지속적으로 변하는 사이버공격에 적합한 보안관제 방안
2013. 4
I. 변화하는 사이버위협
II. 그래서 필요한 것은
III. 그래도 부족한 몇 가지
IV. 이제는
변화하는 사이버위협
최근 발생한 사이버위협 및 주요 이슈
최근 발생한 사이버위협 및 주요 이슈 (계속)
변화하는 사이버위협
주요 국내·외 보안사고 사례 - 년도별 정보유출 현황 자료출처 : OSF (Open Security Foundation)
2005년부터 침해사고 에 대한 이슈 및 단속 증가
정보에 대한 가치 & 중요성 증가
※ OSF (Open Security Foundation) : 전세계에 발생한 정보유출사건에 대해 관련 언론보도나 자료 등을 다양한 채널을 통해 신고받아 통계하는 조직
변화하는 사이버위협
주요 국내·외 보안사고 사례 - 세계 정보유출 사고 자료출처 : OSF (Open Security Foundation)
세계 정보유출 사고 중 국내사고 중 SK 컴즈, NEXON(19위), GS Caltex(21위) 가 등록
변화하는 사이버위협
DDoS
변화하는 사이버위협
Layer 7 DDoS Attack
BSS Attack
아주 자그마한 공격 툴과 패킷 만으로도 서비스를 마비시킬 수 있다.
[좀비 서버를 이용한 공격 BSS DDoS ]
Web Attack
변화하는 사이버위협
SQL Injection, XSS Attack
돌직구 공격 - Bruteforce attack
24시간 언제든지 공격이 가능하다. 그리고 뚫는다.
악성코드
변화하는 사이버위협
사용자를 대상으로 다양한 SNS 를 통해 공격을 수행한다.
결국 뚫릴 수 밖에 없다.
감염시킬 수 있는 경로가 너무나 많다. 다양한 수단과 사람(?)이 존재한다.
공격 종류: 문서형 악성코드 공격
공격 타깃: 일본 정부기관/기업
Trojan.Bisonal
우회되고 있는 방어 기술들
방화벽, IPS/IDS, 인증 토큰 VPN, URL 필터링 DNS 기반 탐지 스팸차단, 백신
1단계 - 이용자 단말 침투
Drive-by 이메일 링크
첨부파일
2단계 – 초기 감염
Dropper 악성코드 C&C로 연결 (내부 외부)
3단계 – 관리 체계 구축
개인정보 유출/다중 감염 체계 장기간 관리 체계 구축
Cyber Threat Key = Persistence
변화하는 사이버위협
Success or failure, they will try again and again
Persistence requires
- Playbooks
- Infrastructure, including automation
- Organizational structure
- Supply chain
Persistence is the most significant factor in cyber Security today
공통점
그래서 필요한 것은
수년간 지속적으로 제기된 Keyword : Management
2008 2009 2010
2013 2012 2011
트랜드
그래서 필요한 것은
보안관제의 변화
= 保安管制
= Security Monitoring (협의적)
→ 사이버공격을 탐지하는 활동
= Security Monitoring & Control (광의적)
→ 탐지, 분석, 대응까지 포함하는 일련의 활동
= Security Monitoring & Analysis & Control & Management
→ 탐지, 분석, 대응, 관리 까지 포함하는 일련의 활동
그래서 필요한 것은
보안관제를 하면 다 막을 수 있을까요
아직 2% 부족합니다.
그래서 필요한 것은
통념상 - 3가지 잘 이루어 져야 한다.
그래도 부족한 몇 가지
능력 있는 운영 인력
지속적인 교육수행
튼튼한 조직구성
보안관리표준에 맞는
운영 프로세스 적용
체계적인 운영 및 관리
프로세스
업무 특성에 맞는 프로세스
사업에 적합한 보안장비
검증 받은 보안장비
장비 업체의 지원
사람 + 프로세스 + 장비 3박자 조화로 균형이 잡힌 보안관제가 이루어 져야 한다.
보호를 하려면 모든 길목을 지켜야 한다. 그리고 봐야 한다.
정확한 현황 분석, 모든 침입경로에 대한 이벤트 수집
그래도 부족한 몇 가지
로그와 이벤트를 구분할 줄 알아야 합니다.
로그
- 정보화 장비 및 네트워크 운영 과정에서 발생하는 모든 내용들이 발생시간 등과 함께
기록된 자료
- 방화벽 로그, 시스템 로그, 웹로그 등
로그와 이벤트의 적절한 연관분석을 통해 보안관제의 정확도를 높일 수 있다.
이벤트
- 실시간으로 발생하는 많은 사건 중 의미가 있는 것만을 추출한 데이터
- IDS/ IPS, 웹방화벽 등
그래도 부족한 몇 가지
그 어느 곳 하나 취약해서는 안됩니다.
보안은 100 -1 ≠ 99, 100 – 1 = 0 이기 때문이다.
공격자들은 한번만 성공해도 되지만, 방어하는 사람은 매번 성공해야 한다.
정기적인 취약점 점검 및 모의훈련 등을 통해 시스템, 프로세스 등의 취약점을 보완해야 한다.
그래도 부족한 몇 가지
Vulnerability-day Attack 을 조심해야 합니다 .
보안 조치에 걸리는 시간 : 평균 3일 이상
공격자는 조치 시까지 기다려 주지 않는다.
도출된 취약점에 대해서 조치 시까지 High Rule 적용을 통해 집중 관제가 수행되어야 한다.
그래도 부족한 몇 가지
이제는
이제 필요한 것은 기술력
대용량 로그처리 기술
- Big Data(다양한 형식의 대용량 로그 처리), 빠른 검색시간 제공, 분석처리 기반의 확장성
정보와 로그의 융합기술
- 관제결과의 정보와 로그와의 융합된 연관성 정보를 획득하기 위한 방법과 절차 등의 자동화
악성코드 분석 기술
- 전문가 분석 시간을 줄일 수 있는 자동화된 분석 기술, 분석패턴 DB 공유화 방법
네트워크 패킷 분석 기술
- 원본 패킷 저장 기술, 자동화된 난독화 패킷 해석기술, 자동화된 데이터 추출 및 검색 기능
모바일 환경 보안기술
- 스마트기기의 보안적용 기술, 모바일과 클라우드 환경에서의 보안위협 탐지 기술
이제는
다양한 위협에 대해 : Protect – Detect - Response
<Detect - Big Data Forensics>
<Protect - Threat Intelligence>
<Response – Active Defence>
빅데이터, 상황인식 등을 통한 보안관제
이제는
지능화된 공격(APT)에 대한 대응 - Cyber Kill Chain
최근 공격의 Key : persistent, 대응의 Key : Intelligence, 방어체계 : Cyber Kill Chain
공격의 마지막 단계에서 분석 및 탐지 대응을 하는 게 아니라 초기 단계로 이동
How to really be proactive
이제는
Trusted info sharing
Regimented intel consumption
Campaign tracking
Trending, forecasting
Mission partners, especially law enforcement & intel community
이제는
Intelligence
Understand adversary’s techniques, process, supply chain
Layer resilience against every component
Trend and forecast to anticipate the next move
Intelligence is key to defeating persistent threats
Top Related