Upload
naver-d2
View
296
Download
4
Embed Size (px)
Citation preview
2
근무 환경
보안 과목 수강은 어떻게?
네이버에서의 보안은? 신뢰성은?
네이버 침해사고 발생시 대응
다른 회사/ 연구소에 비해 특별한 것들
보안엔지니어가 되기 위한 준비
보안 분야 기피에 대한 조언
3
사전 질문들
Q : 보안을 왜 하고 싶은가요?
4
• 오늘 이 문제로 하루를 날려보냈네요 ㅠㅠ;;
• 현직 보안업종 종사자입니다 지옥을 보고 있습니다
(.....) ⓣ
• 막 소식 퍼지는 오전에는 클OO을 비롯해서 카톡 등 다
양한 서비스들이 난리도 아니었죠. 야후도 아까 저녁
먹을 때 까지 털리고 있었고요. 5
간밤에 안녕하신가요?
• HTTPS (보안웹서버) 중에서
• 취약한 버전의 openssl을 사용하는 경우
• 특정 정보가 노출될 수 있는 취약점
무슨 취약점이길래?
6
Ransomware의 진화 : 관리상의 취약점 악용, DB 데이터 암호화
1만2천대에서 2만7천대 정도 피해 받았을 것으로. 0.1 BTC ~ 1 BTC 요구
27017번 포트 접근을 차단하거나, 서버에 접근을 제한하기 위해 로컬 IP 주소 바인딩을 설정
MongoDB hacked..
7
대학교 알고리즘 수업 시간
8
텀프로젝트로 “DES 알고리즘” 을 구현하면서
시작은
보안 동아리 (Security KAIST)
스타트업 창업 (A3 Security Consulting, Han Secure)
연구/강의 (대학 / 대학원 / 연구소)
회사 (네이버)
9
20년간의 경험
http://www.hankyung.com/news/app/ newsview.php?aid=1999091303591&intype=1
10
History : 보안업체 창업 (1999)
• SHE (Security Hole Examiner) • LOOKER • ILVA (Integrated Log Analysis Tool)
History : SHE & .. (1997)
11
KANE(KAIST Anti-Network Epidemic Framework)
12
계층적 구조를 갖는 대규모 네트워크에서의 협력적인 침입 탐지 및 대응 프레임워크 (WISC 2001에서 발표)
인간 의학의 전염병 대응 체계(방역)과 유사하게 사이버 침해를 다루자는 아이디어
History : KANE (2001)
Cooperative and Autonomous Methodologies
KAIST domain specific
Prevention : Vulnerability Scanning and Patching
Detection : Real time Intrusion Detection Recover
y : Restore before-the-attack system state Investi
gation : Trace Attacker Isolation : Isolate Attacked system to investigate and prevent from re-intrusion
Similar to medical epidemic control process
Network-based Anomaly Detection
Detect anomalous or malicious network packets
Focus on unknown or modified attacks
Investigation of protocol or program specification Applicatio
n IDS for Web server in INTRANET Environments Attack C
ategorization on detection attacks
• SAD (Session Anomaly Detection) • Web Session Anomaly Detection
• Computing the degree of anomaly compared to established usage PatternsUsing Web Sessions from raw Web Log data
• SAD Viewer • Visualization for Web Usage Pattern • Visualization for Anomaly and Misuse Detection in Web • Visually flag suspicious sessions using yellow or red flags
• Real Time Monitoring of Web Session
History : SAD (2003)
13
History : 웹 사이트 보안 수준 확인 시스템 (2007)
14
History : 악성사이트 분석 시스템 (2011)
http://d2.naver.com/helloworld/994
15
History : AD Injection
16
17
History : 서비스 어뷰징 추적 시스템 (2012)
네이버 카페 채팅방…
악성코드 유포하여 감염된 PC들이 자신의 블로그를 방문해서 ….
특정 ISP에서 네이버로의 연결이 원활치 않자 ….
18
History : 기억에 남는 일들
보안 사고를 예방하기 위해
위협을 사전에 파악하고
사고를 탐지, 분석하고
복구, 추적하는 일
시스템/네트워크 등 인프라 보안에서 서비스 보안
인적 보안
정책, 관리적인 보안
19
Naver Security
+ NAVER
20
-Privacy & Security (staff) : 보안 정책, 프라이버시 -Security (CTO) : 기술 보안
+ NBP -Security Center : 기술 보안
+ NITS : 보안 관제
+ I&S : 물리 보안
여러분의 Role Model은 ?
21
• 보안 관리자
• 보안 분석가
• 보안 개발자
• 보안컨설턴트
• 인증 심사자
• 감사자
• 법률가
• 보안 강사
여러분에게 펼쳐진 길은
22
Bug Hunter, 프리랜서 (pen-tester)
보안 업체 : 보안 컨설턴트, 보안솔루션 개발자
일반 기업 : 보안 실무자
공무원 : 행정자치부, 미래부, 국정원
학계 : 대학, 대학원생, 교수
연구자 : KISA, 금융보안원, 국가보안기술연구소, ETRI 등등
23
무궁무진해요
자부심
정의감
헌신
재미, 신선함, 기발함
24
보안분석가의 삶 : 일하는 보람
어떻게 공부할 것인가?
25
얘기를 들어봅시다 !
무료 교육 : COURSERA
26
무료 교육 : MOOCS
27
무료 교육 : K-MOOC
28
무료 교육
29
BOB
31
유료 교육
32
Self Study : Youtube
33
Self Study : webhacking.kr
34
Self Study : wargame.kr
35
Self Study : http://www.hackerfactory.co.kr/
36
국가기술자격 : 정보보안기사
37
분석적 사고
체계적
꼼꼼함
집요함
필요 스킬
책임감
38
창의력 기발함
윤리의식
필요 스킬
39
40
Keywords
41
열정 + 집중 + 기본기
Penetration Test (pen-test)
- is an attack on a computer system with the intention of finding security weaknesses, potentially gaining access to it, its functionality and data
42
Promising Security Area
Determining the feasibility of a particular set of attack vectors
Identifying higher-risk vulnerabilities that result from a combination of lower-risk vulnerabilities exploited in a particular sequence
Identifying vulnerabilities that may be difficult or impossible to detect with automated network or application vulnerability scanning software
Assessing the magnitude of potential business and operational impacts of successful attacks
Testing the ability of network defenders to successfully detect and respond to the attacks
Providing evidence to support increased investments in security personnel and technology
43
Penetration Testing
BUG Hunter
44
WARNING !!
45
시기 : 여름 (7월~8월) + 겨울 (1월~2월)
유형 : 체험형, 채용형
contact : [email protected] , [email protected]
46
Naver Intern
근무 환경
보안 과목 수강은 어떻게?
네이버에서의 보안은? 신뢰성은?
네이버 침해사고 발생시 대응
다른 회사/ 연구소에 비해 특별한 것들
보안엔지니어가 되기 위한 준비
보안 분야 기피에 대한 조언
48
사전 질문들 : 답이 모두 나왔나요?