security intelligence를 위한security intelligence를 위한 qradar개 2 1. 개요 2011년의...

Security Intelligence를 위한 QRadar 제품소개

Security Intelligence를 위한 QRadar소개

1

1. 개요

최근의 보안 사고는 특정 공격대상에 대해 장기간에 걸쳐 취약점을 분석하고 이를 통한 Zero-day Attack을 수행하는 APT (Advanced

persistent threat, 지능형지속가능공격)이 늘어나고 있는 추세입니다.

S사, Korea


2

1. 개요

2011년의 경우 전체 공격의 69%가 공격 징후를 로그로부터 찾아내는 것이 가능했으나 데이터 처리 파워의 부족으로 찾기가

불가능했습니다. 이를 극복하기 위해서는 대량의 데이터로부터 미심쩍은 징후를 찾아내고 우선 순위를 세워야 하며, 향후 예방활동에

활용 될 수 있는 정보로 만들 필요가 있습니다.

69 Verizon 2011년 데이터 침해조사 보고서: 69%의 보안 침입 사건에서 기업의 로그 파일에 명확한 침입증거가 있었음에도 불구하고 데이터 과부화로 그런 증거를 발견하지 못함

수백만 개에 달하는 데이터 요소의 미심쩍은 활동 포착 필요

다수의 미심쩍은 사고에서 중요한 사고를 추려냄

모든 관련 데이터 분석

문제의 징후를 지능적으로 포착

분석된 정보를 사전 예방에 활용


3

1. 개요

지능화된 공격에 대비하기 위해서 기업은 현재의 보안 수준을 평가하고 다양한 공격기법에 능동/자동으로 대처하기 위하여 Security

Intelligence기반의 방어 시스템을 구축할 필요가 있습니다.

사전 예방적

자동

식

수동

식

사후 대응적

최적화 조직은 보안 인텔리전스를 향하여 나아가기 위해 예측 및 자동화된 보안 분석을 사용한다.

성숙 보안은 IT 운영과 비즈니스 운영 내에 위치한다.

기본 수작업의 보고를 제공하고 접근을

조절하는 조직 임직원의 경계 보호


4

1. 개요

IBM의 Security Intelligence는 보안사고를 기점으로 보안사고 이전에 수행해야 하는 예방조치 및 이후에 수행하는 대응조치를 수행하는

것으로 이루어져 있습니다.

예측 & 예방 대응 & 조치

네트워크와 호스트 침입 방지. 네트워크 비정상패턴(Anomaly) 탐지.

패킷 포렌식. 데이터 유출 방지. 데이터베이스 행위 모니터링.

SIEM. 로그관리. 인시던트 대응.

위험 관리. 취약점 관리. 구성과 패치 관리

X-Force연구와 위협 인텔리전스. 컴플라이언스 관리. 보고와 성과기록표.

내부와 외부의 위협은 무엇인가?

우리(시스템)는 이러한 위협으로부터 보호되도록 구성되어

있는가?

지금 무엇이 일어나고 있는가?

영향도는 얼마나 되는가?

IBM Security Intelligence


5

1. 개요

IBM의 Security Intelligence는 기업에서 일어나는 모든 IT활동을 수집하고 실시간 수집 이벤트 및 historical 이벤트에 대해 종합적인

상관관계 분석을 수행함으로써 가장 정확한 Incident를 찾아냅니다.

Sources Intelligence Most Accurate & Actionable Insight + =


6

2. QRadar

IBM의 QRadar는 기업의 Security Intelligence를 종합적으로 구현할 수 있는 제품군으로 구성되어 있습니다.

• 통합 로그 관리 • 중소기업/대기업 등 기업규모에 맞도록

적용 • 엔터프라이즈 SIEM으로 업그레이드

가능

• 통합 로그, 위협, 위험, 컴플라이언스 관리 • 복잡한 이벤트의 분석 • 자산 프로파일링과 흐름 분석 • 공격 관리와 워크플로우

• 사전 위협 모델링 & 시뮬레이션 • 확장 가능한 구성 모니터링과 감사 • 향상된 위협 가시성과 영향 분석

• 네트워크 분석 • 비정상 행동 감지 • SIEM과의 완벽한 통합

• Layer 7 애플리케이션 모니터링 • 컨텐츠 캡춰 • 물리/가상화 환경 지원

SIEM

Log Management

Risk Management

Network Activity & Anomaly Detection

Network and Application Visibility

통합로그관리 (개인정보보호법 대응)

포괄적 상관관계 분석 - ESM, SIEM,보안관제

보안 모델링, 위협 예측

네트워크 Anomaly 감지 - APT/DDos 감지 등

Layer7 모니터링 - Contents감시 등


7

2. QRadar

개별 제품군에 대해 QRadar는 단일 데이터 소스 아키텍처와 통합 콘솔을 제공합니다.

• 통합 로그 관리 • 중소기업/대기업 등 기업규모에 맞도록

적용 • 엔터프라이즈 SIEM으로 업그레이드

가능

• 통합 로그, 위협, 위험, 컴플라이언스 관리 • 복잡한 이벤트의 분석 • 자산 프로파일링과 흐름 분석 • 공격 관리와 워크플로우

• 사전 위협 모델링 & 시뮬레이션 • 확장 가능한 구성 모니터링과 감사 • 향상된 위협 가시성과 영향 분석

• 네트워크 분석 • 비정상 행동 감지 • SIEM과의 완벽한 통합

• Layer 7 애플리케이션 모니터링 • 컨텐츠 캡춰 • 물리/가상화 환경 지원

SIEM

Log Management

Risk Management

Network Activity & Anomaly Detection

Network and Application Visibility

통합 콘솔

In-Memory 기반 단일 데이터 아키텍처


8

2. QRadar

QRadar는 가트너 평가에서 리더 그룹에 속한 제품으로, 자산정보 및 취약점 정보를 탐지되는 위협 정보와 결합하여 보안관리자로 하여금

실질적인 위험을 탐지하고 대응조치를 할 수 있도록 합니다.

기대효과

보안 사고에 대한 위험 및 심각성 감소

보안 인시던트에 대한 대응 효율 증대 및 분석 정밀도 증가

각종 규제 및 내부 보안 컴플라이언스 관리가 쉬워짐

보안 인텔리전스 작업에 대한 수동 작업을 감소시킴

특장점

진보된 in-memory기술 및 확장된 데이터 집합에 기반한

실시간 activity 상관관계 분석기능 제공

플로우 캡처 후 Layer 7의 컨텐츠 가시성을 공급하는

분석을 통하여 심화된 포렌식을 지원

잘못된 해석 또는 수동 작업을 감소시키는 지능화된

인시던트 분석기능 제공

고성능의 free-text 검색과 정규화된 데이터 분석에 대한

고유한 결합 기능 제공

임베디드 데이터베이스와 일원화된 데이터 아키텍처를

이용한 대규모 확장성


9

2. QRadar

IBM QRadar는 기업 규모에 따라 적용할 수 있는 풍부한 확장성을 제공하는 아키텍처를 가지고 있습니다.


10

2. QRadar > 아키텍처

QRadar는 탐지된 위협 및 취약점 정보, 자산 가치를 결합하고 수집 정보의 신뢰성을 분류하여 보안담당자가 실질적인 위험을 식별할 수

있도록 합니다.

QRadar Console

QRadar EP/FP

Firewall/IPS/IDS

네트워크 장비

보안 장비(DRM/Virus..)

Database

Application

서버 시스템

로그/Flow

취약점진단*

* 어플리케이션 취약점진단은

Appscan필요

취약점진단*

인사정보 자산정보

로그/Flow 수집

위협도/자산가치/신뢰성으로

구별된 위험 식별

QFlow 수집

단말보안

vFlow 수집

VMWare

Host OS

VM

vFlow

QRadar Risk Manager QFlow Collector

TAP


11

2. QRadar > 아키텍처

QRadar는 사용 목적에 맞도록 제품을 모듈화하며 제공하며, 사용 환경에 따른 유연성과 확장성을 제공합니다.

QRadar Console

QRadar EP QRadar FP

QRadar FC

QRadar RM (Option)

취약점 프로파일링

UI제공

자산 프로파일링

구성 감사 위협 모델링 사고 예측

로그

Layer4 flow

Layer7 flow

All-In-One


12

3. 기능소개>통합콘솔

IBM QRadar는 대시보드/로그/Flow/관리/룰 세팅 등을 직관적으로 수행하는 통합 콘솔을 제공합니다.

• 웹 브라우저 기반의 단일 UI (IE/Firefox/Chrome 등 )

• 사용자 롤 기반의정보 및 기능 접근 제어 기능

• 사용자별로 커스터마이징 할 수 있는 대시보드(작업공간) 제공

• 실시간 및 히스토리 데이터 View 및 리포팅

• 사용자 정의 데이터 마이닝 및 드릴다운 기능

• Security Intelligence를 위한 풍부한 기본 룰셋/룰 정의 마법사 및 룰엔진 제공


13

3. 기능소개>실시간/주기적 로그 수집

IBM QRadar는 로그 및 Flow에 대한 이벤트의 형태에 따라 Agentless방식을 기본으로 실시간/주기적인 수집을 기본 지원합니다.

기업에서 개발한 애플리케이션 또는 사용자 정의 로그의 경우 uDSM을 통한 커스터마이징을 통해 로그를 수집합니다.


14

3. 기능소개>Flow와 네트워크 인텔리전스

IBM QRadar는 flow정보의 수집을 통하여 자산의 자동발견 및 네트워크 Anomaly detection을 통한 Zero-Day attack감지 기능 등을

제공합니다 .

• 시그너쳐를 가지고 있지 않은 Zero-Day 공격을 탐지(Historical Network flow 정보 분석을 통하여 network anomaly를 탐지함)

• 정책 모니터링 및 QRadar 자산정보에 등록되지 않은 서버 탐지

• 모든 공격 통신에 대한 가시성 확보

• 패시브 flow 모니터링을 통하여 자산 프로파일 및 호스트 정보 자동 갱신

• 네트워크 가시성 및 문제 해결 기능 확보 (보안과 관련되지 않은 사항도 포함)


15

3. 기능소개>Application Layer(Layer7) 모니터링

IBM QRadar는 flow의 Payload수집을 통하여 Application Layer를 모니터링하고 Application에 대한 인텔리전스를 확보합니다. 이를

통하여 관리자는 애플리케이션 레벨에서 일어나는 각종 위험을 탐지하고 대응합니다.

• 기존 인프라스트럭쳐로부터 플로우 수집 (헤더 정보 및 Payload정보 확보)

• Layer 7 데이터 수집 및 분석

• 향상된 탐지 및 포렌식을 위해 플로우 소스들에 대한 완전한 피봇, 드릴 다운, 데이터 마이닝 지원

• 룰/정책, 임계값, 행동양식, 네트워크와 로그 상의 변칙성 조건에 따른 가시성 확보 및 경고 수행


16

3. 기능소개>Content Capture

IBM QRadar는 Juniper SRX와 연동하여 Layer 7 content의 full capturing 및 Replay을 지원합니다.

Content Capture를 통한 Replay 재현 (Juniper SRX 연동)


17

3. 기능소개>취약점 정보 수집

IBM QRadar는 제품과 함께 기본 제공되는 각종 취약점 진단 툴을 통하여 자산에 대한 취약점 정보를 주기적으로 수집하는 기능을

제공합니다. 또한 IBM Appscan/Guardium등의 제품과 연계하여 애플리케이션 및 DB취약점 정보를 수집하여 Correlation하도록 확장

가능합니다.

주기적인

스캐너 실행

수집된 취약점을 통한

취약점 프로파일 생성/갱신

지원하는 취약점 스캐너*

- nCircle IP360 스캐너

- Nessus

- Nmap

- Qualys

- FoundScan

- Jupier Networks NSM Profiler

- Rapid7 NeXpose

- SAINT 등

* 상용 스캐너 라이선스는 별도 구매 필요

Database

취약점

IBM QRadar

데이터베이스 애플리케이션

애플리케이션

취약점

IBM Appscan

IBM Guardium


18

3. 기능소개> 데이터 Correlation

IBM QRadar는 데이터 Correlation을 통하여 수집되는 이벤트를 축약하여 실질적인 위협 징후를 찾아냅니다.

지난 24시간 동안의 네트워크와 보안

이벤트(27백만개의 logs)

QRadar의 상관관계 및 데이터 분석은 offense를

생성(129)

Offense는 사용한 네트워크, 자산, 사용자 identity정보 등에 대한 정보를 제공하는 위협 또는 규칙 위반에 대한

완전한 히스토리임

Offense는 비즈니스 영향도에 따라 중요도가

부여됨


19

3. 기능소개> 데이터 Correlation

IBM QRadar는 데이터 Correlation을 통하여 수집되는 이벤트를 축약하여 실질적인 위협 징후를 찾아냅니다. 아래의 예는, 20339개의

로그 및 flow들을 1개의 offence로 축약하여 중국발 공격 ip로부터 2개의 네트워크 세그먼트 내의 로컬 시스템 315개가 취약점을 이용한

Exploit공격에 노출된 것을 Alerting하는 Offence 사례 입니다.


20

3. 기능소개>지능형 공격(Offence) 점수산출

IBM의 QRadar는 탐지된 위협 시그너쳐간의 단순한 Correlation을 지양하고 자산 정보 및 신뢰성을 바탕으로 실질적인 기업의 위험도를

산출합니다.

QRadar는 offense의 “크기(Magnitude)”를 판단함:

•신뢰성: 오탐인가 아니면 실제 공격인가?

•심각도:

대상의 취약점에 비례하는 알람 레벨

•자산가치:

자산 또는 네트워크의 가치에 따른 중요도

중요도는 상황 인식에 기반하여 시간에 따라 변경될 수 있음


21

3. 기능소개>Offence 관리

IBM QRadar는 Offence관리 화면을 통하여 경고된 Offence(공격)에 대한 종합적인 정보를 제공합니다.

탐지된 공격 정보

공격소스에 대한 정보

얼마나 많은 대상이 공격받았는가?

공격성공 여부

공격소스에 대한 정보

공격과 관련된 취약점이 있는가?

대상이 비즈니스에 있어서 가지는 가치는?

이 공격과 관련된 모든 로그들


22

3. 기능소개>풍부한 룰셋 및 검색 기능

Out-of-box로 제공되는 수 백가지의 기본 상관관계 분석 정책 제공으로 효과적인 보안환경을 제공합니다. 기본 정책을 바탕으로 기업에

필요한 정책만을 정책 설정 마법사를 통해 손쉽게 추가하여 즉시 적용할 수 있습니다.

정책 설정 화면 및 Quick 로그 서치/뷰 화면

• 수 백가지의 실시간 상관관계 분석 룰과

분석 테스트 제공을 통해 out-of-box

설정 가능

- 자연어 처리 방식에 가까운 정책 설정

마법사 제공

• 100개 이상의 검색 필터, 50개 이상의

Quick 로그/네트워크 검색 제공

- 이전 서치 결과를 바탕으로 Sub-

search시 보다 빠른 조회 가능

- Indexing을 통해 핵심 정보에 대한

빠른 조회 제공

- Free-Text 키워드 타입으로 Payload

Search 제공

• Custom 로그 필드 지원

- 로그의 디폴트 필드 값 외에 추가적인

로그 데이터 필드를 추가하여 검색의

유연성 제공 및 보고서, 정책,

Dashboard에서 사용

- 동일 디바이스들에 대해 수 십개의

사전 정의된 필드 제공

기본정책 화면

정책설정 화면

Quick 로그 서치 화면

로그 서치 결과 화면


23

3. 기능소개>Compliance룰 및 리포팅

IBM QRadar는 COBIT, SOX등 Compliacne에 대한 룰셋을 제공하고 관련 리포팅을 제공합니다. 또한 관리자가 필요에 따라 내부규정 및

사용자 규정을 정의하고 리포팅을 손쉽게 할 수 있는 마법사가 제공됩니다.

• 규정 및 보안 베스트 프랙티스에 대해 즉시 사용 가능한 템플릿제공

• COBIT, SOX, GLBA, NERC, FISMA, PCI, HIPAA 등

• 새로운 정의를 포함한 쉬운 수정

• 새로운 규정과 베스트 프랙티스를 포함한 확장 기능

• 기존의 상관관계 룰의 활용 가능


24

4. 기능사례>종합적 위협 탐지

포괄적인 상관관계 분석을 통해 APT, Blended Attack, Unknown 공격 등을 효과적으로 탐지 할 수 있을 뿐만 아니라, 어플리케이션 분석,

사후 분석(Forensics), 네트워크 비정상 행위 탐지, 데이터 유출 탐지, 네트워크 가시성 등을 제공합니다.

IDS에서 버퍼 오버플로우

Exploit시도 탐지

QFlow에 의해 네트워크 스캔 탐지

(어플리케이션 분석 및 Raw data 제공)

취약점 스캐너 Nessus에 의해 진단된 시스템의 취약성 결과를

바탕으로 IDS에서 탐지된 이벤트에 실제 취약성이 있음을 판단

즉시 조치를 취해야 할 Offense 탐지

(해당 근거 아래 제시)

포괄적 융합을 통한 Security Intelligence 제공 > 전과 기록(Rap sheet)

• 보안 장비, 시스템, 어플리케이션의

로그, 네트워크 장비의 트래픽 정보,

취약점 스캐너의 취약점 스캔 정보,

네트워크 어플리케이션 분석 데이터

등에 대한 수집 및 데이터 정규화

• 포괄적인 상관 분석 엔진을 통한 이벤트

탐지

• 보안 탐지이벤트와 네트웍 트래픽 정보,

그리고 취약점 스캐너 결과를 비교,

분석함으로 해당 서버에 취약성이

있음을 확신하고 해당 경고를 발생

- 오탐율 최소화

- 즉시 조치하거나 주목해야 할

이벤트 탐지

• 취약성 있는 자산들에 대해 자산의

가중치 표시로 먼저 조치 해야 할

자산의 우선순위 확인

• 수집된 여러 정보를 바탕으로 자산 정보

제공 (취약점 정보 포함)


25

4. 기능사례>네트워크 위협에 대한 가시성 확보

로그 분석 및 네트워크 Flow 분석을 넘어 트래픽의 Layer 7 데이터를 분석하고 어플리케이션을 인지하는 가시성을 제공함으로 위협에

능동적으로 대처합니다.

어플리케이션의 가시성 제공

• 기존의 네트워크 장비로 부터 Flow

수집 및 QFlow Collect 장비를 이용한

트래픽 데이터 분석 및 Layer 7 분석 및

수집

• 네트워크 행위 기반 탐지(임계치,

Anomaly, Behavior), 데이터 유출 탐지

및 네트워크/어플리케이션에 대한

가시성 등 다양한 보안/네트워크 관점의

기능 제공

• 향상된 보안 탐지 및 포렌식을 위한

Raw 데이터 캡처, 데이터 분석 제공 및

플로우 소스들에 대한 완전한 피봇,

드릴 다운, 데이터 마이닝 지원

- 최대 65535 bytes Payload 저장 가능

Port 80을 통한 IRC 탐지

(포트에 비의존적 탐지)

Botnet 탐지

(기존 SIEM의 한계를 넘어섬)

Port 80을 통한 IRC 탐지

(포트에 비의존적 탐지)

Botnet Command and control 지시

(부인할 수 없는 명백한 근거 제시)


26

4. 기능사례>사용자 행위 모니터링

IBM QRadar는 사용자 로그인 성공/실패 기록에 대한 실시간 모터링 기록 및 historical분석 기록을 통하여 사용자의 로그인 실패 행위가

단순한 실패인지 불법 로그인 시도인지를 판별합니다.

인증 실패

패스워드를 잊어버린 사용자인지의 판단 여부

브루트-포스 패스워드 공격 가능성

상이한 사용자 계정들에 대한 다수의 실패한 로그인 시도

호스트 도용여부

로그인 성공 기능을 분석하여 정해진 룰셋 내에서 사용자 ID 도용 여부를 판별


27

4. 기능사례>정보 유출 가능성 탐지

IBM QRadar는 Layer7모니터링 및 데이터에 대한 엑세스 기록등을 종합하여 내부 정보의 유출 가능성을 탐지합니다.

잠재적인 데이터 유출 가능성 탐지

- 탐지의 근거는 무엇인가?

행위자

- 내부 사용자

대상

- 오라클 데이터 접속 기록 기반

전송 수단

- Gmail


28

4. 기능사례>APT 대응 등

Zero-Day 및 사회공학적 기법 등의 복잡한 공격활동이 장기간 지속되는 APT공격에 대응하는 룰을 제공하고 고객사 환경에 맞는 APT룰

정의를 통하여 APT공격에 대응하도록 합니다.

APT, Blended Attack, Unknown 공격 탐지

APT Attack Scenario

APT 탐지 정책 (Event + Flow)

“When at least this number of these rules, in|in any order, from the same|any source IP to the same|any destination IP, over this many seconds”

1. 표적 확인

2. Spear-Phishing

악성코드 감염

3. 조직 파악

4. 권한상승,

계정탈취

5. 악성코드,

백도어 설치

6. 암호화 전송

아래의 Activity들이 3개월에 걸쳐 수행됨

1. Social media를 통한 개인정보 유출

2. 악성코드 감염(phishing)

3. 로컬 호스트에 대한 스캐닝시도

4. 접근 시도 (Brute Force Attack시도)

5. 백도어 설치 (Bot C&C 통신)

6. 암호화 전송 (Non-standard 포트 이용)

탐지조건:

Same IP에서 Multi IP로 180일 동안 다음 활동 중

순서대로 최소 5개가 만족할 때 탐지

- 소셜 사이트 접속(F), 내부에서 내부 Scan(E), 스캔

후 인증 성공(F/E), IPS/IDS 탐지(E), 봇 접속(E/F),

알려진 봇 서버 접속(E/F), 암호화 통신(F)


29

4. 기능 사례>사용자 인증 관리

사용자의 접속 위치를 기반으로 비정상 행위를 탐지하거나, 운영에 도움을 주는 스마트 서비스 등에 활용합니다.

고객 요구 사항 :

‒ 동 시간에 서로 다른 지역의 IP에서 동일 계정으로 로그인 시도한 사용자 탐지

솔루션 :

‒ 15분내에 다른 나라에서 VPN 또는 AD에서 “2 or more logins”을 시도한 이벤트 탐지 정책 수립

‒ 회사 내부 네트워크와 외부에서 동시에 접속을 하는 사용자를 탐지할 수도 있음

사용자 위치 기반의 비정상 행위 탐지

고객 요구 사항:

‒ 임원 계정의 경우 로그인 3회 실패하면 Locked됨

‒ 임원이 헬프데스크로 전화를 걸어 해결해야 하는 번거로움 발생

솔루션:

‒ 임원 계정에 대해 BB 생성 및 임원 계정에 대해 3회 이상 로그인 실패를 탐지하는 정책 설정

‒ 임원의 계정이 잠길 경우, 즉시 헬프데스크로 통보되고, 임원에게 먼저 전화를 거는 찾아 가는 서비스

먼저 찾아가는 서비스 (Smarter than an executive)


30

5. 고객사례>Use Case

금융권에서 비정상 업무 트래픽 및 Financial Fraud를 탐지한 사례입니다.

• Simple USE CASE

DMZ 네트워크에 게임

서버 존재 탐지

1. 비정상 업무 트래픽에 대한 탐지

2. Financial Fraud 탐지

1. 송금 기록과 PIN 변경 메시지를 파싱하는 uDSM 개발 2. 24시간 이내에 일정 금액 이상의 송금과 PIN 변경을 감지하는 룰 세팅

1. Transaction log를 파싱하여 트랜잭션 당 $$$를 extraction하는 uDSM개발 2. 시간에 따른 transaction량을 검색하는 Search기능 설정 3. Transaction량의 % 차이를 감지하는 Anomaly 룰 세팅


31


병원, 금융권 등에서 Layer7 데이터 분석을 통해 암호화되지 않은 데이터가 전송되는 것을 탐지한 사례입니다.

병원 – 중요 시스템에 패치 적용 후 암호화되지 않은 환자 의료 정보 전송을 감지

금융사 – 인터넷을 통한 고객정보 유출을 감지

대학 – BOT 감염에 따른 중요 정보 전송 탐지 및 포렌식(Bot channel, msg분석)에 활용

Layer 7 데이터 분석을 통해 암호화되지 않은 데이터 전송을 탐지


32


소셜 미디어를 통한 개인정보유출을 탐지한 사례입니다.

소셜 미디어의 폭발적인 증가에 따라 소셜 미디어를 통해 수집된 사용자 정보를 악용하는 APT 공격의 증가 추세

QRadar는 트위터, 페이스북, 링크딘 등 수 백개의 소셜 미디어에 대한 상관관계 분석 룰을 제공하고

소셜미디어를 통한 사용자 식별 정보 전송을 모니터링 함

실시간 소셜 미디어 활동 모니터링 및 상관관계 분석

소셜 미디어를 통한 민감한 데이터 전송 여부를 확인하고 탐지함


33


공공 기관에서 적대국가의 국제 스파이 활동을 탐지한 사례입니다.

정부 기관

• 공공 인프라 수도 시설 관련 정보를 다운로드하는 시리아와 러시아 IP 주소를 감지

• IP의 지리정보 데이터와 외부 파일 전송 트래픽 flow를 결합한 상관관계 분석을 통해 식별

적대 국가의 접속 및 활동에 대한 실시간 모니터링


34

5. 고객사례>HealthCare Provider

미국의 한 HealtchCare Provider는 IBM QRadar를 이용하여 대규모 이벤트에 대한 성공적인 관리 시스템을 구축하였습니다.

구축 규모

160,000 EPS(초당 이벤트 수)

분당 1천4백만개가 넘는 Flow

하루 평균 로그량 : 140억개

보안 모니터링 환경

조직 연합체

이기종 데이터

HIPAA, SOX, PCI, FDA 규정 준수 필요

관리대상

20,000 서버

225,000 워크스테이션

19,000 네트워크 디바이스

600개 이상 데이터베이스

2,000개 이상 애플리케이션


35

5. 고객사례


36

Thank You ! 문의 : 유진혁부장

Tel.6116-6413 Mobile.010-3238-0993

[email protected]

security intelligence를 위한security intelligence를 위한 qradar개 2 1. 개요 2011년의...

Documents