monitoring solution for all action in enterprises
TRANSCRIPT
사용자 행위 모니터링 솔루션 ObserveIT 소개
Seoul, July, 2015
This document is confidential and is intended solely for
the use and information of the client to whom it is addressed.
Rimahr.Co., Ltd.
Rimahr Co., Ltd.
Rimahr Co., Ltd.
Presentation Material
1
Introduction
내부사용자로부터의 보안 위협 증대
사용자 행위 모니터링의 필요성
ObserveIT 제품 소개
ObserveIT 개요
ObserveIT의 차별적 가치
ObserveIT 의 개인정보 침해 방지 기능
ObserveIT의 구조
ObserveIT 기능 비교
주요 고객사 예시
결론
2
최근 들어, 국내외 정보 유출 사고의 대부분은 내부 사용자의 고의 혹은 과실로 인해 발생하고 있음
Edward Snowden
•미 국가안보국 (NSA)의 감청에 대한 내부 기밀 문서를 유출하여 언론에 폭로
Sony Pictures
•시스템관리자의 접속 권한을 탈취, 내부정보 유출을 볼모로 영화상영 금지 압박
Morgan Stanley
•30세의 직원이 접근권한을 남용, 회사 내부의 고액 자산가 명단 유출
KB, 롯데, 농협카드
•외부협력업체직원이 카드사의 고객 개인정보를 유출, 대출업자 에게 판매
Home Depot & Target
•외부협력업체직원의 접속정보가 도난당해, 고객 개인정보 유출
일반 직원 IT 담당자 외부협력업체
내부사용자로부터의 보안 위협 증대
3
내부 사용자는 일반직원, IT 담당자, 외부협력업체 등으로 나눌 수 있음
일반 직원
내부자 행위로 인한
정보유출의 84%는 관리자
권한이 없는 일반 사용자와
연관 1
IT 담당자
관리자 계정으로부터 발생한
정보유출의 62%는 고의가
아닌 실수로 인해 발생 2
외부협력업체
협력업체로부터 발생한
정보유출의 심각도와 유출된
데이터의 중요도는
내부직원보다 훨씬 높음 3
1 2014 IBM/Ponemon Cost of Data Breach Report 2 ibid 3 The 2014 Target Stores breach, not included in the VDBIR14 report
내부사용자로부터의 보안 위협 증대
4
업무 관련 중요 정보 및 서류
Data Systems Applications
방화벽 차세대 방화벽
침입탐지시스템(IDS) 침입방지시스템(IPS)
권한접속관리(IAM) 문서보안관리(DRM) 정보유출방지(DLP)
보안이벤트정보관리(SIEM) 통합보안관리(ESM)
외부협력업체
IT 사용자 일반 사용자
내부 사용자는 기존의 많은 보안솔루션을 통과하는 권한이 있기 때문에, 기존의 솔루션만으로는 정보유출 위협을 막기 어려움
사용자 행위 모니터링의 필요성
정보유출사고의 76%가 내부 사용자로부터 발생
5
많은 조직들이 사용자 행위 감시를 위해 유관 솔루션을 사용중이나, 모든 행위에 대한 철저한 모니터링을 하기에는 역부족임
회사내 주요 서버나 장비는 이미 모니터링하고 있는데?
모든 서버 플랫폼 및 접속방식에 대해 모니터링 하고 있는가?
저장된 사용자의 행위가 검색 및 분석하기 쉽게 되어 있는가?
단순히 화면 상의 행위가 아닌 시스템 상의 모든 행위를 모니터링 하고 있는가?
Windows only vs
Windows & UNIX/Linux
Log-based vs
Video-based
On-screen only vs
Underlying Activities
사용자 행위 모니터링의 필요성
BUT
6
ObserveIT은 고객의 서버나 PC에 설치하여, ‘누가 무엇을 했는지’를 스크린샷 비디오를 통해 쉽게 확인 및 분석할 수 있는 솔루션임
WHO’S DOING WHAT?
ObserveIT 개요
이해하기 힘든 로그값이 아닌,
스크린샷 동영상을 통해 쉽게
이해/분석 가능한 행위정보 제공
축적된 내부자의 행위를 조직의
보안정책에 맞게 분석 및
이상행위 여부를 실시간 모니터링
보안정책 위배 행위 및
이상행위에 대해 통보 및 실시간
차단 등 즉각적인 대응 가능
1 2 3
people audit
7
ObserveIT은 이해하기 어려운 로그분석 대신, 쉽고 빠르게 확인할 수 있는 스크린샷 동영상으로 사용자 행위를 모니터링함
1
ObserveIT 개요
만약 ‘비디오 재생’ 버튼이
있다면?
Replay Video
비디오를 통해 정확히 누가 무엇을 했는지
쉽게 확인 가능
기존의 로그데이타는 ‘누가 무엇을 했는지’
파악이 쉽지 않음
8
ObserveIT은 조직의 보안정책에 위배되는 사항에 대해 실시간 경보를 보내고, 이상행위 여부를 실시간 모니터링할 수 있음
2
세션별 행위에 대한 세부경보
확인
각 세션별 경보를 요약
ObserveIT 개요
9
ObserveIT은 이상행위를 발견하면 즉시 이상행위를 한 사용자에게 경고하고, 세션을 종료할 수 있음
3
타임라인상에 경보를 표시하여 쉽게 확인 가능
행위별 경보 내역
사용자에게 경고 및 세션 종료 등 대응
ObserveIT 개요
10
ObserveIT은 다음과 같은 차별적 가치를 제공함
ObserveIT 의 차별적 가치
사용자들의 권한 외 행위나 중요문서 조회, 다운로드, 출력 등 행위에 대해 실시간 경보 제공을 통한 즉각 대응
외부협력업체들이 보안정책을 철저히 준수하고 있는지, 위협이 될만한 행위를 하지는 않는지 모니터링 및 경보
보안사고 발생시, 시간대별, 사용자 계정별, 주요 행위별, 장비별로 촬영된 비디오를 검색함으로써 빠른 원인 규명
모니터링을 통해 사용자들의 행동이 더욱 조심스러워지고 내부 보안규준을 더욱 더 준수하게 하는 사전 예방 효과
정보 유출 실시간 파악
외부협력업체 철저 관리 감독
사고 발생시 빠른 원인 규명
사전 예방 통한 사고율 감소
1
2
3
4
단편적, 한시적
보안이 아닌,
사용자 행위
관리 및 개선을
통한 근본적인
보안 강화
11
실시간 경보 설정 – 발생 – 대응의 프로세스를 통해, 내부로부터의 정보유출에 대해 실시간으로 파악 및 대응할 수 있음
1
실시간 경보 설정
조직 전체에 공통된 기준 적용 혹은 사용자 별/ 어플리케이션별/ 장비별로 다른 기준 적용 가능
어떤 사이트를 방문하는지, 어떤 명령어를 입력하는지와 같은 세부 행위까지 경보 설정 가능
경보 발생
운영담당자가 ObserveIT의 대시보드, 혹은 기존 솔루션의 대시보드를 통해 경보 확인
경보는 총 3단계 (High–medium –low)로 설정하여, 위험도에 따라 각기 다른 대응 가능
즉시 대응
메시지 송부: 이상행위를 한 사용자에게 즉시 경고 메시지를 보낼 수 있음
세션 잠금: 사용자가 중요한 이상행위를 했을 경우, 즉시 로그아웃 시키고, 추가적인 로그인을 막을 수 있음
ObserveIT 의 차별적 가치 : 내부로부터의 정보 유출을 실시간으로 파악 1
12
또한, 모든 어플리케이션 상의 특정 정보 및 기능 수행에 대해 모니터링 및 경보를 제공함
1
어플리케이션 내의 특정 필드에 대한 조회 및 클릭 어플리케이션 내의 특정 기능 수행시 경보
ObserveIT 의 차별적 가치 : 내부로부터의 정보 유출을 실시간으로 파악 1
13
대다수의 기업 및 조직들이 방대한 업무를 효율적으로 수행하기 위해, 다양한 외부협력 업체들과 협업을 진행하고 있음
외부협력업체에 대한 철저한 모니터링을 통해, 외부업체로부터의 보안사고를 미연에 방지할 수 있음
2
시설 용역
건설 용역
IT 용역
연구 용역
다양한 외부협력업체들이
“원활한 업무 수행’
이라는 이유로 내부의
정보 및 자산에 대한 접근
권한을 갖고 있음
담당자의 과도한 업무와
자원 부족으로 인해,
외부협력업체의 행위에
대한 철저한 모니터링이
쉽지 않은 상황
외부협력업체와의 협업 문제점 해결책
…..
그러나
외부협력업체에게 발급하는 계정에 대해,
ObserveIT 의 차별적 가치 : 외부협력업체에 대한 철저한 관리 감독 2
•해당 계정의 접속가능 시기/시간 설정 •해당 계정의 로그인부터 발생하는 주요 행위 모니터링 •접속 불가 URL 및 프로세스 미리 설정 •주요 시스템의 설정값 변경 혹은 업무와 관련없는 정보 접근 등에 대한 실시간 경보
14
ObserveIT은 특히 UNIX/Linux를 사용하는 내부사용자의 행위를 완벽히 파악하고, 이상행위에 대한 실시간 경보를 제공함
예를 들어, 파일을 삭제하는 명령어인 ‘rm’을 입력할 경우 경보가 울리도록 설정 가능
2
ObserveIT 의 차별적 가치 : 외부협력업체에 대한 철저한 관리 감독 2
15
3
ObserveIT 의 차별적 가치 : 보안사고 발생시 쉽고 빠르게 원인 규명 가능 3
유출된 정보에 접속했던 사람들은 누구인가?
유출된 정보와 관련하여 어떤 행위를 하였는가?
해당 행위의 발생 시기는 언제였는가?
어떤 방식으로 해당 정보에 접근하였는가?
의심되는 사용자의 예전의 행태는 어떠하였는가?
동영상을 통한 손쉬운 포렌식
경보 검색 동영상 통해 행위 확인
보안사고가 발생할 경우, 검색 기능을 통해 의심 사용자를 쉽고 빠르게 파악하고, 동영상을 통해 이상 여부를 정확히 판독할 수 있음
보안사고 발생
16
자신의 행위가 모니터링 되고 있음을 인지함으로써, 사용자들의 보안에 대한 경각심을 제고하여 사고를 미연에 방지할 수 있음
4
ObserveIT 의 차별적 가치 : 보안사고에 대한 사전 예방으로 사고율 감소 4
과실 방지
보안상 위험이 큰 행위에 대해, 사용자들에게 경고메시지를 전달함으로써 과실 방지
기간별 위험행위에 대한 통계 분석 자료를 통해, 보안정책을 철저히 준수하는지 여부에 따라 상벌 가능
많은 사용자들은 본연의 업무를 수행하는데 바쁜
관계로, 평소에 보안에 대해 크게 관심을 갖지
않거나, ‘업무 효율성’을 이유로 내부 보안정책을
무시하는 경우가 많음
업무시간 외 접속
타부서 정보 열람
개인PC에 자료 저장
외부파일다운로드
고의 사고 방지
중요 정보에 접속 권한을 갖고 있는 사용자 혹은 의심행위를 보이는 사용자의 행위에 대해 사전에 분석 및 관리함으로써 사고 미연 방지
자신의 행위가 모니터링되고 있다는 사실을 인지하는 것만으로도 정보유출과 같은 범법행위에 대한 예방 효과
조직의 중요 정보 혹은 지적재산이 담긴 기밀
문서와 같은 자료는 고가에 거래될 수 있는 가능성
때문에, 외부협력업체 뿐 아니라 내부 사용자 역시
유혹에 흔들릴 수 있음
지적재산 유출
고객 개인 정보 유출
임직원 정보 유출
기타 이권 사업 관련
17
대시보드를 통해 각 사용자 별 행위에 기반한 위험점수를 확인할 수 있음
4
ObserveIT 의 차별적 가치 : 보안사고에 대한 사전 예방으로 사고율 감소 4
18
ObserveIT은 사용자의 개인정보를 보호하는 것을 전제로 하며, 개인정보를 보호하기 위한 다양한 기능을 제공하고 있음
녹화할 대상을 조정
복수 부서 간 합의 후 열람
녹화에 대한 사전 공지 기능
• 어떤 자산, 행위, 사용자 등을 녹화할지 조정 가능
• Facebook, Gmail 및 인터넷뱅킹 등 privacy 보장이 필요한 경우, 미리 녹화에서 제외 설정
• 보안 담당자에게 전권을 맡기는 대신, HR, 법무, 감사 혹은 노조 등 기타 부서와의 합의 후에야 확인하도록 권한 부여
• 행위에 대한 녹화 이전에 “녹화가 이뤄질 예정 입니다” 라고 공지할 수 있는 기능 제공
ObserveIT 의 개인정보 침해 방지 기능
내부 사용자들의 행위를 모니터링하면 개인정보 침해 이슈는 없을까?
19
ObserveIT은 모든 주요 플랫폼을 지원하며, 기존의 SIEM/로그관리 솔루션과 즉시 연동으로 기존 시스템에 쉽게 융합될 수 있음
UNIX/LINUX WINDOWS CITRIX GATEWAY EMPLOYEE DESKTOP
SIEM 및 로그관리 솔루션과의 통합
ObserveIT은 아래의 다양한 플랫폼을 지원함으로써, 고객사의 시스템에 쉽게 융합될 수 있습니다.
ObserveIT은 다양한 SIEM 및 로그관리 솔루션의 콘솔에 직접 연동하여 video playback 기능을 제공할 수 있습니다.
이를 통해, 고객이 기존에 사용하는 SIEM 솔루션의 대시보드 및 보고서에 관련 데이터를 추가하거나, 시스템로그
데이터와 사용자 행위 데이터 간 연관관계를 보여줄 수 있습니다.
지원하는 플랫폼
ObserveIT 의 구조
20
ObserveIT은 별도의 장비 없이 Agent, Application Server, Web Console의 간단한 구조로 이루어져 있음
• ObserveIT의 에이전트는 윈도우, 유닉스, 리눅스 장비에
설치되어 각 사용자들의 스크린, 마우스 및 키보드 동작 녹화
• 사용자의 접속 방식 (원격접속, 단말서버, SSH, 로컬콘솔
등)과 상관없이 모두 지원
• 녹화된 데이터는 어플리케이션서버로 실시간 전송
LIGHTWEIGHT AGENTS
• ObserveIT의 어플리케이션서버는 각 에이전트 로부터 전송된
데이터를 받아 분석, 실시간 경보, 데이터 암호화, DB 저장 등
역할 수행
• 어플리케이션서버를 통해 동영상 녹화에 대한 정책을 유지
및 관리, 에이전트 업데이트 수행, 시스템 동작 상태 점검 및
분석 리포트 생성
APPLICATION SERVER
• ObserveIT의 웹콘솔은 시스템 설정, 녹화된 사용자 행위
로그값, 동영상 데이터, 경보, 보고서 등에 대한 주요 UI
역할을 수행
WEB CONSOLE
ObserveIT 의 구조
21
ObserveIT은 타 솔루션과 대비하여 아래와 같은 차별점이 있음
Other solutions ObserveIT
지원 플랫폼 • 윈도우 only • 서버 only
• 윈도우 서버 / PC • UNIX/Linux 서버 / PC
지원 접속방식 • 제한적 • 접속 방식 (원격접속, 단말서버, SSH, 로컬콘솔 등)과 상관없이 모두 지원
비디오레코딩 • 비디오레코딩이 아니거나, 스크린 캡쳐에 국한
• 스크린 캡쳐 뿐 아니라 화면에 보이지 않는 내재된 명령어 및 system call까지 저장
실시간 세션 레코딩
• 대체로 불가능 • 가능
메타데이터(텍스트기반 행위목록)제공
• 세션 전체 녹화 • 세션내의 다양한 행위를 메타데이터별 목록화 및 각각의 세분화된 동영상 제공
컬러 지원 여부 • 일부 지원 • 지원
키로깅 • 키스트로크에 국한 • 자동완성, 스펠링 검사, 단축기 등 키스트로크 외의 다양한 입력방식 인식
ObserveIT 기능 비교
22
ObserveIT은 타 솔루션과 대비하여 아래와 같은 차별점이 있음
Other solutions ObserveIT
경보 설정 • 별도 경보 설정 불가 혹은 커스터마이징 제한적
• 어플리케이션, 사용자(팀), 장비, URL, 사용시간 등 조합으로 커스터마이징 가능
키워드 검색 • 키워드 검색 제공하지 않거나, 제한적 제공
• 어플리케이션, URL, 윈도우타이틀, 파일명 등으로 쉽게 키워드 검색 가능
리소스 사용 • 5% 이상 • CPU의 1~2%
동영상 저장 • 동영상 포맷 기반 압축으로 대규모 저장 공간 필요
• 스크린샷 캡쳐 및 변화된 부분만 저장하는 기술로 저장 용량 획기적 단축
위험도 scoring • 관련 기능 없음 • 임직원들의 행위를 위험도 기반으로 점수화하여 실시간 집계
어플리케이션 로그 • 관련 기능 없음 • 별도의 로그기록을 제공하지 않는 어플리케이션에 대해서도 로그기록 생성 가능
서버 명령어 • 특정 명령어 필터링에 국한 • 모든 명령어 및 스크립트, system call 검출 가능
타 시스템 연동 • 연동 제한적 • AD, Ticket, Log관리, SIEM, 대시보드 등과 별도 개발 없이 연동 가능
ObserveIT 기능 비교
23
ObserveIT은 국내 다양한 기관 뿐 아니라 전세계 주요 국방, 정보 및 수사기관 등에 도입되어 그 우수성을 검증받은 바 있음
주요 고객사 예시 – Strictly Confidential
국내 사례 예시 주요 국방, 정보 및 수사기관 예시
이스라엘 방위군 Israel Defense Forces
내부자 행위 모니터링 주요 권한계정 행위 모니터링
미국 연방수사국 FBI
IT담당자 등 주요 권한계정 행위 모니터링
호주 국방부 Australia Department of Defense 내부자 행위 모니터링 주요 권한계정 행위 모니터링
…
24
주요 고객사 예시 – Strictly Confidential
이외에도, 전세계 1,500여개의 다양한 세계 일류 기업에서 ObserveIT을 사용하고 있음
IT Services / Technology Gaming Government Government
Manufacturing Retail / Service Utilities / Logistics / Energy
Healthcare / Pharma Financial Telco & Media
25
ObserveIT은 엄정한 내부 사용자 관리와 그간의 풍부한 경험을 통해 내부로부터의 정보 유출을 철저히 예방하도록 기여할 것임
내부로부터의 정보 유출을 실시간으로 파악
외부협력업체에 대한 철저한 관리 감독
보안사고 발생시 쉽고 빠르게 원인 규명 가능
보안사고에 대한 사전 예방으로 사고율 감소
철저한 내부행위 관리 풍부한 경험
정보 보안
결론
다양한 산업군에 걸쳐
전세계 1,500개 이상의
일류기업 및 조직을
대상으로 설치 및 운영
경험 보유
이스라엘 본사 및
Rimahr 기술지원팀의
체계적인 지원
