Embed Size (px)
Citation preview
TMTM
보안 위험관리솔루션 -Skybox-Overview
June 2016
TMTM
대부분의 침해사고는예방이가능
가시화된네트워크 환경 부재
실용지식의부족
연결되지않은 보안 도구 및 데이터
전문지식교류의 부족
2
조직은공격면(attack surface)이존재하는것을이해하지못한다.
일반적인규칙준수만으로도침해사고의 97%는회피가능*
*Verizon Data Breech Investigation Report 참고
TMTM
많은 계층에서공격면(attack surface)이 존재
3
SECURITY CONTROLS
FirewallsIPSVPNs
NETWORK TOPOLOGY
RoutersLoad BalancersSwitches
ASSETS
ServersWorkstationsNetworks
VULNERABILITIES
LocationCriticality
THREATS
HackersInsidersWorms
Check Point
TMTM
TechnologyEnergy &Utilities HealthcareGovernment &
DefenseService
ProvidersFinancialServices Consumer
6
잠재적인 위협으로부터 공격 방지공격 제거
Compliance 관리
한정된 자원점점 복잡해져가는 인프라부족한 직접제어 및 통찰력
서로 다른 고객, 공통의 과제
TMTM
Skybox는 가시성과정보를제공
7
Automatically created, interactive, normalized model of your network
192.170.33.1Prod FW
192.169.1.1Main FW
200.160.1.3Partner 1 FW
200.160.3.0 / 24Partner 1 VPN
192.170.1.65Finance FW
192.170.1.64IPS
192.170.8.1Main Router
192.170.8.4Core Router
192.170.27.1Core Router
192.170.27.254BigIP Load Balancer
200.160.1.0 / 24Partner 1
0.0.0.0 / 0Internet
200.160.2.0 / 24Partner 2
192.170.34.0 / 24db
192.170.33.0 / 24
dmz 192.170.35.0 / 24
app0 192.170.36.0 / 24
app1
192.170.8.0 / 24Backbone
192.169.1.0 / 28GatewayEastA
192.170.1.64 / 28
GatewayNorth
192.170.1.80 / 28
GatewaySouth
192.170.25.0 / 24
financeWindows
192.170.27.0 / 24
financeServers
192.170.26.0 / 24
financeUnix
TMTM
보안정책 관리
네트워크 가시화
90개 이상 벤더의장비 표준화
경로검증
8
네트워크 모델링
정책 및 설정 확인
접근경로 분석
정책 최적화
변경관리
방화벽 분석
자동화된 감사
PCI DSS 3.0
FISMA
NERC
NIST
커스텀정책 입력 가능
Compliance모니터링
변경요청
기술 세부사항
위험평가
변경관리
조정 및 확인
변경 관리
네트워크 상황파악 보안평가 자동화 Compliance 준수 변경 프로세스 최적화
TMTM
취약점 & 위협 관리
9
스캔리스 취약점탐지
모든 서드파티취약점 스캐너 지원
취약점 정보 공급
최신상태 파악
발견
핫스팟 분석
공격 시뮬레이션
보완통제
네트워크 상황
비즈니스 임팩트
분석
위험자산 강조
위험 노출
사용자 정의보안지표
공격경로
히트맵
우선순위 지정
고 위험지역 식별
개선계획
티켓 및 워크플로우
대쉬보드 및 보고서
교정 & 추적
신속한 대응
TMTM
완벽한 가시화 광범위한 플랫폼 통합 인텔리전스 퍼포먼스& 확장성
뛰어난 지원
Skybox는 혁신적인접근방법을 제공
10
90개 이상의 보안솔루션과 연동
단 하나의 솔루션으로수많은 보안문제를
해결
최신 위협에 대응하는취약점 정보 제공
방대한 네트워크를지원하는 검증된 능력
세계적인 기술지원팀및 핸즈프리 관리
TMTM
기술부분
11
<tech>
TMTM
192.170.33.1Prod FW
192.169.1.1Main FW
200.160.1.3Partner 1 FW
200.160.3.0 / 24Partner 1 VPN
192.170.1.65Finance FW
192.170.1.64IPS
192.170.8.1Main Router
192.170.8.4Core Router
192.170.27.1Core Router
192.170.27.254BigIP Load Balancer
200.160.1.0 / 24Partner 1
0.0.0.0 / 0Internet
200.160.2.0 / 24Partner 2
192.170.34.0 / 24db
192.170.33.0 / 24
dmz 192.170.35.0 / 24
app0 192.170.36.0 / 24
app1
192.170.8.0 / 24Backbone
192.169.1.0 / 28GatewayEastA
192.170.1.64 / 28
GatewayNorth
192.170.1.80 / 28
GatewaySouth
192.170.25.0 / 24
financeWindows
192.170.27.0 / 24
financeServers
192.170.26.0 / 24
financeUnix
Skybox는 가시성과정보를제공
12
변경관리
Compliance 관리
정책최적화
보안정책관리 취약점 & 위협관리
교정
분석 & 우선순위화
발견
TMTM
아키텍쳐
13
TMTM
배포 다이어그램
기존 인프라와의 유연한 통합
자동화된 워크플로우
실 망에 영향이 없는 No Agent
티켓 시스템 제공
서드파티 시스템과의 연동을 위한 API 제공
어플라이언스, 가상 어플라이언스, 소프트웨어
14
Open – Integrated – Flexible
TMTM
소프트웨어구성요소
15
3rd Partye.g. Helpdesk,
Dashboard
HTTPSSkybox Certification Engine
FA, NA, VC, TM
Web Services / Files Exch
CMHTTPS
Java Swing GWT/ GXTGUI Client
(Windows, Linux)
Browser Web Client
(IE, FF, Chrome)
HTTPS
Reporting Engine Inetsoft
J2EE: Jboss
MySQL Database
J2EE: Jboss Perl Script
iXML
Client
Server
Collector
TMTM
네트워크 모델가시화
16
TMTM
보안 정책관리는네트워크의전반적인상황파악이필요
네트워크 상황
네트워크 크기, 복잡도
멀티-벤더 환경
17
접근경로 확인
위험 평가
핸드오프 개선
데이터분석 복잡하고자주 변경되는네트워크환경
변경관리
TMTM
일일 장비관리는디바이스 레벨의 접근이 필요
룰, 접근정책, 설정규칙
세그먼트 / Zone, 라우팅, NAT, VPN
라우터, 스위치, IPS, 방화벽
룰셋 간소화를 위한 최적화
18
디바이스레벨접근
TMTM
Access Analyzer네트워크 경로분석
라우팅
NAT
방화벽정책(ACL)VPN
19
Access Analyzer의 경로분석고려사항:
TMTM 20
Resellers
Europe
US
LosAngeles
Paris
London
NewYork
Development
Finance Servers
Partners
DMZ
Internet / External
Only port 80
Only ports 80, 8080, 443, 22
No Access
Firewall AssuranceZone-to-Zone 접근 Compliance
TMTM
Firewall Assurance지속적인 Compliance 모니터링
자동화된 정책 준수 확인
PCI DSS, NIST, FISMA, NERC, 커스텀정책
접근정책 위반 보기
예외 추적
21
Compliance 평가
TMTM
Network Assurance방화벽및 네트워크장비 모니터링
22
다음 사항의 완벽한 가시화
− 호스트, 장비, zone− 방화벽 정책(ACLs)− 라우팅, NAT, VPN
분석
− 위험한 접근경로− 접근정책 준수− 룰 사용율− 설정 플랫폼(권고사항)
TMTM
Change Manager변경관리 워크플로우최적화
변경 모니터링
정책 적용 전 위험평가
관련장비 식별
접근경로 정보의 즉각적인 전달
예외처리
변경사항 조정
23
변경관리프로세스자동화 변경요청
기술사항리뷰
위험평가
변경구현
조정 및 확인
TMTM 24
Skybox 분석엔진
요청기술세부사항
리뷰위험평가 구현 확인
비즈니스 및 기술요구사항 확인
Translate
경로확인
정책분석
정책위반 식별
취약점 노출수락 / 거부
권한자에 할당 관측된 변화에대한 조정
엑세스 확인
Change Manager변경관리 워크플로우
TMTM 25
NAT가 많은 환경은 대부분의 자동화 솔루션에서 문제 발생이슈 접근제어 Security Gaps
경로상의 모든 방화벽 식별 불가 ✓
경로상에 존재하는 방화벽의 잘못된 식별 ✓ ✓
잘못 식별된 방화벽 주소 관찰 ✓ ✓
전체 end-to-end 네트워크 식별을 위해 모든 NAT 정보 활용
방화벽 및 관련된 출발지 / 목적지 각각을 식별하기 위한 end-to-end상의 접근분석제공
오직 Change Manager만이 식별된 전체 네트워크를 사용
가장 정확한 변경계획을사용할수 있도록제공
Change Manager정확한 end-to-end 경로 발견
TMTM
요청 정당성 입증승인Rule, IP, object 또는service의 deprovision.조정
Deprovision워크플로우
경로분석위험분석메타데이터를 활용한provisioning.조정
26
생성워크플로우
자동화된티켓 생성
재인증또는 거부
정책 또는오브젝트 사용율?
정책 위반?
재인증 시기?
재 인증워크플로우
Change Manager정책 라이프사이클관리
TMTM
Vulnerability ControlSkybox 취약점데이터베이스 & 공격경로정보
27
Skybox 연구소는 20개 이상의 취약점 및공격근원 집계
1,800개 가량의 제품에서 50,000개 이상의취약점
제품, 취약점, IPS signatures, 패치, 멀웨어패턴(웜) 포함
CVE, CVSS v2 표준
− 공격 전제조건
− 공격 가능성
− 충돌 해소
전문 분석가들에 의해 추가된 독점 정보 제공
ADVISORIES SCANNERS IPS OTHERCisco PSIRTMicrosoft Security BulletinOracleRedHat
eEye RetinaIBM ScannerIMcAfeeFoundstone
Qualys GuardRapid7 NexsposeTenable NessusTripwire nCircle
Fortinet FortiGateHP TippingPointIBM Proventia
McAfee IPSPalo Alto NetworksCisco Sourcefire
CERTMitre CVENIST’s NVD
Rapid7 MetasploitSecuniaSymantec Security FocusSymantec Worms
− CVE에 공표되지 않은 취약점
− 교정 방법
− 상호 참조
일일 업데이트
TMTM 28
Skybox취약점
데이터베이스
보안모델에대한데이터수집
공격시뮬레이션
취약점검출
데이터표준화(취약점, IPS signatures) 공격경로정보
제품 및 취약점프로파일링룰
Vulnerability Control취약점데이터베이스의주요 용도
TMTM
Vulnerability Control취약점관리 과제
Skybox는취약점과공격경로를최소화하기위해 체계적인프로세스를제공
29
취약점식별
How do we prioritize for remediation?
데이터가 완전하고 최신인가?
제거 우선순위를 어떻게 정하는가?
중요한 자산이 위험한가?
TMTM 30
취약점우선순위부여새로운위협에대한 연관성확인
스캔리스취약점탐지 공격 시뮬레이션
자산 / 패치관리
활성스캐너
네트워크디바이스
제품카탈로그 (CPE)OS 버전 & 패치레벨어플리케이션버전 등
Skybox취약점
데이터베이스
취약점리스트(CVE)
제품프로파일링
Skybox취약점검출 task
Vulnerability Control취약점제어
TMTM 31
취약점리스트1제품프로파일링
제품카탈로그 2취약점프로파일링
제품패치
Microsoft 패치누락Daily Sync
제품 프로파일생성
취약점추출 룰 적용
Non-Microsoft 취약점
Use rule-driven approach for translating product banners into standard CPE format
Example:Microsoft Corporation | Microsoft SQL Server 2005 (64bit) | 9.4.5000.00→cpe:2.3:a:microsoft:sql_server::2005:sp4:::::x64:→CVE-xxxx-xxxx
Microsoft 취약점
추출룰 라이브러리
취약점탐지룰 라이브러리
시스템, 자산혹은패치관리
Hosts
Vulnerability Control스캔리스 취약점 탐지
TMTM 32
취약점
CVE 2014-0160
CVE 2014-0515
CVE 2014-1776
공격경로
위협에노출된파트너
악의적인내부자
인터넷해커
Vulnerability Control공격 시뮬레이션
TMTM 33
파이낸스서버군
접속경로
비즈니스임팩트
공격경로
잠재적인공격을어떻게차단할것인가?
파이낸스서버군에대한공격예상경로이다.
해당 공격은여러 네트워크영역(zone)에 걸쳐 공격하는
“multi-step” 공격이다.
Vulnerability Control공격 시뮬레이션 - 악용가능한공격경로검색
TMTM
Vulnerability Control여러 상황을모니터링가능한대쉬보드 제공
34
교정활동확인공격근원별취약점
위험수준별보기
TMTM
Appliance
Server class, Intel Based, 1U server
Manufactured by Patriot
OS – CentOS (Linux)
Software − Skybox Server software− Skybox Administration Web UI
(Apache, jQuery, Python)
35
2 models− 5500: 32 GB RAM, 8 threads CPU− 6000: 128 GB RAM, 16 threads CPU
Virtual appliance− Similar software as VMWare VM
TMTM
적용사례
36
<use case>
TMTM
위험분석 및 Compliance 검증
37
인터넷 자산에 대한 위험분석
정부 표준 정보보호관리체계(G-ISMS) 도입 필요
수작업 기반의 네트워크 자산 관리로 G-ISMS체계 구축 어려움
Firewall Assurance, Network Assurance, Risk Control
전 부대를 대상으로 G-ISMS체계 구축근거 제공
G-ISMS 적용으로 업무절차 표준화
사후 침해대응에서 사전 침해예방 중심의 정보보호 개념 변환
CHALLENGE – XX본부
SKYBOX SOLUTION
TMTM
네트워크 경로탐지및 방화벽관리
38
전체 방화벽 교체작업 필요
실제 서비스전 각 구성의 적합성 및 취약성 점검 필요
Firewall Assurance & Network Assurance
실제 네트워크 구축에 있는 문제점 보완 및 보안 강화
방화벽 정책의 사전 검증 및 자동화된 감사기능 활용
가시적인 구축효과 도출 및 보안 상황의 파악이 용이
SKYBOX SOLUTION
CHALLENGE – KOSCOM
TMTM
취약점분석 및 공격경로탐지
39
SCADA망의 취약점 분석 스캐너 부족
발견된 취약점에 대한 검증(자동화) 목적
취약점을 활용한 가상 경로탐지 시뮬레이션 연구 과제
Firewall Assurance, Network Assurance, Risk Control
스캐너로 탐지되지 않는 자체 발견 SCADA취약점에 대한 검증 자동화
Attack Explorer를 활용한 취약점 별 가상 시뮬레이션 환경 구축
구축 시 구성도와 상이한 네트워크 경로 발견으로 네트워크 맵 가시화
CHALLENGE – 한국전력연구원
SKYBOX SOLUTION
TMTM
취약점및 패치 관리
40
분산된 취약점 및 패치 프로세스
지속적인 모니터링 및 분석 부족
Network Assurance & Risk Control
수 분 내에 인프라 매핑 및 분석
1일 만에 치명적인취약점에패치 적용
위험 노출 감소
CHALLENGE – BARCLAYS 은행
• 26개 국가• 46개 규정
• 10만개 이상의 취약점• 하루 천회 이상 변경되는 정책
SKYBOX SOLUTION
TMTM
전사적보안 관리체계구축
41
방대한 방화벽 정책
서비스 성능 이슈
가시화된 네트워크(인프라) 구성도 미 존재
정책 변경의 영향분석 불가
Firewall Assurance, Network Assurance, Risk Control Network Map을 통한 가시화된네트워크구성도제공잠재적인 변경 위험의 신속한 평가
이 기종 방화벽통합관리로, 주요인력 투입 절감운영 및 위험측정 보고서 제공
CHALLENGE – 글로벌 양조회사
SKYBOX SOLUTION
TMTM
주요 고객사
42
TechnologyEnergy &Utilities HealthcareGovernment &
DefenseService
ProvidersFinancialServices Consumer
Thank you
㈜크라비스커뮤니티부장 서용진
010-7147-6028
