및 온라인 사기행위...
TRANSCRIPT
1 © Copyright 2014 EMC Corporation. All rights reserved.
웹 위협 및 온라인 사기행위 대응방안 이준희 한국이엠씨컴퓨터시스템즈㈜
2 © Copyright 2014 EMC Corporation. All rights reserved.
목차
• 온라인 위협 환경
• 온라인 위협 및 대응 방안
• 온라인 위협 사전대응 방안
• 온라인 위협 실시간 분석 방안
• 인증 강화를 통한 온라인 위협 대응
• Intelligence 기반 온라인 위협 및 사기 대응
3 © Copyright 2014 EMC Corporation. All rights reserved.
온라인 위협 환경
4 © Copyright 2014 EMC Corporation. All rights reserved.
악성코드 동작 방식
C&C 감염/업데이트 서버 Drop Zone
Victims
감염PC 조작
감염PC
5 © Copyright 2014 EMC Corporation. All rights reserved.
온라인 위협 환경 온라인 사기 집단의 기술적 인프라 및 운영 인프라
정보 교환 사기 포럼 / 채팅 룸
현금갈취 사기집단
대리인 경유지 현금화
고객 정보 수집 사기집단
사용자 계정
공격 도구 호스팅 유포
Intelligence 위협환경 분석
Cloud
안티트로이잔 안티피싱
Intelligence
안전거래
거래 모니터링
위험기반 인증체계
인증강화
위협환경분석
Cloud
6 © Copyright 2014 EMC Corporation. All rights reserved.
다양한 온라인 사기 공격
7 © Copyright 2014 EMC Corporation. All rights reserved.
쉽게 접근 가능한 사기 시장
감염 PC
$20/1000
악성코드 관리 사이트 $15/1달
8 © Copyright 2014 EMC Corporation. All rights reserved.
온라인 사기 거래 Black Market
9 © Copyright 2014 EMC Corporation. All rights reserved.
한달동안 송수신된 데이터 수
하루 다운로드 되는 앱 숫자
네트워크에 연결된 시스템수
10 © Copyright 2014 EMC Corporation. All rights reserved.
온라인 위협 및 대응 방안
11 © Copyright 2014 EMC Corporation. All rights reserved.
온라인 위협 행위
웹 위협 환경
• Layer 7 DDoS 공격
• Man in the Middle/Browser • 패스워드 크래킹/추측 공격 • 파라미터 인젝션 • 신규 계정 등록 행위 • 신규 악성코드 (예. Trojans)
• 계정 탈취 • 신규 계정 등록 사기 • 이벤트 악용 • 등록되지 않은 계정 행위 • 부정 자금 이동
세션 시작
로그인
거래
로그아웃 오픈 웹 환경
• 피싱 • 악성 모바일 앱 • 사이트 스크랩핑 • 취약점 탐색
12 © Copyright 2014 EMC Corporation. All rights reserved.
EMC 온라인 대응 방안
세션시작 로그인
거래
로그아웃 오픈웹
피싱/유출계정
탐지/차단
웹 행위 모니터링 (계정도용, 비즈니스 로직 악용, 사이트 스크랩핑)
부정 거래내역 모니터링
위험분석 기반 차별화된 인증 요청
웹 위협 환경
위험분석 기반 카드 인증 요청
13 © Copyright 2014 EMC Corporation. All rights reserved.
온라인 위협 사전 대응 방안
14 © Copyright 2014 EMC Corporation. All rights reserved.
온라인 침해 사전 대응 방안
세션시작 로그인
거래
로그아웃 오픈웹
Fraud Action
웹 위협 환경
• 사이버 범죄 집단의 행위 모니터링 • 피싱 공격 및 트로이잔 공격 탐지 및 대응 • 악성 모바일 앱 대응
15 © Copyright 2014 EMC Corporation. All rights reserved.
온라인 침해에 대한 사전 모니터링 체계(AFCC)
• Intelligence 정보 모니터링
– 악성코드 분석 및 대응
– 피싱 사이트 조사(하루 60억 URL 조사)
– 사기 포럼 내용 모니터링
– 신규 사기 방법 확인
• 사기 대응
– 피싱 사이트 Shutdown
– Mule 계정 확인
– 유출 고객 정보 확인
16 © Copyright 2014 EMC Corporation. All rights reserved.
RSA FraudAction 서비스
• Anti-Trojan Service 악성코드 공격 대상 고객 정보 탐지 및 경보
• Anti-Phishing Service 피싱사이트 탐지 및 shutdown
• Anti Rogue App Service 고객사 유사 악성 앱 탐지 및 중지
• Cyber Crime Intelligence 사기 행위 및 블랙마켓 트랜드 분석 보고서 제공
17 © Copyright 2014 EMC Corporation. All rights reserved.
온라인 위협 실시간 분석 방안
18 © Copyright 2014 EMC Corporation. All rights reserved.
실시간 온라인 위협 분석 시스템
세션시작 로그인
거래
로그아웃 오픈웹
Web Threat Detection
웹 위협 환경
• 로그인 전후의 모든 행위에 대한 실시간 가시성 제공 • 사용자 및 그룹의 이상행위 분석 • 사기 행위자 분류
19 © Copyright 2014 EMC Corporation. All rights reserved.
위협 스코어링 • 속도
• 웹 사용 행위
• Parameter Injection
• Man in the Middle
• Man in the Browser
스트림 분석
20 © Copyright 2014 EMC Corporation. All rights reserved.
이상 행위 탐지 사이버 범죄행위 자들은 일반적인 온라인 사용자와 다른 사용 패텀을 보임
Sign-in
Homepage
My Account
Bill Pay Home
Add Bill Payee Enter Pay Amount
Select Bill Payee
Submit
Checking Account
View Checking
• 속도
• 사용 페이지 순서
• 접속 지점
• 복합적인 정보
21 © Copyright 2014 EMC Corporation. All rights reserved.
Web Threat Detection 워크 플로우
HTTP 헤더
메소드 방식
POST/GET
Web Threat Detection 정책 엔진
- IP - User - Page
IP - User - Page -
SIEM CM Email LB WAF
사용자 ID Cookie IP 정보
- Man in the Middle - Man in the Browser - 행위 - 속도 - 파라미터
포렌진 대시보드 한번의 클릭으로 상세한 분석 및 확인
실시간 경보
한시간 단위 경보
Web Threat Detection
위협 점수 0-100
Web Threat Detection
Action Server
페이지
Request
Web Threat Detection 사용자 인터 페이스
세션 재구성 및 사용자 클릭 행위 이미지화
22 © Copyright 2014 EMC Corporation. All rights reserved.
동일 사용자 ID, 여러 종류의 패스워드로 접속 시도 • 패스워드는 Hash암호화를 통해 분석 요원도 인지할 수 없는 형태로 변환, 비교 분석은 가능
헤더 데이터를 통해 Linux 기반의 Script를 통한 공격 시도인 것을 확인
로그인 페이지에서 발생하는 Brute force 공격을 탐지하기 위한 가시적인 방안을 가지고 있는가?
• RSA Web Threat Detection는 두가지 방식의 패스워드 추측 공격 모두에 유용한 탐지 기법을 제공합니다. - Vertical. 동일 사용자 ID, 패스워드 변경을 통한 추측 공격 - Horizontal. 동일 패스워드, 사용자 ID 변경을 통한 추측 공격
패스워드 추측 공격 스크립트를 통한 계정 획득 시도
23 © Copyright 2014 EMC Corporation. All rights reserved.
이벤트 악용 – 쿠폰 코드 입력 스크립트를 통한 쿠폰 코드 변경 입력 시도
하나의 IP에서 한시간동안 977번의
클릭 발생
쿠폰 악용의 영향
• 인증되지 않은 쿠폰 획득에 따른 일반 사용자들의 불이익 발생
• 기업의 이익 감소 • 스크립트 공격으로 인한 해당 페이지의 부하 가중 및 실제 사용자에 영향 발생
24 © Copyright 2014 EMC Corporation. All rights reserved.
판매자 등급 상승을 위한 거짓 거래
비즈니스 로직 악용– 판매자 등급
9분동안 10번의 동일 구매 행위 발생(동일 구매자/동일 판매자)
새벽 5시부터 한시간 동안 21번의 구매 발생
한번 구매시 약 백만원 상당의 구매
25 © Copyright 2014 EMC Corporation. All rights reserved.
인증 강화를 통한 온라인 위협 대응
26 © Copyright 2014 EMC Corporation. All rights reserved.
위험 기반 인증을 통한 위협 대응
세션시작 로그인
거래
로그아웃 오픈웹
Adaptive Authentication
웹 위협 환경
Transaction Monitoring
• 위험 기반 인증 • 위험한 로그인/거래 발생시에만 요청 질의(challenge) 발생 • 전세계에서 수집된 사기 정보 공유 • PC, 모바일등 모든 시스템에서 로그인 및 이후 행위 분석
27 © Copyright 2014 EMC Corporation. All rights reserved.
위험의 개념
• 이상적인 행위에서 시작
– 이상적인 상태에서 약간의 편차가 발생하는 것은 허용
• 대부분의 행위는 안전지대 내에 속함
– 안전한 영역에서의 행위를 확실히 구분할 수 있는 경우 비용 관리 효과
• Challenge는 안전한 영역에서 벗어난 행위만을 구분해 내는 것
Ideal Activity
Activity A Activity B
Activity C
Activity D
Area of Concern
Comfort Zone
28 © Copyright 2014 EMC Corporation. All rights reserved.
온라인 위협 환경
• 100개 이상의 위험 척도 분석 -디바이스 프로파일(OS, 쿠키, 브라우저등)
-사용자 행위 비교 분석
• 실시간 분석을 통한 대응
• RSA eFraudNetwork 정보를 통한 대응
29 © Copyright 2014 EMC Corporation. All rights reserved.
위험기반 분석 엔진
리스크 엔진
케이스 관리
위험 기반 인증
정책 관리
행 위 디바이스 eFraudNetwork
인증 인증 계속
인증 방식 설정 피드백
피드백
설정
질의
전화
,SM
S
인증
기타
인증
개인정보
기반
271 937
30 © Copyright 2014 EMC Corporation. All rights reserved.
IP: 83.109.219.9
IP: 65.75.83.176
eRisk Engine
Bank A: Account 4007
The RSA® eFraudNetwork™
IP: 83.109.219.9
IP: 65.75.83.176
IP: 201.242.122.167
IP: 201.242.122.167
Bank A
UK
Venezuela
Bahamas
31 © Copyright 2014 EMC Corporation. All rights reserved.
eRisk Engine
Bank A
The RSA® eFraudNetwork™
Bank A: Account 4007
Bank C: Account 0064
Bank B: Account 7558 IP: 83.109.219.9
IP: 65.75.83.176
IP: 201.242.122.167
IP: 65.75.83.176
Bank B
Bank C
USA
Bahamas
Venezuela
IP: 201.242.122.167
IP: 83.109.219.9
32 © Copyright 2014 EMC Corporation. All rights reserved.
“단계별” 인증 사용자 인증을 위한 추가 요소 및 절차
Challenge 질의
부가 인증
동적 Knowledge Based
Authentication(KBA)
멀티 인증 프레임
• 선택된 비밀 질문을 하고 사용자가 등록한 응답 전송
• 임시 인증 번호를 전화로 알려주거나 SMS, Email 등으로 전송
• 거래 금액과 같은 거래 상세 내역 포함 전송
• 실시간으로 사용자에 특화된 동적 질의 생성
• RSA Identity Verification service (US,UK 가능)
• 자체 개발 또는 3rd Party 방안 사용을 통한 인증 강화
33 © Copyright 2014 EMC Corporation. All rights reserved.
Intelligence 기반 온라인 위협 및 사기 대응
34 © Copyright 2014 EMC Corporation. All rights reserved.
Adaptive Controls 위험/위협 기반 및 인증강화
Advanced Analytics 여러 상황정보 제공 및 모든 위협 행위 에대한 가시성
정보 공유 신뢰할 수 있는 곳에서 제공된 사용가능한 Intelligence 정보
위험 Intelligence 정보 위험에 대한 이해를 통한
행위 우선순의 결정
Intelligence 기반 온라인 사기 대응 Risk 기반, 다양한 상황정보, 빠른 대응
35 © Copyright 2014 EMC Corporation. All rights reserved.
온라인 사기 대응 공조
고객에게 보안 강화 및 편의 제공
악성코드에 의한 고객 정보 유출 내역 확인을 통한 사기행위
사전 대응
웹에서 발생하는 모든 행위 분석을 통한 신규 위험 감지
위험 기반 인증 강화를 통한 로그인시, 거래시 위험 대응 강화
신뢰할 수 있는 정보, 행위 분석 및 인증/거래 인증 강화를 통한
정상 사용자와 악의적인 사용자를 구분
36 © Copyright 2014 EMC Corporation. All rights reserved.
온라인 사기 대응 계층(Gartner)
• Layer 1 + 3 – 위험기반 인증(Adaptive Authentication)
• Layer 2 + 5 – RSA Web Threat Detection
• Layer 4 – RSA WTD + RSA AA + RSA FraudAction
엔드포인트 중심
Navigation 중심
사용자 계정 중심(UAC)
멀티채널을 통한 사용자 계정 중심
Entity Link Analysis
37 © Copyright 2014 EMC Corporation. All rights reserved.
온라인 사기 대응 방안
• 빅데이터 기반 분석 대응 – 사기에 대한 풍부한 자료 분석 – 사기행위 예측 분석 및 자동 학습을 통한 분석 방법 업데이트
• 실행 가능한 대응 방안
• 실시간 분석 및 온라인 사기 공동 대응을 위한 자체 인프라 확충
• 사전 대응: Offence is the Best Defense