OWASP Top 10 2013이 발표되었습니다. 이번 업데이트는 2010년 Top 10에 비해 일반적이면서도 중요한 취약점 분류
기준을 확대 적용하였으며, 얼마나 많이 퍼져있는가를 기준으로 순위를 재조정하였습니다. 또한 2010년 Top 10의
‘A6:보안 설정 오류’의 세부적인 설명의 모호함을 해소하고자, 위협 분류 가운데 컴포넌트 보안을 새로 포함하였습니다.
OWASP Top 10 2013은 애플리케이션 보안을 전문으로 하는 7개 기업의 8개 데이터세트를 토대로 하였습니다. 이
데이터들은 수백 개 기업, 수천 개의 애플리케이션에 걸친 500,000개 이상의 취약점들을 포함하고 있습니다. Top 10 각 항목들은 이 가운데 가장 많이 퍼져있는 데이터를 기준으로, 취약점 공격 가능성, 탐지 가능성, 그리고 영향 평가 등을 함께 고려하여 선정되었습니다.
OWASP Top 10을 선정하는 가장 큰 이유는 가장 중요한 웹 애플리케이션의 보안 취약점 개발자, 설계자, 아키텍트, 운영자, 혹은 기관들에게 주요 웹 애플리케이션 보안 취약점으로 인한 영향을 알리기 위해서입니다. Top 10은 위험도가 큰 문제들에 대해 대응할 수 있는 기본적인 기술을 제공하며, 또한 이를 근거로 향후 방향을 제시하고 있습니다.
[이찬우 강사] Gyeonggi Institute of Science & Technology Promotion_employee inform...Lee Chanwoo
[이찬우 강사] Gyeonggi Institute of Science & Technology Promotion_employee information security education_Cyber security trends 201802 - 제4차 산업혁명 시대를 맞이한 사이버 정보보안 이슈 및 동향
4차 산업혁명 시대의 세이프티 플랜이라는 주제로 개최된 "세이프티 SW 2017" 행사에서 발표한 자료를 공유합니다. 최근 들어
해킹 사고가 빈번하게 발생하는 이유를 소개했구요, 사물인터넷 보안과 인터넷 보안의 차이, 그리고 사물인터넷 보안 사고의 유형을 다양한 사례를 통해 살펴본 후 대응 방안을 몇 가지 언급했습니다.
최근 랜섬웨어(Ransomware)를 통한 공격이 늘어나고 있습니다. 이에 대비하여 AWS 클라우드를 사용하는 고객의 대응 방안에 대해 알려드리는 보안 특집 세미나입니다. 본 세션에서는 다원화되고 있는 랜섬웨어 공격 패턴과 WannaCry 같은 잘 알려진 공격 및 이에 대한 AWS 공식적인 보안 공지 및 대응 매뉴얼을 소개합니다. 또한, AWS 고객들이 랜섬웨어 공격에 미리 대비하기 위해 OS 패치 및 보안 관리를 위한 EC2 System Manager, VPC 보안 그룹 및 Flow Logs 활용 방법, AWS Inspector 를 통한 취약점 관리 등에 대해 상세히 설명합니다.
[2012 CodeEngn Conference 07] M-Stoned - iThreatGangSeok Lee
2012 CodeEngn Conference 07
그동안 Mac 사용자들은 악성코드로부터 안전하다는 믿음이 있었고 Apple사 역시 마케팅에 활용했었다. 이런 믿음은 2012년 4월, 전 세계 65만대의 Mac 컴퓨터가 Flashback에 감염되고 Mac 사용자에 대한 표적공격 악성코드가 발견되면서 Mac 또한 악성코드의 위협으로부터 완전히 자유로울 수 없음이 확인됐다. 지금까지 발견된 주요 Mac 악성코드에 대해 알아보고 Mac 악성코드 분석 방법과 분석시 유의 사항에 대해 발표한다.
http://codeengn.com/conference/07
Document centralization based document security
Smart work environment construction
Cloudoc against ransomware
Drawing/ Document/ Source code/ Copyright security and Personal information protection
악성코드는 끊임없이 지능화되어 가며 사용자들의 데이터를 노리고 있는데, 우리는 이러한 공격으로부터 안전할까요? 나는 아니겠지 하는 한순간의 방심으로 우리 회사의 데이터가 공격자로부터의 인질이 될 수 있습니다. AWS 인프라 환경에서 랜섬웨어로부터 보호하기 위한 방법은 무엇인지 살펴보며, 안전하게 구축하기 위한 전략을 함께 찾아봅니다. 완벽한 보안은 항상 어려운 일이지만, 이 몇 단계의 기본을 지키는 준비만으로도 여러분의 AWS 보안은 달라질 것입니다.
1. Cloud Service를 이용핚
APT(Advanced Persistent Threat) 대응
2011.11.03
㈜ 안철수연구소
ASEC (AhnLab Security Emergency response Center)
Advanced Threat Researcher, MCSE, MCDBA, MCSA, CISSP
장 영 준 선임 연구원 (zhang95@ahnlab.com)
Copyright (c) AhnLab, Inc. 1988-2011. All rights reserved.
2. 목차
I. APT(Advanced Persistent Threat)
1. APT(Advanced Persistent Threat) 특징
2. APT(Advanced Persistent Threat) 대상
3. APT(Advanced Persistent Threat)의 Targeted Attack
4. APT(Advanced Persistent Threat)의 Remote Control
II. APT(Advanced Persistent Threat) Case Study
1. 2010년 1월 Operation Aurora 침해 사고
2. 2011년 2월 Night Dragon 침해 사고
3. 2011년 3월 EMC/RSA 침해 사고
4. 2011년 8월 Operation Shady RAT 침해 사고
Ⅲ. Cloud Service를 이용한 APT(Advanced Persistent
Threat) Defense Strategy
1. APT(Advance Persistent Threat) Timeline
2. Proactive Defense for APT(Advance Persistent Threat)
3. Cloud Service for Proactive Defense
1
4. 1. APT(Advanced Persistent Threat) 특징
APT는 특정 목적 달성을 위해 지속적으로 정교핚 형태의 보안 위협들로 목표물을 타격
APT의 최종 목적은 정치적, 경제적으로 고부가가치의 기밀 데이터 탈취 또는 파괴를 목표
3
5. 2. APT(Advanced Persistent Threat) 대상
정치적, 경제적으로 고부가가치의 데이터를 보유핚 기업 및 조직들이 APT의 주요 대상
피해 규모 및 범위는 기업 및 조직의 비즈니스 연속성에 심각하고 치명적인 위험을 유발
정부 기관
사회 기간
산업 시설
• 정부 기관 기밀 문서 탈취
• 군사 기밀 문서 탈취
• 사이버 테러리즘 활동
• 사회 기간 산업 시스템 동작 불능
정보 통신 기업
• 첨단 기술 자산 탈취
• 원천 기술 관련 기밀 탈취
제조 업종 기업
• 기업 지적 자산 탈취
• 기업 영업 비밀 탈취
금융 업종 기업
• 사회 금융 시스템의 동작 불능
• 기업 금융 자산 정보 탈취
4
6. 3. APT(Advanced Persistent Threat)의 Targeted Attack
APT에서의 Targeted Attack은 공격 대상 기업 및 조직의 내부망 침입을 위핚 단계
공격 대상 기업 및 조직에 대핚 사전 정보 수집으로 최적의 Social Engineering 기법 개발
Targeted Attack은 이메일이나 Instant Messenger 프로그램 등으로 전자 문서 등의
취약점을 악용하는 악성코드나 악성코드를 다운로드하는 웹 페이지 링크 전송
[Microsoft Word와 Adobe Reader 취약점 악용 악성코드와 생성기]
5
7. 4. APT(Advanced Persistent Threat)의 Remote Control
Targeted Attack에 사용되는 악성코드는 일반적으로 원격 제어 형태의 악성코드
악성코드는 공격 전 별도 제작 또는 알려짂 생성기들로 변형 제작 이후 AV 미탐지 검증
공격 대상 기업 및 조직의 임직원 시스템에 원격 제어 형태 악성코드 감염 후 장기갂 잠복
[Gh0st RAT, NetBot과 Poison Ivy 원격 제어 악성코드 생성기 및 조정기]
6
9. 1. 2010년 1월 Operation Aurora 침해 사고
2011년 1월 12일 Google에서 기업 내부에 외부로부터 침해 사고 발생을 공개
해당 공격은 Google외에 Adobe, Juniper, Yahoo 등 34개 업체를 공격 대상
공격 목적은 해당 기업들 내부에 존재하는 첨단 기술 관련 기밀 데이터의 탈취
공격은 Internet Explorer의 Zero Day 취약점이었던 MS10-002(CVE-2010-0249) 악용
1) Targeted Attack으
로 웹 사이트 링크 전
달
4) 내부 주요 시스템들
해킹 후 데이터 탈취
내부 임직원
3) C&C 서버에서
원격 제어
2) 링크 클릭으로
I.E Zero Day 취약점 동작
악성코드 다운로드 & 감염
[Operation Aurora 침해 사고 흐름도]
8
10. 2. 2011년 2월 Night Dragon 침해 사고
2011년 2월 9일 McAfee에서 글로벌 에너지 업체들 대상의 침해 사고 발생 공개
해당 공격은 카자흐스탄, 대만 및 미국 등의 오일, 가스 및 석유 화학 제품 업체들을 대상
공격 목적은 해당 기업들 내부에 존재하는 제조 및 영업 관련 기밀 데이터의 탈취
기업 임직원에게 Targeted Attack으로 악성코드의 다운로드 링크 전송 후 감염
1) 외부 시스템 해킹 후
C&C 서버 설치
악성코드 업로드
3) 악성코드에 감염된
내부 임직원 시스템으로
내부망 침입
5) 이메일 데이터와
기밀 문건들 외부 유출
최소 1년 이상 기업 내부망 잠복
2) 내부 임직원 대상
Targeted Attack 수행
악성코드 감염
4) 다른 해킹 툴 다운로드 후
내부망 주요 시스템들 해킹
[Night Dragon 침해 사고 흐름도]
9
11. 3. 2011년 3월 EMC/RSA 침해 사고
2011년 3월 18일 EMC/RSA에서 기업 내부에 외부로 부터 침해 사고 발생을 공개
공격 목적은 해당 기업에서 개발하는 OTP(One Time Password) 관련 기밀 데이터의 탈취
공격 사전 작업으로 Social Network Service를 이용해 Targeted Attack 대상 선정
Targeted Attack으로 Adobe Flash Player의 Zero Day 취약점이었던 CVE-2011-0609 악용
이메일에는 취약핚 SWF 파일이 포함된 “2011 Recruitment plan.xls” 파일 전송
•내부 직원 대상
•취약한 XLS 파일
악성코드
•Poison Ivy 감염
•주요 시스템 해킹
•외부 원격 제어
Targeted Attack
기밀 데이터
•관리자 권한 확보
•기밀 데이터 추출
•RAR로 분할 압축
•FTP로 외부 전송
•압축 및 암호화
내부망 해킹
탈취
[EMC/RSA 침해 사고 흐름도]
10
12. 4. 2011년 8월 Operation Shady RAT 침해 사고
2011년 8월 3일 McAfee에서 다양핚 조직들에 Operation Shady RAT 침해 사고 발생 공개
해당 공격은 5년 6개월에 걸쳐 총 72개의 다양핚 조직들을 대상으로 발생
공격 목적은 해당 조직들의 내부에 존재하는 기밀 데이터 탈취
Targeted Attack으로 웹 페이지 링크 전송 등 다양핚 일반 Application의 취약점을 악용
미국, 캐나다, 베트남, 한국, 대만, 인도 정부 기관 - 22
건설, 중공업, 철강, 에너지, 태양 에너지 관련 업체 – 6
전기, 컴퓨터, 정보 통신, 인공위성, 언론 관련 업체 - 13
방위 산업 업체 - 13
부동산, 회계, 농업, 보험 관련 업체 - 6
국제 스포츠, 경제 및 무역, 연구소, 정치 단체 - 13
[Operation Shady RAT 침해 사고 발생 조직 분류]
11
14. 1. APT(Advanced Persistent Threat) Timeline
1)
2)
3)
4)
유포지 획득 : 제 3의 시스템 해킹 후 악성코드 업로드
악성코드 유입/감염 : Social Engineering을 이용핚 Targeted Attack
공격자와 연결 : Reverse Connection으로 C&C 서버로 연결
공격 명령 : C&C 서버를 통해 원격 제어 및 공격 명령 지시
13
15. 2. Proactive Defense for APT(Advance Persistent Threat)
APT 공격에 대응하기 위해서는 핚, 두 가지 대응 방안으로는 대응이 어려움
여러 대응 방안들이 상호 유기적으로 결합된 Defense in Depth 체계가 구축 되어야 함
14
16. 3. Cloud Service for Proactive Defense
종합 위협 분석 시스템
데이터센터/
서비스 제공자
보안
관제
센터
Network 위협 정보
악성 URL
악성 코드
CERT
ASEC
모니터링 / 대응
보안 파트너
(정부/해외)
Smart
Defense
SiteGuard
Heuristic
게임/금융
TrusGuard
Signature
대기업
V3 Engine
Smart Defense SiteGuard
Database
Database
보안 관리 인프라
AOS
Hackshield
TrusGuard
APC 4.0
SiteGuard
Security
Center
V3 IS 8.0
SiteGuard
중소기업
V3 MSS
SiteGuard
개인사용자
V3 365
SiteGuard
Mobile Security
15
17. 감사합니다
세상에서 가장 안전핚 이름
Copyright (c) AhnLab, Inc. 1998-2011 All rights reserved.
http://www.ahnlab.com | http://blog.ahnlab.com/asec | http://twitter.com/AhnLab_man | http://twitter.com/AhnLab_SecuInfo