제공하는 BigLook WASS 제안서 -...
33
이 제공하는 소스코드 통합 보안관리 시스템 BigLook WASS 제안서
Transcript of 제공하는 BigLook WASS 제안서 -...
이 제공하는 소스코드 통합 보안관리 시스템
BigLook WASS 제안서
1. 회사 소개
2. BigLook WASS 개요
3. 상세 기능 소개
4. 적용 사례 및 기대 효과
3
1. 회사소개 1.1 개요
유무선 통합 및ICT 기술 서비스 리더 기업
설립연도 : 1984년 3월
무선인터넷, 이동전화, 유무선 네트웍서비스
소프트웨어 개발 및 해외투자사업
T-biz 그룹웨어 서비스 오픈 (2012)
Cloud SAP, CRM 서비스 오픈 (2012)
구글 오피스팩 전자결재서비스 오픈 (2011)
유무선 통신 통합 1위 달성 (2011)
국가고객만족도 14년 연속1위 선정( 2011)
국내 최초 Cloud 컴퓨팅 플랫폼 구축(2009)
4
1. 회사소개 1.1 개요
㈜이븐스타는 소스코드 취약점 분석 / 개발자 작업 이력 관리 / 웹 취약점 분석 / 비인가 소스코드 변경
통제 기능을 제공하는 BigLook WASS를 중심으로 보안 솔루션을 판매 및 서비스 하고 있는 회사입니다.
애플리케이션 개발단계부터 소스 코드 취약점을 점검 하며 운영 및 유지보수 단계까지 애플리케이션 보안
솔루션을 제공함으로써 소프트웨어 개발 전체 과정에 대한 통합 보안 관리 기능을 지원합니다
전사 보안을 위해 다양한 제품과 연동을 하고 있으며 스마트폰 앱에 대한 취약점 분석 등을 수행할 수
있습니다.
애플리케이션 소스 코드 취약점 분석 솔루션 서비스 제공
BigLook WASS
소스코드 통합 보안관리 시스템
BigLook WASS Fuzzer
웹 취약점분석 시스템
5
1.1 개요
GS인증 CC인증
1. 회사소개
6
특허2 특허1
특허3
1. 회사소개 1.1 개요
7
1. 회사소개 1.3 제품 및 서비스 소개
BigLook Analyzer 보안로그 분석 시스템
보안 취약점 웹 로그 분석 / 보안 사고 추적 /
실시간 해킹 시도 모니터링 / 홈페이지 접속 통계
BigLook WASS Fuzzer 웹 취약점분석 시스템
OWASP Top 10 취약점 점검 / 국정원 8대 취약점 점검 /
Active-X 연동 / 온라인 업데이트 / 취약점 해결방안 제시 / 개인 정보 노출 점검 / 네트워크 취약점 분석
BigLook Service 웹 보안 컨설팅
모의 해킹 / 소스코드 점검 / 보안로그분석 / 보안대책수립
BigLook WASS 소스 코드 통합 보안관리 시스템
소스 코드 취약점 분석 / 개발 작업 이력 관리 /
웹 취약점, 개인 정보 노출 분석 / 웹 소스 무결성 감시
8
1. 회사소개 1.4 고객 리스트
BigLook WASS
10
1. 회사소개 1.4 고객 리스트
BigLook Service
11
2. BigLook WASS 개요 2.1 필요성
애플리케이션 공격 증가 보안 완성도에 대한 동기 부족
보안 취약 여부 확인의 어려움 보안 규정
소스와 관련된 전체 개발 과정을 통합하는 보안관리 체계가 필요
소스코드 보안 취약점 점검
소스코드 취약점 점검 도구의 필요성
12
주관 관련 규정 내용 시점 비고
행정안전부 정보시스템 구축.운영 지침 개정안 행정 예고
•SW개발 단계부터 보안 약점 제거(시큐어코딩) 의무화 (12-40억, 14년1월-20억, 15년1월 감리 대상 전 사업 대상) •감리법인은 보안약점 제거 여부 반드시 포함 •점검 툴은 CC인증 제품 사용
2012.05 인프라 투자보다 개발단계부터 취약점 제거 중요 – 장광수 정보화전략 실장
시큐어코딩 입법화
•2011년 11월 최종 공청회 완료 •2012년 내 시큐어코딩 관련 입법 예고 준비
2011.11 관련 기사
금융감독원 금융위원회
금융회사 정보기술(IT)부문 보호 업무 모범규준
•금융회사는 어플리케이션 취약점에 대해 정기평가를 실시하고 이를 30일 이내 금융위원회에 보고하여야 한다. •금융회사 등은 추진하고자 하는 정보기술부문 관련 사업에 대해 실제 업무에 적용하기 전에 취약점 분석․평가를 실시하고 필요한 보완 조치의 이행을 완료하여야 한다. (1) 전자금융기반 시설의 신규 설치 또는 교체․변경하는 사업 (2) 홈페이지를 신규로 개설 또는 변경하는 사업 (3) 새로운 정보기술(IT) 또는 전자적 장치 등을 활용하여 전자 금융거래를 처리하는 사업 (4) 정보처리 시스템 개발, 운영 등 정보기술 부문과 관련된 업무에 대한 제휴, 위탁 또는 외부주문(이하 “외부 주문 등”라 한다) 사업
2011.11
2. BigLook WASS 개요 2.1 필요성
13
2. BigLook WASS 개요 2.2 개요
구 분 내 용
제품 용도 소스코드 보안 취약점 점검
제품 명 BigLook WASS
제품 특징 • 간단한 설치와 Web 인터페이스로 사용이 편리 • 자동화된 점검 설정으로 업무효율 향상 • 계정 별로 권한 부여해 권한별 다중 개발 프로젝트 점검이 가능
지원 언어
• JSP, Java • Android Java • ASP, PHP • C / C++, .NET
BigLook WASS는 Java, C/C++등의 다양한 언어의 소스코드 취약점 분석 도구 입니다.
BigLook WASS는 애플리케이션 보안 사고로부터 애플리케이션과 데이터를 보호할 수 있도록 취약점의 근본적인 문제 및
보안성을 향상시킬 수 있는 방법론을 제공합니다.
BigLook WASS는 모바일 앱 취약점 점검이 가능합니다.
BigLook WASS 제품 개요
14
Management
권한 관리 / 이력 관리
Monitoring
소스코드 위.변조 모니터링
Dynamic Analysis
웹 취약점 점검 /개인정보노출
점검 / 네트워크 취약점 점검
Static Analysis
소스 코드 취약점 분석
2. BigLook WASS 개요 2.3 주요기능
소스코드 보안 취약점 점검
BigLook WASS 주요 기능
15
2. BigLook WASS 개요 2.4 흐름도
QA 운영서버 이관 전 전수검사
BigLook WASS Manager
소스코드 취약점 분석 개발자 접근 및 권한 통제 작업이력 추적 및 관리 위변조 탐지 및 자동 복구
Code Check In
BigLook WASS Fuzzer
소스코드 취약점 분석 소스 작업이력 추적 파일권한/이력 관리 취약점 이력 관리 파일 백업
품질/보안 검수 제품 릴리즈 관리
개발 개발자 스스로 개발단계에서 점검
배포 및 운영 소스코드 수정 시
실시간 점검
BigLook WASS Agent
웹 취약점 분석 개인정보 노출 점검 보고서 생성 네트워크 취약점
분석
사용자 인증 사용자 권한 통제 개발 작업시 소스코드 취약점 분석 버그 수정
파일 버전 관리
개발자
리포트 전송
취약점 분석
시스템 구성 요소: Manager, Agent, Fuzzer의 3가지 요소로 구성됩니다.
소스 코드 자동 복구
개발자 관리자
16
웹 페이지 전체 링크 및 링크의 취약점 분석
개발자의 개발 소스 작업 시 자동으로 수행
3. 상세 기능 소개 3.1 취약점 분석
취약점 분석은 소스 코드를 대상으로 하는 정적 분석과 운영중인 웹 사이트를 대상으로 하는 동적 분석을 동시에 수행할
수 있습니다. 분석 데이터는 같은 DB에 저장됩니다.
소스개발 작업
BigLook WASS Manager
작업이력 추적
소스코드 취약점분석
소스코드 취약점분석
수집된URL 취약점분석
웹 페이지 URL수집
BigLook Fuzzer
웹 취약점 분석
BigLook WASS
개발자
취약점 분석
DB
소스코드 취약점 분석 웹 취약점 분석
17
자동 소스코드 취약점 분석
개발자 (개발 뷰어)
개발자는 소스개발 전용 인터페이스(개발 뷰어)를 통해 파일 업로드, 편집 등을 수행하며, 필요 시 타 개발도구 연동기능
을 통해 작업을 수행할 수 있습니다. 소스 개발 작업시 자동으로 소스 코드 취약점 분석이 수행됩니다.
웹 서버 배포
3. 상세 기능 소개 3.2 개발 작업
Manager
소스코드
개발작업
18
3. 상세 기능 소개 3.3 소스코드 취약점분석(샘플)
소스코드 취약점 분석(샘플)
소스취약점분석보고서
소스코드취약점분석상세정보
19
3. 상세 기능 소개 3.4 개발자 작업권한 통제
개발자별로 권한을 부여해서 권한내의 소스작업만을 할 수 있도록 합니다. 권한 밖의 작업에 대해서는 접근을 불허합니다.
웹 서버 1
웹 서버 3
웹 서버 2
접근제한
접근허용
접근제한
전체 운영자 최상위 권한을 가지며 하위 사용자 추가 및 권한을 할당할 수 있는 사용자 사이트 운영자 전체 사용자의 권한을 위임 받아 하위 개발자를 추가하고 관리하는 사용자 개발자 개별 혹은 다수의 도메인에 대한 작업 권한을 가지는 사용자
사용자 권한별 기능
개발자
개발자 관리자
Manager
개발자 작업권한 통제
20
3. 상세 기능 소개 3.5 인가자 작업이력
개발뷰어를 통해 작업을 수행한 사용자(인가사용자)의 작업내역은 실시간으로 추적되어 소스변경관리 모니터링을 수행
할 수 있습니다.
파일 폴더
생성 수정 삭제 다운로드 생성 수정 삭제
21 15 10 8 6 0 9
웹 서버 개발자
화면
작업 이력 추적
소스 코드 변경 관리
Manager
소스코드
인가자 작업이력
21
파일정보모니터링
3. 상세 기능 소개 3.6 비인가자 작업이력
서버에 직접 접속한 사용자(비인가사용자)의 작업내역은 실시간으로 추적되어 소스변경관리 모니터링을 수행할 수 있습
니다. 비인가 사용자의 작업내역은 BigLook WASS에 의해 원복되도록 설정할 수 있습니다.
BigLook WASS
Manager
개발자
개발자
Library
3.0 2.0
원본파일 위변조 파일
1.0
Library
Agent
비인가자 작업이력
비인가 사용자 작업
인가 사용자 작업
22
3. 상세 기능 소개 3.7 웹 취약점 분석
웹 사이트의 프로그램 및 설정 등 취약점 전체를 검사하기 위해 사용하며, 해당 결과는 Manager로 전송하여 취약점이력
을 관리할 수 있습니다.
(2) 이력보기
BigLook WASS
Manager
관리자
(1) 결과 전송
웹 취약점 분석
23
BigLook WASS는 ㈜잉카인터넷의 악성코드 점검 시스템(타키온 라이브)과 연동됩니다. 이를 통해 운영서버에 업로드 되는 개발자 파일과 사용자 첨부 파일의 악성코드 감염 여부가 체크됩니다. 현재 타키온은 약 420만개의 악성코드 패턴을 제공합니다.
BigLook WASS
3. 상세 기능 소개 3.8 악성코드 점검
24
금융권 등에 많은 고객을 확보하고 있는 에이치투오시스템테크놀로지㈜사의 리포트 제품인 ReportShop 을 번들하고 있습니다. 이를 통해 리포트를 고객이 원하는 수많은 형태로 커스터마이즈 할 수 있고 다양한 차트를 제공할 수 있습니다. 모든 WASS 제품 군에 탑재됩니다.
•자체 개발한 차트를 제공하며 선 차트, 바 차트, 영역차트, 2D/3D차트, 파이차트, 복합 차트 등 다양한 차트 기능 및 타사의 차트 툴과도 연동 가능
•자체 개발한 차트를 제공하며, 동시에 고객 맞춤형 차트를 제작 지원
▼ 다양한 형태의 차트 구성 가능 ▼ 고객 맞춤 차트 추가 개발 가능
▼ ReportShop Chart
3. 상세 기능 소개 3.9 상용리포트 툴 제공
25
3. 상세 기능 소개
취약 유형의 이름에 대한 패턴(test, admin 등)을 등록하여 생성을 차단하거나 이미 존재하는 취약한 이름 정보를 탐지합
니다.
취약유형 패턴 차단 기능
이름 바꾸기 차단
업로드 차단
업로드 허용
a.asp
test.asp
testadmin.asp 이름 바꾸기 허용
b.asp
취약유형 패턴 검색 기능
drwx------+ 14 charlie_admin 없음 0 Oct 28 22:15 . drwx------+ 3 charlie_admin 없음 0 Oct 21 12:13 .. -rw------- 1 charlie_admin 없음 6543 Nov 1 10:43 .bash_history drwx------+ 2 charlie_admin 없음 0 Oct 21 13:17 .ssh drwx------+ 4 charlie_admin 없음 0 Oct 21 12:13 .texmf -rwx------+ 1 charlie_admin 없음 6187 Oct 23 10:03 test.asp -rwx------+ 1 charlie_admin 없음 8770 Oct 23 10:03 Crypt-Random- -rwx------+ 1 charlie_admin 없음 51261 Oct 22 19:36 blabla.html drwxr-xr-x+ 5 charlie_admin 없음 0 Oct 22 19:44 admin.asp
패턴 검색
개발자
개발자
폴더, 파일 이름 통제
3.10 폴더, 파일 이름 통제
26
소스 컨트롤
CVS
소스코드 정책을 소스 컨트롤 시스템에서 강제
전사 테스트를 위한 테스트 관리 프로세서에 통합
테스트 관리
버그 자동 할당, 통보, 수정에 대한 검증 시스템 통합
버그 트래킹
비인가 변경 파일에 접근하는 정보를 웹 방화벽에서 차단
웹 방화벽
3. 상세 기능 소개
BigLook WASS
관리자
타 시스템 연동 (Integration)
3.11 타 시스템 연동 (Integration)
27
Commercial Bed
BigLook WASS Agent BigLook WASS Agent
Test Bed
BigLook WASS Agent
BigLook WASS Manager
1) 소스 파일을 BigLook Manager에게 전송한다.
2) BigLook Manager는 형상관리 시스템에 소스 파일을 저장한다.
4) BigLook Manager는 형상관리시스템의 소스 파일을 컴파일을 한다.
3) BigLook Manager에게 배포를 수행하도록 요청한다.
5) BigLook Manager는 컴파일이 완료된 파일을 BigLook 에이전트를 통하여 배포한다.
BigLook WASS 다양한 형상관리 툴과 연동됩니다. 형상관리 시스템의 소스를 인가 파일로 인식하여 직접 취약점 분석을 할 수 있습니다. 경우에 따라서는 형상관리 시스템의 소스와 운영 시스템의 소스를 비교함으로써 파일 정합성에 대한 정보도 제공할 수 있도록 구성 시킬 수 있습니다.
[형상관리 연동 사례]
3. 상세 기능 소개 3.12 형상관리 연동
28
4. 적용 사례 및 기대 효과 4.1 적용사례
전사 개발 환경을 지원하기 위해 개발 서버의 모든 소스코드의 취약점 분석을 위해 개발서버에 매니저와 에이전트를 같
이 탑재하여 모든 개발 소스에 대한 분석을 수행합니다. 단 비인가 사용자와 같은 내용은 탐지되지 않습니다.
배포서버 BigLook WASS
Manager/Agent, 배포서버
서버
서버
서버
배포전 소스코드 취약점 분석
적용사례 : 전사 개발 환경 지원
개발자
개발자
29
CVS(형상관리)를 사용하는 고객은 현재의 업무 흐름에 BigLook WASS와 통합 환경을 구축하여 사용할 수 있습니다. 배포
서버의 파일을 인가자 파일로 인식되도록 BigLook WASS를 커스터마이징하여 통합 환경을 구축합니다. 배포서버에 의해
배포되는 파일은 인가자 파일로 인식되어 보안 취약점 분석을 수행하게 됩니다.
CVS / 배포서버
BigLook WASS Manager
개발자 (CVS사용자)
BigLook WASS Agent
개발자 (CVS사용자)
4. 적용 사례 및 기대 효과 4.1 적용사례
적용사례 : CVS 사용 고객
30
소개
배경
도입효과
4. 적용 사례 및 기대 효과 4.1 적용사례
한국기초과학연구원 (KBSI)
출처: 데일리그리드 리서치센터, 한국기초과학지원연구원 정적분석 툴 도입 성공사례, 2010년 10월
31
4. 적용 사례 및 기대 효과
개발 주기 측면
관리 측면
보안 측면
모든 수 많은 애플리케이션에 대한 보안 취약점 점검 수행
제한된 관리 리소스로 운영 가능한 프로세스 확립
각종 보안 사고에 대응할 수 있는 체계 구축
개발 주기 내에 적용하여 애플리케이션 소스 코드 취약점에 대한 근본적인 문제 해결
전체 개발 프로세스에 적용하여 취약점 점검 프로세스화
자동화 프로세스를 활용한 개발자와 관리자간의 효율적인 취약점 관리 프로세스 확립
기존 개발환경의 수정 없이 자동화된 취약점 진단 프로세스 구축 가능
행안부 보안 코딩 가이드, 국정원8대 취약점, OWASP TOP 10, CWE/SANS TOP 25를 만족시키는 보안 수준 구축
단계별 취약점 점검프로세스를 적용하여 수정 비용의 최소화
4.2 기대효과
기대효과
32
비전
즐겁고 안전한 인터넷 세상을
구현하는 기술 개발
유연성
폭넓은 활용방안
높은 고객 만족도
국내기술,
빠른 제품 업그레이드
검증된 제품
100여 고객, CC, GS 인증
4. 적용 사례 및 기대 효과 4.3 Why SKT?
BigLook WASS
Why SKT?
