© 2014 IBM Corporation1© 2017 IBM Corporation
IBM 웹 애플리케이션 보안 솔루션 - AppScan
IBM Security Systems
강 용석 부장 ( kyseok@kr.ibm.com )
© 2017 IBM Corporation2 / 36
데이터 누출에 따른 비용
Source: 2014 ‘Cost of Data Breach Study: Global Analysis’, Ponemon Institute
$5.85M 미국의 데이터 누출 건당
평균 비용
$201 미국의 손상된 데이터당 평균
비용
© 2017 IBM Corporation3 / 36
어플리케이션 보안 위협
??????????????????????크로스 사이트 스크립팅과 SQL 인젝션
모바일 장치 공격
웹 어플리케이션 취약성
??????????????????????모바일 악성 코드의 증가
조사 시점에서
11.6 million
이상의 모바일 장치가
악성코드에 감염됨
Source: InfoSec, "Mobile Malware Infects Millions; LTE Spurs Growth," January 2014
일반적으로 많이 사용되는
상위
90% 의 모바일
어플리케이션이 해킹됨
Source: Arxan Technologies, “App Economy under Attack: Report Reveals
More than 90 Percent of the Top 100 Mobile Apps Have Been Hacked”
Web Application Vulnerabilities
크로스 사이트
스크립팅과 SQL
인젝션의 지속적인
증가
Source: IBM X-Force Threat Intelligence Quarterly, 1Q 2014
Source: IBM X-Force Threat
Intelligence Quarterly, 1Q 2014
33%of 누출에 대한
취약성 중 웹 취약성의
비율
© 2017 IBM Corporation4 / 36
SQL 인젝션: 지속적으로 많이 사용되는 데이터 누출 취약점
2013 공격 유형, 시간, 영향력별 보안 사고 분포
Note: Size of circle estimates relative impact of incident in terms of cost to
business.
Attack types SQL
injection
Spear
phishing
DDoS Physical
access
Malware XSS Watering
hole
Undisclosed
January February March April May June July August September October November December
SQL 인젝션이 2013년 보안 공격의 13%를 차지함
Source: IBM X-Force Threat Intelligence Quarterly 1Q 2014
© 2017 IBM Corporation5 / 36
보안 위협
어플리케이션 보안 지출
보안 리스크와 지출에 따른 여러분의 위치는?
지출
Spend ≠ Risk
35% -
30% -
25% -
20% -
15% -
10% -
5% -
어플리케이션
보안
데이터 보안 네트웍 보안 인적보안 서버보안 물리적 보안
많은 기업이 어플리케이션 보안의 중점화 하지 않음
Source: The State of Risk-Based Security Management, Research Study by Ponemon Institute, 2013
© 2017 IBM Corporation6 / 36
어플리케이션 보안 과제
어플리케이션의 급격한 증가,
출시 및 기술 변화
변화 속도규정 준수
외부 규정 및 내부 정책 요구사항
자원
소규모 보안팀, 대규모
어플리케이션
?
• 어떤 어플리케이션이 주요한
비즈니스 위험을 가지고
있나?
• 프로세스/비즈니스의
저하없이 DevOps / 애자일
어플리케이션의 보안을
테스트할 수 있나?
• 개발주기 초기에 어떻게 보안
문제를 식별하고 비용을 줄일
수 있나?
• 보안 위험이 어디에 있나?
• 어플리케이션의 내부 정책
요구사항을 어떻게 설정할
것인가?
• 어플리케이션을 통하여 중요
정보가 노출되는가?
• 어플리케이션의 규정 준수
사항을 어떻게 확인할 것인가?
• 기업이 가지고 있는 자원을
어떻게 우선순위화할 것인가?
• 무엇을 테스트하고 어떻게
테스트할 것인가?
• 어떻게 인적자원을 할당하고
기술을 향상시키고 인식할
것인가?
© 2017 IBM Corporation7 / 36
IT
도움말
온라인
제품 카탈로그
직원
여행 포탈
전자
상거래
비즈니스
영향
낮음 중간 높음 치명적
취약성
중간
Session identifier
not updated
높음
SQL
injection
중간
Open
redirect
(1) High
SQL
injection
어플리케이션 보안
위험
낮음 높음 중간 매우 높음
“보안은 항상 이해되고, 관리한다. 그리고 기업의 가장 치명적인 자산의 위협을 완화한다.”
Advanced Persistent Threat, Understanding the Danger and
How to Protect Your Organization, by Dr. Eric Cole, SANS Institute
위기 관리의 모든 것…
내부
외부
민감 정보
© 2017 IBM Corporation8 / 36
IBM AppScan 솔루션
8
동적
분석
상관
분석
모바일
어플리케이션
분석
정적
분석
어플리케이션 보안 관리
자산 목록 비즈니스 영향 평가 상태 및 현황 관리취약점 우순순위화 보안 준수 결정
© 2017 IBM Corporation9 / 36
AppScan Standard – 분석 방식
정적 분석
(White Box 테스팅)
동적 분석
(Black Box 테스팅)
점검을 위한
입력(대상)
소스 코드 완성된 웹 어플리케이션
평가 기술 변형된 요청 분석 및 패턴 매칭 변조된 HTTP 요청
애플리케이션
개발
주기에서의
역할
Development: 소스 스캔 및
IDE를 통한 점검
Build: 발생 시 자동 점검을
통한 결함 발견
Security: 개발자를 위한 베스트
프랙티스에 대한 정의 및 보안;
운영 전 점검과 감사를 위한
실행
Build: 테스팅 팀과 릴리즈 이전
단계에 스캔
Test: 보안 테스트 실행 품질
감사를 위한 보안 테스트
스크립트 실행
Security: 품질을 위한 테스트
스크립트 정의; 운영 전 점검과
감사를 위한 실행
결과 & 출력
소스와 결함 함수에 따른 소스
레벨의 결과 도출
HTTP 요청 정보의 결과 도출
(공격 요청 정보)
© 2017 IBM Corporation10 / 36
향상된 기술을 이용한 취약점 발견
정적 분석
- 소스 코드 분석
- 개발 과장 중
- 오염분석/패턴 비교
사용
동적 분석
- 동적 분석과 정적 분석 결과
연계
- 코드 라인 식별로 취약점
제거작업 지원
Hybrid 분석
- 동작 웹 어플리케이션
- 테스트 단계에서 사용
- HTTP 왜곡 기술 사용
Client-Side 분석
- 클라이언트 단 다운로드 된
자바스크립트 분석
- 업계 유일
실행시간 분석
- 실행 에이전트(agent) 이용 분석
- 결과 추가 및 정확도 향상
전체 잠재 보안
문제
© 2017 IBM Corporation11 / 36
AppScan Standard는?
 시장을 선도하는 동적 어플리케이션 보안
테스트 (DAST) 솔루션입니다.
 웹 어플리케이션 및 웹 서비스의 보안
취약점을 자동화 기능을 이용하여
어플리케이션 보안 전문가의 역할을
수행합니다.
© 2017 IBM Corporation12 / 36
AppScan Standard
 AppScan
– 웹 애플리케이션의 보안 점검 도구
 AppScan이 필요한 이유
– 웹 애플리케이션의 보안 문제를 보다 쉽게
발견하고 해결하기 위함.
 AppScan의 역할
– 웹 애플리케이션을 테스트하고, 보안 문제를
발견하여 이를 조치할 수 있도록 문제에 관련된
다양한 정보 제공
 사용 대상자
– 보안 감사자
– QA 팀
– 개발자
1. 애플리케이션 스캔
취약점
탐지
취약점
분석
취약점
수정
© 2017 IBM Corporation13 / 36
Automatic Web 탐색 역량(Crawler Capabilities)
.js JavaScript &
AJAX 웹 탐색
• 완벽한 자바스크립트 실행 엔진
• Web 2.0, JavaScript, AJAX 프레임웤 지원
• 사용자의 조작을 최소화한 완벽한 동적 URL 탐색
Adobe Flash &
Flex 탐색
• 완벽한 Flash 실행 엔진 (미국 특허 US 20110066609)
• ActionScript 2.0, 3.0, Flash, Flex 어플리케이션 지원
• 사용자의 조작을 최소화한 완벽한 동적 URL 탐색
다단계 조작
( Operations )
• 쇼핑 카드, 발권 시스템에서 사용되는 다단계 조작 지원
• 상시 요구되는 상태를 지속함
• 순차적 조작에 대한 최적화된 성능
• 미국 특허 US 20090320043
Glass box 지원
탐색
• 서버상의 에이전트를 통한 웹 탐색 (실행시간 분석)
• 참조되지 않은 파라미터 리포트
자동 탐색(crawling)과
세션 관리
• 양식 필터 기능을 통하여 완전 자동화된 웹 탐색
• 로그인 절차를 재 수행, 재생, 고정값을 이용한 세션 추적
• 로그인 상태 상시 유지
© 2017 IBM Corporation14 / 36
Automatic Web 탐색 역량(Crawler Capabilities)
증명 및 통신
• SSL/TLS, Client-side 인증의 완벽 지원
• 구성 가능한 HTTP Proxy (프록시 인증 지원)
• 스캔 작업자의 축소를 이용한 스캔 조절
• Basic, NTLM, Kerberos, Digest, 양식 기반의 인증 지원
• 이중 인증 및 필요시 입력 요청 기능 지원
어플리케이션과 점검
결과의 내용 기반 포기
• 더미 URL 구조 (meaningless URL structure) 지원
• 응답 값 ( 페이지 타이틀, 프트릿, 위젯,사용자 정의 룰URL 기준의
어플리케이션 구조와 보안 결과 표시
복잡한 어플리케이션의
수작업 탐색
• 내장, 외부 브라우저, 웹 클라이언트 사용 지원
• 웹 트래픽의 완벽한 분석 및 테스트 ( 프록시 사용 )
• IE, FF, Chrome 브라우져 지원
• 수작업 탐색 데이터의 가져오기, 저장, 공유 지원
변경 가능한 탐색기
( crawler ) 의 비표준
웹 지원
• 파라미터 구성 변경으로 비표준 HTTP 포멧 지원
• JSON, XML, Path parameters, GUID, 이외 다수의 사전 정의된 형태
• 구성 가능한 파라미터, 쿠키 조작을 통하여 테스트 대상 제외, 추적 값,
동시 실행 최적화(tuning)
© 2017 IBM Corporation15 / 36
Automatic Web 탐색 역량(Crawler Capabilities)
Customized 애러
페이지 감지
• customized error page 자동 인식
• 불필요한 오탐 감소
• URL, 전체 웹페이지, 정규식을 이용한 404 페이지 유형 정의
404
• 별도의 구성 없이 URL다시쓰기 어플리케이션 지원
• URL 경로상의 내장 파라미터 값 자동 감지
• AppScan 자동 구성
• 파라미터 기반 탐색 어플리케이션 ( 예. MVC) 모듈 탐색과 적합한
구성 변경
자동 URL 다시
쓰기 지원
• 스캔 구성, 템플릿, 수작업 탐색, 다단계 탐색을 XML화일로 저장 및
공유
• 팀 단위 작업 재사용
• 회귀 및 단위 테스트 스크립트를 위한 베이스라인 사용
스캔 구성, 데이터
및 템플릿 저장 및
공유
© 2017 IBM Corporation16 / 36
- RIAs, Web 2.0, AJAX 어플리케이션은 JavaScript, Flash technologies를 사용
- AppScan은 아래 내용을 지원
Web 2.0, JavaScript, AJAX, Adobe Flash 지원
16
JavaScript & AJAX Adobe Flash/Flex
Static link extraction Static link extraction (AS2.0 Flash)
JavaScript execution simulates user
interaction
Flash execution simulates user
interaction (AS 2.0/3.0 Flash & Flex) –
Patent pending
JavaScript Security Analyzer – hybrid
analysis used to detect client-side
issues (supports HTML5)
Flash related vulnerability detection
(XSS through Flash, Cross-site
Flashing, etc.)
AJAX and JS Frameworks (Dojo,
ICEFaces, etc.)
Adobe Flash & Flex applications
Support for analysis and testing of
JSON messages
Support for analysis and testing
of Adobe AMF messages (binary
protocol used mostly in Flex
applications)
Static
links
Dynamic
links
Security testing
Framework
support
Special handling
© 2017 IBM Corporation17 / 36
테스트 역량
WASC 위험 항목 지원 : 크로스 사이트 스크립팅, SQL 인젝션, Response Splitting, CSRF, Session
Fixation, 원격 화일 include, Path traversal
스마트 해커 파라미터 변조 기술을 이용한 최고의 정확성 : 고유의 테스트 프로세스는 어플리케이션
행위, 원본 입력 값과 형식 테스트를 변경함
지속적인 테스트 DB 갱신 (주 단위 갱신) : 수천 개의 어플리케이션 스펙, 인프라, 외부 컴포넌트 시험
Glass box 테스트, hybrid 분석 기술 : 원격지 에이전트 이용. 실제 코드의 라인, 클래스 이름, 파일
이름(특허 대기)에 기반하여 테스트 정확도 향상
© 2017 IBM Corporation18 / 36
테스트 역량
권한 상승 테스트 : 사용자 권한 수준의 수평, 수직적 for사용자 권한 수준의 수평, 수직적
테스트
Flash/Flex 특화된 테스트 (Cross-site Flashing, XSS through Flash, Insecure crossdomain.xml, 등) :
Adobe AMF 바이너리 메시지 분석 및 테스트 지원
하이브리드 SAST 와 DAST 을 이용한 자바스크립트 클라이언트 문제 검출 : HTML5과 난해하고
packed Javascript 보안 이슈 탐지
완벽한 SOAP 웹 서비스 테스트 : XML, SOAP infrastructure, 어플리케이션 계층과 파서
문제(issues) 지원. WS-Security standards, XML encryption, XML signatures 등 지원
.js
XSS 분석기 : A gro학습과 어플리케이션 공격 실패를 통한 획기적인 분석 및 검출 방법(XSS). 수억의
잠재적인 테스트 페이로드, 향상된 검출, 크게 개선된 성능
© 2017 IBM Corporation19 / 36
액션 기반 로그인
 세션 관리는 성공적인 스캔을 위한 주요 요소임
 로그인 절차를 기록하는 방식, 기록된 HTTP 트래픽을 사용하는 방식, 일련의
동일한 순차적인 요청을 재생하는 방식이 필요함
 액션 기반 로그인은 사용자가 기록한 동일한 행동과 브라우저를 사용함
 AppScan이 지원하는 로그인 절차 기록 및 재생은 테스트의 획기적인 성능
향상을 가져옴
 ABL ( Action based login )은 사용자의 개입 없이 과거에 기록된 로그인을 재
실행함
© 2017 IBM Corporation20 / 36
SOA 평가 역량
3계층 어플리케이션을
위한 SOAP 웹 서비스
테스트 지원 :
• Web services infrastructure
• Application layer
• SOAP/XML parser testing
SOAP 웹 서비스 평가
웹 서비스 테스트, 또는 (B2B 애플리케이션에 적합한) 분석을 위해, HTTP 프록시로서
AppScan를 사용하고, 그것을 통해 임의의 웹 서비스 클라이언트 트래픽을 라우팅하여
WSDL 파일을로드하고 SOAP 트래픽을 생성하는 집적 일반 서비스 클라이언트를 사용
SOAP WS 표준 지원 :
• WS-Security v1.1
• WS-Addressing
• SOAP attachments
(MIME/DIME)
• XML Encryption
• XML Signatures
• Username tokens
• SOAP with timestamps
© 2017 IBM Corporation21 / 36
RESTful 서비스 테스트
 PUT 및 DELETE http 요청을 자동으로 탐색
 쿼리 및 body 매개 변수 내에서 중첩 된 JSON 매개 변수를 구문 분석
– 예: adapter=adapterName&procedure=procName&params=[”a”,”b”]
© 2017 IBM Corporation22 / 36
보고서
보안 이슈 보고서
산업 표준 보고서 (OWASP Top 10, SANS Top 25)
40여 개 이상의 규제 준수 보고서
HTML XML
© 2017 IBM Corporation23 / 36
점검 결과 AppScan Enterprise 공개
© 2017 IBM Corporation24 / 36
AppScan 확장 역량
빌드 및 자동화
시스템을 위한
명령행
인터페이스
AppScan CLI
명령행 인터페이스를
통하여 스캔, 보고서 생성,
결함 로그의 실행이 가능
기능 확장 모듈을
통한 기능 확장
AppScan Extension
Framework을 통하여
자체적인 프로세스 또는
필요한 기능을 추가함.
PyScan. 침투
테스트
프레임워크
AppScan은 보안
테스트를 확장하기 위한
플랫폼으로 테스터를
제공.
파이썬 스크립트의
강력한 기능과 AppScan
Standard를 통하여
자체적인 기능을 추가함
.NET SDK 를
이용한 도구 통합
자체젝인 개발 및 테스트
환경에서 rich .NET
software development kit
(SDK) 을 이용한 기능
확장. AppScan 모든 기능
사용 가능
© 2017 IBM Corporation25 / 36
웹 애플리케이션 보안 점검 및 취약점 수정(대응)
1. 웹 애플리케이션의 자동화 점검 및 손쉬운 보안
권고안 제공
2. 웹 애플리케이션의 취약한 보안 요소와 근본적
해결 방안을 위한 수정권고안 제시와 보안/코딩
가이드라인 제시
3. 개발자 및 보안담당자가 이해할 수 있는 자세한
코딩 샘플 제공과 예시 등 폭넓은 권고안 제공
1. 세계 시장 점유율 1위 (Gartner Group)
2. 빠른 취약점 업데이트와 제로데이 취약점 대응
(세계 각국 31개의 보안연구소 운영)
4. 많은 솔루션 구축과 활용으로 인한 안정성과 우수성
검증
(세계 유수의 보안 리더 및 선두그룹 등 800여
고객사)
취약점 점검 성능과 검증
1. 모든 종류의 운영체제의 운영중인 웹 서버(IIS, 아파치,
넷스케이프 등) 및 기반기술(ASP, PHP, AJAX, .NET
등)에 대한 인프라스트럭처 및 애플리케이션 점검
지원
2. 일반 사용자 및 전문가와 모의해킹 검사자를 위한
다양한 도구 지원
3. Client Side의 인증, SSL, NTML 등 다양한 인증관리 및
로그인 지원
4. Web 2.0에 대한 대응 지원
5. SDK연동 기반의 AXF-확장지원 툴을 통한 유연성 및
확장성
6. 델타분석을 통한 취약점 점검 및 개선 사항 확인
탁월한 확장성과 운용성편리한 사용자 화면 및 Interface
1. 편리한 Setup, Configure, Run, Test 단계 구성에
의한 직관적인 수행방법 제공
2. 테스트 및 분석 결과의 종합적이고 자세한 DB 제시
3. 자동화된 취약점 Update 및 Zero-day 취약점
업데이트
보고서와 수정권고안
1. 웹 애플리케이션의 모든 단계 및 작업에 대한 이해
가능한 수정안 제시
2. 산업표준 및 폭넓게 사용되는 40가지 규정이행
항목에 대한 이행정보 보고서
3. 강력한 보고서 양식 지원과 오탐보고/스크린 샷 등
활용 및 검증방법 제시
AppScan Standard - 특장점
© 2017 IBM Corporation26 / 36
AppScan Standard - 스캔 구성 및 수행
 스캔을 위한 정보 – 어디서, 어떻게,
무엇을…
– 타겟 웹 애플리케이션 URL
– 로그인 방법 및 정보
– 테스트 정책 – 적용 룰/패턴
– 링크 깊이, 수의 제한
– 스캔 제외 경로 및 파일 타입 등
 테스트 대상 애플리케이션 정보 수집
– 시작 URL 부터 링크를 따라 탐색하여
웹 사이트 페이지 정보 수집
– 수집된 URL 정보들을 애플리케이션
트리 형태로 구체화
 스캔
– 선 스캔으로 실제 스캔 이전에
권고사항 제공
– 수집된 URL에 변조된 Request를
송신하여 스캔 수행
– 각 request에 대한 응답 기록 및 결과
제공
© 2017 IBM Corporation27 / 36
AppScan Standard – 스캔 전문가 권장사항
 웹사이트를 분석하여 최적의 Scan 구성을 설정하도록 지원함
© 2017 IBM Corporation28 / 36
AppScan Standard - 스캔 분석 > 보안 문제
 스캔 중 발견된 문제들에 대한 포괄적이고 자세한 정보를 제공 – 단순 리스트업 이상의
정보 필요
– 문제 정보
– 보안 권고문
– 수정안
– 요청/응답
© 2017 IBM Corporation29 / 36
AppScan Standard - 스캔 분석 > 조치 작업
 스캔에서 발견된 문제들을 위해 디자인된 솔루션 제공
– 애플리케이션이 현재 가지고 있는 문제를 어떻게 해결해야 할지에 대한 정보
– 조치 작업 별로 적용할 수 있는 문제들 리스트업
– (비 개발자인) 보안 담당자 입장에서 (비 보안 전문가인) 개발자들과 보다 정확하게 소통
가능
© 2017 IBM Corporation30 / 36
AppScan Standard - 스캔 분석 > 애플리케이션 데이터
 테스트 수행 중 웹
애플리케이션에서 발견된 내용의
리스트
– 요청 / 응답 정보
– 브라우저 보기 기능
 수동 테스트 기능
– 요청을 수정하여 원하는
내용의 테스트 수행 가능
– 사용자가 패러미터 값 제공,
자동 폼 내용 채우기 기능
해제 등을 통해 추가적인
테스트 가능
© 2017 IBM Corporation31 / 36
AppScan Standard - 리포트
 테스트 분석 후 조직 내의 다양한 팀원들과 결과를 공유할 수 있는 여러 관점의 리포트 제공
– 보안 보고서 – 기본 보고서
– 산업 표준 (OWASP, ISO, Visa 등)
– 규정 준수 (일본, 유럽, 미국 등의 규정)
– 델타 분석 – 스캔 비교
– 템플리트 기반 – 사용자 정의 리포트
 발생된 문제, 빈도 등에 대한 정보 포함
OWASP Top 10
보고서 일부의 예
규정 준수 보고 템플릿
© 2017 IBM Corporation32 / 36
.
기능 – 취약점 Update
취약점 Update 및 S/W Upgrade
Internet AppScan
Update Server
AppScan 자동
Update/Upgrade
세계 33개 취약점 연구소
각 지역에서 취합 된 Web Application 보안 취약점과
보안정보 또는 AppScan S/W Upgrade
 AppScan 의 취약점 정보 업데이트 및 업그레이드
AppScan 은 세계 33개의 취약점연구소와
Web Application 보안 연구소에서 취합된 보안 취약점
을 실시간 자동 업데이트.
또한 취약점 점검 도중 발생하는 보안 취약점 업데이트
에 관해서는 자동 업데이트와 추가적인 취약점 점검을
지원하며, 업데이트에 관한 로그를 상시 검색.
AppScan Standard - 보안 취약점 업데이트
© 2017 IBM Corporation33 / 36
웹 서비스 보안 강화
운용 사례 ( AppScan Standard ) – 게임사
 급증하는 방문자 트래픽과 이에 따른 악의적 해킹 시도로부터 사이트를 보호하고, 안전한 웹
서비스를 제공하기 위한 보안 강화로 솔루션 도입
 개발자가 수작업으로 모의 해킹
 점검 업무 하루(8시간) 이상 소요
 웹 취약성 점검 후 서비스의 퍼블리쉬(결과
정리, 개발팀에 요청, 해결, 검증 및 서비스
공개)까지 일주일 이상 소요
 수작업으로 리포트 작성
 모의 해킹 자동화
 자동 점검을 통해 3시간 내로 단축
 취약성 점검 후 퍼블리쉬 과정이 1일
이내로 80% 이상 단축 효과
 리포트 자동 생성
보안 점검 효율성
 개발자 경험에 전적으로 의존한 보안 점검의
한계로 최신 해킹 패턴에 대한 대응 부재
 이미 서비스된 애플리케이션은 보안 점검이
어려움
 광범위한 해킹 패턴 보유 및 국내/외 최신
해킹 패턴의 주기적인 업데이트로 보다
완전한 보안 점검이 가능
 스케줄링 기능으로 대외 서비스의
정기/비정기적 상시 보안 점검이 가능
웹 서비스 보안 안정성
웹 보안 점검
효율화
보안 취약점
100% 근접
제거
보안 업무
추진력 제고
대외 서비스
상시 보안 점검
© 2017 IBM Corporation34 / 36
IBM AppScan의 장점
 다수의 특허 및 고유 기술 사용 ( 웹 스크롤링, 다단계 기록 등 )
 X-force 연구소로부터의 새로운 해킹 정보의 즉각적인 업데이트 ( 실시간 업데이트 )
 2000년 제품 발표 된 가장 진화된 동적 웹 취약점 분석 도구로 시장 점유율 1위의 제품 (
2014년 가트너 )
 수천개의 다양한 테스트 기법을 지원 ( 뉴스 그룹, 메일링 리스트, 0-day attack 등을
지속적으로 모니터링 )
 어플리케이션 대상에 따른 다양한 설정 도구 지원 및 사용자 정의 룰 추가 지원
 가장 많은 사용자를 보유한 동적 웹 취약점 도구 ( 실질적 표준 도구로 벤치마킹 대상 )
© 2017 IBM Corporation35 / 36
사례 – 국내외
세계 상위 10대 은행 중 9개
은행
세계 상위 10대 IT기술기업 중
8개 기업
세계 상위 제약/임상 기업 중
7개 기업
다양한 대규모
정부기관
IT 기술기업
컨설팅 및 연구기업
국내 기업과 기관
THANK YOU
ibm.com/security
securityintelligence.com
xforce.ibmcloud.com
@ibmsecurity
youtube/user/ibmsecuritysolutions
FOLLOW US ON:
© Copyright IBM Corporation 2016. All rights reserved. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any kind,
express or implied. Any statement of direction represents IBM's current intent, is subject to change or withdrawal, and represent only goals and objectives. IBM, the IBM logo, and other IBM products
and services are trademarks of the International Business Machines Corporation, in the United States, other countries or both. Other company, product, or service names may be trademarks or service
marks of others.
Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection and response to improper access from within and outside your
enterprise. Improper access can result in information being altered, destroyed, misappropriated or misused or can result in damage to or misuse of your systems, including for use in attacks on others.
No IT system or product should be considered completely secure and no single product, service or security measure can be completely effective in preventing improper use or access. IBM systems,
products and services are designed to be part of a lawful, comprehensive security approach, which will necessarily involve additional operational procedures, and may require other systems, products
or services to be most effective. IBM does not warrant that any systems, products or services are immune from, or will make your enterprise immune from, the malicious or illegal conduct of any party.

IBM 보안솔루션 앱스캔_AppScan Standard 소개

  • 1.
    © 2014 IBMCorporation1© 2017 IBM Corporation IBM 웹 애플리케이션 보안 솔루션 - AppScan IBM Security Systems 강 용석 부장 ( kyseok@kr.ibm.com )
  • 2.
    © 2017 IBMCorporation2 / 36 데이터 누출에 따른 비용 Source: 2014 ‘Cost of Data Breach Study: Global Analysis’, Ponemon Institute $5.85M 미국의 데이터 누출 건당 평균 비용 $201 미국의 손상된 데이터당 평균 비용
  • 3.
    © 2017 IBMCorporation3 / 36 어플리케이션 보안 위협 ??????????????????????크로스 사이트 스크립팅과 SQL 인젝션 모바일 장치 공격 웹 어플리케이션 취약성 ??????????????????????모바일 악성 코드의 증가 조사 시점에서 11.6 million 이상의 모바일 장치가 악성코드에 감염됨 Source: InfoSec, "Mobile Malware Infects Millions; LTE Spurs Growth," January 2014 일반적으로 많이 사용되는 상위 90% 의 모바일 어플리케이션이 해킹됨 Source: Arxan Technologies, “App Economy under Attack: Report Reveals More than 90 Percent of the Top 100 Mobile Apps Have Been Hacked” Web Application Vulnerabilities 크로스 사이트 스크립팅과 SQL 인젝션의 지속적인 증가 Source: IBM X-Force Threat Intelligence Quarterly, 1Q 2014 Source: IBM X-Force Threat Intelligence Quarterly, 1Q 2014 33%of 누출에 대한 취약성 중 웹 취약성의 비율
  • 4.
    © 2017 IBMCorporation4 / 36 SQL 인젝션: 지속적으로 많이 사용되는 데이터 누출 취약점 2013 공격 유형, 시간, 영향력별 보안 사고 분포 Note: Size of circle estimates relative impact of incident in terms of cost to business. Attack types SQL injection Spear phishing DDoS Physical access Malware XSS Watering hole Undisclosed January February March April May June July August September October November December SQL 인젝션이 2013년 보안 공격의 13%를 차지함 Source: IBM X-Force Threat Intelligence Quarterly 1Q 2014
  • 5.
    © 2017 IBMCorporation5 / 36 보안 위협 어플리케이션 보안 지출 보안 리스크와 지출에 따른 여러분의 위치는? 지출 Spend ≠ Risk 35% - 30% - 25% - 20% - 15% - 10% - 5% - 어플리케이션 보안 데이터 보안 네트웍 보안 인적보안 서버보안 물리적 보안 많은 기업이 어플리케이션 보안의 중점화 하지 않음 Source: The State of Risk-Based Security Management, Research Study by Ponemon Institute, 2013
  • 6.
    © 2017 IBMCorporation6 / 36 어플리케이션 보안 과제 어플리케이션의 급격한 증가, 출시 및 기술 변화 변화 속도규정 준수 외부 규정 및 내부 정책 요구사항 자원 소규모 보안팀, 대규모 어플리케이션 ? • 어떤 어플리케이션이 주요한 비즈니스 위험을 가지고 있나? • 프로세스/비즈니스의 저하없이 DevOps / 애자일 어플리케이션의 보안을 테스트할 수 있나? • 개발주기 초기에 어떻게 보안 문제를 식별하고 비용을 줄일 수 있나? • 보안 위험이 어디에 있나? • 어플리케이션의 내부 정책 요구사항을 어떻게 설정할 것인가? • 어플리케이션을 통하여 중요 정보가 노출되는가? • 어플리케이션의 규정 준수 사항을 어떻게 확인할 것인가? • 기업이 가지고 있는 자원을 어떻게 우선순위화할 것인가? • 무엇을 테스트하고 어떻게 테스트할 것인가? • 어떻게 인적자원을 할당하고 기술을 향상시키고 인식할 것인가?
  • 7.
    © 2017 IBMCorporation7 / 36 IT 도움말 온라인 제품 카탈로그 직원 여행 포탈 전자 상거래 비즈니스 영향 낮음 중간 높음 치명적 취약성 중간 Session identifier not updated 높음 SQL injection 중간 Open redirect (1) High SQL injection 어플리케이션 보안 위험 낮음 높음 중간 매우 높음 “보안은 항상 이해되고, 관리한다. 그리고 기업의 가장 치명적인 자산의 위협을 완화한다.” Advanced Persistent Threat, Understanding the Danger and How to Protect Your Organization, by Dr. Eric Cole, SANS Institute 위기 관리의 모든 것… 내부 외부 민감 정보
  • 8.
    © 2017 IBMCorporation8 / 36 IBM AppScan 솔루션 8 동적 분석 상관 분석 모바일 어플리케이션 분석 정적 분석 어플리케이션 보안 관리 자산 목록 비즈니스 영향 평가 상태 및 현황 관리취약점 우순순위화 보안 준수 결정
  • 9.
    © 2017 IBMCorporation9 / 36 AppScan Standard – 분석 방식 정적 분석 (White Box 테스팅) 동적 분석 (Black Box 테스팅) 점검을 위한 입력(대상) 소스 코드 완성된 웹 어플리케이션 평가 기술 변형된 요청 분석 및 패턴 매칭 변조된 HTTP 요청 애플리케이션 개발 주기에서의 역할 Development: 소스 스캔 및 IDE를 통한 점검 Build: 발생 시 자동 점검을 통한 결함 발견 Security: 개발자를 위한 베스트 프랙티스에 대한 정의 및 보안; 운영 전 점검과 감사를 위한 실행 Build: 테스팅 팀과 릴리즈 이전 단계에 스캔 Test: 보안 테스트 실행 품질 감사를 위한 보안 테스트 스크립트 실행 Security: 품질을 위한 테스트 스크립트 정의; 운영 전 점검과 감사를 위한 실행 결과 & 출력 소스와 결함 함수에 따른 소스 레벨의 결과 도출 HTTP 요청 정보의 결과 도출 (공격 요청 정보)
  • 10.
    © 2017 IBMCorporation10 / 36 향상된 기술을 이용한 취약점 발견 정적 분석 - 소스 코드 분석 - 개발 과장 중 - 오염분석/패턴 비교 사용 동적 분석 - 동적 분석과 정적 분석 결과 연계 - 코드 라인 식별로 취약점 제거작업 지원 Hybrid 분석 - 동작 웹 어플리케이션 - 테스트 단계에서 사용 - HTTP 왜곡 기술 사용 Client-Side 분석 - 클라이언트 단 다운로드 된 자바스크립트 분석 - 업계 유일 실행시간 분석 - 실행 에이전트(agent) 이용 분석 - 결과 추가 및 정확도 향상 전체 잠재 보안 문제
  • 11.
    © 2017 IBMCorporation11 / 36 AppScan Standard는?  시장을 선도하는 동적 어플리케이션 보안 테스트 (DAST) 솔루션입니다.  웹 어플리케이션 및 웹 서비스의 보안 취약점을 자동화 기능을 이용하여 어플리케이션 보안 전문가의 역할을 수행합니다.
  • 12.
    © 2017 IBMCorporation12 / 36 AppScan Standard  AppScan – 웹 애플리케이션의 보안 점검 도구  AppScan이 필요한 이유 – 웹 애플리케이션의 보안 문제를 보다 쉽게 발견하고 해결하기 위함.  AppScan의 역할 – 웹 애플리케이션을 테스트하고, 보안 문제를 발견하여 이를 조치할 수 있도록 문제에 관련된 다양한 정보 제공  사용 대상자 – 보안 감사자 – QA 팀 – 개발자 1. 애플리케이션 스캔 취약점 탐지 취약점 분석 취약점 수정
  • 13.
    © 2017 IBMCorporation13 / 36 Automatic Web 탐색 역량(Crawler Capabilities) .js JavaScript & AJAX 웹 탐색 • 완벽한 자바스크립트 실행 엔진 • Web 2.0, JavaScript, AJAX 프레임웤 지원 • 사용자의 조작을 최소화한 완벽한 동적 URL 탐색 Adobe Flash & Flex 탐색 • 완벽한 Flash 실행 엔진 (미국 특허 US 20110066609) • ActionScript 2.0, 3.0, Flash, Flex 어플리케이션 지원 • 사용자의 조작을 최소화한 완벽한 동적 URL 탐색 다단계 조작 ( Operations ) • 쇼핑 카드, 발권 시스템에서 사용되는 다단계 조작 지원 • 상시 요구되는 상태를 지속함 • 순차적 조작에 대한 최적화된 성능 • 미국 특허 US 20090320043 Glass box 지원 탐색 • 서버상의 에이전트를 통한 웹 탐색 (실행시간 분석) • 참조되지 않은 파라미터 리포트 자동 탐색(crawling)과 세션 관리 • 양식 필터 기능을 통하여 완전 자동화된 웹 탐색 • 로그인 절차를 재 수행, 재생, 고정값을 이용한 세션 추적 • 로그인 상태 상시 유지
  • 14.
    © 2017 IBMCorporation14 / 36 Automatic Web 탐색 역량(Crawler Capabilities) 증명 및 통신 • SSL/TLS, Client-side 인증의 완벽 지원 • 구성 가능한 HTTP Proxy (프록시 인증 지원) • 스캔 작업자의 축소를 이용한 스캔 조절 • Basic, NTLM, Kerberos, Digest, 양식 기반의 인증 지원 • 이중 인증 및 필요시 입력 요청 기능 지원 어플리케이션과 점검 결과의 내용 기반 포기 • 더미 URL 구조 (meaningless URL structure) 지원 • 응답 값 ( 페이지 타이틀, 프트릿, 위젯,사용자 정의 룰URL 기준의 어플리케이션 구조와 보안 결과 표시 복잡한 어플리케이션의 수작업 탐색 • 내장, 외부 브라우저, 웹 클라이언트 사용 지원 • 웹 트래픽의 완벽한 분석 및 테스트 ( 프록시 사용 ) • IE, FF, Chrome 브라우져 지원 • 수작업 탐색 데이터의 가져오기, 저장, 공유 지원 변경 가능한 탐색기 ( crawler ) 의 비표준 웹 지원 • 파라미터 구성 변경으로 비표준 HTTP 포멧 지원 • JSON, XML, Path parameters, GUID, 이외 다수의 사전 정의된 형태 • 구성 가능한 파라미터, 쿠키 조작을 통하여 테스트 대상 제외, 추적 값, 동시 실행 최적화(tuning)
  • 15.
    © 2017 IBMCorporation15 / 36 Automatic Web 탐색 역량(Crawler Capabilities) Customized 애러 페이지 감지 • customized error page 자동 인식 • 불필요한 오탐 감소 • URL, 전체 웹페이지, 정규식을 이용한 404 페이지 유형 정의 404 • 별도의 구성 없이 URL다시쓰기 어플리케이션 지원 • URL 경로상의 내장 파라미터 값 자동 감지 • AppScan 자동 구성 • 파라미터 기반 탐색 어플리케이션 ( 예. MVC) 모듈 탐색과 적합한 구성 변경 자동 URL 다시 쓰기 지원 • 스캔 구성, 템플릿, 수작업 탐색, 다단계 탐색을 XML화일로 저장 및 공유 • 팀 단위 작업 재사용 • 회귀 및 단위 테스트 스크립트를 위한 베이스라인 사용 스캔 구성, 데이터 및 템플릿 저장 및 공유
  • 16.
    © 2017 IBMCorporation16 / 36 - RIAs, Web 2.0, AJAX 어플리케이션은 JavaScript, Flash technologies를 사용 - AppScan은 아래 내용을 지원 Web 2.0, JavaScript, AJAX, Adobe Flash 지원 16 JavaScript & AJAX Adobe Flash/Flex Static link extraction Static link extraction (AS2.0 Flash) JavaScript execution simulates user interaction Flash execution simulates user interaction (AS 2.0/3.0 Flash & Flex) – Patent pending JavaScript Security Analyzer – hybrid analysis used to detect client-side issues (supports HTML5) Flash related vulnerability detection (XSS through Flash, Cross-site Flashing, etc.) AJAX and JS Frameworks (Dojo, ICEFaces, etc.) Adobe Flash & Flex applications Support for analysis and testing of JSON messages Support for analysis and testing of Adobe AMF messages (binary protocol used mostly in Flex applications) Static links Dynamic links Security testing Framework support Special handling
  • 17.
    © 2017 IBMCorporation17 / 36 테스트 역량 WASC 위험 항목 지원 : 크로스 사이트 스크립팅, SQL 인젝션, Response Splitting, CSRF, Session Fixation, 원격 화일 include, Path traversal 스마트 해커 파라미터 변조 기술을 이용한 최고의 정확성 : 고유의 테스트 프로세스는 어플리케이션 행위, 원본 입력 값과 형식 테스트를 변경함 지속적인 테스트 DB 갱신 (주 단위 갱신) : 수천 개의 어플리케이션 스펙, 인프라, 외부 컴포넌트 시험 Glass box 테스트, hybrid 분석 기술 : 원격지 에이전트 이용. 실제 코드의 라인, 클래스 이름, 파일 이름(특허 대기)에 기반하여 테스트 정확도 향상
  • 18.
    © 2017 IBMCorporation18 / 36 테스트 역량 권한 상승 테스트 : 사용자 권한 수준의 수평, 수직적 for사용자 권한 수준의 수평, 수직적 테스트 Flash/Flex 특화된 테스트 (Cross-site Flashing, XSS through Flash, Insecure crossdomain.xml, 등) : Adobe AMF 바이너리 메시지 분석 및 테스트 지원 하이브리드 SAST 와 DAST 을 이용한 자바스크립트 클라이언트 문제 검출 : HTML5과 난해하고 packed Javascript 보안 이슈 탐지 완벽한 SOAP 웹 서비스 테스트 : XML, SOAP infrastructure, 어플리케이션 계층과 파서 문제(issues) 지원. WS-Security standards, XML encryption, XML signatures 등 지원 .js XSS 분석기 : A gro학습과 어플리케이션 공격 실패를 통한 획기적인 분석 및 검출 방법(XSS). 수억의 잠재적인 테스트 페이로드, 향상된 검출, 크게 개선된 성능
  • 19.
    © 2017 IBMCorporation19 / 36 액션 기반 로그인  세션 관리는 성공적인 스캔을 위한 주요 요소임  로그인 절차를 기록하는 방식, 기록된 HTTP 트래픽을 사용하는 방식, 일련의 동일한 순차적인 요청을 재생하는 방식이 필요함  액션 기반 로그인은 사용자가 기록한 동일한 행동과 브라우저를 사용함  AppScan이 지원하는 로그인 절차 기록 및 재생은 테스트의 획기적인 성능 향상을 가져옴  ABL ( Action based login )은 사용자의 개입 없이 과거에 기록된 로그인을 재 실행함
  • 20.
    © 2017 IBMCorporation20 / 36 SOA 평가 역량 3계층 어플리케이션을 위한 SOAP 웹 서비스 테스트 지원 : • Web services infrastructure • Application layer • SOAP/XML parser testing SOAP 웹 서비스 평가 웹 서비스 테스트, 또는 (B2B 애플리케이션에 적합한) 분석을 위해, HTTP 프록시로서 AppScan를 사용하고, 그것을 통해 임의의 웹 서비스 클라이언트 트래픽을 라우팅하여 WSDL 파일을로드하고 SOAP 트래픽을 생성하는 집적 일반 서비스 클라이언트를 사용 SOAP WS 표준 지원 : • WS-Security v1.1 • WS-Addressing • SOAP attachments (MIME/DIME) • XML Encryption • XML Signatures • Username tokens • SOAP with timestamps
  • 21.
    © 2017 IBMCorporation21 / 36 RESTful 서비스 테스트  PUT 및 DELETE http 요청을 자동으로 탐색  쿼리 및 body 매개 변수 내에서 중첩 된 JSON 매개 변수를 구문 분석 – 예: adapter=adapterName&procedure=procName&params=[”a”,”b”]
  • 22.
    © 2017 IBMCorporation22 / 36 보고서 보안 이슈 보고서 산업 표준 보고서 (OWASP Top 10, SANS Top 25) 40여 개 이상의 규제 준수 보고서 HTML XML
  • 23.
    © 2017 IBMCorporation23 / 36 점검 결과 AppScan Enterprise 공개
  • 24.
    © 2017 IBMCorporation24 / 36 AppScan 확장 역량 빌드 및 자동화 시스템을 위한 명령행 인터페이스 AppScan CLI 명령행 인터페이스를 통하여 스캔, 보고서 생성, 결함 로그의 실행이 가능 기능 확장 모듈을 통한 기능 확장 AppScan Extension Framework을 통하여 자체적인 프로세스 또는 필요한 기능을 추가함. PyScan. 침투 테스트 프레임워크 AppScan은 보안 테스트를 확장하기 위한 플랫폼으로 테스터를 제공. 파이썬 스크립트의 강력한 기능과 AppScan Standard를 통하여 자체적인 기능을 추가함 .NET SDK 를 이용한 도구 통합 자체젝인 개발 및 테스트 환경에서 rich .NET software development kit (SDK) 을 이용한 기능 확장. AppScan 모든 기능 사용 가능
  • 25.
    © 2017 IBMCorporation25 / 36 웹 애플리케이션 보안 점검 및 취약점 수정(대응) 1. 웹 애플리케이션의 자동화 점검 및 손쉬운 보안 권고안 제공 2. 웹 애플리케이션의 취약한 보안 요소와 근본적 해결 방안을 위한 수정권고안 제시와 보안/코딩 가이드라인 제시 3. 개발자 및 보안담당자가 이해할 수 있는 자세한 코딩 샘플 제공과 예시 등 폭넓은 권고안 제공 1. 세계 시장 점유율 1위 (Gartner Group) 2. 빠른 취약점 업데이트와 제로데이 취약점 대응 (세계 각국 31개의 보안연구소 운영) 4. 많은 솔루션 구축과 활용으로 인한 안정성과 우수성 검증 (세계 유수의 보안 리더 및 선두그룹 등 800여 고객사) 취약점 점검 성능과 검증 1. 모든 종류의 운영체제의 운영중인 웹 서버(IIS, 아파치, 넷스케이프 등) 및 기반기술(ASP, PHP, AJAX, .NET 등)에 대한 인프라스트럭처 및 애플리케이션 점검 지원 2. 일반 사용자 및 전문가와 모의해킹 검사자를 위한 다양한 도구 지원 3. Client Side의 인증, SSL, NTML 등 다양한 인증관리 및 로그인 지원 4. Web 2.0에 대한 대응 지원 5. SDK연동 기반의 AXF-확장지원 툴을 통한 유연성 및 확장성 6. 델타분석을 통한 취약점 점검 및 개선 사항 확인 탁월한 확장성과 운용성편리한 사용자 화면 및 Interface 1. 편리한 Setup, Configure, Run, Test 단계 구성에 의한 직관적인 수행방법 제공 2. 테스트 및 분석 결과의 종합적이고 자세한 DB 제시 3. 자동화된 취약점 Update 및 Zero-day 취약점 업데이트 보고서와 수정권고안 1. 웹 애플리케이션의 모든 단계 및 작업에 대한 이해 가능한 수정안 제시 2. 산업표준 및 폭넓게 사용되는 40가지 규정이행 항목에 대한 이행정보 보고서 3. 강력한 보고서 양식 지원과 오탐보고/스크린 샷 등 활용 및 검증방법 제시 AppScan Standard - 특장점
  • 26.
    © 2017 IBMCorporation26 / 36 AppScan Standard - 스캔 구성 및 수행  스캔을 위한 정보 – 어디서, 어떻게, 무엇을… – 타겟 웹 애플리케이션 URL – 로그인 방법 및 정보 – 테스트 정책 – 적용 룰/패턴 – 링크 깊이, 수의 제한 – 스캔 제외 경로 및 파일 타입 등  테스트 대상 애플리케이션 정보 수집 – 시작 URL 부터 링크를 따라 탐색하여 웹 사이트 페이지 정보 수집 – 수집된 URL 정보들을 애플리케이션 트리 형태로 구체화  스캔 – 선 스캔으로 실제 스캔 이전에 권고사항 제공 – 수집된 URL에 변조된 Request를 송신하여 스캔 수행 – 각 request에 대한 응답 기록 및 결과 제공
  • 27.
    © 2017 IBMCorporation27 / 36 AppScan Standard – 스캔 전문가 권장사항  웹사이트를 분석하여 최적의 Scan 구성을 설정하도록 지원함
  • 28.
    © 2017 IBMCorporation28 / 36 AppScan Standard - 스캔 분석 > 보안 문제  스캔 중 발견된 문제들에 대한 포괄적이고 자세한 정보를 제공 – 단순 리스트업 이상의 정보 필요 – 문제 정보 – 보안 권고문 – 수정안 – 요청/응답
  • 29.
    © 2017 IBMCorporation29 / 36 AppScan Standard - 스캔 분석 > 조치 작업  스캔에서 발견된 문제들을 위해 디자인된 솔루션 제공 – 애플리케이션이 현재 가지고 있는 문제를 어떻게 해결해야 할지에 대한 정보 – 조치 작업 별로 적용할 수 있는 문제들 리스트업 – (비 개발자인) 보안 담당자 입장에서 (비 보안 전문가인) 개발자들과 보다 정확하게 소통 가능
  • 30.
    © 2017 IBMCorporation30 / 36 AppScan Standard - 스캔 분석 > 애플리케이션 데이터  테스트 수행 중 웹 애플리케이션에서 발견된 내용의 리스트 – 요청 / 응답 정보 – 브라우저 보기 기능  수동 테스트 기능 – 요청을 수정하여 원하는 내용의 테스트 수행 가능 – 사용자가 패러미터 값 제공, 자동 폼 내용 채우기 기능 해제 등을 통해 추가적인 테스트 가능
  • 31.
    © 2017 IBMCorporation31 / 36 AppScan Standard - 리포트  테스트 분석 후 조직 내의 다양한 팀원들과 결과를 공유할 수 있는 여러 관점의 리포트 제공 – 보안 보고서 – 기본 보고서 – 산업 표준 (OWASP, ISO, Visa 등) – 규정 준수 (일본, 유럽, 미국 등의 규정) – 델타 분석 – 스캔 비교 – 템플리트 기반 – 사용자 정의 리포트  발생된 문제, 빈도 등에 대한 정보 포함 OWASP Top 10 보고서 일부의 예 규정 준수 보고 템플릿
  • 32.
    © 2017 IBMCorporation32 / 36 . 기능 – 취약점 Update 취약점 Update 및 S/W Upgrade Internet AppScan Update Server AppScan 자동 Update/Upgrade 세계 33개 취약점 연구소 각 지역에서 취합 된 Web Application 보안 취약점과 보안정보 또는 AppScan S/W Upgrade  AppScan 의 취약점 정보 업데이트 및 업그레이드 AppScan 은 세계 33개의 취약점연구소와 Web Application 보안 연구소에서 취합된 보안 취약점 을 실시간 자동 업데이트. 또한 취약점 점검 도중 발생하는 보안 취약점 업데이트 에 관해서는 자동 업데이트와 추가적인 취약점 점검을 지원하며, 업데이트에 관한 로그를 상시 검색. AppScan Standard - 보안 취약점 업데이트
  • 33.
    © 2017 IBMCorporation33 / 36 웹 서비스 보안 강화 운용 사례 ( AppScan Standard ) – 게임사  급증하는 방문자 트래픽과 이에 따른 악의적 해킹 시도로부터 사이트를 보호하고, 안전한 웹 서비스를 제공하기 위한 보안 강화로 솔루션 도입  개발자가 수작업으로 모의 해킹  점검 업무 하루(8시간) 이상 소요  웹 취약성 점검 후 서비스의 퍼블리쉬(결과 정리, 개발팀에 요청, 해결, 검증 및 서비스 공개)까지 일주일 이상 소요  수작업으로 리포트 작성  모의 해킹 자동화  자동 점검을 통해 3시간 내로 단축  취약성 점검 후 퍼블리쉬 과정이 1일 이내로 80% 이상 단축 효과  리포트 자동 생성 보안 점검 효율성  개발자 경험에 전적으로 의존한 보안 점검의 한계로 최신 해킹 패턴에 대한 대응 부재  이미 서비스된 애플리케이션은 보안 점검이 어려움  광범위한 해킹 패턴 보유 및 국내/외 최신 해킹 패턴의 주기적인 업데이트로 보다 완전한 보안 점검이 가능  스케줄링 기능으로 대외 서비스의 정기/비정기적 상시 보안 점검이 가능 웹 서비스 보안 안정성 웹 보안 점검 효율화 보안 취약점 100% 근접 제거 보안 업무 추진력 제고 대외 서비스 상시 보안 점검
  • 34.
    © 2017 IBMCorporation34 / 36 IBM AppScan의 장점  다수의 특허 및 고유 기술 사용 ( 웹 스크롤링, 다단계 기록 등 )  X-force 연구소로부터의 새로운 해킹 정보의 즉각적인 업데이트 ( 실시간 업데이트 )  2000년 제품 발표 된 가장 진화된 동적 웹 취약점 분석 도구로 시장 점유율 1위의 제품 ( 2014년 가트너 )  수천개의 다양한 테스트 기법을 지원 ( 뉴스 그룹, 메일링 리스트, 0-day attack 등을 지속적으로 모니터링 )  어플리케이션 대상에 따른 다양한 설정 도구 지원 및 사용자 정의 룰 추가 지원  가장 많은 사용자를 보유한 동적 웹 취약점 도구 ( 실질적 표준 도구로 벤치마킹 대상 )
  • 35.
    © 2017 IBMCorporation35 / 36 사례 – 국내외 세계 상위 10대 은행 중 9개 은행 세계 상위 10대 IT기술기업 중 8개 기업 세계 상위 제약/임상 기업 중 7개 기업 다양한 대규모 정부기관 IT 기술기업 컨설팅 및 연구기업 국내 기업과 기관
  • 36.
    THANK YOU ibm.com/security securityintelligence.com xforce.ibmcloud.com @ibmsecurity youtube/user/ibmsecuritysolutions FOLLOW USON: © Copyright IBM Corporation 2016. All rights reserved. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any kind, express or implied. Any statement of direction represents IBM's current intent, is subject to change or withdrawal, and represent only goals and objectives. IBM, the IBM logo, and other IBM products and services are trademarks of the International Business Machines Corporation, in the United States, other countries or both. Other company, product, or service names may be trademarks or service marks of others. Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection and response to improper access from within and outside your enterprise. Improper access can result in information being altered, destroyed, misappropriated or misused or can result in damage to or misuse of your systems, including for use in attacks on others. No IT system or product should be considered completely secure and no single product, service or security measure can be completely effective in preventing improper use or access. IBM systems, products and services are designed to be part of a lawful, comprehensive security approach, which will necessarily involve additional operational procedures, and may require other systems, products or services to be most effective. IBM does not warrant that any systems, products or services are immune from, or will make your enterprise immune from, the malicious or illegal conduct of any party.