리편의성, 운영비용절감, 관리자환경을고려한자동화, 부가기능등의제공
에최적화된제품고려
기타• 인증획득및법규준수등컴플라이언스에최적화한대응
• 안정적운영능력을주요요구사항으로검토필요
2014 빅데이터활용기술실태와비즈니스모델및수익창출세미나
• 기술, 비용 측면도 따져봐야…
차세대 SIEM 검토시고려사항
28
분류 주요고려사항
기술측면
• 기술기반인‘패턴매치’룰은태생적인한계점인‘오탐(공격표절)’의가능성의개
선여부
• 제공되는룰의정교성과룰변경용이성을점검필요
• 룰이적용되는네트워크환경의특성을자동적으로반영할수있는지능적인룰
학습기능과같은적응적기능지원여부
비용측면
• 솔루션도입과실제운영에있어초기및유지비용에대한예측도중요요소
• 선택솔루션은초기요건을최소의비용으로충족시킬수있어야하며초기투자
비용이외에추가로발생하는요구사항에대한추가지출이없도록주의필요
• 전사적차원에서확장, 적용시소요비용이합리적인지에대해서도파악필요
2014 빅데이터활용기술실태와비즈니스모델및수익창출세미나
[참고] 개인/내부정보유출위험
29
Source: 개인정보유출신고 제재 현황, 이상일 의원, 2014.1
2014 빅데이터활용기술실태와비즈니스모델및수익창출세미나
차세대 SIEM 검토시고려사항
• 보안 빅데이터 분야에서도 인프라와 분석역량, 조직이 필요
30
2014 빅데이터활용기술실태와비즈니스모델및수익창출세미나
맺음말
• 정보보안의Goal은 간단
– Identify attacks / attackers before they hit
– Find previously unknown attacks (zero days)
– Find attacks that are in progress
– Understand the impact of a successful attack
– Attack(er) = external OR internal
• 향후2년내, 정보보호위해빅데이터기술을이용할것(글로벌기업중¼, Gartner)
– 차세대SIEM 제품들은최근이슈가되는빅데이터분석기술과통합
→ 지능화된보안분석방법이적용, 차세대보안솔루션의핵심기술로자리매김예상
– 향후에는애플리케이션레벨의이상징후탐지가기본기능으로만들어질것으로예상
– 사후방어적인탐지대응에서사전예방적인구성감사, 위협모델링등을이용해적극적으로
보안이슈에대해대응하는방식으로발전할것
31
2014 빅데이터활용기술실태와비즈니스모델및수익창출세미나