한승욱 부장

글로벌 테크놀로지 그룹, 한국IBM

IBM ISS Overview

1

IBM System Storage TS1120

IBM Websphere Datapower Security Gateway XS40

IBM Rational AppScan IBM Tivoli directory Server

Application 및데이터 보안

IBM Proventia Desktop Protection

(개인용 방화벽, IPS, Anti-Virus, Anti-Spyware, 등등)

통합 PC보안

IBM Proventia Network MSS(Mail Security System)

IBM Proventia Network ES(Enterprise Scanner)

IBM Proventia Network IPS

IBM Proventia Network MFS(Muti-Function Security) : 방화벽/VPN/IPS/바이러스윌/안티스팸/안티스파이웨어/웹필터/IDS

네트워크

보안

IBM Tivoli Access Manager for Operating Systems. (Unix/Linux 만 지원)

IBM Proventia Server (Windows를 포함한 대표 Platform 모두 지원)

IBM Tivoli zSecure Suite

서버 보안

IBM Tivoli Compliance Insight Manager

IBM Tivoli Security Operations Manager

IBM Tivoli Identity Manager

IBM Tivoli Access Manager for enterprise SSO

IBM Tivoli Access Manager for e-business

보안 관리

보안정보관리/컴플라이언스관리

통합보안관제/ESM

전사통합계정관리

Desktop SSOEAM/SSO/전사권한관리

백업 테이프 암호화

XML 방화벽

소스코드 취약점 스캐너

서버 보안

Host 기반 IPS

메인프레임 보안

안티스팸/메일 보안

취약점 스캐너

Network 기반 IPS

UTM

ITSM/ITILTivoli

BCP ARS HSM/SSL/Encryption

LDAP

IBM Security Solution Portfolio

2

Summary – Internet Security Systems

1. Global No.1 인터넷 보안- R&D (X-Force) Report & 관제서비스

2. 취약점 기반 사전방어- 경쟁사의 공격코드 기반 Signature와는 차별적인 사전방어

3. 플랫폼에 기반한 솔루션모듈- Enterprise Security Platform와 주요 제품군

Internet Scanner SiteProtectorProventia IDS & IPSProventia MFSProventia mailDesktop / Server

3

전세계 보안업체 보안권고문 발표 비율

Market positionMarket Market ppositionosition

ISS 소개 및 경쟁력 1. Global No.1 인터넷 보안

MSSP Landscape 2006

출처 : Frost & sullivan 출처 : Frost & sullivan

4

ISS 소개 및 경쟁력 1. Global No.1 인터넷 보안

SOC (Security Operations Centers) – 총 7곳

Atlanta, Georgia

Southfield, Michigan

Rio De Janeiro, Brazil

Padova,Italy

Helsingborg, Sweden

Tokyo, Japan

통합 GTOC 운영 (Global Threat Operation Center)

Atlanta, Georgia in USA

Fusion Center:

Hacker ProfilesThreat DemographicsEvent Correlation“In the Wild” Monitoring

Reporting

Information Sharing & Analysis Center (“ISAC”)

IT/ISAC

MSS/ISAC

Critical Infrastructure Assurance Office

Forum of Incident Response & Security Teams

Event Data Repository

1. 전세계에서 실시간 보안 이슈 및 이벤트 수집

2. 전세계 이슈, 이벤트 통합 수집, 가공

3. 가공된 정보의 활용 처

Fusion Center

No 1. Managed Security Service and Solution Provider No 1. Managed Security Service and Solution Provider No 1. Managed Security Service and Solution Provider

X-Force reportIBM Security Monthly Newletter

5

Virtual PatchVirtual PatchVirtual Patch

ISS 소개 및 경쟁력 2. 취약점 기반 사전방어

취약점 발견/노출공격코드

(Exploit) 출현 Patch 제공

6

ISS 소개 및 경쟁력 2. 취약점 기반 사전방어

공격코드에 기반한 사후 방어

공격코드가 나온 이후 방어하기에는 너무 늦음.

동일 취약점에 변종 공격의 경우 각각의 변종

공격코드에 대해 방어 패턴 업데이트 수시로 필요

대부분의 Anti-Virus, IDS/IPS 벤더의 경우에 해당

취약점에 기반한 사전방어

취약점에 기반한 원천공격소스 방지

사전 보안 연구조직 필요

취약점 기반 방어취약점취약점 기반기반 방어방어

7

MS Plug and Play / Zotob Timeline

4/13/2005ISS implements protection for MS PnP vulnerability into ISS products. ISS’ Virtual Patch protection begins.

4/13/2005Others do not have internal research

to find and understand vulnerabilities; therefore, they have

no knowledge of the MS Plug and Play vulnerability.

8/9/2005Microsoft publicly announces vulnerability and availability of a patch.

8/11/2005Plug and Play exploits become public

8/13/2005Zotob Bot runs rampant and causes damage to organizations worldwide. ISS customers enjoy protection since 4/13/2005.

8/9/2005Other claim “preemptive protection”through broad blocking and alerting

methods which are prone to false positives and false negatives

8/11/2005Plug and Play exploits become public

8/13/2005Zotob Bot propagates, some competition see the bot, but none of the (many) variants, resulting in continuous updates offering little to no zero day coverage.

8/16/2005Exploit-based signatures released to reactively protect against the ZotobBot

ISS 소개 및 경쟁력 2. 취약점 기반 사전방어

취약점 기반 침입방지

8

ISS 소개 및 경쟁력 2. 취약점 기반 사전방어

취약점 발견 후 웜발생 시점이 빨라지고 있으며 오직 취약점에 기반한 방어 기법만이 대응 가능

9

Virus Anti-Virus Box

Spam Anti-Spam Box

Intrusion Firewall Box

Spyware Spyware Box?

효율적인 운영의 어려움

솔루션도입에 따른 운영인력의 지속적인 교육필요

유지보수의 어려움

ISS 소개 및 경쟁력 3. 플랫폼에 기반한 솔루션모듈

복잡해지는 보안 솔루션 이슈 증가복잡해지는복잡해지는 보안보안 솔루션솔루션 이슈이슈 증가증가

10

예전 보안운영 팀 모습

지속적인 모니터링

장비 별 운영자 배치

수동적인 리포팅

ESP를 적용한 보안운영 팀 모습

자동화된 운영

예외 처리후의 경고만 관리

표준화 및 단일화

ISS 소개 및 경쟁력 3. 플랫폼에 기반한 솔루션모듈

ISS Enterprise Security Platform를 이용한 보안운영 모습ISS ISS EEnterprisenterprise Security PlatformSecurity Platform를를 이용이용한한 보안운영보안운영 모모습습

11

무슨 취약점이 있는가? - 취약점 발견

무엇을 먼저 보호하나? - 보호대상 우선순위 설정

투자 회수? -지속적인 보안수준 리포팅

어떻게 보호할까? 솔루션은?- 솔루션 배치

ISS 소개 및 경쟁력 3. 플랫폼에 기반한 솔루션모듈

ISS ESP를 이용한 보안운영 프로세스ISS ESPISS ESP를를 이용한이용한 보안운영보안운영 프로세스프로세스

12

ISS 소개 및 경쟁력 3. 플랫폼에 기반한 솔루션모듈

ISS ESP와 개별 Proventia 솔루션 MappingISS ESPISS ESP와와 개별개별 Proventia Proventia 솔루션솔루션 MappingMapping

13

ISS 소개 및 경쟁력 3. 플랫폼에 기반한 솔루션모듈

ISS ESP의 기대효과ISS ESPISS ESP의의 기대효과기대효과

Proventia Network MFSMX5010, MX3006, MX1004“All-in-One” Protection Appliance

- IDS/IPS- FW / VPN- Anti-Virus- Anti-Spam- Web Filter- Spyware

Proventia ADS Series –“Anomaly/Behavioral” Protection and Network Visibility Appliances

Proventia Desktop“All-in-One” Protection Agent

- Firewall- Intrusion Prevention- Buffer Overflow Protection- Virus Prevention System- Application Control- VPN Enforcer

Proventia Network IPSPreemptive Network SecurityGX400X, GX5X08, G400, G2000 Proventia Server

– Windows– LinuxRealSecure Server Sensor– Windows– Solaris– AIX– HP-UX

Internet Scanner

엔터프라이즈 환경의 IT자원을 보다 효과적으로 보호 및 관리

보안에 대한 현황,문제점을 중앙집중관리를 통해 파악

현재의 업무 프로세스에 보안을 강화

업무가 다른 부서간의 적절한 보안 정책 설정 및 보고

자동화된 취약점 스캐닝 및 자산 파악

버츄얼 패치를 통해 사전 방어 및 중요시스템에

대한 업무의 연속성 보장

보안의 효과와 ROI를 측정할 수 있는 리포팅

14

Appliance 형태의 Scanner

서버 O/S 취약점을 스캐닝 하여 보안패치 등 대응 방법 리포트 기능

통합콘솔(Siteprotector)에 의해 IPS와 통합 관리 및 연동 가능

스캐쥴링을 이용한 자동화 스캔

사용자의 권한 정의 가능

스캐닝 속도 향상

EASL (Enterprise Assessment Scripting Language)을 통한 간편한 점검 Script

지원. C++로 컴파일 된 실행파일도 지원 가능. EASL은 NASL에 기반하여 제작됨(Nesses

Assessment Scripting Language)

Frost and SullivanMarket Leadership Award

#1 Market Share6 Consecutive Years

제품명 : Proventia Enterprise Scanner(취약점분석 장비)

ISS 주요제품 소개 – 취약점 분석

Proventia ES1500 Appliance

15

ISS 주요제품 소개 – 보호 우선순위 설정

제품명 : Proventia SiteProtector1001(통합콘솔)

“ Proventia ESP의 통합 중앙 관리와 보안이벤트 분석 및 로깅을 제공 ”

16

SiteProtector Console

17

취약점 기반 IDS / IPS

웜, DoS 등 이상 트래픽 탐지 및 차단기능

L7 레이어 분석을 통한 P2P, 스파이웨어, VoIP취약점 방어

바이패스 기능 및 High Availability 기능 제공

통합콘솔 S/W 번들 제공(SiteProtector)

모델 별로 20Mbps 부터 5Gbps까지 지원

NSS 인증 및 CC 인증

제품명 : Proventia IDS & IPS(침입탐지 및 방지시스템)

ISS 주요제품 소개 – 사전 방어 및 업데이트

18

방화벽, VPN, IPS, 백신, 웹필터링, 스팸, 스파이웨어 차단 기능을 통합한 UTM

(Unified Threat Management) 솔루션

단일화된 프로텍션 기술이 자동으로 외부 공격 및 유해 트래픽 차단

IDS/IPS 전세계 #1 - ISS의 기술력이 만든 취약점 기반의 IPS엔진 탑재

통합콘솔로 매니지먼트 가능

NSS 인증

제품명 : Proventia MFS(통합 보안 관리 솔루션)

ISS 주요제품 소개 – 사전 방어 및 업데이트

1600Mbps

2000 users

MX5008

600Mbps

1250 users

MX4006

100Mbps

100 users

MX1004

200Mbps

500 users

MX3006

100Mbps

50 users

MX0804

Full Inspection Speed – F/W, IPS and Web Filtering

Maximum Recommended Users

1800Mbps

3000 users

MX5010

19

ISS 주요제품 소개 – 사전 방어 및 업데이트

제품명 : Proventia Mail Security(스팸차단 및 메일서버 보호 솔루션)

- 현재 보안 이슈 : 메일 보안 중요성 증대

기업 내부의 민감한 데이터 및 개인정보 유출 방지

메일을 통해 발생되는 보안위협 사전방어

스팸 메일 컨트롤

- 주요기능

다양한 메일 필드 분석으로 기밀자료 유출 제한 (Contents Filter)

키워드분석 컨텐츠 필터(카드번호 및 주민등록번호,기밀정보유출방지)

첨부파일, 메일 메시지의 완벽한 저장 및 리뷰

스팸 및 피싱 메일로부터 메일 사용자 보호 (Mail Control)

메일서버 전용 침입방지시스템 (IPS)

12만개 이상의 알려진 바이러스 탐지 및 방어(Option)

ISS 특허기술인 알려지지 않은 행위기반 바이러스 탐지 및 방어 (VPS)

표준화된 10가지 보고서 제공

20

단일 클라이언트에서 멀티레이어 방어 제공

어플리케이션에 대한 다단계 방어 모듈 : 시그너쳐 기반 백신, 행위기반

백신(VPS), 어플리케이션 컨트롤(AC)

네트워크에 대한 다단계 방어 모듈 : 방화벽, 취약점 기반 IPS,

버퍼오버플로우 공격 방지(BOEP)

사전 방어 기능 제공

VPS : 기존 바이러스 엔진이 탐지 못하는 신규/변종

바이러스를 바이러스 행위를 분석하여 탐지, 차단

취약점 기반 IPS : Zero-day 공격 차단

ISS 주요제품 소개 – 사전 방어 및 업데이트

제품명 : Proventia Desktop (PC 보안 ; 방화벽+IPS+Virus)

21

서버 방화벽

OS의 주요 프로세스를 감시하는 BOEP

OS의 이벤트 로그 분석

다양한 플랫폼 지원(Windows, Solaris, Linux, AIX, HP등)

DB, 웹 등의 어플리케이션 보호 기능

로그온, 파일 변경 모니터링 기능

SiteProtector에 의한 중앙관리

그룹별 정책관리, 이벤트 분석, 리포팅

ISS 주요제품 소개 – 사전 방어 및 업데이트

제품명 : Proventia Server(서버보안)

22

ISS 주요제품 소개 – 리포팅 및 보안표준화

SiteProtector의 Enterprise Summary

- 15개 이상의 다양한 Summary 제공

•Component등에 대한 상태 확인

•오늘의 주요 이벤트 내용

•현재 티케팅 현황

•주요 취약점 통계 상태

•스캐닝 진행 상태 확인

•주요 update 내용 확인

15개 이상의 다양한 Summary 제공

ISS의 통합 관제 및 운영 콘솔ISSISS의의 통합통합 관제관제 및및 운영운영 콘솔콘솔

23

Proventia DesktopProventia Server

Proventia Scanner

Proventia IPS

Proventia IPS

InternetInternet

ISS 주요제품 소개 – 구성 예

Proventia Network Multi-Function Security

Proventia Mail security

Thank You!