© 2010 IBM Corporation

가상 패치 기술(Virtual Patch Technology)을 통한차세대 인프라 보호 방안

April, 2010

Software Group Tivoli 사업부 박형근 차장 (phk@kr.ibm.com)

1

MS 윈도우 보안 ? ? ? ? ? ?

충분할까요?

MS 윈도우 보안 ? - 뭐가 문제야?

패치한 다음 문제 없다는 것을

보장하면 내 하지..!!

2

MS 윈도우 보안 ? - 뭐가 문제야?

보호 받고 싶니?

그럼, 나에게 악성코드 샘플을 보여 줘봐!

3

최신 보안 취약점 시연: PDF & Java

http://www.securityplus.or.kr/xe/?document_srl=20577

http://www.securityplus.or.kr/xe/?document_srl=20918

4

2010 보안 동향 : IBM Security x-Force Report 2009

5

사례 분석: 취약점, 악성코드, 그리고 대응

공급업체 보안 권고문 발표 공급업체 패치 발표 악성코드 최초 탐지 국내 백신 패턴 업데이트

MS 2010.1.14 2010.1.21 2010.1.19 2010.1.19

Adobe 2009.3.18 2009.3.24 2009.2.19 2009.2.19

MS 2008.10.24 2008.10.24 2008.12.30 2009.1.7

MS 2002.1.23 2002.1.23 2003.1.25 2003.1.27

6

취약점 발견/노출공격코드

(Exploit) 출현패치/패턴 제공

IBM의 새로운 제안: 가상 패치 기술(Virtual Patch Technology)

7

IBM의 가상 패치 기술의 원동력

8

① IBM Security X-Force팀에서 취약점을 자체 분석 à Exploit생성

② 생성된 Exploit을 기반으로 한 공격 대응 Signature를 생성

③ 실시간 Update를 통해 모든 센서((PS)에 Signature 적용

④ 알려지지 않은(Unknown Attack, Unreleased attack) Attack을 탐지/차단

⑤ 취약점을 기반으로 한 Signature이므로 변종 공격 코드에 대한 탐지/차단 가능

Zero Day Protection !!

Virtual Patch 는 Zero Day Protection을 제공합니다.

– “Virtual patch” 는 취약점을 이용한 공격코드로부터의 Safeguard를 제공합니다.

– 취약점 패치가 나오기 전 임시 방어막 역할을 수행합니다.

– 취약점 패치로 발생할 수 있는 Risk를 줄일 수 있습니다.

– 임시 방어막 수행을 통하여 안정적인 실제 패치를 수행할 수 있는 시간을 제공받을 수 있습니다.

IBM의 가상 패치 기술의 제공 과정

Vulnerability 발견/노출( 취 약 점 )

Virtual Patch update Private Exploit 생성

(취약점)

9

IBM 타 벤더

취약점 기반(Vulnerability)= Virtual Patch

목 적

1. Unknown Attack (Un-Released Attack) 탐지/ 차단

(이미 알려진 공격도 물론 탐지/ 차단한다.) O △(일부 지원)

2. 변종 공격 코드의 탐지/ 차단 O △(일부 지원)

작성필수조건

자체적으로 취약점 분석 및 Exploit생성능력 보유 O X

§ IBM의 X-Force 보안 연구 조직 : 150여명으로 구성되어 자체 취약점 발견 및 분석, Exploit 코드 개발.

§ X-Force Team은 신규 취약점을 찾고 공격 코드를 발견하기 위해 개발된 600여 개 이상의 점검 항목 보유

공격코드 기반(Exploit)

목 적Known Attack탐지/차단 (공개 Exploit을이용한 공격)

O O

작성필수조건

Public Exploit을 사용 한다. (자체 Exploit 생성 능력 요구하지 않는다.)

O O

§ Public Exploit 기반의 Signature, 변종 출현 시 새롭게 생성/ 업데이트 해 줘야 함.

§ 공격 코드 기반의 시그니쳐는 Exploit 상의 Pattern 값에 한해서만 탐지/ 차단 할 수 있으므로, 변종 공격들을 차단할 수 없음.

Signature 비교 분석 : 취약점 기반 Vs. 공격 코드 기반

IBM의 가상 패치 기술의 비교

10

IBM Security Server Protection

IBM SecurityDesktop Protection

+

IBM ProventiaIPS/ UTM, etc.

윈도우서버

IBM의 가상 패치 기술 적용 솔루션

11

MS 윈도우 서버에 대한 보안 담당자의 고민

MS 윈도우 서버를 위한지금과는다른

새로운 보안 인프라필요

취약점은공개되었는데

MS 윈도우 패치는 아직 없다!!!

MS 윈도우 패치는 나왔는데

과연 패치를 해도 될까?

개인용 PC에도개인용 방화벽이있는데, 서버는?

열심히 패치하고, 안티 바이러스업데이트해도 새로운 공격은

막을 수 없다!!!

12

IBM Security Server Protection 특징 및 장점

w Windows 2008 (32/64bit), Windows 2003 (32/64bit), Windows 2000

w Hyper-V, MS Virtual Server, VMWare 내 가상화 운영 환경 지원운영환경운영환경

w Virtual Patch: 패치를 하지 않고서도 운영 체계의 취약점을 악용한 알려진 혹은 알려지지 않은 공격 방어 기능.

각종 해킹 및 악성 코드 공격 방어가상패치가상패치

w 서버 방화벽: TCP, UDP와 ICMP에대해 모든 IP와 포트에 대한 Inbound/Outbound 네트워크 통제방화벽방화벽

w 선택: 안철수 연구소의 V3 Net for Windows Server 7.0 혹은 이스트소프트의 알약 2.0 서버 버전 탑재 (기

안티 바이러스 소프트웨어 보유 시 대체 가능.)안티 바이러스안티 바이러스

w Registry, 중요 시스템 파일 및 디렉토리 변조 여부 모니터링 및 변조 방지무결성 확인무결성 확인

w 자체 시스템 보호 기능 제공으로 보안 시스템의 보안 유지 기능자체보호자체보호

w 시스템 부팅 및 종료 프로세스 간 시스템 보호 기능부팅/종료 보호부팅/종료 보호

13

주요 기능 > VPS (가상 패치 시스템)

가상 패치를 통해 사전 방어 시스템 제공.

매주 화요일(마이크로소프트사)과 각 소프트웨어 공급업체 패치 발표 시마다 동일하게 방어 시스템 업데이트 제공.

14

주요 기능 > 서버 방화벽

Packet Inspection의 Stateful Inspection 방화벽

강력한 Address/Port 기반의 접근제어

– Source IP/destination IP/Service 등에 따라 접근을 허용 또는 차단하는 기능

Dynamic in/out-bound traffic 제어

– 쉽게 설정 가능한 Protection Level 제공(Paranoid, Nervous, Cautious, Trusting)

Static in/out-bound traffic 제어

– 다양한 정책 설정방법 - IP address, range, network, protocol, service등

15

주요 기능 > 버퍼 오버플로우 방어

1997년 이후 발표된 CERT 문서의 따르면 취약점 공격의 60% 이상이 버퍼 오버플로우 문제를 포함하고 있다고 함

– 예) Code Red, Nimda, Slammer, Blaster, Nachi, Sasser 등

이벤트 상세 설명

§ 알려진 주요한 어플리케이션 실행 시 버퍼 오버플로우를 방지하여 잠재적인 권한 상승 공격을방어

§ 사용자가 임의의 폴더를 지정하여 메모리의Stack 및 Heap 영역을 보호

§ API레벨이 아닌 Kernel 레벨에서 모니터링

§ 다음과 같은 어플리케이션 보호

§ MS Office/Backoffice 제품군, Apache, AOL, CheckPoint SecuRemote, Cisco VPN, IBM iPlanet Server, TrendMicro/Symantec /Sophos/McAfee/CA 바이러스 제품, Netscape, Nortel VPN client등

16

주요 기능 > 기타

SSL 암호화 트래픽 분석

– Secure Sockets Layer (SSL) 로 암호화된 트래픽을 검사하여 암호화된 공격을 차단

– Apache, IIS 에서 운영하는 어플리케이션을 보호

Log 모니터링

– Application/OS-Level 그리고 네트웍 기반의 공격 모니터링 및 방어

– 로그 모니터링 기능을 통해 로컬 또는 네트웍 공격을 탐지하고 방어

– 로그 모니터링으로 정상 사용자의 시스템의 공격을 방어

보안 정책 강화

– 보안 정책 위반 이벤트를 식별하는 서버 위의 활동 감시

– 파일 무결성, 프로세스 모니터링, 권한 상승, 사용자/그룹 등을 포함한 활동 감시

감사 정책 관리

– OS의 감사 정책의 중앙 관리화

– 진정한 커널 레벨의 감사 관리 기능으로 중요서버에 대해 효과적인 감사 정책과 일관성 유지

17

IBM의 가상화 및 클라우드 컴퓨팅 보안

18

최근 대두되고 있는 데스크탑클라우드상에서의

보안 이슈와 IBM의 클라우드 컴퓨팅 보안 역량을

알아 보시기 바랍니다.

IBM의 가상화 및 클라우드 컴퓨팅 보안

19

The IBM Security Framework

Common Policy, Event Handling and Reporting

The IBM Security Framework

Common Policy, Event Handling and Reporting

Security Governance, Risk Management and Compliance

Security Governance, Risk Management and Compliance

Network, Server, and End-point

Physical Infrastructure

People and Identity

Data and Information

Application and Process

IBM의 보안 프레임워크

20

IBM 보안 프레임워크에 따른 IBM 보안 솔루션 맵

대분류 소분류 솔루션명IBM S/W

제품약어 제품명

Governance, Risk Management &

Compliance

통합 보안 정보 및이벤트 관리

SIEM TSIEM IBM Security Information and Event Manager

통합 보안 관제 ESM / SEM TSOM IBM Security Operations Manager

People& Identity

통합 ID 및권한 관리

SSO/EAM(접근 권한 관리)

EAM/SSOTAM

IBM Security Access Manager for e-business

SSO IBM Security Access Manager for Enterprise SSO

계정관리 TIM IBM Security Identity and Role Manager

통합 사용자 저장소 LDAP TDS IBM Security Directory Server

Data & Information

DB 보안 DB 보안 (IM) Guardium Guardium

테스트 데이터 보안테스트 데이터 생성 및 보안 마스킹 Optim TDM & Data Privacy

Optim™ Test Data Management SolutionOptim™ Data Privacy Solution

DB 암호화 Encryption Expert IBM Optim Database Encryption Expert

Application &Process

메일 보안 메일 보안 (안티스팸) Lotus Protector Lotus Protector for Email Encryption

SOA 보안

웹 서비스 인증 관리 TFIM IBM Security Federated Identity Manager

XML 방화벽 Websphere Data PowerXS40 Websphere Data Power XML Security Gateway XS40

XB60 Websphere Data Power B2B Appliance XB60

보안 취약점 관리

웹어플리케이션 취약점 스캐너 AppScan Rational AppScan Standard/ Enterprise Edition

웹어플리케이션 소스코드 스캐너 AppScan Source Edition Rational AppScan Source Edition

OS & 네트워크 취약점 스캐너 Proventia Enterprise Scanner IBM Security Enterprise Scanner

Network,Server & End Point

가상화 보안 가상화 보안 VSS IBM Security Virtual Server Protection for VMWare

네트워크 보안 네트워크 보안IPS (침입방지) IBM Security IPS

UTM IBM Security MFS

서버 보안 서버 보안 / Secure OS AMOS IBM Security Access Maanger for Operating Systems

통합 PC 보안 통합 PC 보안 Proventia Desktop IBM Security Desktop Protection

21

감사합니다.

본 세션 혹은 IBM의 기타 다른 보안 솔루션에 대해 궁금한 점 있으시면

phk@kr.ibm.com 혹은 010-4995-7963 으로 문의 주시기 바랍니다.