“Web 2.0 시대의보안cfs6.tistory.com/upload_control/download.blog?fhandle=... ·...
Transcript of “Web 2.0 시대의보안cfs6.tistory.com/upload_control/download.blog?fhandle=... ·...
“Web 2.0 시 보안”
2007. 10. 17
안철수연구소
2008 IT 산업 망 컨 런스주
2
Tables of Contents
1. IT Trend
2. IT Security Trend
3. Emerging Issues (1) :
보 (개 보보호)
4. Emerging Issues (2) : Web 2.0
5. 보보호 술 역할과
IT Trend
l Various Options of Internet Connectivity– 미 어
§ Ethernet, 브 드 드, Wireless LAN, WCDMA, 브 , 3G, etc.
– IP Devices § PC, Notebook, PDA, 휴 화, IP Phone, PMP, etc.
– Access Points§ 사무실 LAN, Home (DSL or Cable), 게 , HotSpot, etc.
l Internet 심 비스– Intranet/Extranet/E-Commerce 도 심화– 신규 비스 – VoIP, BcN, IPv6, IPTV, All-IP Network etc.– Authorization, Billing, Provisioning
=> Security, Accountability, QoS
IT
5
IT 플랫폼
• Legacy System
• 업무 프로세스 연계
• 다량의 Transaction
App (Web)
• Gateway – End Point
• 100M-1G-10G
• 선(Broadband)
• 무선(Wi-Fi)
• 이브로, WCDMA
Network
• 통합 Suite 태
• Microsoft, Linux
• Embedded OS
PC(IP단말기)
6
비스 새 운 러다
Open SourceSearch Engine통신비 하락Moore’s Law
• Long Tail Marketing
• Technology Platform
• UCC
• Blogs
• RSS
• Global Community
Web 2.0
• VoIP
• IPTV
• Streaming Service
• 무선통합
• 비쿼 스 환경
Multimedia 서비스
Technology Revolution
내 비스국외 국내
블로그
북마크
협업
OpenID
SNS
UCC
웹오피스
사진
검색
RSS
개인화
위치
8
Security Challenges
l 개 형 IT 프라 §§ Wired and Wireless
§ PC, Notebook§ 휴 폰, PDA, 스마트폰
l 다양한 IP Device
§ 프린§ Mobile media§ 카 라
l 다양한 매체(Media)
§ VoIP§ Multicast
l Multimedia Service
§ Offline§ Email, Messenger, P2P,
Web§ 화, 상
l 시지 공 다양
§ Global business process§ 합병
l 업무 환경 역동
IT Security Trend
보보호 본 역할
Threats
Virus
Worm
Hacker
Spam
Spyware
DDoS
Service Assurance
Compliance
Guarantee
EstablishProtect from
24시간 비스
Confidentiality
Integrity
Trusted e-Business Infrastructure
AAA
No slowdown QoSAvailability
Policy Enforcement
보보호보보호
Integration
Network
IP Device (PC)
Web (App)
개 보보호
- 보 지
- AAA & Identity Management
- Policy enforcement
- Legal execution
Unified Threat Management
- Gateway to End-Point
- Against various attacks
- Traffic control
- Guaranteed Performance
Management
- 통합 그 리
- 량 처리
- Policy Enforcement
다양한 비스 지원
- VoIP
- Multimedia service
- Enterprise mobility
- 다양한 라 비스
보보호 플랫폼
• Authorization
• IAM
• DB 보안
Web (App)
Network
• AV & AS
• PC Firewall
• End-Point Security
• PC Agents
WAF + ADC
NAC
• Firewall
• Intrusion Prevention
• VPN – IPSEC & SSL
• UTM
• SCMPC(IP단말 )
Emerging Issues (1) : 보 (개 보보호)
l Market 호칭§ IPC (Information Protection and Control) - IDC§ CMF (Contents Monitoring and Filtering) - Gartner§ DLP (Data Loss Prevention) - Gartner § ILP (Information Leak Prevention) – Forrester Wave§ OCC (Outbound Content Compliance)§ ILD&P (Information Leakage Detection and Prevention)§ Extrusion Prevention
l Scope§ Data-in-motion
• Network• Multi-channel (email, messaging, P2P, Web, ftp,
etc.)§ Data-at-rest
• Discovery, Analysis, Protect and Control• PC, Server, USB, Other media
§ Data-in-use • Integrity• End Point, Network Interface
보 Keywords
§ 연 계도§ 지 재산 지
§ 산업 술 지§ 경 스 처 (미 )
§ HIPPA (Health Portability &
Accountability Act) -미§ PIPA (Personal Information
Privacy Act) - 본
§ SOX (Sarbanes-Oxley) - 미§ PCI (Payment Card Industry)
Data Security Standard
측 류
§ 업 나 보개 보 지
§ 보 하거나 거래 보무결 지
보리
개 보보호
술 지
주 규야
Key Technologies
l Multi-layered Outbound Contents Control
l Deep Packet Inspectionl AAAl 암호 술l DRMl 매체 어 (Media Control)l Management
§ PC, Network, Server, Application§ Threat, Resource, Risk§ Dynamic Policy Enforcement§ 한 그 리
l Agents Controll Linguistic Analysisl Forensic
ü Confidentiality
ü Integrity
ü Authentication
ü Authorization
ü Non-Repudiation
Emerging Issues (2) : Web 2.0
• 웹 사 트 공격
– 웹 사 트 해킹 통한 악 드, 스 웨어 포, 개 보 , 피싱등
• 공격
– SQL Injection, Cross Site Script(XSS), 업 드, DDos 등
Web 공격 시나리
Web 2.0 Threats (1)
ü UCC – User Created Contents
l 특 : User = Contents consumer = Contents producer
l Threats
§ User가 직 rich content 생 (JavaScript, Flash, Video…)
§ Contents 계 변형 (동 상 편집 통해 스크립트 삽 도 가능)
§ Upload contents에 악 드를 숨겨 download user 연결
ü SNS - Social Networking Service
l 특 : 수 만 사 들 상호
l Threats
§ 한 친 가 트워크를 통해 수 만 감염 가능
§ profile 한 악 드 삽
§ 악 스크립트 숨 - HTML 지, Wiki, MySpace나 Mail site
Web 2.0 Threats (2)ü RSS - Really Simple Syndication
l 특 : 등 사 가 동 독할 수 는 포맷 (블 그, Podcast, 뉴스등)
l Threats
§ 신 창 물 RSS Format에 악 Javascript 삽
§ XML 내에 드 삽 가능
ü AJAX
l 특 : 사 가 에 청할 마다 reload 지 않도 도 사 향상
l Threats
§ XSS - JavaScript stream, XML 열에 지 스크립트 삽 가능
§ 값 검 회피하는 공격
ü Open ID
l 특 : 하나 ID 여러 개 사 트를 사 하는 산 시스
l Threats: Phishing 공격
Web 2.0 Threats (3)ü Open API
l 특 : 에 공개하는 신 특 능 나 에 근하는
l Threats
§ REST나 SOAP 등 형태에 공개 Application Logic에 한 집공격
ü SAAS – Software As A Service
l 특 : 프트웨어를 웹 통한 비스 공 ( . Salesforce, Google docs, 등)
l Threats
§ 타 에게 security 문 를
§ (Confidential) 보 과 리
ü Other Threats
l Privacy
l Spam – Mail, Blog, etc.
보보호 술 역할과
Mobility
Applications
러다 변화 (1)
• Mobile device security (AV, FW, etc.)• Device & User certification• Management
• Web Applications Security• XML, DB security• UI paradigm shifts (ex. RIA)
• Performance (Session, Latency, QoS)• QoS & Metric Analysis• Availability & Interoperability • Intelligent AAA
IT Convergence
SaaS• Security & Beyond• Toll-Quality Service
보 (개 보보호)
통합 리
Outsourcing
러다 변화 (2)
• IPC (CMF)• Usability with security guideline
• Two-way Communication (Proactive)• Log & Forensic• Policy Enforcement
• Security Value Proposition• Remote Security Monitoring & Control
Regulation Compliance• Consulting-based total solutions & SI• Business modeling
통합 보안 드맵
통합
Hardware TechnologiesHardware Technologies
ApplianceNPU/Multi-Core
SoC OTP/HSMMobile
Security SoftwareSecurity Software
FirewallFirewall VPNVPN AntiAnti--VirusVirus EndEnd--PointPoint IPSIPS UTMUTM
ApplicationApplication
NetworkNetwork IP DeviceIP Device
Security ProductsSecurity Products
Management
AAA
Message Security
산업 변화 (1) : Security 능동 역할
l Strong Network Protection – Perimeter & End-Pointl Applications – 프라 & DB 보호, AAAl Management – Log, Identification, Forensicl Policy Enforcement
l IP Multicast, IP Telephony (session control), etc.l AAA-Billing-Provisioningl QoS & Reliability
l 차 비스 지향 비스 (NGN, All-IP 망)l Open Internet community - Web 2.0
Toll Quality ServiceToll Quality Service
개방개방 네트워크네트워크 서비스서비스
개인 보보개인 보보 & & 보 출 리보 출 리
27
산업 변화(2) : 보보호 술 연 확
IT Products/ServicesKeywords: IT Security
• Intelligence• Multi-Level, Multi-Layer Detection• Multi-Format 재 능• High-Quality, High-Reliability• 비스 술 문
• 심 Framework• IT 에 Security 개 내재화• IT 비스에 bundle화• 하는 Regulation 벽• 보안 협 한 효과
ü Various Collaboration Model- 보안 술 + 비보안 IT 술/- 보안 문 업 + IT 비스 업
ü Business Model 다각화- Technology, Product, Service, IP
Thank YouThank You
Q&AQ&A