2.IBM Advanced Threat Protection Platform · 2012-09-13 · IBM Security for Infrastructure Threat...

1 © 2012 IBM CorporationIBM Security Systems

IBM Security Systems

© 2012 IBM Corporation

점점점점점점점점 지능화되는지능화되는지능화되는지능화되는 보안보안보안보안 위협에위협에위협에위협에 대한대한대한대한 해답해답해답해답

IBM Advanced Threat Protection Platform!

IBM Security SystemsClient Technical Professional

김 형 욱 차 장


Security Threats Are Accelerating- Advanced Persistence Threat


Targeted and More sophisticated attack


JK 2012-04-26

기업과기업과기업과기업과정부를정부를정부를정부를흔드는흔드는흔드는흔드는표적표적표적표적공격공격공격공격

Source: IBM X-Force® 2011 Trend and Risk Report

S사

Epsilon

FinnishGovernment

Sites

178.com

ValveSteam

7k7k.com

Tian.ya

Diginotar

Monsanto

Trion

CSDN

Duowan

Nexon

Epson

TGKK

Adidas

BoozAllen

Hamilton


Advanced Persistent Threat 은은은은다르다다르다다르다다르다

특정 대상의 기밀정보나 정치적 목적을 위해 최신의 복합적인 공격 기법과방식들을 통해 지속적으로 위협을 가하는 형태

Advanced� 보고되지 않은 취약점 악용 (zero day)� 기존 백신, 보안 제품 우회하는 공격 사용� 협업과 연구 기반의 다양한 공격 수행

Persistent� 수 개월에서 수년에 걸친 공격 수행� 발각에 대한 방해 및 조치 회피 시도 (내성)

Threat� 무작위 공격이 아님� 기밀 정보 획득을 위해 조직내에 특정 개인

또는 그룹을 목표로 삼음� 자동화된 툴에 의존하지 않고 사람이 개입

1

2

3


미디어를미디어를미디어를미디어를통해통해통해통해바라바라바라바라본본본본 APT…


Advanced Attacker 의의의의공격공격공격공격준비준비준비준비

� 목표 대상 회사의 웹사이트, 구글링, 구글 뉴스 등을 검색

– 누가 근무하는가? 그 사람들의 타이틀은?

� LinkedIn, Facebook, Twitter 등의 프로파일 검색

– 누가 이 사람들과 연결되어 있는가?

– 조직도에 빈칸 채우기

� 최종 목표(기밀정보)와 누가 연관되어 일하고 있는가?

– 보고 체계는 어떻게 되는가?

– 그들의 친구는 누구인가?

– 그들의 관심사는 무엇인가?

– 그들의 이메일 주소는 무엇인가?


� 사회 공학기법을 통한 개인 맞춤화 공격에 속수 무책

99% 당하는당하는당하는당하는공격공격공격공격 - Spear Phishing 증가증가증가증가


IPS/IDS

Anti-Virus

FIREWALL

Advanced Threat 에에에에대한대한대한대한보안보안보안보안장비의장비의장비의장비의한계한계한계한계

� 전통적인 기술에 고착

� 우회 공격 기술에 매우 취약

� 1회성 공격 탐지 초점

� 개별포인트 솔루션에 의존

� 수개월에서 수년에 걸친 공격 탐지의 어려움

� 폭발적으로 증가하는 어플리케이션 통제

� No Visibility, No Control

� 클라이언트를 노리는

공격 증가 대응에 무방비

10 © 2012 IBM CorporationIBM Security Systems10

IBM Advanced Threat Protection Platform


IBM Security

9 Security Operations

Centers

9 SecurityResearchCenters

133MonitoredCountries

20,000+Devices under

Contract

4,000+MSS ClientsWorldwide

13 Billion+EventsPer Day

Global Security Infra

• 보안 연구소 X-FORCE• 5개 대륙에 9개 관제 센터• 133개국의 세계 각국에서 보안 관제 센터 운영• 글로벌 위협 관리 센터 (GTOC)• 48,000개 이상의 취약점 분석 정보 보유• 15,000명의 연구원 및 개발자들이 보안을 고민

X-FORCE Research

• 전세계 기업 보안 연구소 중 가장 잘 알려진연구소

• 100억개 - 웹페이지 및 이미지 분석• 1억5천개 - 매일 침입 시도 분석• 4천만개 - 스팸 및 피싱 공격 분석• 5만1천개 - 문서화된 취약점 분석• 수 백만개 - 악성 코드 샘플 분석• 1000건 이상의 보안 특허 기술 보유• 평균 최근 위협보다 341일 앞선 방어를 제공

Ahead of the threat. TM

Advanced Technology


IBM Security for Infrastructure Threat Protection

Advanced Threat Protection Platform

최신 위협으로 부터 선제적 방어와실시간 위협 정보와 보안 인텔리전스를 연계해 비정상적인 네트워크 행위를 탐지

Expanded X-Force Threat Intelligence

X-Force에 의해 수집된 전세계 위협에 대한 대응 및 해당 데이터의 예측을 통해 보다 스마트한 보다 정교한보안 의사 결정을 수행

Security Intelligence Integration

Advanced Threat Protection 플랫폼과 QRadar Security Intelligence 플랫폼의 통합을 통해 탐지, 조사, 조치에대해 독창적이며, 의미 있는 방식을제공

Log Manager SIEMNetwork Activity Monitor

Risk Manager

Vulnerability Data Malicious Websites Malware Information IP Reputation

Intrusion Prevention

Content and DataSecurity

Web ApplicationProtection IBM Network

Security

SecurityIntelligencePlatform

Threat Intelligenceand Research

Advanced Threat ProtectionPlatform

Future

FutureNetwork Anomaly Detection

ApplicationControl

+

U

+U

Focus on Prevention Focus on Detection


Others


Network IPS GXNetwork IPS GX

Network Protection XGSNetwork Protection XGS

SiteProtectorSiteProtector

QRadar Network QRadar Network

Anomaly DetectionAnomaly Detection

Network Devices(Flow)

VFlow

QFlowScannersAppScanHost

Protection

NetworkLayer 7(Protocol Analysis)

Virtualization

ServerProtection

OS/DHCPSecurityDevices

SecurityIntelligencePlatform

Threat Intelligenceand Research

Advanced Threat Protection Platform

Focus on Prevention


IBM Security Network IPS

IBM X-FORCE 보안보안보안보안 연구소의연구소의연구소의연구소의끊임없는끊임없는끊임없는끊임없는 연구개발연구개발연구개발연구개발 노력으로노력으로노력으로노력으로

선제적선제적선제적선제적 보안을보안을보안을보안을 제공제공제공제공

가상가상가상가상패치란패치란패치란패치란?소프트웨어취약점보호

왜왜왜왜중요한가중요한가중요한가중요한가? 2011년취약점의36%는벤더에서취약점패치를제공하고있지않음

위협위협위협위협탐지탐지탐지탐지및및및및방어란방어란방어란방어란?광범위한위협에대한탐지및방지

왜왜왜왜중요한가중요한가중요한가중요한가?지속적인시그너처업데이트를통해새로운위협에대응

데이터데이터데이터데이터보안이란보안이란보안이란보안이란?개인정보나기밀정보에대한모니터링

왜왜왜왜중요한가중요한가중요한가중요한가?개인정보나기업의기밀정보를보호함

WAP는는는는무엇인가요무엇인가요무엇인가요무엇인가요?SQL 인젝션, XSS와같은웹어플리케이션레벨의공격에대한방어

왜왜왜왜중요한가중요한가중요한가중요한가? 보안위협의진화와컴플라이언스요구사항을 둘다만족하기위해서는보안능력을확장해야함

어플리케이션어플리케이션어플리케이션어플리케이션통제란통제란통제란통제란?기업네트워크상의어플리케이션에대한관찰및통제

왜왜왜왜중요한가중요한가중요한가중요한가?기업보안정책과거버넌스를반영하여네트워크어플리케이션과서비스접근을강화

CS 어플리케이션어플리케이션어플리케이션어플리케이션보호보호보호보호?MS오피스, 어도비PDF, 웹브라우저와같은사용자어플리케이션보호

왜왜왜왜중요한가중요한가중요한가중요한가? 개인 PC에영향을주는취약점이꾸준히증가

Client-Side (CS) 어플리케이션어플리케이션어플리케이션어플리케이션보호보호보호보호

웹웹웹웹어플리케이션어플리케이션어플리케이션어플리케이션보호보호보호보호 (WAP)

위협위협위협위협탐지탐지탐지탐지및및및및방어방어방어방어 Data SecurityApplication ControlVirtual Patch

IBM Network IPS

사용자사용자사용자사용자정책이란정책이란정책이란정책이란?범용적인 Snort 기반정책을통해모니터링

왜왜왜왜중요한가중요한가중요한가중요한가?기업환경에필요한사용자정책을빠르게작성, 적용함으로외부의위협으로부터보호

사용자사용자사용자사용자정책정책정책정책

Custom Rules

NEW

Intrusion Prevention


Web ApplicationProtection


IBM NIPS > Protocol Analysis Module (PAM)

� IBM 위협완화 보안 솔루션의 핵심 엔진� 네트워크 프로토콜과 컨텐츠(데이터 포맷)를 인지하고 분석� 업계 최대 335개의 프로토콜(234) 및 데이터 파일 포맷(101)을 분석(’12/8월)

－ 2011년 9월 : 총 261개 프로토콜(179)/데이터 파일 포맷(82) 지원

� 우회 공격에 대한 탁월한 대응


IBM NIPS - PAM > 근본이근본이근본이근본이다릅니다다릅니다다릅니다다릅니다.

① UDP Port 1434UDP Port 1434UDP Port 1434UDP Port 1434사용하며, , , , 첫번째 ByteByteByteByte는 0x040x040x040x04② MSSQL MSSQL MSSQL MSSQL 프로토콜을 dummy dummy dummy dummy 트래픽으로

인식하고, , , , 공격 코드 트래픽에 나타나는 특정스트링 패턴을 매칭하여 탐지content:content:content:content:” |81 F1 03 01 04 9B 81 F1 01||81 F1 03 01 04 9B 81 F1 01||81 F1 03 01 04 9B 81 F1 01||81 F1 03 01 04 9B 81 F1 01|” , , , ,

“ socksocksocksock” , , , , “ sendsendsendsend”

① UDP Port 1434UDP Port 1434UDP Port 1434UDP Port 1434사용하며, , , , 첫번째 ByteByteByteByte는 0x040x040x040x04

② MSSQL MSSQL MSSQL MSSQL 프로토콜을 파싱하고 공격이 성공하는stack buffer overflowstack buffer overflowstack buffer overflowstack buffer overflow를 발생시키는 조건(>96) (>96) (>96) (>96) 을 체크함

사례 : : : :

SlammerSlammerSlammerSlammer

(MSSQL(MSSQL(MSSQL(MSSQL웜))))

탐지 방어 조건

공개된 공격코드 기반으로 개발용이연구 기술과 축적된 노하우 요구개발 용이성

오탐이 많으며, , , , 우회하기 쉬움오탐이 적으며, , , , 우회하기 어려움정탐 및 우회

탐지 및 차단 불가능선제적 탐지 및 방어ZeroZeroZeroZero----day day day day 방어

패턴매칭프로토콜 분석탐지방법

공격코드(Exploit code) (Exploit code) (Exploit code) (Exploit code) 기반 시그너처PAMPAMPAMPAM의 취약점(Vulnerability) (Vulnerability) (Vulnerability) (Vulnerability) 기반 시그너처“ SlammerSlammerSlammerSlammer”


� 사용자, 그룹, 시스템,

프로토콜, 어플리케이션과

어플리케이션 액션에 의한

네트워크 컨트롤

� 1000개 이상의 풍부한

어플리케이션 및 개별

액션 지원

� 지속적인 업데이트를 통해

피싱, 멀웨어와 같이

위험도 높은 사이트

접속을 차단

� 업계 최대 150억개 URLs

데이터의 광범위한 최신

웹사이트 커버리지 제공

네트워크 활동, 어플리케이션 사용, 어플리케이션 액션등에 대해 완벽한사용자(Identity) 인식

IP, 포트, 프로토콜등과 상관없이네트워크 트래픽을완벽히 분류하는어플리케이션 인지

Increase Security Reduce Costs Enable Innovation

Network Flow Data 는실시간 비정상 행위를인지하며 또한 QRadar 와 통합되어 향상된분석 및 상관분석을제공

IBM Network Protection XGS 5000- The Best Solution for Threat Prevention Intrusion

Prevention


Web ApplicationProtection

ApplicationControl

NEW


QRadar Network Anomaly Detection (NAD)

� IBM의 Network Security 제품군을 위해탄생한 QRadar 버전

� QRadar의 행위기반 분석과 실시간 상관분석으로 Stealthy 공격을 탐지

– 보안 위협을 야기하는 네트워크 행위 및 비정상 행위에 대한 명확한 Insight를 제공

� IBM Network 보안 제품군을 보완해 APT와같은 Advanced Threat을 탐지

– 네트워크 트래픽의 어플리케이션 레이어에

비정상 행위 탐지

– 다양한 데이터로 부터 실시간 상관관계 분석

• IPS 이벤트, Flow 정보, 네트워크 트래픽과

데이터 분석 정보, 취약점 정보, 사용자 활동,

Threat Intelligence 등

Network Anomaly Detection


IBM X-Force® ThreatInformation Center

�실시간 포괄적 상관관계 분석�(로그, 플로우, QFlow, 스캐너 등)�수 백가지 기본 정책

Identity and User Context

�실시간 네트워크 트래픽 분석�어플리케이션 분석 (데이터 캡처)�네트워크 행위기반 탐지

InboundSecurity Events

QRadar Network Anomaly Detection (NAD)



모범모범모범모범 사례사례사례사례


APT에에에에대한대한대한대한대응대응대응대응

• 탐지탐지탐지탐지 이벤트의이벤트의이벤트의이벤트의 명확한명확한명확한명확한 원인원인원인원인 분석분석분석분석• 비정상비정상비정상비정상 행위행위행위행위 분석분석분석분석• 악성악성악성악성 코드코드코드코드 분석분석분석분석

• 중요중요중요중요 시스템에시스템에시스템에시스템에 대한대한대한대한 선선선선 조치이행조치이행조치이행조치이행• 관련관련관련관련 기관기관기관기관 보고보고보고보고/정보정보정보정보 공유공유공유공유

• 모니터링모니터링모니터링모니터링 강화강화강화강화

－내부내부내부내부 네트워크네트워크네트워크네트워크 Activity－서버서버서버서버 File/Registry 무결성무결성무결성무결성

• Security Intelligence

• Physical Segmentation• Outbound Control• 이메일이메일이메일이메일 및및및및 네트워크네트워크네트워크네트워크/엔드포인트엔드포인트엔드포인트엔드포인트 보안강화보안강화보안강화보안강화• 현재현재현재현재 보안보안보안보안 솔루션솔루션솔루션솔루션 정책정책정책정책 강화강화강화강화

• 임직원임직원임직원임직원 APT 교육교육교육교육 및및및및 이해이해이해이해 (지속적지속적지속적지속적, 반복적반복적반복적반복적)• 다양한다양한다양한다양한 채널을채널을채널을채널을 통한통한통한통한 커뮤니케이션커뮤니케이션커뮤니케이션커뮤니케이션 강화강화강화강화

－ 년년년년 1회회회회 의무의무의무의무 교육교육교육교육－ 특별특별특별특별 이벤트이벤트이벤트이벤트, 세미나세미나세미나세미나, 판촉물판촉물판촉물판촉물(셔츠셔츠셔츠셔츠, 달력등달력등달력등달력등)－ IT관리자에관리자에관리자에관리자에 대한대한대한대한 기술기술기술기술 교육교육교육교육 투자투자투자투자－ High-risk person 에에에에 대한대한대한대한 교육교육교육교육


APT에에에에대한대한대한대한대응대응대응대응 > 전형적인전형적인전형적인전형적인 APT 공격공격공격공격

아래의 Activity 들이 3개월에 걸쳐 수행됨

1. Social media를 통해 개인정보 유출

2. 악성코드 감염(phishing)

3. Common Bad attachment 다운

(msi, js, lnk, dll, bat, cmd, vb, scf, chm, zip, scr, cab 등)

4. xxx.3322.org DDNS 쿼리

5. Uncategorized 웹사이트 접속

6. L2R 접속 (Port 22, port 6667)

7. C2 destination 접속 (port 8080)

8. 위험국가 접속(중국, 브라질, 등)

9. 로컬 호스트에 대한 스캐닝시도

10. 접근 시도 (Brute Force Attack시도)

11. 백도어 설치 (Bot C&C 통신)

12. 암호화 전송 (Non-standard 포트 이용)

13. Long session, bytes/sec over time

1. 표적확인

2.Spear Phishing악성코드 감염

3. 조직 파악

4. 권한상승, 계정탈취

5. 악성코드, 백도어 설치

6. 암호화 전송


APT에에에에대한대한대한대한대응대응대응대응 Harden

� IBM Network Protection XGS– 프로토콜 분석기반으로 우회 공격 차단– 특허기술의 Shellcode Heuristics (SCH) 으로 악성코드 차단– 어플리케이션 컨트롤 (소셜미디어 통제)– 피싱사이트, 악성코드 사이트, 비업무 트래픽 접근 차단

Non Standard port


APT에에에에대한대한대한대한대응대응대응대응 Detect

� Botnet C&C 서버와의서버와의서버와의서버와의 통신통신통신통신 채널채널채널채널 탐지탐지탐지탐지‒ 3시간 마다 주기적으로 통신 탐지

비정상 네트워크 Activities 모니터링

� Botnet 서버서버서버서버 연결을연결을연결을연결을 탐지탐지탐지탐지

� 데이터데이터데이터데이터 유출유출유출유출 탐지탐지탐지탐지

- 긴 시간에 걸쳐 작은 데이터로 데이터 전송하는 비정상 행위

� 외부로외부로외부로외부로 허가되지허가되지허가되지허가되지 않은않은않은않은 IPSEC VPN 통신통신통신통신 탐지탐지탐지탐지

- 허용되지 않은 Outbound 통신 사용자 모니터링


Advanced Threat (APT, Blended Attack, Unknown) 공격 탐지

� APT Attack Scenario � APT Attack Scenario � APT 탐지 정책 (Event + Flow)“When at least this number of these rules, in|in any order, from the same|any source IP to the same|anydestination IP, over this many seconds”

� APT 탐지 정책 (Event + Flow)“When at least this number of these rules, in|in any order, from the same|any source IP to the same|anydestination IP, over this many seconds”1. 표적확인

2. Spear-Phishing악성코드 감염

3. 조직 파악

4. 권한상승, 계정탈취

아래의 Activity 들이 3개월에 걸쳐 수행됨

1. Social media를 통한 개인정보 유출

2. 악성코드 감염(phishing 사이트접속)

3. L2R로 SSH, IRC 접속 탐지 (non-standard port)

4. C&C Destination 탐지 및 위험국 접속 탐지

5. 로컬 호스트에 대한 스캐닝시도

6.. 접근 시도 (Brute Force Attack시도) 및 인증 성공

7. 수개월간 접속되지 않은 IP에서 접속 탐지

8. 백도어 설치 (Bot C&C 통신)

9. 암호화 전송 (Non-standard 포트 이용)

탐지조건:

Same IP에서 Multi IP 로 90일 동안 다음 활동

중 순서대로 최소 7개가 만족할 때 탐지

- 소셜 사이트 접속, 피싱사이트 탐지, L2L Scan, 인증3회 이상 실패 후 성공, IPS/IDS 탐지, Anomaly탐지, 알려진 BOT 서버 접속, 암호화 통신

5. 악성코드, 백도어 설치

6. 암호화전송

APT에에에에대한대한대한대한대응대응대응대응 Detect


APT에에에에대한대한대한대한대응대응대응대응 Analyze

상세 분석 – NIPS 탐지 이벤트 분석

프로토콜 분석 엔진만이제공 가능한 상세 이벤트 분석 정보

1 cmd.gif 실행2. cd /tmp victim의 폴더로 이동3. wget shellbot.txt 해킹 파일 다운로드4. perl shellbot.txt 공격 툴 실행



상세 분석 – 모든 세션의 데이터 모니터링/분석



상세 분석 – 다운로드 파일에 대한 악성코드 여부 검사



상세 분석 – Replay


Remediate – 중요 시스템에 대한 선 조치이행

APT에에에에대한대한대한대한대응대응대응대응 Remediate

포괄적포괄적포괄적포괄적 상관분석을상관분석을상관분석을상관분석을 통한통한통한통한 Offense 탐지탐지탐지탐지

타겟타겟타겟타겟 시스템에시스템에시스템에시스템에 실제실제실제실제 취약성취약성취약성취약성 존재존재존재존재


아직도아직도아직도아직도 귀납법적귀납법적귀납법적귀납법적 오류를오류를오류를오류를 범하시겠습니까범하시겠습니까범하시겠습니까범하시겠습니까?

바로 오늘 확인하십쇼.

� Outbound Control을 하고 있는가?

� 사용자의 TCP 80, 8080이 웹서비스라고 확신할 수 있는가?

� 네트워크 어플리케이션에 대한 가시성을 확보하고 있는가?

� 수집된 로그를 저장만 하고 있는지 아니면,

보안 의사 결정에 반영하고 있는가?


ibm.com/security

© Copyright IBM Corporation 2012. All rights reserv ed. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any kind, express or implied. IBM shall not be responsible for any damages arising out of the use of, or otherwise related to, these materials. Nothing contained in these materials is intended to, nor shall have the effect of, creating any warranties or representations from IBM or its suppliers or licensors, or altering the terms and conditions of the applicable license agreement governing the use of IBM software. References in these materials to IBM products, programs, or services do not imply that they will be available in all countries in which IBM operates. Product release dates and/or capabilities referenced in these materials may change at any time at IBM’s sole discretion based on market opportunities or other factors, and are not intended to be a commitment to future product or feature availability in any way. IBM, the IBM logo, and other IBM products and services are trademarks of the International Business Machines Corporation, in the United States, other countries or both. Other company, product, or service names may be trademarks or service marks of others.

2.IBM Advanced Threat Protection Platform · 2012-09-13 · IBM Security for Infrastructure Threat...

Documents

Transcript of 2.IBM Advanced Threat Protection Platform · 2012-09-13 · IBM Security for Infrastructure Threat...