Post on 03-Sep-2019
지속적으로 변하는 사이버공격에 적합한 보안관제 방안
2013. 4
I. 변화하는 사이버위협
II. 그래서 필요한 것은
III. 그래도 부족한 몇 가지
IV. 이제는
변화하는 사이버위협
최근 발생한 사이버위협 및 주요 이슈
최근 발생한 사이버위협 및 주요 이슈 (계속)
변화하는 사이버위협
주요 국내·외 보안사고 사례 - 년도별 정보유출 현황 자료출처 : OSF (Open Security Foundation)
2005년부터 침해사고 에 대한 이슈 및 단속 증가
정보에 대한 가치 & 중요성 증가
※ OSF (Open Security Foundation) : 전세계에 발생한 정보유출사건에 대해 관련 언론보도나 자료 등을 다양한 채널을 통해 신고받아 통계하는 조직
변화하는 사이버위협
주요 국내·외 보안사고 사례 - 세계 정보유출 사고 자료출처 : OSF (Open Security Foundation)
세계 정보유출 사고 중 국내사고 중 SK 컴즈, NEXON(19위), GS Caltex(21위) 가 등록
변화하는 사이버위협
DDoS
변화하는 사이버위협
Layer 7 DDoS Attack
BSS Attack
아주 자그마한 공격 툴과 패킷 만으로도 서비스를 마비시킬 수 있다.
[좀비 서버를 이용한 공격 BSS DDoS ]
Web Attack
변화하는 사이버위협
SQL Injection, XSS Attack
돌직구 공격 - Bruteforce attack
24시간 언제든지 공격이 가능하다. 그리고 뚫는다.
악성코드
변화하는 사이버위협
사용자를 대상으로 다양한 SNS 를 통해 공격을 수행한다.
결국 뚫릴 수 밖에 없다.
감염시킬 수 있는 경로가 너무나 많다. 다양한 수단과 사람(?)이 존재한다.
공격 종류: 문서형 악성코드 공격
공격 타깃: 일본 정부기관/기업
Trojan.Bisonal
우회되고 있는 방어 기술들
방화벽, IPS/IDS, 인증 토큰 VPN, URL 필터링 DNS 기반 탐지 스팸차단, 백신
1단계 - 이용자 단말 침투
Drive-by 이메일 링크
첨부파일
2단계 – 초기 감염
Dropper 악성코드 C&C로 연결 (내부 외부)
3단계 – 관리 체계 구축
개인정보 유출/다중 감염 체계 장기간 관리 체계 구축
Cyber Threat Key = Persistence
변화하는 사이버위협
Success or failure, they will try again and again
Persistence requires
- Playbooks
- Infrastructure, including automation
- Organizational structure
- Supply chain
Persistence is the most significant factor in cyber Security today
공통점
그래서 필요한 것은
수년간 지속적으로 제기된 Keyword : Management
2008 2009 2010
2013 2012 2011
트랜드
그래서 필요한 것은
보안관제의 변화
= 保安管制
= Security Monitoring (협의적)
→ 사이버공격을 탐지하는 활동
= Security Monitoring & Control (광의적)
→ 탐지, 분석, 대응까지 포함하는 일련의 활동
= Security Monitoring & Analysis & Control & Management
→ 탐지, 분석, 대응, 관리 까지 포함하는 일련의 활동
그래서 필요한 것은
보안관제를 하면 다 막을 수 있을까요
아직 2% 부족합니다.
그래서 필요한 것은
통념상 - 3가지 잘 이루어 져야 한다.
그래도 부족한 몇 가지
능력 있는 운영 인력
지속적인 교육수행
튼튼한 조직구성
보안관리표준에 맞는
운영 프로세스 적용
체계적인 운영 및 관리
프로세스
업무 특성에 맞는 프로세스
사업에 적합한 보안장비
검증 받은 보안장비
장비 업체의 지원
사람 + 프로세스 + 장비 3박자 조화로 균형이 잡힌 보안관제가 이루어 져야 한다.
보호를 하려면 모든 길목을 지켜야 한다. 그리고 봐야 한다.
정확한 현황 분석, 모든 침입경로에 대한 이벤트 수집
그래도 부족한 몇 가지
로그와 이벤트를 구분할 줄 알아야 합니다.
로그
- 정보화 장비 및 네트워크 운영 과정에서 발생하는 모든 내용들이 발생시간 등과 함께
기록된 자료
- 방화벽 로그, 시스템 로그, 웹로그 등
로그와 이벤트의 적절한 연관분석을 통해 보안관제의 정확도를 높일 수 있다.
이벤트
- 실시간으로 발생하는 많은 사건 중 의미가 있는 것만을 추출한 데이터
- IDS/ IPS, 웹방화벽 등
그래도 부족한 몇 가지
그 어느 곳 하나 취약해서는 안됩니다.
보안은 100 -1 ≠ 99, 100 – 1 = 0 이기 때문이다.
공격자들은 한번만 성공해도 되지만, 방어하는 사람은 매번 성공해야 한다.
정기적인 취약점 점검 및 모의훈련 등을 통해 시스템, 프로세스 등의 취약점을 보완해야 한다.
그래도 부족한 몇 가지
Vulnerability-day Attack 을 조심해야 합니다 .
보안 조치에 걸리는 시간 : 평균 3일 이상
공격자는 조치 시까지 기다려 주지 않는다.
도출된 취약점에 대해서 조치 시까지 High Rule 적용을 통해 집중 관제가 수행되어야 한다.
그래도 부족한 몇 가지
이제는
이제 필요한 것은 기술력
대용량 로그처리 기술
- Big Data(다양한 형식의 대용량 로그 처리), 빠른 검색시간 제공, 분석처리 기반의 확장성
정보와 로그의 융합기술
- 관제결과의 정보와 로그와의 융합된 연관성 정보를 획득하기 위한 방법과 절차 등의 자동화
악성코드 분석 기술
- 전문가 분석 시간을 줄일 수 있는 자동화된 분석 기술, 분석패턴 DB 공유화 방법
네트워크 패킷 분석 기술
- 원본 패킷 저장 기술, 자동화된 난독화 패킷 해석기술, 자동화된 데이터 추출 및 검색 기능
모바일 환경 보안기술
- 스마트기기의 보안적용 기술, 모바일과 클라우드 환경에서의 보안위협 탐지 기술
이제는
다양한 위협에 대해 : Protect – Detect - Response
<Detect - Big Data Forensics>
<Protect - Threat Intelligence>
<Response – Active Defence>
빅데이터, 상황인식 등을 통한 보안관제
이제는
지능화된 공격(APT)에 대한 대응 - Cyber Kill Chain
최근 공격의 Key : persistent, 대응의 Key : Intelligence, 방어체계 : Cyber Kill Chain
공격의 마지막 단계에서 분석 및 탐지 대응을 하는 게 아니라 초기 단계로 이동
How to really be proactive
이제는
Trusted info sharing
Regimented intel consumption
Campaign tracking
Trending, forecasting
Mission partners, especially law enforcement & intel community
이제는
Intelligence
Understand adversary’s techniques, process, supply chain
Layer resilience against every component
Trend and forecast to anticipate the next move
Intelligence is key to defeating persistent threats