Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
전상준 차장[email protected]
Viruses1990-2000
Worms2000-2005
Spyware and Rootkits2005-Today
APTs CyberwareToday +
1990 1995 2000 2005 2010 2015 2020
피싱 공격, 단순한 구조의 공격
해킹의 산업화 시작
지능화된 공격, 복잡한단계를 거치는 공격
모든기업들이악성코드의감염경험100%
보안위협의 변화컴퓨터 도입시점 부터 오늘날
단순한 방화벽과 IPS는현재의 공격을 막을 수 있나?
고속의 컨텐츠 인스펙션
123.45.67.89
Johnson-PC
OS: Windows 7hostname: laptop1User: jsmithIP: 12.134.56.78
12.122.13.62
SQL
Today’s Reality:
621 breaches
92% stemmed from external agents
52% utilized hacking
40% incorporated malware
78% of attacks labeled low difficulty
19% attributed tocyberespionage
2013 Verizon Data Breach Investigation Report
방화벽의한계
단순 IP/Port 기반 ACL
N x N x N 식의관리불가한정책
사용자/어플리케이션인식불가
IPS의한계
단순패턴매칭, 오탐, 무의미한대량이벤트
동적인어플리케이션인지불가
사용자식별불가
위협을 얼마나 들여다 보고 있나요?그것이 무엇인지 알아야 방어 할 수 있습니다
시스코 차세대 IPS or 방화벽
Malware
Client applications
Operating systems
Mobile devices
VoIP phones
Routers and switches
Printers
Command
and control
servers
Network servers
일반 NGFW
Users
File transfers
Web
applications
Application
protocols
일반 IPS
Threats
시스코 차세대 보안 플랫폼?하나의 장비에서 모든 기능을 한번에
NGIPS자동 취약점 분석
취약성방어, 해킹외의
침입공격방지기능
NGFW 어플리케이션 제어
가시성및 어플리케이션, 사용자제어기능
AMP진화된 악성코드 차단
보안시스템에서방어하지못한 Malware 탐지및 방어
보안장비 다양한 역할1. 방화벽
Internet
ISP B
Outside
Inside
DMZ
Internet
Intranet
Failover
B group C group
Outside
Inside
DMZ
Internet
ISP A
A group
Failover
보안장비 다양한 역할2. VPN
남이 보지 않았는지- 기밀성 (Confidentiality)
내용이 변경되지 않았는지- 무결성 (integrity) 또는 메시지 인증(authentication)
수신자가 누구인지- 사용자 인증 (user authentication or Identification)
보안장비 다양한 역할4. URL 필터링
정보
게임성인
포털
P2P
알려지지 않은 신규 Web page 제어 카테고리를 이용하여 비즈니스 관련 없는 사이트 차단 평판 기반 + 사용자 및 사용자 그룹 기반
NGFW는 통합화된 보안장비보안 취약점을 다양한 각도로 분석 및 파악
Retrospective Security
Shrink Time Between Detection and Cure
PDFMail
Admin
Request
Admin
Request
Multivector Correlation
Early Warning for Advanced Threats
Host A
Host B
Host C
3 IoCs
Adapt Policy to Risks
WWWWWWWWW
Dynamic Security Control
http://http://WWWWEB
Context and Threat Correlation
Priority 1
Priority 2
Priority 3
Impact Assessment
5 IoCs
Sourcefire란현존 하는 대부분 IPS의 원천소스
업계 최고의 침입탐지 시스템
실시간 상황인식
네트워크 전체 가시성 확보
FireSIGHT 를 통한 인텔리전트 시큐리티
High Performance 그리고 확장성
애플리케이션 제어, URL 필터링 그리고 AMP 기능
을 손쉽게 라이센스 추가로 사용
시스코 차세대 통합 보안 플랫폼Cisco NGFW Platforms
Cisco Firepower Threat
Defense on ASA 5500-X
Cisco FirePOWER Services
on ASA 5585-X
Cisco Firepower Threat
Defense on Firepower™
4100 Series and 9300
방화벽 ASA 플랫폼에 소스파이어 차세대 위협 차단 솔루션을 서비스 모듈 형태로 통합 또는 Firepower Threat Defense 플랫폼 새로운 지능적인 보안위협에 대응하는 통합 보안 플랫폼
*5585-X management in the near future
FMC (Firepower Management Center)를통해관리가능 *
New
하드웨어
DDoS
시스코 차세대 통합 보안 플랫폼이제는 관리도 한번에
ASA Rule Table Firepower Rule Table
Unified Policy and Objects
관리통합하나의설정
Rule
Firepower 6 Deployment 옵션? 이제는 관리도 한번에
• Firepower Appliances • Firepower Threat Defense (Unified Software Image)
• ASA with Firepower Services
FirePOWER
Services 6.0
ASA 9.5.x
Firepower
Threat Defense 6.0
Firepower
Appliaces
6.0
• 7000/7100/8000/Virtual • ASA 5500X (all models) • ASA 5500X / New Models vSphere / AWS
All Managed by Firepower Management Center 6.0
New
소프트웨어
다양한 각도로 분석관리 Tool을 통한 다양한 뷰
모든 애플리케이션 트래픽 뷰… 위험성 있는 애플리케이션 뷰… 누가 그것을 사용하지 있는지?
그들은 어떤한 OS를 사용하고 있는지?그들은 어떠한 위험 요소가 있는지?
그들의 이벤트 트래픽은 어떠한지?
다양한 각도로 분석트래픽 분석을 통한 실시간 자산 인식
OS & 버전
서버 애플리케이션및 버전 정보
클라이언트
애플리케이션
누가 이 호스트를사용하나 ?
클라이언트 버전
애플리케이션
어떤 사용자가 언제사용했나 ?
가시성 확보위협중심의 방어를 위한 기반
Unknown 파일이 IP 주소10.4.10.183 번에서 Firefox 인터넷 브라우저를 통해 다운로드 받음10:57, Unknown 파일이10.4.10.183 에서 10.5.11.8로 전송됨
7시간 후 파일은 SMB를 통해 세번째 디바이스(10.3.4.51)로 전송됨
30분 후,파일이 4번째 디바이스(10.5.60.66) 에 같은SMB를 통해 파일을 복사
시스코 인텔리젼스 클라우드는해당 파일을 악의적파일로 학습하고 4대의 디바이스에 대해 모두 회귀적 이벤트를 발생시킴
같은 시간, FireAMP 가 설치된디바이스에서 회귀적 이벤트를발생시키고 즉시 해당 파일을 격리하고 새롭게 악성코드로 판단
첫 공격후 8시간이 지난 시점에 악성코드는 초기 진입하였던 지점을 통해 재시도하려고하나 악성코드로 인지되어 차단됨
SAMPLE
시스코 Talos 조직세계 최고의 엘리트 보안분석 팀
10I000 0II0 00 0III000 II1010011 101 1100001 110
110000III000III0 I00I II0I III0011 0110011 101000 0110 00
I00I III0I III00II 0II00II I0I000 0110 00
101000 0II0 00 0III000 III0I00II II II0000I II0
1100001110001III0 I00I II0I III00II 0II00II 101000 0110 00
100I II0I III00II 0II00II I0I000 0II0 00
Cisco Talos 위협인텔리전스
Email AMP Web Network NGIPS NGFW
WWW
Sourcefire
VRT®
Pervasive across Portfolio
Cisco®
SIO
SandboxingMachine Learning
Big Data Infrastructure
• 매일 수신하는 110만 개의 악성코드샘플
• Cisco AMP 커뮤니티• 비공개/공개 위협 정보 피드• AMP Threat Grid Intelligence• Cisco AMP Threat Grid Dynamic
Analysis에서매월 생성되는 1천만 개 파일
• Microsoft 및 업계보다 먼저 공개• Snort & ClamAV 오픈소스 커뮤니티• AEGIS™ Program
• 전 세계 160만 개의센서 매일 수신되는 100TB의 데이터
• 1억 5천만 개 이상 구축된 엔드포인트
• 600명의 엔지니어, 기술자, 연구원• 35% 전 세계 이메일 트래픽 처리• 130억 개의 웹 요청• 24시간x7일x365일 운영• 매일 4.3억 회의 웹 필터링 차단• 40가지 이상의 언어
시스코 Talos 조직세계 최고의 엘리트 보안분석 팀
Talos Cloud
Discovery Events – Hosts, Users, OS,
Services, Vulnerabilities
File Types, File Transfers
Connection Logs, Flows
IDS/IPS Events – Snort Rule IDs
FireSIGHT
Files
L2/L3
Snort
AppID Server, Client and Web AppsApplication Definitions, App Detectors
Vulnerability Updates, OS Definitions
Malware Cloud Lookups (AMP),
Sandbox, Trajectories
Security Intelligence IP Reputation,
URL Category Updates
Snort Rule Updates
Why Cisco궁금하신 사항은 언제든지 Cisco로 연락주세요. Demo도 가능합니다
Cisco
Email AMP Web Network NGIPS NGFW
WWW
SandboxingMachine Learning
Big Data Infrastructure
Firewall
AVC
NGFW
NGIPS
Malware Protection
Web Security
Content
Access
Network
2016년 베스트 Security company 지정 - SC 매거진2016년 베스트 NGFW 선정 - INTEROP
No. 1Security
32%
# 기준: Q2 CY2015
No. 1
IPS
No. 1
FW
No. 1
이메일보안