3.[한승욱]2009 IBM ISS Overview - dbguide.net · 2 Summary – Internet Security Systems 1....
Transcript of 3.[한승욱]2009 IBM ISS Overview - dbguide.net · 2 Summary – Internet Security Systems 1....
1
IBM System Storage TS1120
IBM Websphere Datapower Security Gateway XS40
IBM Rational AppScan IBM Tivoli directory Server
Application 및데이터 보안
IBM Proventia Desktop Protection
(개인용 방화벽, IPS, Anti-Virus, Anti-Spyware, 등등)
통합 PC보안
IBM Proventia Network MSS(Mail Security System)
IBM Proventia Network ES(Enterprise Scanner)
IBM Proventia Network IPS
IBM Proventia Network MFS(Muti-Function Security) : 방화벽/VPN/IPS/바이러스윌/안티스팸/안티스파이웨어/웹필터/IDS
네트워크
보안
IBM Tivoli Access Manager for Operating Systems. (Unix/Linux 만 지원)
IBM Proventia Server (Windows를 포함한 대표 Platform 모두 지원)
IBM Tivoli zSecure Suite
서버 보안
IBM Tivoli Compliance Insight Manager
IBM Tivoli Security Operations Manager
IBM Tivoli Identity Manager
IBM Tivoli Access Manager for enterprise SSO
IBM Tivoli Access Manager for e-business
보안 관리
보안정보관리/컴플라이언스관리
통합보안관제/ESM
전사통합계정관리
Desktop SSOEAM/SSO/전사권한관리
백업 테이프 암호화
XML 방화벽
소스코드 취약점 스캐너
서버 보안
Host 기반 IPS
메인프레임 보안
안티스팸/메일 보안
취약점 스캐너
Network 기반 IPS
UTM
ITSM/ITILTivoli
BCP ARS HSM/SSL/Encryption
LDAP
IBM Security Solution Portfolio
2
Summary – Internet Security Systems
1. Global No.1 인터넷 보안- R&D (X-Force) Report & 관제서비스
2. 취약점 기반 사전방어- 경쟁사의 공격코드 기반 Signature와는 차별적인 사전방어
3. 플랫폼에 기반한 솔루션모듈- Enterprise Security Platform와 주요 제품군
Internet Scanner SiteProtectorProventia IDS & IPSProventia MFSProventia mailDesktop / Server
3
전세계 보안업체 보안권고문 발표 비율
Market positionMarket Market ppositionosition
ISS 소개 및 경쟁력 1. Global No.1 인터넷 보안
MSSP Landscape 2006
출처 : Frost & sullivan 출처 : Frost & sullivan
4
ISS 소개 및 경쟁력 1. Global No.1 인터넷 보안
SOC (Security Operations Centers) – 총 7곳
Atlanta, Georgia
Southfield, Michigan
Rio De Janeiro, Brazil
Padova,Italy
Helsingborg, Sweden
Tokyo, Japan
통합 GTOC 운영 (Global Threat Operation Center)
Atlanta, Georgia in USA
Fusion Center:
Hacker ProfilesThreat DemographicsEvent Correlation“In the Wild” Monitoring
Reporting
Information Sharing & Analysis Center (“ISAC”)
IT/ISAC
MSS/ISAC
Critical Infrastructure Assurance Office
Forum of Incident Response & Security Teams
Event Data Repository
1. 전세계에서 실시간 보안 이슈 및 이벤트 수집
2. 전세계 이슈, 이벤트 통합 수집, 가공
3. 가공된 정보의 활용 처
Fusion Center
No 1. Managed Security Service and Solution Provider No 1. Managed Security Service and Solution Provider No 1. Managed Security Service and Solution Provider
X-Force reportIBM Security Monthly Newletter
5
Virtual PatchVirtual PatchVirtual Patch
ISS 소개 및 경쟁력 2. 취약점 기반 사전방어
취약점 발견/노출공격코드
(Exploit) 출현 Patch 제공
6
ISS 소개 및 경쟁력 2. 취약점 기반 사전방어
공격코드에 기반한 사후 방어
공격코드가 나온 이후 방어하기에는 너무 늦음.
동일 취약점에 변종 공격의 경우 각각의 변종
공격코드에 대해 방어 패턴 업데이트 수시로 필요
대부분의 Anti-Virus, IDS/IPS 벤더의 경우에 해당
취약점에 기반한 사전방어
취약점에 기반한 원천공격소스 방지
사전 보안 연구조직 필요
취약점 기반 방어취약점취약점 기반기반 방어방어
7
MS Plug and Play / Zotob Timeline
4/13/2005ISS implements protection for MS PnP vulnerability into ISS products. ISS’ Virtual Patch protection begins.
4/13/2005Others do not have internal research
to find and understand vulnerabilities; therefore, they have
no knowledge of the MS Plug and Play vulnerability.
8/9/2005Microsoft publicly announces vulnerability and availability of a patch.
8/11/2005Plug and Play exploits become public
8/13/2005Zotob Bot runs rampant and causes damage to organizations worldwide. ISS customers enjoy protection since 4/13/2005.
8/9/2005Other claim “preemptive protection”through broad blocking and alerting
methods which are prone to false positives and false negatives
8/11/2005Plug and Play exploits become public
8/13/2005Zotob Bot propagates, some competition see the bot, but none of the (many) variants, resulting in continuous updates offering little to no zero day coverage.
8/16/2005Exploit-based signatures released to reactively protect against the ZotobBot
ISS 소개 및 경쟁력 2. 취약점 기반 사전방어
취약점 기반 침입방지
9
Virus Anti-Virus Box
Spam Anti-Spam Box
Intrusion Firewall Box
Spyware Spyware Box?
효율적인 운영의 어려움
솔루션도입에 따른 운영인력의 지속적인 교육필요
유지보수의 어려움
ISS 소개 및 경쟁력 3. 플랫폼에 기반한 솔루션모듈
복잡해지는 보안 솔루션 이슈 증가복잡해지는복잡해지는 보안보안 솔루션솔루션 이슈이슈 증가증가
10
예전 보안운영 팀 모습
지속적인 모니터링
장비 별 운영자 배치
수동적인 리포팅
ESP를 적용한 보안운영 팀 모습
자동화된 운영
예외 처리후의 경고만 관리
표준화 및 단일화
ISS 소개 및 경쟁력 3. 플랫폼에 기반한 솔루션모듈
ISS Enterprise Security Platform를 이용한 보안운영 모습ISS ISS EEnterprisenterprise Security PlatformSecurity Platform를를 이용이용한한 보안운영보안운영 모모습습
11
무슨 취약점이 있는가? - 취약점 발견
무엇을 먼저 보호하나? - 보호대상 우선순위 설정
투자 회수? -지속적인 보안수준 리포팅
어떻게 보호할까? 솔루션은?- 솔루션 배치
ISS 소개 및 경쟁력 3. 플랫폼에 기반한 솔루션모듈
ISS ESP를 이용한 보안운영 프로세스ISS ESPISS ESP를를 이용한이용한 보안운영보안운영 프로세스프로세스
12
ISS 소개 및 경쟁력 3. 플랫폼에 기반한 솔루션모듈
ISS ESP와 개별 Proventia 솔루션 MappingISS ESPISS ESP와와 개별개별 Proventia Proventia 솔루션솔루션 MappingMapping
13
ISS 소개 및 경쟁력 3. 플랫폼에 기반한 솔루션모듈
ISS ESP의 기대효과ISS ESPISS ESP의의 기대효과기대효과
Proventia Network MFSMX5010, MX3006, MX1004“All-in-One” Protection Appliance
- IDS/IPS- FW / VPN- Anti-Virus- Anti-Spam- Web Filter- Spyware
Proventia ADS Series –“Anomaly/Behavioral” Protection and Network Visibility Appliances
Proventia Desktop“All-in-One” Protection Agent
- Firewall- Intrusion Prevention- Buffer Overflow Protection- Virus Prevention System- Application Control- VPN Enforcer
Proventia Network IPSPreemptive Network SecurityGX400X, GX5X08, G400, G2000 Proventia Server
– Windows– LinuxRealSecure Server Sensor– Windows– Solaris– AIX– HP-UX
Internet Scanner
엔터프라이즈 환경의 IT자원을 보다 효과적으로 보호 및 관리
보안에 대한 현황,문제점을 중앙집중관리를 통해 파악
현재의 업무 프로세스에 보안을 강화
업무가 다른 부서간의 적절한 보안 정책 설정 및 보고
자동화된 취약점 스캐닝 및 자산 파악
버츄얼 패치를 통해 사전 방어 및 중요시스템에
대한 업무의 연속성 보장
보안의 효과와 ROI를 측정할 수 있는 리포팅
14
Appliance 형태의 Scanner
서버 O/S 취약점을 스캐닝 하여 보안패치 등 대응 방법 리포트 기능
통합콘솔(Siteprotector)에 의해 IPS와 통합 관리 및 연동 가능
스캐쥴링을 이용한 자동화 스캔
사용자의 권한 정의 가능
스캐닝 속도 향상
EASL (Enterprise Assessment Scripting Language)을 통한 간편한 점검 Script
지원. C++로 컴파일 된 실행파일도 지원 가능. EASL은 NASL에 기반하여 제작됨(Nesses
Assessment Scripting Language)
Frost and SullivanMarket Leadership Award
#1 Market Share6 Consecutive Years
제품명 : Proventia Enterprise Scanner(취약점분석 장비)
ISS 주요제품 소개 – 취약점 분석
Proventia ES1500 Appliance
15
ISS 주요제품 소개 – 보호 우선순위 설정
제품명 : Proventia SiteProtector1001(통합콘솔)
“ Proventia ESP의 통합 중앙 관리와 보안이벤트 분석 및 로깅을 제공 ”
17
취약점 기반 IDS / IPS
웜, DoS 등 이상 트래픽 탐지 및 차단기능
L7 레이어 분석을 통한 P2P, 스파이웨어, VoIP취약점 방어
바이패스 기능 및 High Availability 기능 제공
통합콘솔 S/W 번들 제공(SiteProtector)
모델 별로 20Mbps 부터 5Gbps까지 지원
NSS 인증 및 CC 인증
제품명 : Proventia IDS & IPS(침입탐지 및 방지시스템)
ISS 주요제품 소개 – 사전 방어 및 업데이트
18
방화벽, VPN, IPS, 백신, 웹필터링, 스팸, 스파이웨어 차단 기능을 통합한 UTM
(Unified Threat Management) 솔루션
단일화된 프로텍션 기술이 자동으로 외부 공격 및 유해 트래픽 차단
IDS/IPS 전세계 #1 - ISS의 기술력이 만든 취약점 기반의 IPS엔진 탑재
통합콘솔로 매니지먼트 가능
NSS 인증
제품명 : Proventia MFS(통합 보안 관리 솔루션)
ISS 주요제품 소개 – 사전 방어 및 업데이트
1600Mbps
2000 users
MX5008
600Mbps
1250 users
MX4006
100Mbps
100 users
MX1004
200Mbps
500 users
MX3006
100Mbps
50 users
MX0804
Full Inspection Speed – F/W, IPS and Web Filtering
Maximum Recommended Users
1800Mbps
3000 users
MX5010
19
ISS 주요제품 소개 – 사전 방어 및 업데이트
제품명 : Proventia Mail Security(스팸차단 및 메일서버 보호 솔루션)
- 현재 보안 이슈 : 메일 보안 중요성 증대
기업 내부의 민감한 데이터 및 개인정보 유출 방지
메일을 통해 발생되는 보안위협 사전방어
스팸 메일 컨트롤
- 주요기능
다양한 메일 필드 분석으로 기밀자료 유출 제한 (Contents Filter)
키워드분석 컨텐츠 필터(카드번호 및 주민등록번호,기밀정보유출방지)
첨부파일, 메일 메시지의 완벽한 저장 및 리뷰
스팸 및 피싱 메일로부터 메일 사용자 보호 (Mail Control)
메일서버 전용 침입방지시스템 (IPS)
12만개 이상의 알려진 바이러스 탐지 및 방어(Option)
ISS 특허기술인 알려지지 않은 행위기반 바이러스 탐지 및 방어 (VPS)
표준화된 10가지 보고서 제공
20
단일 클라이언트에서 멀티레이어 방어 제공
어플리케이션에 대한 다단계 방어 모듈 : 시그너쳐 기반 백신, 행위기반
백신(VPS), 어플리케이션 컨트롤(AC)
네트워크에 대한 다단계 방어 모듈 : 방화벽, 취약점 기반 IPS,
버퍼오버플로우 공격 방지(BOEP)
사전 방어 기능 제공
VPS : 기존 바이러스 엔진이 탐지 못하는 신규/변종
바이러스를 바이러스 행위를 분석하여 탐지, 차단
취약점 기반 IPS : Zero-day 공격 차단
ISS 주요제품 소개 – 사전 방어 및 업데이트
제품명 : Proventia Desktop (PC 보안 ; 방화벽+IPS+Virus)
21
서버 방화벽
OS의 주요 프로세스를 감시하는 BOEP
OS의 이벤트 로그 분석
다양한 플랫폼 지원(Windows, Solaris, Linux, AIX, HP등)
DB, 웹 등의 어플리케이션 보호 기능
로그온, 파일 변경 모니터링 기능
SiteProtector에 의한 중앙관리
그룹별 정책관리, 이벤트 분석, 리포팅
ISS 주요제품 소개 – 사전 방어 및 업데이트
제품명 : Proventia Server(서버보안)
22
ISS 주요제품 소개 – 리포팅 및 보안표준화
SiteProtector의 Enterprise Summary
- 15개 이상의 다양한 Summary 제공
•Component등에 대한 상태 확인
•오늘의 주요 이벤트 내용
•현재 티케팅 현황
•주요 취약점 통계 상태
•스캐닝 진행 상태 확인
•주요 update 내용 확인
15개 이상의 다양한 Summary 제공
ISS의 통합 관제 및 운영 콘솔ISSISS의의 통합통합 관제관제 및및 운영운영 콘솔콘솔
23
Proventia DesktopProventia Server
Proventia Scanner
Proventia IPS
Proventia IPS
InternetInternet
ISS 주요제품 소개 – 구성 예
Proventia Network Multi-Function Security
Proventia Mail security