Monitoring solution for all action in enterpriseslunchNtouch
Monitoring solution for all action in enterprises
You can also check it in Sales Sharing Site "www.lunchntouch.com"
If you want a brochure in your language,
send E-mail below E-mail address unquestioningly!
(English, Chinese, Japanese, french, Portuguese, Spanish, etc)
Import & Export discussion Welcome, too!
Thank you for your touch!
E-mail address : yun@lunchntouch.com
"We can Make happy place for small business! Let's do it!!"
= Lunch N Touch =
[2013 CodeEngn Conference 09] 제갈공맹 - MS 원데이 취약점 분석 방법론GangSeok Lee
2013 CodeEngn Conference 09
MS 윈도우의 원데이 패치에 대해서 분석 및 접근 방법을 살펴본다. 또한, 최근에 나온 원데이 취약점 패치 분석을 진행하며 필요한 팁에 대해서 알아보고자 한다.
http://codeengn.com/conference/09
http://codeengn.com/conference/archive
Monitoring solution for all action in enterpriseslunchNtouch
Monitoring solution for all action in enterprises
You can also check it in Sales Sharing Site "www.lunchntouch.com"
If you want a brochure in your language,
send E-mail below E-mail address unquestioningly!
(English, Chinese, Japanese, french, Portuguese, Spanish, etc)
Import & Export discussion Welcome, too!
Thank you for your touch!
E-mail address : yun@lunchntouch.com
"We can Make happy place for small business! Let's do it!!"
= Lunch N Touch =
[2013 CodeEngn Conference 09] 제갈공맹 - MS 원데이 취약점 분석 방법론GangSeok Lee
2013 CodeEngn Conference 09
MS 윈도우의 원데이 패치에 대해서 분석 및 접근 방법을 살펴본다. 또한, 최근에 나온 원데이 취약점 패치 분석을 진행하며 필요한 팁에 대해서 알아보고자 한다.
http://codeengn.com/conference/09
http://codeengn.com/conference/archive
[2012 CodeEngn Conference 06] x82 - 모바일 스마트 플랫폼 원격, 로컬 취약점 공격 분석GangSeok Lee
2012 CodeEngn Conference 06
모바일 스마트 플랫폼(스마트폰, 태블릿PC, 스마트TV)에 존재하는 pointer de-reference 취약점과 use-after-free 취약점을 대상으로 시도되는 heap spraying 공격 기법과 자동화된 drive-by download 공격 코드를 소개할 예정이고 최근 2년간 스마트 플랫폼의 커널과 어플리케이션 내에 존재했던 로컬 취약점을 통한 권한 상승 공격 기법에 대해 설명한다.
http://codeengn.com/conference/06
IBM Security사업부의 보안서비스 및 솔루션이 소개되어있는 브로셔입니다. IBM은 엔드포인트 보안에서부터 네트워크, 데이터, 애플리케이션, 모바일 보안, 보안 컨설팅에 이르기까지, 기업에게 필요한 모든 영역의 보안 서비스 및 솔루션을 제공하고있습니다. 자세한 사항은 브로셔를 확인하세요.
[2012 CodeEngn Conference 06] x82 - 모바일 스마트 플랫폼 원격, 로컬 취약점 공격 분석GangSeok Lee
2012 CodeEngn Conference 06
모바일 스마트 플랫폼(스마트폰, 태블릿PC, 스마트TV)에 존재하는 pointer de-reference 취약점과 use-after-free 취약점을 대상으로 시도되는 heap spraying 공격 기법과 자동화된 drive-by download 공격 코드를 소개할 예정이고 최근 2년간 스마트 플랫폼의 커널과 어플리케이션 내에 존재했던 로컬 취약점을 통한 권한 상승 공격 기법에 대해 설명한다.
http://codeengn.com/conference/06
IBM Security사업부의 보안서비스 및 솔루션이 소개되어있는 브로셔입니다. IBM은 엔드포인트 보안에서부터 네트워크, 데이터, 애플리케이션, 모바일 보안, 보안 컨설팅에 이르기까지, 기업에게 필요한 모든 영역의 보안 서비스 및 솔루션을 제공하고있습니다. 자세한 사항은 브로셔를 확인하세요.
AttackIQ Flex - BAS(Breach & Attack Simulation) 셀프 테스트 서비스 Softwide Security
AttackIQ Flex는 누구나 버튼 클릭만으로 몇 분 안에 사이버 공격을 시뮬레이션 할 수 있는 BAS(Breach & Attack Simulation) 서비스형 테스트입니다.
간단한 테스트 환경을 통해 신속하게 적대적인 행동을 에뮬레이션하고 제어 기능을 테스트할 수 있습니다.
비용과 시간이 많이 소요되는 수동 테스트 없이 보안 제어를 검증할 수 있으며, 원하는 만큼 비지니스 요소 전반에 걸쳐 테스트를 수행하고 조직의 방어 역량을 강화할 수 있습니다.
신규 계정 생성 시 무료 테스트 패키지와 크레딧을 제공합니다. 무료 플랜으로 AttackIQ Flex를 시작해보시기 바랍니다.
AttakcIQ 한국 총판 - 소프트와이드시큐리티
문의 : 02-6052-5701
1. 2012 Database Grand Conference 10th
리스크와 컴플라이언스 관점의
취약점 추적 관리
UZENi
데이터보안팀
조응진
October 2012
2. 발표내용
목차:
이야기 들어보기…
• Verizon Report
• AppSecurity Survey
• 결론은?
찾아보기…
• Risk, Compliance, Vulnerability
스캔을 해보니…
• 취약점 분석 절차
• 기존 취약점 분석의 안타까움
• 차세대 취약점 분석의 요건
1
3. 이야기 들어보기…
Verizon 2012 DBIR(Data Breach Investigation Report)
WHO IS BEHIND DATA BREACHES?
stemmed from external agents (+6%)
implicated internal employees (-13%)
committed by business partners (<>)
of all data theft tied to activist groups
2
4. 이야기 들어보기…
Verizon 2012 DBIR(Data Breach Investigation Report)
HOW DO BREACHES OCCUR?
utilized some form of hacking (+31%)
incorporated malware (+20%)
involved physical attacks (-19%)
employed social tactics (-4%)
resulted from privilege misuse (-12%)
3
5. 이야기 들어보기…
Verizon 2012 DBIR(Data Breach Investigation Report)
WHAT COMMONALITIES EXIST?
of victims were targets of opportunity (-4%)
of attacks were not highly difficult (+4%)
of all data compromised involved servers (+18%)
of breaches took weeks or more to discover (+6%)
of incidents were discovered by a third party (+6%)
of breaches were avoidable through simple or intermediate
controls (+1%)
of victims subject to PCI DSS had not achieved compliance
(+7%)
4
6. 이야기 들어보기…
Application Security, INC “Data Security at An Inflection Point: 2011 Survey of Best Practices and Challenges”
현재 보안 위협을 상승 시키는 요소는 무엇이라고 생각하십니까?
5
7. 이야기 들어보기…
Application Security, INC “Data Security at An Inflection Point: 2011 Survey of Best Practices and Challenges”
그럼 보안 위협에 대한 대응 방안은 무엇이라고 생각하십니까?
6
8. 이야기 들어보기…
Verizon 2012 DBIR(Data Breach Investigation Report)
보고된 사고의 예방 조치 비용과 기술적 수준은?
Cheap
Simple
63%
7
9. 이야기 들어보기…
결론은?
1. 데이터 보안에 리스크 기반의 접근 방식이 필요하다.
• 월드와이드 보안규정(컴플라이언스)은 데이터 보안 문제에 주의를 집중한다.
• 데이터베이스 서버는 데이터 침해의 주요 소스이다.
• 가장 취약한 데이터 소스에 자원을 집중해야 한다.
Categories of compromised assets by percent of breaches
And percent of records
Breaches/Records
Servers 64%/94%
User Devices 60%/35%
People 7%/34%
Offline Data 3%/<1%
Network Infrastructure <1%/<1%
Unknown 1%/1%
Sources: Verizon Business Data Breach Investigation Report 2011
8
10. 이야기 들어보기…
결론은?
2. 새로운 목표 설정이 필요하다.
효과적인 보안 프로세스 관리
Re-Active < Pro-Active
요구준수: Check & Balance
ROSI(Return On Security Investment)
향상
9
14. 찾아보기…
Risk, Compliance, Vulnerability
Compliance별 Control Objectives vs. Security Requirements
PCI Basel
Database 감사 요구사항 SOX HIPAA FISMA GLBA
DSS II
계정, 역할, 권한과 관련된 작업
(Accounts, Roles & Permissions): Do you have ● ● ● ● ● ●
visibility of GRANT and REVOKE activities?
실패한 로그인
(Failed Logins): Do you have visibility of failed ● ● ● ● ● ●
logins and other exception activities?
높은 권한의 사용자 작업
(Privileged User Activity): Do you have visibility ● ● ● ● ● ●
of users activities?
민감한 데이터에 대한 접근
(Access to Sensitive Data): Can you have visibility ● ● ● ● ●
into what information is being queried(SELECTs)?
스키마 구조의 변경 작업
(Schema Changes): Are you aware of CREATE,
DROP and ALTER Commands that are occurring
● ● ● ● ● ●
on identified Tables/Columns?
데이터 변경 작업
(Data changes): Do you have visibility into Insert, ● ●
Update, Merge, Delete commands?
13
16. 찾아보기…
Risk, Compliance, Vulnerability
Vulnerability Assessment(취약점분석): 공격자의 눈으로 대상 DBMS의 내외부에 존재하는
Security Hole을 찾아 위험도를 측정 분류하고 대응 방안과 대안을 권고하는 것
Outside-In
(Pen-Test)
Identifies
Report
-Vulnerabilities Scanning
-Misconfigurations
-User Right &
Hackers Eye
Role Permissions
View
Inside-Out
(Security Audit)
15
18. 찾아보기…
Risk, Compliance, Vulnerability
Vulnerability Assessment vs. Penetration Test
• 종종 헛갈리게 사용됨
• VA가 Pen-Test로 잘못 표현되거나 VA의 주기능이 Pen-Test에 있다고 판단하기 때문
• VA는 잠재적인 취약점을 식별하는 테스트
• Pen-Test는 취약점을 악용함으로써 식별된 취약점을 검증하는 VA의 보완재
Note: Vulnerability Assessment의 중심 기능은 잠재적인 취약점 식별,
취약점 검증, 오탐 방지 및 제거.
17
19. 찾아보기…
Risk, Compliance, Vulnerability
Vulnerability Assessment Solution / Tool
• 보안 구축 순서상 가장 먼저 갖추어야 할 도구
• 정보 시스템 보안의 실질적인 행동지침을 알려주는 도구
• 보안의 활동 및 과정(Process)에 효과적인 도움을 주는 도구
취약점 발견
취약점 해소 방법 취약점 분류
취약점 분석 툴의
5대 요건
취약점간 관계 시스템에 미치는
정의 영향 분석
18
21. 스캔을 해보니…
데이터베이스 취약점 분석 실행
리포트가…
모의 침투 - 발견 취약점 건수 보안감사 - 발견 취약점 건수
분석항목 분석항목
취약건수(Item/objects) 취약건수(Item/objects)
(category) (category)
55 / 55 213 / 1,695
40
6개 Category 8개 Category
35 55 / 55 221 / 3,783 Denial of
242 Item 468 Item 1
Configurations Services
3
30 Buffer Password
Overflow Attacks
25 3 2
HIGH TNS Attack
20 40 54 / 54
MEDIUM 222 / 2,911 2
LOW
15
10
5
13
2
0
HIGH
MEDIUM
LOW
Vulnerabilities
44
20
22. 스캔을 해보니…
데이터베이스 취약점 분석 실행
보안담당자와 DBA는…
Compliance
대응 Vulnerabilities
처리
Risk
DB 만?
Are we Secure?
21
23. 스캔을 해보니…
멀티레벨 스캔이 가능해야
데이터의 생명주기 및 서비스 경로를 대응할 수 있는 분석이 필요하다.
• 네트워크 보안
-시스템 및 네트워크 장비에 대한 보안 취약점 및 설정 오류 점검
• 데이터베이스 보안
-데이터베이스 보안 감사 및 모의 침투 테스트
• 웹 애플리케이션 보안
-웹 서버 / 웹 애플리케이션 취약점 점검
• 보안성 평가
-기업 내부 보안 설정 및 컴플라이언스 이행 평가
• 가상화 시스템 보안
-가상화 시스템(자산)에 대한 동적 관리 및 취약점 점검
• 보안 취약점 검증 및 위험 평가
-실제 공격에 악용될 수 있는 취약점 확인 및 위험 평가
22
24. 스캔을 해보니…
운영 효율성 효익이 높아야
유연한 통합 대시보드와 현황 분석 리포트가 제공되어야 한다.
• 중앙 집중화된 취약점 관리
-관리자(권한별) 대시보드를 통한 다양한 취약점 통계 및 현황 분석
• 신속한 취약점 조치 및 이력 관리
-취약점 조치 가이드 제공 및 조치 사항에 대한 결과와 실적 관리
• 다양한 이행 점검 보고서
-PCI DSS, HIPPA, FISMA 등 산업 표준에 따른 보안 컴플라이언스 보고서
(ASV 인증 솔루션: PCI DSS, HIPPA 컴플라이언스 등에서 인정/승인한 진단 솔루션)
-다양한 출력 방식(HTML, XML, CSV, DB Export, HWP 등)
• 타시스템(관리/관제 시스템)과의 결과 데이터 연동
-API 방식, DB Schema
• 취약점 데이터의 갱신이 용이성
-새롭게 발표된 취약점 데이터의 적용이 용이해야
-새로운 데이터의 적용 주기가 되도록 빨라야
-데이터 적용 전 대안(대응 가이드)이 제시되어 한다.
23
25. 스캔을 해보니…
추적(이력관리)이 원활해야
추적관리는 ①솔루션 측면 ②취약점 정보 측면 ③진단 서비스 측면으로 구분, 관리 되어야 한다.
① 솔루션 측면
• 검출된 취약점의 조치사항에 대한 결과와 이행 실적의 관리
• 스캔 회차별 Fixed / UnFixed / New 등 검출된 취약점의 이력 추적 용이
• 각종의 통계 및 컴플라이언스 보고서에 적용
• 정규 패치 전 대안을 적용했던 부분의 이력관리 필요
24
26. 스캔을 해보니…
추적(이력관리)이 원활해야
추적관리는 ①솔루션 측면 ②취약점 정보 측면 ③진단 서비스 측면으로 구분, 관리 되어야 한다.
② 취약점 정보 측면
• 각 벤더의 취약점 보고, 보안 알림, 패치 알림 등의 정보에 민감해야 함
• 취약점 정보를 제공하는 공인된 기관의 메일링 리스트, RSS 구독
• 보안 전문가 커뮤니티 가입, 활동
• 유명 기관의 보안 보고서 정기 구독
25
27. 스캔을 해보니…
추적(이력관리)이 원활해야
추적관리는 ①솔루션 측면 ②취약점 정보 측면 ③진단 서비스 측면으로 구분, 관리 되어야 한다.
③ 진단 서비스 측면
• 보안진단(취약점 진단) 서비스 활용 및 DB보안 인증(DQC-S) 취득
-데이터 보안 인증이란 공공·민간에서 구축·활용 중인 데이터베이스를 대상으로
접근제어, 암호화, 취약점분석, 작업결재 등 데이터베이스 보안에 구체적인 체계를
마련하고 기술요소 전반을 심사하여 인증하는 것
-데이터보안인증기관: 한국데이터베이스 진흥원 (www.kdb.or.kr)
-데이터보안인증홈페이지: www.dqc.or.kr
26