ibm 보안 솔루션 소개

© 2012 IBM Corporation

IBM 보안 솔루션 소개

한국 IBM SWG ISS 사업부 나병준 차장 (CISSP)2012.11.5

2012 제조 고객 온라인 세미나


2

2012 제조고객 온라인 웹 세미나

Agenda

Introduction

IBM Security Framework 기반 대응

Closing


3


Agenda


ClosingIntroduction


4


개인정보보호법 , 잘 대응하고 계시나요 ?


5


개인정보보호법 , 잘 대응하고 계시나요 ?

구 분 내용

제정목적 개인정보의 처리에 관한 사항을 정함으로써 개인정보의 안전한 이용을 보장하고 개인의 권리와 이익을 보호함

정보보호

관련내용

개인정보 수집 /활용 /파기 활동에 대한 준수사항

개인정보 영향평가 권고

상세

보안요건

• 개인정보보호원칙

• 개인정보파기 ( 복구 , 재생불가 처리 )

• 민감정보 , 고유식별정보 처리 제한( 주민번호외 홈페이지 가입 방안 , 암호화 등 안전성 확보 조치 등 )

• 영상정보처리 기기 설치 운영 제한 (CCTV)

• 업무 위탁 처리 제한 ( 수탁자 교육 , 처리 현황 점검 등 )

• 개인정보 취급자 정기적 교육

• 안전조치 의무 ( 내부 관리계획 수립 , 접속기록 보관 등 관리적 , 기술적 , 물리적 조치 )

• 개인정보 처리 방침 공개

• 개인정보 보호책임자 (CPO) 지정

• 개인정보 영향 평가

• 개인정보 유출 통지 , 정정 , 삭제 등 ( 지체 없이 조사 , 정정 삭제 등 조치 후 결과통지 )


6


개인정보보호법 규정 체계

개인정보보호법개인정보보호법

개인정보보호법 시행령

표준개인정보보호지침

개인정보의 안전성 확보조치 기준 고시


7


개인정보의 안전성 확보조치 기준 (2011.9)


8


접근 권한 및 비밀번호의 관리

제 4 조 ( 접근 권한의 관리 )

- 개인정보처리시스템에 대한 접근권한을 업무에 맞도록 최소한으로 부여

- 인사이동에 대한 접근권한의 변경 /말소

- 권한 부여 /변경 /말소 기록의 3 년 보관

- 1 인 1 계정 사용을 통한 책임추적성 확보

제 5 조 ( 비밀번호 관리 )

- 비밀번호 작성규칙의 수립 , 적용을 통한 안전한 비밀번호 설정


9


접근 통제 시스템 설치 및 운영

제 6 조 ( 접근통제 시스템 설치 및 운영 )

- 접근 및 침해사고 방지를 위한 침입차단 /침입방지 시스템 설치 . 운영

- 외부에서의 개인정보처리시스템 접속을 위한 안전한 접속수단 적용

- 인터넷 홈페이지등을 통한 개인정보 유출 방지 조치


10


개인정보의 암호화

제 7 조 ( 개인정보의 암호화 )

- 암호화하여야 하는 개인정보 : 고유식별정보 , 비밀번호 및 바이오정보

- 비밀번호를 저장하는 경우 복호화되지 않도록 일방향 암호화 저장

- 적용 기간 : 시행일로부터 3 개월 이내 암호화 계획 수립 , 계획 수립일로부터 12 개월 이내에 암호화 적용 ( 최장 2012.12)

- 업무용 컴퓨터에 고유식별정보를 저장 /관리하는 경우 암호화 저장

* 고유식별정보 : 주민등록번호 , 여권번호 , 면허번호 , 외국인등록번호 ( 개인정보보호법 시행령 )

* 바이오정보 : 지문 , 얼굴 , 홍채 , 정맥 , 음성 , 필적 등의 신체 /행동적 특징에 대한 정보 및 그로부터 가공되거나 생성된 정보


11


접속기록의 보관 및 위 . 변조 방지

제 8 조 ( 접속기록의 보관 및 위 . 변조 방지 )

- 개인정보처리시스템에 접속한 기록을 최소 6 개월 이상 보관 . 관리

- 접속 기록의 위 . 변조 및 도난 , 분실로부터 안전하게 보호


12


보안프로그램 설치 및 운영

제 9 조 ( 보안프로그램 설치 및 운영 )

- 보안 프로그램 설치 . 운영

- 보안 프로그램의 자동 업데이트 기능을 사용 또는 일 1 회 이상 업데이트 실시

- 응용프로그램 또는 운영체제 S/W 벤더의 보안 업데이트 공지 시 , 즉시 업데이트 실시


13


Agenda


ClosingIntroduction


14


IBM Security Framework 를 이용한 개인정보보호법 대응


15



개인정보 처리시스템에 대한 계정 및 패스워드 관리


16



개인정보 암호화



17




접근통제 중 홈페이지 취약점 진단



18






Firewall/IPS 등 시스템 설치 및 운영

보안프로그램 설치 및 운영 ( 바이러스 , 패치관리 )



19






Firewall/IPS 등 시스템 설치 및 운영



개인정보처리시스템에 대한 접속내역 관리

개인정보처리시스템에 대한 접속내역 관리


20


IBM Security Framework엔터프라이즈 거버넌스 , 리스크 및 준수 관리

GRC 플랫폼 (OpenPages) 리스크 분석 ( 알고리즘 ) 투자 관리 (i2)

IBM 보안 포트폴리오

보안 인텔리전스 , 분석 및 GRC

IT 인프라 - 운영 보안 도메인

사람 데이터 애플리케이션 인프라네트워크 엔드포인트

관리 스위트 식별 및 액세스

연합 ID 관리자

엔터프라이즈 싱글 사인 온

ID 평가 , 배치 및 호스팅 서비스

Guardium데이터베이스 보안

InfoSphere Optim Data Masking

핵심 라이프사이클 관리자

데이터 보안 평가 서비스

암호화 및 DLP배치

AppScan Enterprise, 표준 및 소스

DataPower보안 게이트웨이

보안 정책 관리자

애플리케이션 평가 서비스

AppScan OnDemand-SaaS

네트워크 침입 방지

SiteProtector 관리 시스템

QRadar 비정상 감지

관리 방화벽UTM 및 침입 방지 서비스

엔드포인트 관리자(BigFix)

가상화 및 서버 보안

메인프레임 보안(zSecure, RACF)

침투 테스트 서비스

모바일 디바이스 관리

보안 컨설팅

관리 서비스

X-Force 및 IBM

연구

제품 서비스

IBM 프라이버시 , 감사 및규정준수 평가 서비스


21


IBM Security Framework엔터프라이즈 거버넌스 , 리스크 및 준수 관리

GRC 플랫폼 (OpenPages) 리스크 분석 ( 알고리즘 ) 투자 관리 (i2)

IBM 보안 포트폴리오

보안 인텔리전스 , 분석 및 GRC

IT 인프라 - 운영 보안 도메인

사람 데이터 애플리케이션 인프라네트워크 엔드포인트

관리 스위트 식별 및 액세스

연합 ID 관리자

엔터프라이즈 싱글 사인 온

ID 평가 , 배치 및 호스팅 서비스

Guardium데이터베이스 보안

InfoSphere Optim Data Masking

핵심 라이프사이클 관리자

데이터 보안 평가 서비스

암호화 및 DLP배치

AppScan Enterprise, 표준 및 소스

DataPower보안 게이트웨이

보안 정책 관리자

애플리케이션 평가 서비스

AppScan OnDemand-SaaS

네트워크 침입 방지

SiteProtector 관리 시스템

QRadar 비정상 감지

관리 방화벽UTM 및 침입 방지 서비스

엔드포인트 관리자(BigFix)

가상화 및 서버 보안

메인프레임 보안(zSecure, RACF)

침투 테스트 서비스

모바일 디바이스 관리

보안 컨설팅

관리 서비스

X-Force 및 IBM

연구

제품 서비스

IBM 프라이버시 , 감사 및규정준수 평가 서비스


22


애플리케이션 보안

클라이언트 방화벽 IDS/IPS Applications

SQL Injectio

n

Cross Site Scripting

패턴 기반 공격

웹 서버의 알려진 취약점 Parameter

Tampering

Cookie Poisonin

g

공격자

Anti-spoofin

g

DoS

Port Scannin

g

특권 사용자 (DBAs,개발자 )

데이터베이스

Scanning

사용자


23


IBM Security AppScan

애플리케이션 개발 Lifecycle


24



AppScan Standard



25



AppScan Standard

AppScan Source



26



AppScan Standard

AppScan Enterprise

AppScan Source



27


IBM Security AppScan 8.6


28




29



Server Side Logic

SAST (source code)

DAST (web interfaces) Enhanced

모바일 웹 Apps

JavaScript / HTML5 하이브리드 분석

IBM Innovation

스마트폰 Apps

안드로이드 애플리케이션 Static Analysis

Foundational웹웹

AppApp

스마트폰스마트폰AppApp

New in AppScan

8.6


30



Server Side Logic

SAST (source code)

DAST (web interfaces) Enhanced

모바일 웹 Apps

JavaScript / HTML5 하이브리드 분석

IBM Innovation

스마트폰 Apps

안드로이드 애플리케이션 Static Analysis

Foundational웹웹

AppApp

스마트폰스마트폰AppApp

New in AppScan

8.6


31


AppScan Source 8.6 – 모바일 Application Security

안드로이드 모바일 App 지원

20,000 개가 넘는 안드로이드 API 를 통한 보안 연구와 위험 진단

전체 호출과정 및 데이터 흐름 분석

민감한 데이터가 유출될 가능성이 있는 코드를 식별

App 이 멜웨어에 노출가능한지의 여부를 식별


32


네트워크 보안


SQL Injectio

n




Tampering

Cookie Poisonin

g

공격자

Anti-spoofin

g

DoS

Port Scannin

g


데이터베이스

Scanning

사용자

XGS


33


네트워크 방어 : 단순 경계 솔루션의 한계

인터넷

파이어월 /VPN – 포트와 프로토콜 필터링

웹 방화벽 – 웹 트래픽만 방어(port 80/443)

이메일 보안 – 메시지와 첨부파일 보안 역할만 수행

위협이 지속적으로 진화하고 있어 표준 감지 방법으로 충분하지 않음

멀티미디어 및 웹 애플리케이션을 통한 새로운 보안 위협이 증가

기본적인 “금지” 모드가 멀티미디어 스트리밍 및 새로운 웹 애플리케이션에 적용하기 어려움

전통적 IPS 와 기타 방어 솔루션 등과의 느슨한 결합은 보안레벨을 낮출 뿐 아니라 유지비용 및 관리 복잡성만을 증가시킴

Stealth Bots

Worms, Trojans

Targeted Attacks

Designer Malware

현재 제한점

나머지 모든 것들은…


34


네트워크 방어 : 단순 경계 솔루션의 한계

인터넷

파이어월 /VPN – 포트와 프로토콜 필터링

웹 방화벽 – 웹 트래픽만 방어(port 80/443)

이메일 보안 – 메시지와 첨부파일 보안 역할만 수행

위협이 지속적으로 진화하고 있어 표준 감지 방법으로 충분하지 않음

멀티미디어 및 웹 애플리케이션을 통한 새로운 보안 위협이 증가

기본적인 “금지” 모드가 멀티미디어 스트리밍 및 새로운 웹 애플리케이션에 적용하기 어려움

전통적 IPS 와 기타 방어 솔루션 등과의 느슨한 결합은 보안레벨을 낮출 뿐 아니라 유지비용 및 관리 복잡성만을 증가시킴

요구사항 : 다중 - 다각도 방어 필요 Zero- 데이 위협방어는 네트워크 비정상

(Anomaly) 감지와 강력하게 결합되어야 함 애플리케이션의 비업무적 사용과 관련된 비용을

감소시켜야 함 사용자의 역할과 비즈니스 필요성에 따라

소셜미디어 사이트의 사용을 제한하거나 통제 전체 비용 및 복잡성을 감소시키는 솔루션

Stealth Bots

Worms, Trojans

Targeted Attacks

Designer Malware

현재 제한점

나머지 모든 것들은…

다중 - 다각도의 네트워크 보호– 모든 트래픽 , 애플리케이션 , 사용자에를 위한 보안


35


차세대 NIPS: IBM Security Network Protection XGS 5000


36


애플리케이션과 네트워크 사용의 적절성을 판단

모든 네트워크 Activity 에 대해 누가 , 언제 , 무엇을 했느냐에 대한 이해

X-Force 에 의해 공급된 확장된 제로데이 공격 방어

차세대 NIPS: IBM Security Network Protection XGS 5000

증명된 보안 궁극적인 가시성 완전한 통제

IBM Security Network Protection XGS 5000보안과 비즈니스 요구사항의 균형을 맞추기 위해 지금까지 증명된 방어 기능에

차세대 가시성과 통제 기능을 추가한 IBM 의 차세대 침입방지 솔루션

XGSXGS XGSXGS


37


IBM Security Network Protection XGS 5000

증명된 보안 : X-Force 에 의해 공급된 확장된 제로데이 공격 방어

현재와 미래의 위협으로부터 보호하는 기능

“When we see these attacks coming in, it will shut them down automatically.”

– Melbourne IT

“When we see these attacks coming in, it will shut them down automatically.”

– Melbourne IT

차세대 IPS : X-Force 연구 결과가 실제 위협 출현 몇주 혹은 몇 달 전에 이미 적용

프로토콜 , 컨텐츠 , 애플리케이션의 완전한 인식 : 시그너쳐 기반 이상의 방어 기능 제공

신규위협에 대비한 확장 방어 모듈 : 공격코드를 포함한 파일 첨부 및 웹 애플리케이션 공격 방어

[The IBM Threat Protection Engine] “defended an attack against a critical government network another protocol aware IPS missed”

– Government Agency

[The IBM Threat Protection Engine] “defended an attack against a critical government network another protocol aware IPS missed”

– Government Agency

IBM 보안 위협 방어


38


궁극적인 가시성 : 누가 , 언제 , 무엇을 했느냐에 대한 이해 실시간 발견 : 어떤

애플리케이션과 어떤 웹 사이트가 접근되었는지 식별

오남용의 빠른 식별 : 애플리케이션 , 웹사이트 , 사용자 , 그룹별로 식별

사용자와 행위 이해 : 네트워크 대역을 소비하는 대상을 지목

QRadar 와의 결합을 통하여 APT 공격을 탐지하는 데에 탁월

“We were able to detect the Trojan “Poison Ivy” within the first three hours of deploying IBM Security Network Protection”

– Australian Hospital

“We were able to detect the Trojan “Poison Ivy” within the first three hours of deploying IBM Security Network Protection”

– Australian Hospital

완전한 식별 네트워크 Activity, 애플리케이션 사용 및 애플리케이션 액션과 함께 관련된 사용자와 그룹 인식

에플리케이션 인식 주소 , 포트 , 프로토콜 , 애플리케이션 액션 또는 보안 이벤트와 무관하게 네트워크 트래픽을 완벽하게 분류함

Increase Security Reduce Costs Enable Innovation

네트워크 플로우 데이터 실시간으로 비정상 패턴(Anomaly) 인식 및 추가 분석과 포괄적 상관관계를 위해 QRadar 와 연동


39


완전한 통제 : 단순한 금지 모드를 뛰어넘는 보호 기능

전체 액세스 허용 : ( 예 ) 마케팅과 HR부서에는 소셜 네트워킹 사이트 허용

사용 제한 : 소셜 네트워크 , 파일 공유 , 웹 메일 사용 등 통제

맞춤형 보안 정책 : 사용자 , 그룹 , 네트워크 별 별도 정책 적용

네트워크 통제 : 사용자별 , 그룹별 , 시스템별 , 프로토콜별 , 애플리케이션 별 , 애플리케이션 액션 별 통제

위험 사이트의 지속적 통제 : 피싱 또는 멜웨어 배포 등 위험 사이트의 지속적 업데이트

포괄인 최신식 웹사이트 커버리지 150억개 이상의 URL 정보 포함

풍부한 애플리케이션 지원 : 1000 개 이상의 애플리케이션과 기능별 지원

“We had a case in Europe where workers went on strike for 3 days after Facebook was completely blocked…so granularity is key.”

– SecureDevice

“We had a case in Europe where workers went on strike for 3 days after Facebook was completely blocked…so granularity is key.”

– SecureDevice

유연한 네트워크 액세스 통제 정책 : IP, 포트 , 프로토콜 , 가상화 네트워크 별 시스템 , 애플리케이션 보안 통제

오남용 중단 : 회사 네트워크의 부당한 사용 행위 차단


40


Security Intelligence


SQL Injectio

n




Tampering

Cookie Poisonin

g

공격자

Anti-spoofin

g

DoS

Port Scannin

g


데이터베이스

Scanning

사용자

XGS

QRadarQRadar


41


Security Intelligence

1. 인텔리전스 대량의 보안 및 준수 관련 데이터를 이해하는 기능

2. 통합 인텔리전스의 기반으로 , 서로 다른 데이터를 일관적이고 일반화된 방식으로 분석할 수 있게 함

3. 자동화 불필요한 복잡도를 제거하고 총 소유 비용 (TCO) 을 줄이도록 지원하여 현대적인 보안

인텔리전스를 제공하는 요소


42


IBM SI 솔루션 : IBM Security QRadar

• 통합 로그 관리• 중소기업 /대기업 등 기업규모에 맞도록

적용 • 엔터프라이즈 SIEM 으로 업그레이드

가능

• 통합 로그 , 위협 , 위험 , 컴플라이언스 관리

• 복잡한 이벤트의 분석• 자산 프로파일링과 흐름 분석• 공격 관리와 워크플로우

• 사전 위협 모델링 & 시뮬레이션• 확장 가능한 구성 모니터링과 감사 • 향상된 위협 가시성과 영향 분석

• 네트워크 분석• 비정상 행동 감지• SIEM 과의 완벽한 통합

• Layer 7 애플리케이션 모니터링• 컨텐츠 캡춰• 물리 /가상화 환경 지원

SIEM

Log Management

Risk Management

Network Activity & Anomaly Detection

Network and Application

Visibility


43


IBM SI 솔루션 : IBM Security QRadar

IBM X-Force® ThreatInformation Center

실시간 보안관리 상황 및지능적 상관관계 분석 결과

사용자 및 Context 식별

인바운드 보안 이벤트


44


IDS 에서 버퍼 오버플로우

Exploit 시도 탐지

vFlow/QFlow 에 의해

네트워크 스캔 탐지

취약점 스캐너의 결과를 함께 분석함으로 해당 공격이

타겟 시스템에 실제 취약성이 있음을 판단

상관분석을 통해 즉시 조치를 취해야 할 Offense

탐지

•보안 장비 , 시스템 , 어플리케이션의 로그 , 네트워크 장비의 트래픽 정보 , 취약점 스캐너의 취약점 스캔 정보 , 트래픽의 어플리케이션 분석 데이터 등에 대한 포괄적 수집 및 데이터 정규화

•상관 분석 엔진을 통한 Security Intelligence 제공

•오탐율 최소화 및 즉시 조치하거나 주목해야 할 이벤트 경고

•취약성 있는 자산들에 대해 자산의 가중치 표시로 먼저 조치 해야 할 자산의 우선순위 확인

•수집된 여러 정보를 바탕으로 자산 정보 제공 ( 취약점 정보 포함 )

•보안 장비 , 시스템 , 어플리케이션의 로그 , 네트워크 장비의 트래픽 정보 , 취약점 스캐너의 취약점 스캔 정보 , 트래픽의 어플리케이션 분석 데이터 등에 대한 포괄적 수집 및 데이터 정규화

•상관 분석 엔진을 통한 Security Intelligence 제공

•오탐율 최소화 및 즉시 조치하거나 주목해야 할 이벤트 경고

•취약성 있는 자산들에 대해 자산의 가중치 표시로 먼저 조치 해야 할 자산의 우선순위 확인

•수집된 여러 정보를 바탕으로 자산 정보 제공 ( 취약점 정보 포함 )

포괄적 융합을 통한 Security/Network Intelligence 제공

IBM SI 솔루션 : IBM Security QRadar> 지능형 상관관계 분석


45


IBM SI 솔루션 : IBM Security QRadar> 지능형 상관관계 분석

Port 80 을 통한 IRC 탐지( 포트에 비의존적 탐지 )

Port 80 을 통한 IRC 탐지( 서비스 포트에 비의존적

탐지 )

부인할 수 없는 명백한 증적 확보

(Payload capture)

BOT C&C 탐지 경고( 단순 경고에 그치지 않고 명확한

정보 제공 )


46


Agenda


ClosingIntroduction


47


IBM Advanced Threat Protection

XGS Next Generation IPSXGS Next Generation IPS

SiteProtectorSiteProtector

QRadar SIEM/NADQRadar SIEM/NAD

Network Devices(Flow)

VFlow

QFlowScannersAppScanHostNetworkLayer 7

Virtualization

Server OS/DHCPSecurityDevices

(F/W,VPN)


48


Why IBM?

고객이 보안 위협을 사전에 파악할 수 있도록 하는 최상의 방법은 조직 전반에서 분석과 인텔리전스 기능을 연결함으로써 향상된 예측과 감지를 제공하는 것이라고 IBM은 믿습니다 .

IBM은 최근 다수의 보안 전문 회사를 인수하고 새로운 보안 시스템 부서를 구성하여 비약적인 도약을 했습니다 .

보안 프로그램 : IBM X-Force Research &

Development IBM X-Force Content Team IBM Managed Security Services Professional Security Services IBM AppScan OnDemand Premium IBM Security Services for Cloud IBM Identity & Access Management IBM Data & Information Security IBM InfoSphere Guardium QRadar Security Intelligence

Platform(IBM 기업 Q1 Labs)

보안 프로그램 : IBM X-Force Research &

Development IBM X-Force Content Team IBM Managed Security Services Professional Security Services IBM AppScan OnDemand Premium IBM Security Services for Cloud IBM Identity & Access Management IBM Data & Information Security IBM InfoSphere Guardium QRadar Security Intelligence

Platform(IBM 기업 Q1 Labs)


49


감사합니다 !

문의 : 나병준 차장 ([email protected])

ibm 보안 솔루션 소개

Documents