blue coat security utv_1104_final

© Blue Coat Systems, Inc. 2010. All Rights Reserved. Blue Coat Systems Confidential

진화하는 웹 보안 위협으로부터의실시간 정보보호 대응방안기술이사 양 경 윤

[email protected]

© Blue Coat Systems, Inc. 2010. All Rights Reserved. Blue Coat Systems Confidential – Internal Use Only222

Blue Coat 소개

HQ : Sunnyvale, CA USA (NASDAQ:BCSI)

1996년 설립(한국 :2005년 5월)

150여 개국, 15,000+ 고객

Fortune® 지 글로벌 100대 기업 중 95개사

Fortune® 지 글로벌 500대 기업 중 85%

글로벌 대형 은행 25개사

세계 상위 10대 Service Provider 중 8개사

인터넷 보안게이트웨이 부문 시장선도

가트너 MQ – 보안 게이트웨이 시장 리더 (7 Years)

회사 소개


인터넷 위협 및 정보유출에 대한 계층적보안 솔루션 – Secure Web Gateway

3


Web 2.0

Web Mail

보안 웹 게이트웨이

AV / DLP

Encrypted Mail

Email

Database

인증서버

Monitor

Sensitive

Data

Email

인터넷 위협에 대한 계층적 보안 적용 구성도

인트라넷

인터넷

File Server


커뮤니케이션의 변화

Source: 2011 Blue Coat Web Security Report

2008: 5th

2009: 9th

2010: 17th

Traditional Communications Vehicles

Category Rank

by Requests

2nd: Personal

Pages/Blogs

3rd: Chat/IM

4th: Email

New Communications Vehicles

Social Networking

Category Requests


소셜 네트워킹의 대중화

6

5억5천만명, 75개국어, 매일 70만명 신규 가입

“인구” 순위:

1.중국2.인도3.페이스북


Malware loves

social media

Legitimate

sites become

unwitting hosts

Patience pays offPhishing targets

social networking

사이버 범죄의 진화


맬웨어(악성코드) 공격의 유형

Fake AV: Leading

malware attack

requires people to

act

Malvertising:

Drive-by

downloads target

legitimate sites;

leverage

reputation ratings

Phishing: More

sophisticated

attacks create

“skins” of target

sites with working

links

Fake Video

Codec: 2nd most

popular attack;

common in social

network attacks

© Blue Coat Systems, Inc. 2010. All Rights Reserved. Blue Coat Systems Confidential9

최근 맬웨어(악성코드) 현황

악성코드 출처의 90%가 합법적 웹

사이트

HTTP/SSL를 이용한 공격 증가

SPAM의 83%가 URL 링크 이용

검출이 어려운 Hidden Download 경로

이용

(ex. iframes injections, Fake update 등 )

인기 사이트를 통한 초고속 감염

소셜 네트워킹, 올림픽, 스포츠, 주요 뉴스 등

상업적 공격 증가 현황

500% 이상 증가 추세


암호와 트래픽 및 실시간 대응의 필요성

SSL을 이용한 우회 프로그램을 이용한 인터넷 접속

SSL을 사용하는 웹사이트 시간 집약적 작업

암호화된 트래픽의

분석 능력 한계

대응 시간 지연

실시간으로 생성되는 피싱 사이트, 멜웨어 전파 웹사이트


기존 멜웨어 방어체계의 한계점

시그니처에 의한 단순 차단 방식

성능과 보안의 대립 관계

매일 이루어지는 업데이트

1세대의 정적인 URL 필터링

새로운 링크와 컨텐츠 정보 미흡

시간 집약적 작업

분석 능력 한계

대응 시간 지연


WEB 2.0 보안 환경의 요구 사항

실시간으로 신설되는 웹 링크와 콘텐츠에 대한 인지 능력

요청된 URL의 실시간 분석 능력

사용자 마다 업데이트가 필요 없는 보호 기능

다운로드나 패치가 필요 없는 자동 적용 기능

좀 더 많은 부분을 확인하고 싶은데…

보안 기능을 강화하고 싶은데…

업데이트를 하지 않으면 안되나…

좀 더 쉽고 효과적이게 적용할 수 없나….

Cloud, SaaS, Web 2.0 Protection

Security Suite, Internet Suite, Anti-Virus,

Web Filtering, Layered Defenses, Zero-

Day, Proactive Protection

솔루션 선택의 어려움고객 필요 사항


WebPulse – 블루코트 클라우드 인프라

기존 사용자들(약 7,500만)로 구성된 클라우드 커뮤니티를 이용

전세계에 분산된 6개의 데이타센터에서 URL 수집 및 분석후 실시간 카테고리 정보 제공

80개 이상의 카테고리 분류, 50가지 언어 지원, 하루에 1억5,000만 건 이상 콘텐츠 분류

IWF(인터넷감시재단)과 국가별 리스트를 포함

Malware 전파 등 의심스러운 사이트를 위한 웹 평가 분류


Users ProxySG

안전한 웹 콘텐츠

맬웨어 포함웹 콘텐츠

Multiple Threat Engines

Machine Analysis

Human Raters

WebPulseTM

Internet

It’s good!Don’t Know

ProxySG

ProxySG

It’s bad

실시간 업데이트

실시간 방어를 위한 클라우드 서비스


SSL 통제 기능

SSL 접속을 통한 내부 정보 유출 및 파일 업로드, 게시판 쓰기 등 차단

정책에 의한 사용자, 어플리케이션, 콘텐츠 통제

SSL 을 통한 비인가 된 어플리케이션 차단

SSL 인증서의 만료, 유효성, 사설 인증 여부 등 검증

내부 사용자 망외부 어플리케이션

%3s*<5y

2@/^X!Z:b j5+d#o6

4g*%2@sD&7w$=h9o

W{}77%21

%3s*<5y

2@/^X!Z:b

%3s*<5y

2@/^X!Z:b

세션 중재 기반으로 SSL 트래픽 가시성이확보되어 보안 정책 적용 가능


웹 사용에 대한 가시성 제공

Pre-Defined 및 Custom 리포팅을 지원하는 유연성

Spyware, Malware / Traffic Profiles / Filtering Categories / Sessions / Web Content 등 지원

관리자 권한 별 설정 지원, 스케줄링 보고서 지원

PDF, Excel 형식의 이메일 발송, Archive 지원

2. Proxy SG 기능


Caching for Enhanced Performance

Security without Compromising Performance

Users ProxyOne Appliance


보안 웹 게이트웨이의 효과 인터넷 게이트웨이에서 정보 유출에 대한 원천 차단

실시간 URL DB, 접속 메소드 제어, DLP 연동

클라우드 서비스를 이용하여 악성코드 및 피싱 사이트에 대한 URL 또는페이지 단위의 접속 실시간 차단

규정준수, 업무 효율 및 대역폭/인프라 절감을 위해 사용자의 인터넷사용에 대한 가시성 제공 및 통제

비업무 사이트 제한, 성인/도박사이트 접속 금지 :사용자 /그룹/ 시간대별

암호화 트래픽(HTTPS 이용)에 대한 가시성 확보로 숨겨졌던 보안위협에 대한 대처 가능

사이트 및 미디어(동영상) 캐싱으로 사용자 속도 향상 및 대역폭 절감

© Blue Coat Systems, Inc. 2010. All Rights Reserved.

Data Loss Prevention

© Blue Coat Systems, Inc. 2010. All Rights Reserved.20

주요보안정보

고객 정보

이름, 주소 주민등록 번호

계정 정보, 신용카드 번호

지적 자산

소스 Code, 제품 설계도

프로젝트 데이터

기업 데이터

영업 계약 정보 및 M&A 정보

고객 리스트, 가격 정보

직원 정보

연봉, 인센티브 등 HR 정보

보안강화의필요성

기업 신뢰도 유지

정부 및 보안 관련 기관의 보안 지침

준수 요구 수렴

내/외부 데이터 유출 방지

왜 DLP 가 필요한가?


DLP ( Data Loss Prevention )란 사용 중이거나 혹은

전송 중, 저장 중인 데이터에 대해 Deep or Full

Content Inspection 과 각종 보안 기법을 통하여 확인,

모니터링, 보호를 목적으로 하는 시스템으로써 이

DLP의 최종 목적은 개인 정보 및 내부 기밀 자료의

불법적인 유출에 대한 탐지와 예방 및 차단입니다.

Data Leak Prevention

Information Leak Detection and Prevention ( ILDP )

Information Leak Prevention ( ILP )

Content Monitoring and Filtering ( CMF )

Information Protection and Control ( IPC )

Extrusion Prevention System ( EPS )

Data Loss Prevention


Network DLP

Network Gateway 로 사용되는 Solution

일반적으로 Hardware/Software 일체형 Appliance 형태

Data in Motion(외부로 전송되어지는 데이타), Data at Rest(내부에 저장된 데이타)에

대해 탐지 가능

간단한 설치와 적은 관리 비용

Endpoint DLP 사용자 PC 나 Server 에 Agent 형태로 설치되는 Solution

Gateway 를 통하지 않는 내부 Group 간의 Data 이동에 대해서도 탐지 가능

암호화되어 전송되는 트래픽에 대해 암호화 전에 탐지 가능

USB 와 같은 Mobile Device 에 대한 감사 가능

OS 호환성 및 기술지원 비용 증가

DLP 의 종류


취약한 모든 구간에 대한 보안

Web, Email, Network DLP

내부 보안 자료에 대한 유출 차단

완벽한 탐지 솔루션

오탐 최소화

보안 자료 및 정보에 대한 정확한 등록과 확인

인적 리소스에 대한 영향 최소화

빠른 설치 및 손쉬운 관리

장기적인 솔루션으로서의 높은 ROI 제공

HQ, Small Office 등에 대해 Platform 별로 안정성,확장성 보장

고객의 요구사항


DLP 적용 Best Practice

유출 방지 대상 데이터 규정

중요 데이터(DB 및 파일) 등록 – Finger Printing

패턴 등록 – 키워드, RegEx

기존 파일서버/웹 서버 등에 유출 방지 대상 데이터 유무탐지

Discovery DLP

트래픽 미러링을 이용한 정보 유출 감시

Mail, HTTP, HTTPS, FTP등을 통한 정보 유출 차단


확장성의문제

• 단일 기능의서버들의독립화

(Email, Web, Network)

• 제한적기능의 통합

구성하기 복잡함

• 다수의구성요소

• Multiple vendor 사용File

Serve

r

Operating

System

Database

License

DLP

Solution

설치하기 어려움

• 4-5 system 을 구성하여야

Full DLP 구성 가능

• 단일 기능 구성

• Full DLP 기능 요청

• 수 주 또는수개월의 최적화

기간 소요

Manageme

nt

Email

DLP

Web

DLP

Network

DLP

Discover

y

운영에 대한 어려움

• 정책과규칙에 대한 충돌

• 서비스변경이 발생할때 마다 수 많은

테스트를통한 검증 필요

기존 네트워크 DLP 적용시 이슈사항


정확한 분석과 정확한 패턴 제공

통합된 Gateway DLP 로 사용

Web DLP

Email DLP

Network DLP

Discovery DLP

손쉬운 구축 및 관리

초기 구축

관리

확장

Web 2.0

Web Mail

ProxySGDLP

Encrypted Mail

Email

Discovery

Database CMS

Monitor

Sensitive

Data

Email

Network DLP

Email DLPWeb DLP

Bluecoat DLP : Simple


Blue Coat DLP 주요 기능

데이터 등록/탐지

구조화 데이터

• Oracle, MS-SQL, PostgreSQL, Sybase, DB2,

Excel, CSV

• 단순 정규 표현 패턴이나 키워드 매칭이

아닌 효율적이고 정확한 방법으로

False Positive를 최소화

• 400만 개의 데이터 요소 등록 가능

비구조화 데이터

• Windows, NFS 파일 공유, SharePoint,

Content Mgmt Systems : EMC, Oracle

• 600가지 이상의 파일 타입 지원

• 멀티바이트 캐릭터 셋 지원

• 다른 문서로 붙여 넣거나, 압축 및 수정 된

데이터도 인식

Fingerprinting을 이용한 데이터 등록 및 탐지


Full Documents & Derivative Works

데이타 등록 및 탐지 Case


600개 이상의 파일 타입 인지

파일 포맷에 상관없이 인지 가능, 압축 파일 포함 ( zip, rar )

언어에 상관 없이 인지 가능 ( 2Byte Code, 한글 포함 )

전체 파일 및 부분 파일 전송도 인지 가능 ( 분할 전송 인지 )

특정 데이터 구조와 상관 없이 인지 가능

정확한 탐지와 패턴 등록


DLP 구성 방안

Mirroring 을 통한 방안 Network TAP 을 통하여 Network Traffic 탐지

MTA 를 통한 방안 Mail Agent 기능을 통해 E-mail 탐지

Proxy 를 통한 방안 Internet Proxy ( ProxySG ) 와 통합 설치하여 WEB, FTP, IM, SSL

등에 대한 탐지


Blue Coat DLP Product Lineup

DLP

700

DLP

1700

DLP

2700

사용자 수 에 따른 확장성

네트워크 DLP 사용자 250 5000 20000

관리 DLP 장비 2 10 50

실시간 탐색 성능

Packet 모니터 100 Mbps 250 Mbps 500 Mbps

ICAP 트래픽 100Mbps 170Mbps 270Mbps

시간 당 - 이 메일메시지

250,000 400,000 600,000

탐색 250 GB/day 500 GB/day 1TB GB/day

데이터 처리 능력

구조화 데이터 –

데이터 셀 수4000 만 4000 만 4000 만

비구조화 데이터 –

소스 콘텐츠 양400 GB 1 TB 1 TB

비구조화 데이터 –

파일 수100 만 100 만 100 만

•위 숫자는 일반적인 사이징 가이드에 기반한 것이며

데이타의 종류 및 설정에 따라 변경 가능합니다.

Nu

mb

er o

f Us

ers

Throughput

DLP1700

DLP2700

DLP700

blue coat security utv_1104_final

Education