지속적으로 변하는 사이버공격에 적합한 보안관제 방안

2013. 4

I. 변화하는 사이버위협

II. 그래서 필요한 것은

III. 그래도 부족한 몇 가지

IV. 이제는

변화하는 사이버위협

최근 발생한 사이버위협 및 주요 이슈

최근 발생한 사이버위협 및 주요 이슈 (계속)

변화하는 사이버위협

주요 국내·외 보안사고 사례 - 년도별 정보유출 현황 자료출처 : OSF (Open Security Foundation)

2005년부터 침해사고 에 대한 이슈 및 단속 증가

정보에 대한 가치 & 중요성 증가

※ OSF (Open Security Foundation) : 전세계에 발생한 정보유출사건에 대해 관련 언론보도나 자료 등을 다양한 채널을 통해 신고받아 통계하는 조직

변화하는 사이버위협

주요 국내·외 보안사고 사례 - 세계 정보유출 사고 자료출처 : OSF (Open Security Foundation)

세계 정보유출 사고 중 국내사고 중 SK 컴즈, NEXON(19위), GS Caltex(21위) 가 등록

변화하는 사이버위협

DDoS

변화하는 사이버위협

Layer 7 DDoS Attack

BSS Attack

아주 자그마한 공격 툴과 패킷 만으로도 서비스를 마비시킬 수 있다.

[좀비 서버를 이용한 공격 BSS DDoS ]

Web Attack

변화하는 사이버위협

SQL Injection, XSS Attack

돌직구 공격 - Bruteforce attack

24시간 언제든지 공격이 가능하다. 그리고 뚫는다.

악성코드

변화하는 사이버위협

사용자를 대상으로 다양한 SNS 를 통해 공격을 수행한다.

결국 뚫릴 수 밖에 없다.

감염시킬 수 있는 경로가 너무나 많다. 다양한 수단과 사람(?)이 존재한다.

공격 종류: 문서형 악성코드 공격

공격 타깃: 일본 정부기관/기업

Trojan.Bisonal

우회되고 있는 방어 기술들

방화벽, IPS/IDS, 인증 토큰 VPN, URL 필터링 DNS 기반 탐지 스팸차단, 백신

1단계 - 이용자 단말 침투

Drive-by 이메일 링크

첨부파일

2단계 – 초기 감염

Dropper 악성코드 C&C로 연결 (내부 외부)

3단계 – 관리 체계 구축

개인정보 유출/다중 감염 체계 장기간 관리 체계 구축

Cyber Threat Key = Persistence

변화하는 사이버위협

Success or failure, they will try again and again

Persistence requires

- Playbooks

- Infrastructure, including automation

- Organizational structure

- Supply chain

Persistence is the most significant factor in cyber Security today

공통점

그래서 필요한 것은

수년간 지속적으로 제기된 Keyword : Management

2008 2009 2010

2013 2012 2011

트랜드

그래서 필요한 것은

보안관제의 변화

= 保安管制

= Security Monitoring (협의적)

→ 사이버공격을 탐지하는 활동

= Security Monitoring & Control (광의적)

→ 탐지, 분석, 대응까지 포함하는 일련의 활동

= Security Monitoring & Analysis & Control & Management

→ 탐지, 분석, 대응, 관리 까지 포함하는 일련의 활동

그래서 필요한 것은

보안관제를 하면 다 막을 수 있을까요

아직 2% 부족합니다.

그래서 필요한 것은

통념상 - 3가지 잘 이루어 져야 한다.

그래도 부족한 몇 가지

능력 있는 운영 인력

지속적인 교육수행

튼튼한 조직구성

보안관리표준에 맞는

운영 프로세스 적용

체계적인 운영 및 관리

프로세스

업무 특성에 맞는 프로세스

사업에 적합한 보안장비

검증 받은 보안장비

장비 업체의 지원

사람 + 프로세스 + 장비 3박자 조화로 균형이 잡힌 보안관제가 이루어 져야 한다.

보호를 하려면 모든 길목을 지켜야 한다. 그리고 봐야 한다.

정확한 현황 분석, 모든 침입경로에 대한 이벤트 수집

그래도 부족한 몇 가지

로그와 이벤트를 구분할 줄 알아야 합니다.

로그

- 정보화 장비 및 네트워크 운영 과정에서 발생하는 모든 내용들이 발생시간 등과 함께

기록된 자료

- 방화벽 로그, 시스템 로그, 웹로그 등

로그와 이벤트의 적절한 연관분석을 통해 보안관제의 정확도를 높일 수 있다.

이벤트

- 실시간으로 발생하는 많은 사건 중 의미가 있는 것만을 추출한 데이터

- IDS/ IPS, 웹방화벽 등

그래도 부족한 몇 가지

그 어느 곳 하나 취약해서는 안됩니다.

보안은 100 -1 ≠ 99, 100 – 1 = 0 이기 때문이다.

공격자들은 한번만 성공해도 되지만, 방어하는 사람은 매번 성공해야 한다.

정기적인 취약점 점검 및 모의훈련 등을 통해 시스템, 프로세스 등의 취약점을 보완해야 한다.

그래도 부족한 몇 가지

Vulnerability-day Attack 을 조심해야 합니다 .

보안 조치에 걸리는 시간 : 평균 3일 이상

공격자는 조치 시까지 기다려 주지 않는다.

도출된 취약점에 대해서 조치 시까지 High Rule 적용을 통해 집중 관제가 수행되어야 한다.

그래도 부족한 몇 가지

이제는

이제 필요한 것은 기술력

대용량 로그처리 기술

- Big Data(다양한 형식의 대용량 로그 처리), 빠른 검색시간 제공, 분석처리 기반의 확장성

정보와 로그의 융합기술

- 관제결과의 정보와 로그와의 융합된 연관성 정보를 획득하기 위한 방법과 절차 등의 자동화

악성코드 분석 기술

- 전문가 분석 시간을 줄일 수 있는 자동화된 분석 기술, 분석패턴 DB 공유화 방법

네트워크 패킷 분석 기술

- 원본 패킷 저장 기술, 자동화된 난독화 패킷 해석기술, 자동화된 데이터 추출 및 검색 기능

모바일 환경 보안기술

- 스마트기기의 보안적용 기술, 모바일과 클라우드 환경에서의 보안위협 탐지 기술

이제는

다양한 위협에 대해 : Protect – Detect - Response

<Detect - Big Data Forensics>

<Protect - Threat Intelligence>

<Response – Active Defence>

빅데이터, 상황인식 등을 통한 보안관제

이제는

지능화된 공격(APT)에 대한 대응 - Cyber Kill Chain

최근 공격의 Key : persistent, 대응의 Key : Intelligence, 방어체계 : Cyber Kill Chain

공격의 마지막 단계에서 분석 및 탐지 대응을 하는 게 아니라 초기 단계로 이동

How to really be proactive

이제는

Trusted info sharing

Regimented intel consumption

Campaign tracking

Trending, forecasting

Mission partners, especially law enforcement & intel community

이제는

Intelligence

Understand adversary’s techniques, process, supply chain

Layer resilience against every component

Trend and forecast to anticipate the next move

Intelligence is key to defeating persistent threats