보안컴플라이언스대응을 - cloudsec.com · 컴플라이언스대응항목예시...
TRANSCRIPT
#cloudsec
보안컴플라이언스대응을위한통합서버보안
리눅스 서버 위협 동향
리눅스 서버 위협 사례 분석
통합 서버 보안
리눅스 서버 위협 동향
#cloudsec
리눅스 서버 보안의 필요성 67.1%의 웹 서버가 유닉스/리눅스 서버(2018년 9월 by W3Techs)
전체 유닉스 계열 서버 중 리눅스 서버가 절반 이상(2018년 9월 by W3Techs)
리눅스 커널 취약점 (sourced by CVE Details, 2018년 9월 현재)
#cloudsec
리눅스 위협(악성코드) 동향
전자신문 2018년 6월11일
#cloudsec
리눅스 위협 동향 - 채굴악성코드
Cryptocurrency Miner Distributed via PHP Weathermap Vulnerability, Targets Linux Servers‘합법적 대규모 암호 화폐 채굴 운영업체는 악용 여부 구분없이 채굴에 사용되는 전자기기에 투자’‘Cacti’s Network Weathermap plug-in의 오래된 PHP 취약점인 CVE-2013-2618을 이용해 Linux Web Server 대상으로 Shell 스크립트 다운로드 및 실행하여 몰래 채굴‘
리눅스 서버 위협 사례 분석
#cloudsec
리눅스 위협 사례 분석(1)
• 153 리눅스 서버 감염
• 3400 고객 웹사이트 감염
• 433개의 파일 타입 암호화
• 13억 비트코인 요구
• 2016년 9월 악성 광고에 처음 등장한 랜섬웨어 사용
• 2017년 초에 리눅스 용 악성코드 발견
• 인가된 관리자 PC 해킹을 통한 서버계정정보 이용
• 취약점을 가진 서버에 랜섬웨어 업로드
EREBUS 랜섬웨어
Sourced by 미래부 발표자료
#cloudsec
1.7 Tbps DDoS Attack(CVE-2018-1000115)Memcached UDP Reflections Set New Record
• 2018년 2월 28일깃허브(GitHub)를 노린역사상 가장 큰 디도스 공격
• 2016년 미라이 공격의 두배를 뛰어넘는 1.3 Tbps 공격
• 오픈소스 기반의Memcached 의 취약점을이용한 UDP 반사 공격
• 공용네트워크 상에 노출된Mechached 서버 대상으로공격
리눅스 위협 사례 분석(2)
#cloudsec
Apache Struts 원격 코드 실행 취약점 (CVE-2018-11776)
리눅스 위협 사례 분석(3)
• 1억 4550 만명의 정보유출사건 Equifax 정보 유출사건에 사용되었던취약점(CVE-2017-5638, 9805)이어 추가 취약점 발견
• 2005년 이후 72개의 관련취약점 발견
• Apache Struts v2.3.34, v2.5, v2.5.16 버전에 영향
보안 컴플라이언스 대응 예제
#cloudsec
보안컴플라이언스를 위한리눅스보안대응방안(정보보호 관리체계인증)
정보보호 관리체계 인증- 관리과정(12), 정보보호대책 통제사항(92)
#cloudsec
리눅스 서버 보안을 통한 보안컴플라이언스 대응 항목 예시인증항목 상세 Deep Security 대응기능
10.4 접근통제 10.4.1 네트워크 접근네트워크에 대한 비인가 접근을 통제하기 위해 필요한 네트워크 접근통제 리스트, 네트워크 식별자 등에대한 관리절차를 수립하고 서비스, 사용자 그룹, 정보자산의 중요도에 따라 내/외부 네트워크를 분리하여야 한다.
호스트 기반 방화벽
11.2시스템 및 서비스운영 보안
11.2.8 공개서버 보안웹사이트 등에 정보를 공개하는 경우 정보 수집, 저장, 공개에 따른 허가 및 게시절차를 수립하고 공개서버에 대한 물리적, 기술적 보호대책을 수립하여야 한다. 호스트 기반 IPS
11.2.10 취약점 점검정보시스템이 알려진 취약점에 노출되어 있는지 여부를 확인하기 위하여 정기적으로 기술적 취약점 점검을 수행하고 발견된 취약점들은 조치하여야 한다. 호스트 기반 IPS
11.5 악성코드관리
11.5.1 악성코드 통제바이러스, 웜, 트로이목마 등의 악성코드로부터 정보시스템을 보호하기 위해 악성코드 예방, 탐지, 대응등의 보호대책을 수립하여야 한다. 안티 멀웨어(백신)
11.5.2 패치관리소프트웨어, 운영체제, 보안시스템 등의 취약점으로 인해 발생할 수 있는 침해사고를 예방하기 위해 최신패치를 정기적으로 적용하고 필요한 경우 시스템에 미치는 영향을 분석하여야 한다. 호스트 기반 IPS
#cloudsec
호스트 기반 방화벽
양방향 Stateful Inspection 방화벽을 통한 네트워크트래픽 제어
ISMS
10.4 접근제어
10.4.1네트워크 접근
#cloudsec
호스트 기반 방화벽
서버간/내부간 통신 제어 방화벽
감염PC
네트워크 기반의방화벽으로는 감염 단말에의한 사내 네트워크에서서버로의 통신을 막기는어렵다.
호스트 기반 방화벽
방화벽서버간 접근 제어를통하여 불필요한 네트워크트래픽을 차단한다.
호스트 기반 방화벽
#cloudsec
호스트 기반 방화벽
호스트 기반 방화벽 룰 적용 범위
Firewall
#cloudsec
엔드 포인트를감염시키려는 악성소프트웨어 실시간 탐지및 차단
실시간리눅스백신
ISMS
11.5 악성코드 관리
11.5.1 악성코드 통제
#cloudsec
실시간 리눅스 백신 (랜섬웨어, 코인마이너 대응)
알려진 멀웨어탐지 및 차단
의심스러운 파일 및행위 탐지
악성 URL로부터 서버를보호 하기 위해 웹사이트 평판 탐지, 차단
멀웨어와 표적 공격 차단
랜섬웨어 탐지 및 차단(ex: WCRY)
Zero-day 공격 방어
악성 URL 및 C&C 로 부터 서버 보호
안티멀웨어
머신러닝행위분석
웹 평판
#cloudsec
실시간 리눅스 백신 (랜섬웨어, 코인마이너 대응)
실시간 검색예약 검색수동 검색동작 감지 기능에 의한 자기 방어기능
리눅스 실시간 백신 지원(자세한 버전 확인은 트렌드마이크로 문의)예약 검색, 수동 검색, 실시간 검색 지원
Web 평판은?Web에서 위협의 출처 인 악성 URL에대한 액세스를 미연에 차단합니다. 트렌드 마이크로의 위협 인텔리전스'Smart Protection Network "기능의하나입니다.
[Web 평판 서비스]
안티 멀웨어 (백신)
백신 기능• 악성코드와 스파이웨어/그레이웨어를
탐지하고 치료• 운영체제에 따라서 지원 기능이 다름
클라우드 패턴 사용• 파일 평판 조회(WRS)와 웹 평판
조회(WRS)에 클라우드 패턴 방식을사용
다양한 백신 옵션 설정• 검색 제외 설정, 격리된 악성코드 복원
및 다운로드, 수동/예약 검색 시CPU사용량 제한, 압축파일 검색 레벨등 다양한 백신 정책을 설정
Copyright 2018 Trend Micro Inc.21
실시간 리눅스 백신 (랜섬웨어, 코인마이너 대응)
https://help.deepsecurity.trendmicro.com/supported-features-by-platform.html
• 가장 높은 탐지율과 다양한 리눅스 OS 종류를 지원
• 수많은 리눅스 및 커널에 대해 실시간 백신 지원
Anti-Malware Enabled
#cloudsec
호스트 기반 침입방지
패킷 레벨에서 In/Out 모든트래픽을 분석하여 공격패킷 탐지 및 차단
ISMS
11.2 시스템 및 서비스 운영 보안
11.2.8 공개 서버 보안
11.2.10 취약점 점검
11.5 악성코드관리
11.5.2 패치관리
#cloudsec
호스트 기반 침입 방지
가상 패치
• 패치 되지 않은취약점을활용하는 공격트래픽 차단
– 패치 적용을기다리는동안 호스트보호
• 표준 프로토콜을따르지 않는트래픽 탐지 및차단
– Packet fragments
– 플래그가없는 패킷
프로토콜 위반차단 프로토콜 제어
• 다양한 통신프로토콜에서사용되는 패킷식별
• 응용 프로그램의사용을 탐지 / 차단하는 규칙제공
웹 애플리케이션보호
• Common Web Site 취약점 방어
– Cross-Site Scripting
– SQL Injection
#cloudsec
호스트 기반 침입 방지(가상패치)
취약점 스캔
침입방지
네트워크와어플리케이션에대한 위협 방어
자동화된 취약점 감사및 방어 룰 적용
OS와 어플리케이션에 대한 취약점 방어(ex: Struts 2, Shellshock)
랜섬웨어 탐지 및 차단 (ex: WCRY)
긴급 패치에 대한 요구 감소
EOS 시스템과 어플리케이션 방어
#cloudsec
OS 나 응용 프로그램의 취약점 (보안 취약점)을 통한 공격 패킷을 탐지하고 방어하는 기능 (가상 패치)
취약성을 수정하는 보안 패치를 설치하는 대신 취약성을 악용하는 공격을 차단하고가상 패치의 역할을 제공합니다.가상패치는?
포인트 1 :소프트웨어 코드
레벨에서의 수정을실시하지 않기 때문에실행중인 시스템에
영향이 적다.
6300여개 가상패치 룰 제공
포인트 2:운영체제 뿐 아니라 다양한애플리케이션의 가상패치가
트렌드 마이크로로부터제공된다.
호스트 기반 침입 방지(가상패치)
#cloudsec
권장 스캔
서버에 설치된 Deep Security Agent가 서버에 설치된 애플리케이션의 정보를수집하고 필요한 가상 패치를 자동 선택/적용
권장 스캔
Deep SecurityManager
Web서버 DB서버
권장 스캔
가상패치기능ON!
가상패치기능ON!
Time Line
정규 패치검증 개시
권장 스캔을 이용한 패치 관리
Deep Security가상 패치릴리스
취약점 정보가공격 DB에
등록됨
Deep Security가상 패치적용
정규 패치릴리스
Deep Security가상 패치
해제
정규 패치설치
긴급도가 높은것은 48시간
이내에 릴리스
취약점발견! 권장 스캔 (자동화) 권장 스캔 (자동화)
호스트 기반 침입 방지(가상패치)
통합 서버 보안 솔루션
#cloudsec
통합 서버 보안 솔루션
#cloudsec
통합 서버 보안 솔루션
IDS / IPS
Web어플리케이션 보호
애플리케이션 제어
방화벽
취약점 방어(가상 패치)
로그 감사Log Inspection
안티 멀웨어(백신)
OS나 어플리케이션의 취약점을보호
Web어플리케이션의취약점을 보호
애플리케이션을 가시화하고통제
방화벽을 통하여 공격을받을 기회를 감소
디렉토리, 파일, 레지스트리등의 이상 변경을 감지
중요한 보안이벤트를 로그에서효율적으로 발견
악성 프로그램 공격에서 보호
비인가 응용 프로그램을 차단
무결성 모니터링Integrity
Monitoring
응용프로그램 제어Application
Control
침입 방어(취약점 방어)
방화벽응용
프로그램제어
안티 멀웨어(백신)
로그감사
무결성모니터링
#cloudsec
Deep Security 지원 플랫폼
+Windows
LinuxSolarisHP-UX
AIX
#cloudsec
Docker + Container 보안기능 확장
호스트와 Docker+Container를 안전하게 보호
안티 멀웨어(백신), 응용프로그램 제어,IPS 및 무결성 모니터링을 활용하여 컨테이너 보안 적용
Amazon ECS
#cloudsec
Deep Security !!!
