SlideShare a Scribd company logo

포티파이 안전한 애플리케이션 구축 및 운영방안

T
TJ Seo

HP Fortify Source Code Analayzer CWE 취약점 점검 툴

Software
1 of 32
Download to read offline
An HP Company 2012.9 ㈜크라비스커뮤니티 안전한 애플리케이션 구축 및 운영방안
An HP Company 기업 애플리케이션 현실 2 웹 환경 업무 레거시 통합 App 외부 파트너와 연결된App 아웃소싱 개발 사내 업무 시스템 공격의 75% 이상이 애플리케이션 대상 공격 - 가트너
An HP Company 애플리케이션 보안 동향 – 개발과정 보안 3 ○ Gartner 예측 - 2010년 까지 SDLC내에 보안을 통합시킴으로써 주요 취약점의 80%가 감소할 것임 (80% 가능성) - 2010년 까지 상기 취약점의 감소는 현재의 설정관리와 침해사고 대응 비용의 75%를 감소시킬 것임 (70% 가능성) - 2008년까지 어플리케이션 보안은 시스템의 기능 만큼이나 중요하게 평가의 주요 요소가 될 것임. (70% 가능성) 단계 보안Activity 프로젝트 개시/ 분석 -보안 요구사항 정의 (시스템, 기능) -보안 코딩 표준 정의 -보안 프레임웍 정의 -보안 요구사항 매핑 설계 -보안 명세(Spec.) 정의 - 위협 모델링 - 보안 설계 - 보안 테스트 계획 수립 개발 - 보안 코드 검토 - 보안 단위 시험 - White Box 보안 시험 - 보안 시스템 구축 테스트 - 보안 기능 시험 - 보안 침투 테스트 - 보안 코드 스캐닝 유지관리/ 운영 - 보안 운영 지침 수립 (패치, 설정, 지속적 점검 등) - 보안 이슈 추적/해결 “Integrate security best practice and tools into software dev lifecycle”, Feb. 2006
An HP Company 애플리케이션 보안 특징 및 현실 4 - 개발자 참여 필요  취약점 조치는 개발자가 수행해야 함 - 기능성, 가용성, 편의성이 개발자들의 주된 목표, 또한 프로젝트 기간 내에 코딩을 완료해야 함 - 현실적으로 보안을 고려하여 코딩 할 수 있는 개발자 부재 - “보안 코딩 가이드”는 있으나 준수 한계  코딩단계부터 적용 가능한 보안 방안 부재  개발자  운영자  보안 관리자 / IT관리자 - 애플리케이션 상세 이해 한계 - 보안 코딩 가이드 준수 여부에 대한 검증 장치 혹은 프로세스 미비(매뉴얼 리뷰, 컨설팅) - 외주 개발 애플리케이션에 대한 보안 검증 장치 부재(개발사 몫?) - 국제규정 및 감독기관, 외부 규정을 준수하는 개발보안 필요 - 네트워크, 시스템 및 애플리케이션의 가용성 유지해야 함 - 애플리케이션에 대한 상세 이해 부족 - 운영단계에서 애플리케이션 취약점 조치 어려움 - 현실적으로 전수검사 불가능 개발 라이프 사이클(SDL)내의 보안 방안 부재 업무별 적정 프로세스 및 솔루션 부재
An HP Company SDL에서의 보안 요소 5 Build Server 개발자 보안 테스트 보안운영 Security Leads / Auditors Manage and Measure 개발단계에서 취약점 조기 조치 애플리케이션 분류 및 보안테스트 코드 배포시 애플리케이션 모니터링 및 방어 전수검사에 의한 취약점 분류, 취약도 확인 및 조치 Management
An HP Company HP Fortify Within the Secure Software Lifecycle 6 HP Fortify SCA Proactive security with targeted, accurate analysis tuned for low false positives HP Fortify SCA Analyzes code comprehensively and accurately Developers HP Fortify SecurityScope HP WebInspect Makes every black box security test measurable and actionable Security Testers HP Fortify RTA Monitors and measures web applications in production Security Ops Team Security Leads / Auditors HP Software Security Center Central reporting and management of software security across the enterprise Management Build Server FPR HP Fortify SCA
An HP Company HP Fortify Software 모듈별 기능(요약) 7 ○ Fortify Real-Time Analyzer ○ Fortify Static Code Analyzer - 개발단계부터 보안 취약점 발견 및 조치를 통한 “안전한 애플리케이션 개발” - SDLC 프로세스와 연동되어 “보안 검토 프로세스”로 사용 - 지원대상 : Adobe®, ASP.NET, C/C++, C#, Classic ASP, HTML(HTML5), Java, JavaScript/AJAX, JSP, PHP, PL/SQL, MS T-SQL, VB for Applications, VB Script, VB.NET, XML, Flex, 환경(Apache, J2EE, EJB, ASP.NET, Weblogic등) 및 Premium Language(COBOL, ColdFusion®, Python, Mobile, ABAP) – 20종 언어 및 환경 분석 - 개발자 관점 (소스파일,라인,함수)의 개선 보고서 제공으로 애플리케이션 취약점 수정 용이 - IDE Plug-ins (VS.net, Eclipse, IBM WSAD/RAD, Borland JBuilder) 지원 ○ Fortify SecurityScoupe, WebInspect - 애플리케이션 보안 테스트 - HP WebInspect와 연계하여 하이브리드 분석 - Application Firewall - “Hardened Software”방식(세계최초) - Monitoring mode 및 defense mode 지원 ○ Software Security Center - 웹 기반의 애플리케이션 보안현황 관리(리포트, 이력관리, 룰 관리 및 update, 사용자관리) - 온라인 협업 관리 - 거버넌스
An HP Company 취약점 내 용 Path Manipulation 시스템 중요파일(password, 소스코드 등)에 접근 하여 시스템 침탈 가능 SQL Injection DB 공격하여 비인가 정보 획득, 데이터 변조 가능 Cross-Site Scripting 페이지 가로채기, 바이러스 설치, 백도어 등의 스크립트 공격 가능 HTTP Response Splitting 페이지 가로채기, 바이러스 설치, 백도어 등의 스크립트 공격 가능 Trust Boundary Violation 프로그램 내부 데이터 조작 공격 Unchecked Return Value: Missing Check against Null 시스템 간접정보 획득, 및 프로그램 오동작 가능 J2EE Misconfiguration: Missing Error Handling 시스템 간접정보 획득 가능성 주요 분석 카테고리(셈플) ○ 전체 카테고리(https://www.fortify.com/vulncat/ko/vulncat/index.html) ○ 보안 카테고리 분석 카테고리 8 - API Abuse , Code Quality, Encapsulation, Environment, Errors, Input Validation and Representation, Security Features, Time and State의 8개 분류로 구성된 490여개 보안 및 품질 카테고리로 구성 - OWASP TOP 10 및 CWE 항목을 수용하는 200여 보안 카테고리로 구성 - 정보유출과 같은 보안 사고의 근본적인 원인을 조기 탐지 및 제거
An HP Company 주요 분석 카테고리(셈플) 문제점 내 용 Poor Style: Redundant Initialization 이 변수 값은 할당되어 있지만 사용하지 않으므로 불필요한 저장 공 간을 차지합니다. Poor Style: Value Never Read 이 변수 값은 할당되어 있지만 사용하지 않으므로 불필요한 저장 공 간을 차지합니다. Redundant Null Check 프로그램이 null 포인터를 역참조할 가능성이 있기 때문에 null 포인 터 예외가 발생합니다. Unreleased Resource : Database 프로그램이 시스템 리소스를 해제하지 못할 수도 있습니다. Unreleased Resource : Stream 프로그램이 시스템 리소스를 해제하지 못할 수도 있습니다. Dead Code: Expression is Always True 이 식은 항상 true가 됩니다. Dead Code: Unused Field 이 필드는 사용되지 않습니다. ○ 품질 카테고리 분석 카테고리 9 - 시스템에 심각한 오류를 일으키는 메모리/리소스 사용 및 해제, Error 처리, 미사용 루틴 탐지등 300여 항목의 품질 카테고리로 구성 - C/S 기반과 서버에서 작동되는 시스템의 심각한 오류를 사전에 제거 하여 애플리케이션의 품질 향상 (예- 은행의 코어 뱅킹 시스템, 제조사의 조업시스템 – NH증권, 현대해상, 농협카드, 신한은행 등)
An HP Company 분석 카테고리(샘플) ○ 모바일 환경 카테고리 분석 카테고리 10 - 모바일 폰의 데이터 유출 위험 또는 불필요한 권한을 부여 하는 애플리케이션 설정 및 코딩 오류 등 보안 카테고리로 구성 취약점 내 용 Query String Injection : Android ContentResolver 사용자 입력을 포함하고 있는 SQLite 쿼리 문을 생성하면 공격자가 허가받지 않은 레코드를 볼 수 있습니다. Insecure Storage : Android External Storage Android의 외부 저장소에 데이터를 작성합니다. 외부 저장소에 저장한 파일은 누구나 읽을 수 있으며 USB 대용량 저장소로 컴퓨터의 파일을 전송할 때 사용자가 수정할 수 있습니다. 또한, 외부 저장소 카드에 있는 파일은 파일을 작성한 응용 프로그램을 제거한 후에도 그대로 유지됩니다. 이러한 제약으로 인해 저장소에 작성된 민감한 정보가 손상되거나 공격자가 프로그램이 의존하는 외부 파일을 수정하여 악성 데이터를 프로그램에 삽입할 수도 있습니다. Access Control : Android ContentResolver 적절한 접근제어 없이 사용자가 제어하는 기본 키를 포함하는 SQLite 문을 실행하면 공격자가 허가받지 않은 레코드를 볼 수 있습니다. Privilege Management : Android Network 프로그램이 네트워크 연결을 구성할 수 있는 권한을 요청합니다. Privilege Management : Android Messaging 프로그램은 SMS 작업을 수행하도록 요청합니다. Privilege Management : Android Disable 프로그램은 핸드셋을 비활성화할 수 있는 권한을 요청합니다. Privilege Management : Android Data Storage 프로그램이 Android의 외부 저장소에 데이터를 작성할 수 있는 권한을 요청합니다. Privilege Management : Android Location 프로그램은 장치의 GPS 위치에 접근할 수 있는 권한을 요청합니다. Privilege Management : Android Telephony 프로그램은 전화를 걸고 받을 수 있는 권한을 요청합니다.
An HP Company Requirements Design Coding Testing Production 1단계 : 소프트웨어 보증 센터(Security Gate) Security Gate 보안 승인 테스트 프로세스 적용 방안 - 애플리케이션 보증 센터
An HP Company HP Fortify SCA Static Code Analyzer Integrated within Build Server Environment 3rd party code in-house code Data Integration Tool Integration Correlation Software Security Center Development 프로세스 적용 방안 - 애플리케이션 보증 센터 개발자 : 버그 관리시스템에 할당, 중요 이슈 확인 / 수정 Bug Tracking Software Security Center Collaborative Web interface or Audit Workbench 감리자/보안담당자 : 분석결과 확인, 중요한 이슈 분류 보안 / 개발 관리자 : 진행사항 확인, 리포트 확인 Scan Results 소프트웨어 보안 게이트 • 개발 완료 전 최종 점검 • 아웃소싱 개발 프로그램에 대한 검증 • 전체 개발과정상의 한가지 단계 적합 테스트 운영기능테스트코딩빌드계획 Ad-hoc testing 12
An HP Company Requirements Design Coding Testing Production Step 1: Security Gate 구현 Step 2: SDLC의 보안 Security Gate 보안 승인 테스트 보안이 고려된 애플리케이션 개발의 생산비용 절감 프로세스 적용 방안 - SDLC 확장
An HP Company 중앙 집중식 관리 및 제어 Requirements Design Coding Testing Production Security Gate Efficient Remediation Bug tracking Develope r IDEs Collab Module Automate Testing Via Build Integration Via Developers IDE Via QA Server Key Benefits • 조기에 취약점을 발견하고 조치하게 되므로 비용 절감 • 개발자는 보안코딩을 학습하여 개발함으로써 애플리케이션의 위험이 낮아짐 프로세스 적용 방안 - SDLC 확장
An HP Company Development Fortify IDE Plugins IDE 상에서 Fortify 360 서버에 접속하여 문제를 확인하고 수정 개발자 : IDE, 버그 관리툴, 협업 기능을 통해 할당된 이슈를 확인하고 제시된 Fortify 가이드에 따라 수정 Bug Tracking Software Security Center Collaborative Web interface or Audit Workbench 보안 감리자 / 개발 관리자 : 시스템에 로그인 하여 분석결과 확인 및 취약점 할당 보안 / 개발관리자 : 진행사항 확인, 리포트 확인, 중요 사항 발생시 Alert 수신 (예- XSS vulnerabilities found in overnight build) 프로세스 적용 방안 - SDLC 확장 소프트웨어 개발 프로세스 전체에 적용 최소의 비용으로 문제를 수정하고 예방 할 수 있음 적합 테스트 운영기능테스트코딩빌드계획 15 HP Fortify SCA Static Code Analyzer Integrated within Build Server Environment 3rd party code in-house code Data Integration Tool Integration Correlation Software Security Center Scan Results
An HP Company 프로세스 적용 방안 - Cloud Scan 구성
An HP Company Cloud Scan 구성 – 필요 구성요소 1. Cloud CLI - 빌드 환경 설정 2. Cloud Contoller - 클라이언트와 클라우드 간의 통신 서비스 3. Cloud Engine (Hadoop-Master) - Job Master 4. CloudScan Cloud (Hadoop-Scan Engine) - Job Slaves
An HP Company 1. Response 2. Response job (option) Upload .fpr files 3. Request Result File4. Get results Cloud Scan 개념
An HP Company Cloud Scan 구성 Source Code Compiler Cloud CLI Sourceanalyzer JRE TCP/IP OS Cloud Controller (Web Service) Tomcat JRE TCP/IP Linux, Windows SSC 360 WEB Tomcat JRE JDBC TCP/IP Windows DBMS MS-SQL 2008 Oracle JDBC TCP/IP OS Cloud ControllerC, .NET 개발 System Source Code Compiler Cloud CLI Sourceanalyzer JRE TCP/IP OS Source Code Compiler Cloud CLI SCA JRE TCP/IP Any OS Source Code Compiler Cloud CLI Sourceanalyzer JRE TCP/IP OS JAVA 개발 System Source Code Compiler Cloud CLI Sourceanalyzer JRE TCP/IP OS Source Code Compiler Cloud CLI SCA JRE TCP/IP Any OS 관리 서버 관리서버용 DBMS Scan Server SCA Hadoop Slave JRE TCP/IP Linux Hadoop Server Master Hadoop JRE TCP/IP Linux SCA Hadoop Slave JRE TCP/IP Linux SCA Hadoop Slave JRE TCP/IP Linux SCA Hadoop Slave JRE TCP/IP Linux [분석 절차] 1. 개발시스템에서 CloudCLI 이용 분석 요청 (빌드 수행) 2. CloudController는 요청을 받아 Hadoop서버에 JOB 요청 3. Hadoop 서버는 가용한 ScanServer를 할당 4. 할당받은 Scan Server에서 SCAN 수행 5. 분석결과는 선택에 따라 두 경로로 전달 - 분석 요청 시스템으로 FPR전송 - SSC서버에 분석결과 등록
An HP Company Source Code Compiler Cloud CLI Sourceanalyzer JRE TCP/IP OS Cloud Controller (Web Service) Tomcat JRE TCP/IP Linux, Windows SSC 360 WEB Tomcat JRE JDBC TCP/IP Windows DBMS MS-SQL 2008 Oracle JDBC TCP/IP OS Cloud ControllerC 개발 System Source Code Compiler Cloud CLI Sourceanalyzer JRE TCP/IP OS Source Code Compiler Cloud CLI SCA JRE TCP/IP Any OS Source Code Compiler Cloud CLI Sourceanalyzer JRE TCP/IP OS JAVA 개발 System Source Code Compiler Cloud CLI Sourceanalyzer JRE TCP/IP OS Source Code Compiler Cloud CLI SCA JRE TCP/IP Any OS 관리 서버 관리서버용 DBMS Scan Server SCA Hadoop Slave JRE TCP/IP Linux Hadoop Server Master Hadoop JRE TCP/IP Linux SCA Hadoop Slave JRE TCP/IP Linux SCA Hadoop Slave JRE TCP/IP Linux SCA Hadoop Slave JRE TCP/IP Linux [분석 절차] 1. 개발시스템에서 CloudCLI 이용 분석 요청 (빌드 수행) 2. CloudController는 요청을 받아 Hadoop서버에 JOB 요청 3. Hadoop 서버는 가용한 ScanServer를 할당 4. 할당받은 Scan Server에서 SCAN 수행 5. 분석결과는 선택에 따라 두 경로로 전달 - 분석 요청 시스템으로 FPR전송 - SSC서버에 분석결과 등록 Cloud Scan 구성
An HP Company 하이브리드 보안 분석 구성 설계/디자인 코딩 테스트(QA) 운영 HP Fortify SCA & Plug-in Edition 개발 소스 코드 보안 분석 HP Fortify SecurityScope Run Time Test 소스 코드 실행 영역 보안 분석 HP Webinspect Run Time Test 침투 테스트 (웹 스캐너) 분석결과 통합 HP Software Security Center Tool Integration Data Integration Correlation 진행 이력, 결과 확인 / 개발 평가, 측정 / 정책 수립, 반영 / 보안 관리 •보안/개발 관리자, 감리자(Fortify 360 협업, 감사 모듈) •보안 감리자 / 개발 관리자 -분석결과 확인 -개발자에게 취약점 할당 보안 / 개발관리자 -진행사항 확인 -리포트 확인 -중요 사항 발생 시 Alert 수신 프로세스 적용 방안 - 하이브리드 분석
An HP Company 22 비교 항목 비교 항목 설명 하이브리드 분석 웹 스캐너 소스 코드 분석 분석 영역 애플리케이션 소스 코드, 바이너리, 실행 보안 분석 여부 소스 코드, 바이너리, URL URL 소스 코드 분석방식 애플리케이션 보안 분석 기법 소스 코드 분석, 바이너리 분석, 침투 테스트 침투 테스트 소스 코드 정적 분석 분석 결과 보안 분석 결과 통합, 연관 분석 소스 코드, 라인, URL URL 소스 코드, 라인 분석 커버리지 애플리케이션 전체에 대한 보안 분석 커버리지 소스 코드 100%, 바이너리70% 이상 바이너리 30% 이하 소스 코드 100% 정확성 보안 취약점 탐지 정확성 정확한탐지=과탐+미탐 미탐 과탐 애플리케이션 보안 분석 비교
An HP Company Fortify SCA 적용사례 - 신규 개발 시 23 23 2012-10-05 보안 담당자 개발 관리자 취약성관리서버 http://host_ip:8180 개발서버 개발담당자 자체점검 쉘 수행 및 로그 확인 2 소스코드 분석 수행 3 분석 결과 등록 IDE Plug-In Eclipse, CLI 4 분석결과 확인, 다운로드 1 소스코드 Upload Java, Jsp 5 취약점 제거 6 시스템 전수 검사 중간 테스트 및 이관 전
An HP Company HP Fortify SCA 적용사례 - 품질 프로세스 연동 취약성관리서버 http://host_ip:8180 개발서버 개발담당자 자체점검 2 소스코드 분석 수행 3 분석 결과 등록 IDE Plug-In Eclipse, CLI 4 분석결과 확인, 다운로드 1 소스코드 Upload Java, Jsp 5 취약점 제거 운영서버 프라미 스 이관 프로세스개발 프로세스 6 취약점 존재 유무 정보 취약점 존재 ? 7 소스코드 이관 Java, Jsp NO(이관) YES(반려)
An HP Company No. 시장 사업 개요 구분 사업년도 발주처 비고 1 통신 Apps. Source code Audit 신규 2005.12 SK Telecom 2 금융 변경관리도구와 통합된 SDLC 프로세스에서 보안성 검토 신규 2006.1 국민은행 3 금융 기업 뱅킹 업무 재 구축 시 개발단계부터 보안성 검토 및 적용 신규 2006.4 SC 제일은행 4 금융 개발단계 부터 보안성 검토 신규 2006.8 하나은행 5 제조 In-house/out sourcing 애플리케이션에 대한 보안성 검토 신규 2006.8 삼성전자 6 금융 인터넷 뱅킹 보안성 검토 신규 2006.11 외환은행 7 통신 Apps. Source code Audit 확장 2006.11 SK Telecom 8 통신 In-house/out sourcing 애플리케이션에 대한 보안성 검토 확장 2006.12 삼성전자 9 제조 In-house/out sourcing 애플리케이션에 대한 보안성 검토 확장 2006.12 삼성전자 10 공공 E-commerce 보안개발 프로세스 구축 신규 2006.12 KTNET 11 금융 SC제일은행 뱅킹시스템 보안분석 확장 2007.10 SC제일은행 12 금융 농협 업무 보안개발 프로세스 구축 신규 2007.11 농협 차세대 13 교육 학내 APP 보안분석용 신규 2007.12 한남대학교 14 금융 사내 APP 보안 분석용 신규 2007.12 KOSCOM 15 SI 개발 프로젝트에 대한 보안성 검토 신규 2008.3 LG CNS 16 통신 사내 APP 보안 분석용 신규 2008.4 LG Telecom 17 운송 사내 APP 보안 분석용 신규 2008.6 대한항공 17 운송 사내 APP 보안 분석용 신규 2008.6 대한항공 18 제조 개발 프로젝트에 대한 보안성 검토(Global ERP) 확장 2008.6 삼성전자 19 통신 사내 APP 보안 분석용 신규 2008.6 삼성네트웍스 20 통신 사내 애플리케이션 보안성 검토(T-World) 확장 2008.6 SK Telecom 21 SI LGCNS 패밀리사이트 보안 분석 확장 2008.6 LG CNS 22 금융 차세대 인터넷 뱅킹 시스템 보안 분석용 확장 2008.6 KB 국민은행 차세대 23 서비스 웹 애플리케이션 보안 분석 신규 2008.9 Auction 24 금융 웹 업무 보안 분석용 신규 2008.10 신한은행
An HP Company N o. 시장 사업 개요 구분 사업년도 발주처 비고 25 통신 Apps. Source code Audit 확장 2009.1 SK Telecom 26 금융 변경관리도구와 통합된 SDLC 프로세스에서 보안성 검토 신규 2009.2 기업은행 27 금융 애플리케이션 보안 검토 프로세스 확립 신규 2009.3 삼성화재 28 SI 개발 프로젝트에 대한 보안성 검토 신규 2009.3 삼성 SDS 29 SI 개발 프로젝트에 대한 보안성 검토 확장 2009.4 LG CNS 30 공공 보안 감사 신규 2009.5 지식경제부(우정금융) 31 공공 운영 애플리케이션에 대한 보안 검토 및 개선 신규 2009.6 철도공사 32 금융 애플리케이션 보안 검토 프로세스 확립 신규 2009.6 BC 카드 33 서비스 애플리케이션 보안 검토 프로세스 확립 신규 2009.6 SK Communications 34 공공 이용자중심 프로젝트 개발 및 대외 점검 신규 2009.6 KISA 35 금융 애플리케이션 보안 검토 프로세스 확립 신규 2009.7 삼성카드 36 금융 개발 전 단계 보안 취약점 점검 신규 2009.7 NH 카드 차세대 37 공공 개발 전 단계 보안 취약점 점검 신규 2009.8 건강보험심사평가원 38 공공 SI 사업에 대한 개발 보안 프로세스 확립(금융 정보 분석원) 신규 2009.9 금융위원회 39 공공 SI 사업에 대한 개발 보안 프로세스 확립(자동차 고도화 사 업) 신규 2009.9 국토해양부 40 금융 변경관리도구와 통합된 SDLC 프로세스에서 보안성 검토 신규 2009.10 신한카드 41 제조 운영 애플리케이션에 대한 보안 검토 및 개선 신규 2009.10 삼성물산 42 유통 애플리케이션 보안 검토 프로세스 확립 신규 2009.11 삼성TESCO 43 금융 운영 애플리케이션에 대한 보안 검토 및 개선 신규 2009.11 롯데카드 44 제조 운영 애플리케이션에 대한 보안 검토 및 개선 신규 2009.12 오토에버 45 금융 차세대 시스템 보안 분석 및 개선 신규 2009.12 현대해상 차세대
An HP Company No. 시장 사업 개요 구분 사업년도 발주처 비고 46 금융 차세대시스템 개발 보안 강화 신규 2010.02 하나 SK카드 차세대 47 대학 학사운영 시스템 보안 강화 신규 2010.02 숙명여자대학교 48 제조 운영 애플리케이션에 대한 보안 검토 및 개선 신규 2010.03 삼성모바일디스플레이 49 제조 운영 애플리케이션에 대한 보안 검토 및 개선 확장 2010.03 삼성전자 50 SI 보안감사 연장 2010.03 삼성 SDS 51 공공 개발시스템 보안 강화 체계 구축 확장 2010.03 지식경제부(우정금융) 52 SI 보안감사 연장 2010.04 LG CNS 53 금융 개발 보안 강화 확장 2010.05 현대해상 54 금융 차세대 시스템 개발보안 강화 신규 2010.06 대구은행 차세대 55 금융 차세대 시스템 개발보안 강화 신규 2010.06 수협 차세대 56 금융 운영 애플리케이션에 대한 보안 검토 및 개선 신규 2010.09 ING 생명 57 공공 등기시스템 개발보안 강화 신규 2010.09 대법원 58 ISV 개발 애플리케이션에 대한 보안검증 신규 2010.09 이글루시큐리티 59 공공 운영 애플리케이션에 대한 보안 검토 및 개선 신규 2010.10 근로복지공단 60 공공 운영 애플리케이션에 대한 보안 검토 및 개선 신규 2010.10 특허청 61 공공 공공 보안시스템 보안검증 신규 2010.12 국가보안연구소 62 유통 사내 시스템 개발보안 강화 신규 2010.12 GS리테일 63 금융 운영 애플리케이션에 대한 보안 검토 및 개선 신규 2010.12 현대카드
An HP Company No. 시장 사업 개요 구분 사업년도 발주처 비고 64 금융 웹애플리케이션 취약점 분석시스템 구축 신규 2011.01 신협 65 공공 애플리케이션 취약점 분석도구 도입 신규 2011.02 국민연금공단 66 금융 차세대 업무 보안 분석 시스템 구축 신규 2011.04 NH증권 67 금융 차세대 업무 보안 분석 시스템 구축 신규 2011.04 부산은행 68 SI 개발시스템 보안 강화 체계 구축 신규 2011.04 삼성SDS 69 SI PCI 컴플라이언스 프로젝트 신규 2011.05 SK C&C USA 70 금융 차세대시스템 구축 소스코드 보안 시스템 구축 신규 2011.06 메리츠화재보험 71 제조 소스코드 보안 분석시스템 구축 신규 2011.07 동부하이텍 72 교육 차세대시스템 취약점 분석 도구 도입 신규 2011.07 한양대학교 73 포털 웹애플리케이션 취약점 분석시스템 구축 신규 2011.08 NHN 74 금융 소스코드 취약점 분석 인프라 패키지 도입 신규 2011.10 삼성생명 75 제조 개발 소스 보안분석 시스템 구축 신규 2011.10 안철수연구소 76 통신 웹애플리케이션 취약점 분석시스템 구축 신규 2011.10 KT렌탈 77 유통 소스코드검증솔루션 구축사업 신규 2011. 11 현대백화점 78 금융 소스코드 취약성 점검 툴 도입 신규 2011. 12 KB국민카드 79 공공 정보시스템 소스코드 보안취약점 분석도구 구매 추가 2011. 12 KISA 80 유통 차세대 시스템 개발 소스코드 보안분석 도구 구매 신규 2011. 12 현대그린푸드 81 금융 정적 보안분석 솔루션 도입 신규 2011. 12 KB생명
An HP Company No. 시장 사업 개요 구분 사업년도 발주처 비고 82 금융 보안분석 솔루션 확장 도입 추가 2011. 05 NH농협증권 83 금융 차세대 개발업무 보안 검토 도구 구매 추가 2011. 05 ING생명 84 SI 개발 프로젝트 보안코딩 점검도구 시범도입 추가 2011. 05 삼성SDS
An HP Company No. 시장 사업 개요 발주처 적용 솔루션명 1 공공 대법원 등기시스템,사법시스템 보안 분석 대법원 FortifySCA 2 공공 교육행정정보시스템(NEIS) 보안 검증 교육인적자원부 FortifySCA 3 공공 건설교통부 보안 컨설팅 건설교통부 FortifySCA 4 금융 비씨카드 보안 컨설팅 비씨카드 FortifySCA 5 금융 대구은행 보안 컨설팅 대구은행 FortifySCA 6 제조 POSCO 보안 컨설팅 포스데이타 FortifySCA 7 금융 미래에셋생명 보안 컨설팅 미래에셋생명 FortifySCA 8 공공 지식경제부 체신금융 고도화 프로젝트 지식경제부 FortifySCA 9 공공 형사 사법 통합 2단계 프로젝트 법무부 FortifySCA 10 공공 육군 탄약정보 시스템 프로젝트 육군 FortifySCA ※ 이외 50여 곳 이상의 컨설팅 수행 Customers(서비스) 30
An HP Company Customers(World-wide) 31 E-Commerce Banking & Finance Telecom Government Infrastructure Healthcare Other
An HP Company Thank You! 서울시 송파구 가락동 91-14 국토빌딩 TEL: 02-558-2997 부장 서태진 010-4444-3650

Recommended

足を地に着け落ち着いて考える
足を地に着け落ち着いて考える足を地に着け落ち着いて考える
足を地に着け落ち着いて考える
Ryuji Tamagawa
 
「落ちない」AWSのインフラ構成、システム要件にあわせたパターンをご紹介
「落ちない」AWSのインフラ構成、システム要件にあわせたパターンをご紹介「落ちない」AWSのインフラ構成、システム要件にあわせたパターンをご紹介
「落ちない」AWSのインフラ構成、システム要件にあわせたパターンをご紹介
NHN テコラス株式会社
 
計算量のはなし
計算量のはなし計算量のはなし
計算量のはなし
徹 稲盛
 
AWS Black Belt Online Seminar 2017 AWS X-Ray
AWS Black Belt Online Seminar 2017 AWS X-RayAWS Black Belt Online Seminar 2017 AWS X-Ray
AWS Black Belt Online Seminar 2017 AWS X-Ray
Amazon Web Services Japan
 
Hadoop/Spark で Amazon S3 を徹底的に使いこなすワザ (Hadoop / Spark Conference Japan 2019)
Hadoop/Spark で Amazon S3 を徹底的に使いこなすワザ (Hadoop / Spark Conference Japan 2019)Hadoop/Spark で Amazon S3 を徹底的に使いこなすワザ (Hadoop / Spark Conference Japan 2019)
Hadoop/Spark で Amazon S3 を徹底的に使いこなすワザ (Hadoop / Spark Conference Japan 2019)
Noritaka Sekiyama
 
Flumeを活用したAmebaにおける大規模ログ収集システム
Flumeを活用したAmebaにおける大規模ログ収集システムFlumeを活用したAmebaにおける大規模ログ収集システム
Flumeを活用したAmebaにおける大規模ログ収集システム
Satoshi Iijima
 
第三回ありえる社内勉強会 「いわががのLombok」
第三回ありえる社内勉強会 「いわががのLombok」第三回ありえる社内勉強会 「いわががのLombok」
第三回ありえる社内勉強会 「いわががのLombok」yoshiaki iwanaga
 
Redmineをつかったスクラム開発のはじめの一歩
Redmineをつかったスクラム開発のはじめの一歩Redmineをつかったスクラム開発のはじめの一歩
Redmineをつかったスクラム開発のはじめの一歩kiita312
 

Recommended

足を地に着け落ち着いて考える
足を地に着け落ち着いて考える足を地に着け落ち着いて考える
足を地に着け落ち着いて考える
Ryuji Tamagawa
 
「落ちない」AWSのインフラ構成、システム要件にあわせたパターンをご紹介
「落ちない」AWSのインフラ構成、システム要件にあわせたパターンをご紹介「落ちない」AWSのインフラ構成、システム要件にあわせたパターンをご紹介
「落ちない」AWSのインフラ構成、システム要件にあわせたパターンをご紹介
NHN テコラス株式会社
 
計算量のはなし
計算量のはなし計算量のはなし
計算量のはなし
徹 稲盛
 
AWS Black Belt Online Seminar 2017 AWS X-Ray
AWS Black Belt Online Seminar 2017 AWS X-RayAWS Black Belt Online Seminar 2017 AWS X-Ray
AWS Black Belt Online Seminar 2017 AWS X-Ray
Amazon Web Services Japan
 
Hadoop/Spark で Amazon S3 を徹底的に使いこなすワザ (Hadoop / Spark Conference Japan 2019)
Hadoop/Spark で Amazon S3 を徹底的に使いこなすワザ (Hadoop / Spark Conference Japan 2019)Hadoop/Spark で Amazon S3 を徹底的に使いこなすワザ (Hadoop / Spark Conference Japan 2019)
Hadoop/Spark で Amazon S3 を徹底的に使いこなすワザ (Hadoop / Spark Conference Japan 2019)
Noritaka Sekiyama
 
Flumeを活用したAmebaにおける大規模ログ収集システム
Flumeを活用したAmebaにおける大規模ログ収集システムFlumeを活用したAmebaにおける大規模ログ収集システム
Flumeを活用したAmebaにおける大規模ログ収集システム
Satoshi Iijima
 
第三回ありえる社内勉強会 「いわががのLombok」
第三回ありえる社内勉強会 「いわががのLombok」第三回ありえる社内勉強会 「いわががのLombok」
第三回ありえる社内勉強会 「いわががのLombok」yoshiaki iwanaga
 
Redmineをつかったスクラム開発のはじめの一歩
Redmineをつかったスクラム開発のはじめの一歩Redmineをつかったスクラム開発のはじめの一歩
Redmineをつかったスクラム開発のはじめの一歩kiita312
 
Amazon DynamoDB Advanced Design Pattern
Amazon DynamoDB Advanced Design PatternAmazon DynamoDB Advanced Design Pattern
Amazon DynamoDB Advanced Design Pattern
Amazon Web Services Japan
 
ここがつらいよAws batch
ここがつらいよAws batchここがつらいよAws batch
ここがつらいよAws batch
Yu Yamada
 
ruby-ffiについてざっくり解説
ruby-ffiについてざっくり解説ruby-ffiについてざっくり解説
ruby-ffiについてざっくり解説
ota42y
 
AWS WAF のマネージドルールって結局どれを選べばいいの?
AWS WAF のマネージドルールって結局どれを選べばいいの?AWS WAF のマネージドルールって結局どれを選べばいいの?
AWS WAF のマネージドルールって結局どれを選べばいいの?
YOJI WATANABE
 
Jakarta EEとMicroprofileの上手な付き合い方と使い方 - JakartaOne Livestream Japan 2020
Jakarta EEとMicroprofileの上手な付き合い方と使い方 - JakartaOne Livestream Japan 2020Jakarta EEとMicroprofileの上手な付き合い方と使い方 - JakartaOne Livestream Japan 2020
Jakarta EEとMicroprofileの上手な付き合い方と使い方 - JakartaOne Livestream Japan 2020
Hirofumi Iwasaki
 
EC2上でパケットをミラーリング
EC2上でパケットをミラーリングEC2上でパケットをミラーリング
EC2上でパケットをミラーリングKenta Yasukawa
 
VPCのアウトバウンド通信を制御するためにおさえておきたい設計ポイント
VPCのアウトバウンド通信を制御するためにおさえておきたい設計ポイントVPCのアウトバウンド通信を制御するためにおさえておきたい設計ポイント
VPCのアウトバウンド通信を制御するためにおさえておきたい設計ポイント
Takuya Takaseki
 
フロントからバックエンドまで - WebAssemblyで広がる可能性
フロントからバックエンドまで - WebAssemblyで広がる可能性フロントからバックエンドまで - WebAssemblyで広がる可能性
フロントからバックエンドまで - WebAssemblyで広がる可能性
IIJ
 
モニタリングプラットフォーム開発の裏側
モニタリングプラットフォーム開発の裏側モニタリングプラットフォーム開発の裏側
モニタリングプラットフォーム開発の裏側
Rakuten Group, Inc.
 
Git超入門_座学編.pdf
Git超入門_座学編.pdfGit超入門_座学編.pdf
Git超入門_座学編.pdf
憲昭 村田
 
オンラインゲームのRails複数db戦略
オンラインゲームのRails複数db戦略オンラインゲームのRails複数db戦略
オンラインゲームのRails複数db戦略
Yasutomo Uemori
 
Firebirdの障害対策
Firebirdの障害対策Firebirdの障害対策
Firebirdの障害対策Tsutomu Hayashi
 
MySQLレプリケーションあれやこれや
MySQLレプリケーションあれやこれやMySQLレプリケーションあれやこれや
MySQLレプリケーションあれやこれや
yoku0825
 
「GraphDB徹底入門」〜構造や仕組み理解から使いどころ・種々のGraphDBの比較まで幅広く〜
「GraphDB徹底入門」〜構造や仕組み理解から使いどころ・種々のGraphDBの比較まで幅広く〜「GraphDB徹底入門」〜構造や仕組み理解から使いどころ・種々のGraphDBの比較まで幅広く〜
「GraphDB徹底入門」〜構造や仕組み理解から使いどころ・種々のGraphDBの比較まで幅広く〜Takahiro Inoue
 
AWSではじめるMLOps
AWSではじめるMLOpsAWSではじめるMLOps
AWSではじめるMLOps
MariOhbuchi
 
Vue 2 の EOL まで 2 ヶ月ですが進捗どうですか?
Vue 2 の EOL まで 2 ヶ月ですが進捗どうですか?Vue 2 の EOL まで 2 ヶ月ですが進捗どうですか?
Vue 2 の EOL まで 2 ヶ月ですが進捗どうですか?
Kazuhiro Kobayashi
 
ビットバンクで求められるプロジェクトマネジメント
ビットバンクで求められるプロジェクトマネジメントビットバンクで求められるプロジェクトマネジメント
ビットバンクで求められるプロジェクトマネジメント
bitbank, Inc. Tokyo, Japan
 
SharePoint Online で最近の困った。 大きなリストのお話。
SharePoint Online で最近の困った。 大きなリストのお話。SharePoint Online で最近の困った。 大きなリストのお話。
SharePoint Online で最近の困った。 大きなリストのお話。
Hirofumi Ota
 
大規模ソーシャルゲーム開発から学んだPHP&MySQL実践テクニック
大規模ソーシャルゲーム開発から学んだPHP&MySQL実践テクニック大規模ソーシャルゲーム開発から学んだPHP&MySQL実践テクニック
大規模ソーシャルゲーム開発から学んだPHP&MySQL実践テクニック
infinite_loop
 
AWSで作る分析基盤
AWSで作る分析基盤AWSで作る分析基盤
AWSで作る分析基盤
Yu Otsubo
 
IBM 보안솔루션 앱스캔_AppScan Standard 소개
IBM 보안솔루션 앱스캔_AppScan Standard 소개IBM 보안솔루션 앱스캔_AppScan Standard 소개
IBM 보안솔루션 앱스캔_AppScan Standard 소개
은옥 조
 
IBM 보안솔루션 앱스캔_App Scan Source Edition
IBM 보안솔루션 앱스캔_App Scan Source EditionIBM 보안솔루션 앱스캔_App Scan Source Edition
IBM 보안솔루션 앱스캔_App Scan Source Edition
은옥 조
 

More Related Content

What's hot

Amazon DynamoDB Advanced Design Pattern
Amazon DynamoDB Advanced Design PatternAmazon DynamoDB Advanced Design Pattern
Amazon DynamoDB Advanced Design Pattern
Amazon Web Services Japan
 
ここがつらいよAws batch
ここがつらいよAws batchここがつらいよAws batch
ここがつらいよAws batch
Yu Yamada
 
ruby-ffiについてざっくり解説
ruby-ffiについてざっくり解説ruby-ffiについてざっくり解説
ruby-ffiについてざっくり解説
ota42y
 
AWS WAF のマネージドルールって結局どれを選べばいいの?
AWS WAF のマネージドルールって結局どれを選べばいいの?AWS WAF のマネージドルールって結局どれを選べばいいの?
AWS WAF のマネージドルールって結局どれを選べばいいの?
YOJI WATANABE
 
Jakarta EEとMicroprofileの上手な付き合い方と使い方 - JakartaOne Livestream Japan 2020
Jakarta EEとMicroprofileの上手な付き合い方と使い方 - JakartaOne Livestream Japan 2020Jakarta EEとMicroprofileの上手な付き合い方と使い方 - JakartaOne Livestream Japan 2020
Jakarta EEとMicroprofileの上手な付き合い方と使い方 - JakartaOne Livestream Japan 2020
Hirofumi Iwasaki
 
EC2上でパケットをミラーリング
EC2上でパケットをミラーリングEC2上でパケットをミラーリング
EC2上でパケットをミラーリングKenta Yasukawa
 
VPCのアウトバウンド通信を制御するためにおさえておきたい設計ポイント
VPCのアウトバウンド通信を制御するためにおさえておきたい設計ポイントVPCのアウトバウンド通信を制御するためにおさえておきたい設計ポイント
VPCのアウトバウンド通信を制御するためにおさえておきたい設計ポイント
Takuya Takaseki
 
フロントからバックエンドまで - WebAssemblyで広がる可能性
フロントからバックエンドまで - WebAssemblyで広がる可能性フロントからバックエンドまで - WebAssemblyで広がる可能性
フロントからバックエンドまで - WebAssemblyで広がる可能性
IIJ
 
モニタリングプラットフォーム開発の裏側
モニタリングプラットフォーム開発の裏側モニタリングプラットフォーム開発の裏側
モニタリングプラットフォーム開発の裏側
Rakuten Group, Inc.
 
Git超入門_座学編.pdf
Git超入門_座学編.pdfGit超入門_座学編.pdf
Git超入門_座学編.pdf
憲昭 村田
 
オンラインゲームのRails複数db戦略
オンラインゲームのRails複数db戦略オンラインゲームのRails複数db戦略
オンラインゲームのRails複数db戦略
Yasutomo Uemori
 
MySQLレプリケーションあれやこれや
MySQLレプリケーションあれやこれやMySQLレプリケーションあれやこれや
MySQLレプリケーションあれやこれや
yoku0825
 
「GraphDB徹底入門」〜構造や仕組み理解から使いどころ・種々のGraphDBの比較まで幅広く〜
「GraphDB徹底入門」〜構造や仕組み理解から使いどころ・種々のGraphDBの比較まで幅広く〜「GraphDB徹底入門」〜構造や仕組み理解から使いどころ・種々のGraphDBの比較まで幅広く〜
「GraphDB徹底入門」〜構造や仕組み理解から使いどころ・種々のGraphDBの比較まで幅広く〜Takahiro Inoue
 
AWSではじめるMLOps
AWSではじめるMLOpsAWSではじめるMLOps
AWSではじめるMLOps
MariOhbuchi
 
Vue 2 の EOL まで 2 ヶ月ですが進捗どうですか?
Vue 2 の EOL まで 2 ヶ月ですが進捗どうですか?Vue 2 の EOL まで 2 ヶ月ですが進捗どうですか?
Vue 2 の EOL まで 2 ヶ月ですが進捗どうですか?
Kazuhiro Kobayashi
 
ビットバンクで求められるプロジェクトマネジメント
ビットバンクで求められるプロジェクトマネジメントビットバンクで求められるプロジェクトマネジメント
ビットバンクで求められるプロジェクトマネジメント
bitbank, Inc. Tokyo, Japan
 
SharePoint Online で最近の困った。 大きなリストのお話。
SharePoint Online で最近の困った。 大きなリストのお話。SharePoint Online で最近の困った。 大きなリストのお話。
SharePoint Online で最近の困った。 大きなリストのお話。
Hirofumi Ota
 
大規模ソーシャルゲーム開発から学んだPHP&MySQL実践テクニック
大規模ソーシャルゲーム開発から学んだPHP&MySQL実践テクニック大規模ソーシャルゲーム開発から学んだPHP&MySQL実践テクニック
大規模ソーシャルゲーム開発から学んだPHP&MySQL実践テクニック
infinite_loop
 
AWSで作る分析基盤
AWSで作る分析基盤AWSで作る分析基盤
AWSで作る分析基盤
Yu Otsubo
 

What's hot (20)

Amazon DynamoDB Advanced Design Pattern
Amazon DynamoDB Advanced Design PatternAmazon DynamoDB Advanced Design Pattern
Amazon DynamoDB Advanced Design Pattern
 
ここがつらいよAws batch
ここがつらいよAws batchここがつらいよAws batch
ここがつらいよAws batch
 
ruby-ffiについてざっくり解説
ruby-ffiについてざっくり解説ruby-ffiについてざっくり解説
ruby-ffiについてざっくり解説
 
AWS WAF のマネージドルールって結局どれを選べばいいの?
AWS WAF のマネージドルールって結局どれを選べばいいの?AWS WAF のマネージドルールって結局どれを選べばいいの?
AWS WAF のマネージドルールって結局どれを選べばいいの?
 
Jakarta EEとMicroprofileの上手な付き合い方と使い方 - JakartaOne Livestream Japan 2020
Jakarta EEとMicroprofileの上手な付き合い方と使い方 - JakartaOne Livestream Japan 2020Jakarta EEとMicroprofileの上手な付き合い方と使い方 - JakartaOne Livestream Japan 2020
Jakarta EEとMicroprofileの上手な付き合い方と使い方 - JakartaOne Livestream Japan 2020
 
EC2上でパケットをミラーリング
EC2上でパケットをミラーリングEC2上でパケットをミラーリング
EC2上でパケットをミラーリング
 
VPCのアウトバウンド通信を制御するためにおさえておきたい設計ポイント
VPCのアウトバウンド通信を制御するためにおさえておきたい設計ポイントVPCのアウトバウンド通信を制御するためにおさえておきたい設計ポイント
VPCのアウトバウンド通信を制御するためにおさえておきたい設計ポイント
 
フロントからバックエンドまで - WebAssemblyで広がる可能性
フロントからバックエンドまで - WebAssemblyで広がる可能性フロントからバックエンドまで - WebAssemblyで広がる可能性
フロントからバックエンドまで - WebAssemblyで広がる可能性
 
モニタリングプラットフォーム開発の裏側
モニタリングプラットフォーム開発の裏側モニタリングプラットフォーム開発の裏側
モニタリングプラットフォーム開発の裏側
 
Git超入門_座学編.pdf
Git超入門_座学編.pdfGit超入門_座学編.pdf
Git超入門_座学編.pdf
 
オンラインゲームのRails複数db戦略
オンラインゲームのRails複数db戦略オンラインゲームのRails複数db戦略
オンラインゲームのRails複数db戦略
 
Firebirdの障害対策
Firebirdの障害対策Firebirdの障害対策
Firebirdの障害対策
 
MySQLレプリケーションあれやこれや
MySQLレプリケーションあれやこれやMySQLレプリケーションあれやこれや
MySQLレプリケーションあれやこれや
 
「GraphDB徹底入門」〜構造や仕組み理解から使いどころ・種々のGraphDBの比較まで幅広く〜
「GraphDB徹底入門」〜構造や仕組み理解から使いどころ・種々のGraphDBの比較まで幅広く〜「GraphDB徹底入門」〜構造や仕組み理解から使いどころ・種々のGraphDBの比較まで幅広く〜
「GraphDB徹底入門」〜構造や仕組み理解から使いどころ・種々のGraphDBの比較まで幅広く〜
 
AWSではじめるMLOps
AWSではじめるMLOpsAWSではじめるMLOps
AWSではじめるMLOps
 
Vue 2 の EOL まで 2 ヶ月ですが進捗どうですか?
Vue 2 の EOL まで 2 ヶ月ですが進捗どうですか?Vue 2 の EOL まで 2 ヶ月ですが進捗どうですか?
Vue 2 の EOL まで 2 ヶ月ですが進捗どうですか?
 
ビットバンクで求められるプロジェクトマネジメント
ビットバンクで求められるプロジェクトマネジメントビットバンクで求められるプロジェクトマネジメント
ビットバンクで求められるプロジェクトマネジメント
 
SharePoint Online で最近の困った。 大きなリストのお話。
SharePoint Online で最近の困った。 大きなリストのお話。SharePoint Online で最近の困った。 大きなリストのお話。
SharePoint Online で最近の困った。 大きなリストのお話。
 
大規模ソーシャルゲーム開発から学んだPHP&MySQL実践テクニック
大規模ソーシャルゲーム開発から学んだPHP&MySQL実践テクニック大規模ソーシャルゲーム開発から学んだPHP&MySQL実践テクニック
大規模ソーシャルゲーム開発から学んだPHP&MySQL実践テクニック
 
AWSで作る分析基盤
AWSで作る分析基盤AWSで作る分析基盤
AWSで作る分析基盤
 

Similar to 포티파이 안전한 애플리케이션 구축 및 운영방안

IBM 보안솔루션 앱스캔_AppScan Standard 소개
IBM 보안솔루션 앱스캔_AppScan Standard 소개IBM 보안솔루션 앱스캔_AppScan Standard 소개
IBM 보안솔루션 앱스캔_AppScan Standard 소개
은옥 조
 
IBM 보안솔루션 앱스캔_App Scan Source Edition
IBM 보안솔루션 앱스캔_App Scan Source EditionIBM 보안솔루션 앱스캔_App Scan Source Edition
IBM 보안솔루션 앱스캔_App Scan Source Edition
은옥 조
 
[오픈소스컨설팅]소프트웨어테스팅전략
[오픈소스컨설팅]소프트웨어테스팅전략[오픈소스컨설팅]소프트웨어테스팅전략
[오픈소스컨설팅]소프트웨어테스팅전략
Ji-Woong Choi
 
[Main Session] 보안을 고려한 애플리케이션 개발 공정 및 실무적 수행 방법 소개
[Main Session] 보안을 고려한 애플리케이션 개발 공정 및 실무적 수행 방법 소개 [Main Session] 보안을 고려한 애플리케이션 개발 공정 및 실무적 수행 방법 소개
[Main Session] 보안을 고려한 애플리케이션 개발 공정 및 실무적 수행 방법 소개
Oracle Korea
 
JSI LAB의 X-Chat for SOC 보안관제센터 시큐리티 코파일럿 제품과 사례 소개
JSI LAB의 X-Chat for SOC 보안관제센터 시큐리티 코파일럿 제품과 사례 소개JSI LAB의 X-Chat for SOC 보안관제센터 시큐리티 코파일럿 제품과 사례 소개
JSI LAB의 X-Chat for SOC 보안관제센터 시큐리티 코파일럿 제품과 사례 소개
jsilabai
 
[오픈소스컨설팅]유닉스의 리눅스 마이그레이션 전략_v3
[오픈소스컨설팅]유닉스의 리눅스 마이그레이션 전략_v3[오픈소스컨설팅]유닉스의 리눅스 마이그레이션 전략_v3
[오픈소스컨설팅]유닉스의 리눅스 마이그레이션 전략_v3
Ji-Woong Choi
 
Observability customer presentation samuel-2021-03-30
Observability customer presentation samuel-2021-03-30Observability customer presentation samuel-2021-03-30
Observability customer presentation samuel-2021-03-30
SAMUEL SJ Cheon
 
AttackIQ Flex - BAS(Breach & Attack Simulation) 셀프 테스트 서비스
AttackIQ Flex - BAS(Breach & Attack Simulation) 셀프 테스트 서비스 AttackIQ Flex - BAS(Breach & Attack Simulation) 셀프 테스트 서비스
AttackIQ Flex - BAS(Breach & Attack Simulation) 셀프 테스트 서비스
Softwide Security
 
웹스트리밍동영상보안자료
웹스트리밍동영상보안자료웹스트리밍동영상보안자료
웹스트리밍동영상보안자료
시온시큐리티
 
2014 pc방화벽 시온
2014 pc방화벽 시온2014 pc방화벽 시온
2014 pc방화벽 시온
시온시큐리티
 
05. it정보화전략-어플리케이션 프레임워크
05. it정보화전략-어플리케이션 프레임워크05. it정보화전략-어플리케이션 프레임워크
05. it정보화전략-어플리케이션 프레임워크
InGuen Hwang
 
201412 문서보안제안서 시온
201412 문서보안제안서 시온201412 문서보안제안서 시온
201412 문서보안제안서 시온
시온시큐리티
 
All about Data Center Migration Session 1. <Case Study> 오비맥주 사례로 알아보는 DC 마이그레...
All about Data Center Migration Session 1. <Case Study> 오비맥주 사례로 알아보는 DC 마이그레...All about Data Center Migration Session 1. <Case Study> 오비맥주 사례로 알아보는 DC 마이그레...
All about Data Center Migration Session 1. <Case Study> 오비맥주 사례로 알아보는 DC 마이그레...
BESPIN GLOBAL
 
Event storming based msa training commerce example add_handson_v3
Event storming based msa training commerce example add_handson_v3Event storming based msa training commerce example add_handson_v3
Event storming based msa training commerce example add_handson_v3
uEngine Solutions
 
[네이버D2SF] 안전한 서비스 운영을 위한 Ncloud 보안교육
[네이버D2SF] 안전한 서비스 운영을 위한 Ncloud 보안교육[네이버D2SF] 안전한 서비스 운영을 위한 Ncloud 보안교육
[네이버D2SF] 안전한 서비스 운영을 위한 Ncloud 보안교육
NAVER D2 STARTUP FACTORY
 
Atlassian을 이용한 애자일 ALM 소개 / JIRA 프로젝트 예산 관리 - 커브
Atlassian을 이용한 애자일 ALM 소개 / JIRA 프로젝트 예산 관리 - 커브Atlassian을 이용한 애자일 ALM 소개 / JIRA 프로젝트 예산 관리 - 커브
Atlassian을 이용한 애자일 ALM 소개 / JIRA 프로젝트 예산 관리 - 커브
Atlassian 대한민국
 
애플리케이션 개발 단계에서의 성능 품질과 생산성 효율, 둘 다 잡기
애플리케이션 개발 단계에서의 성능 품질과 생산성 효율, 둘 다 잡기애플리케이션 개발 단계에서의 성능 품질과 생산성 효율, 둘 다 잡기
애플리케이션 개발 단계에서의 성능 품질과 생산성 효율, 둘 다 잡기
Ki Bae Kim
 
내부자정보유출방지 : 엔드포인트 통합보안
내부자정보유출방지 : 엔드포인트 통합보안 내부자정보유출방지 : 엔드포인트 통합보안
내부자정보유출방지 : 엔드포인트 통합보안
시온시큐리티
 
[고려대학교-SANE Lab] 170317풀타임세미나 이상민
[고려대학교-SANE Lab] 170317풀타임세미나 이상민[고려대학교-SANE Lab] 170317풀타임세미나 이상민
[고려대학교-SANE Lab] 170317풀타임세미나 이상민
Sane Lab
 
2016 보안솔루션 제언
2016 보안솔루션 제언2016 보안솔루션 제언
2016 보안솔루션 제언
시온시큐리티
 

Similar to 포티파이 안전한 애플리케이션 구축 및 운영방안 (20)

IBM 보안솔루션 앱스캔_AppScan Standard 소개
IBM 보안솔루션 앱스캔_AppScan Standard 소개IBM 보안솔루션 앱스캔_AppScan Standard 소개
IBM 보안솔루션 앱스캔_AppScan Standard 소개
 
IBM 보안솔루션 앱스캔_App Scan Source Edition
IBM 보안솔루션 앱스캔_App Scan Source EditionIBM 보안솔루션 앱스캔_App Scan Source Edition
IBM 보안솔루션 앱스캔_App Scan Source Edition
 
[오픈소스컨설팅]소프트웨어테스팅전략
[오픈소스컨설팅]소프트웨어테스팅전략[오픈소스컨설팅]소프트웨어테스팅전략
[오픈소스컨설팅]소프트웨어테스팅전략
 
[Main Session] 보안을 고려한 애플리케이션 개발 공정 및 실무적 수행 방법 소개
[Main Session] 보안을 고려한 애플리케이션 개발 공정 및 실무적 수행 방법 소개 [Main Session] 보안을 고려한 애플리케이션 개발 공정 및 실무적 수행 방법 소개
[Main Session] 보안을 고려한 애플리케이션 개발 공정 및 실무적 수행 방법 소개
 
JSI LAB의 X-Chat for SOC 보안관제센터 시큐리티 코파일럿 제품과 사례 소개
JSI LAB의 X-Chat for SOC 보안관제센터 시큐리티 코파일럿 제품과 사례 소개JSI LAB의 X-Chat for SOC 보안관제센터 시큐리티 코파일럿 제품과 사례 소개
JSI LAB의 X-Chat for SOC 보안관제센터 시큐리티 코파일럿 제품과 사례 소개
 
[오픈소스컨설팅]유닉스의 리눅스 마이그레이션 전략_v3
[오픈소스컨설팅]유닉스의 리눅스 마이그레이션 전략_v3[오픈소스컨설팅]유닉스의 리눅스 마이그레이션 전략_v3
[오픈소스컨설팅]유닉스의 리눅스 마이그레이션 전략_v3
 
Observability customer presentation samuel-2021-03-30
Observability customer presentation samuel-2021-03-30Observability customer presentation samuel-2021-03-30
Observability customer presentation samuel-2021-03-30
 
AttackIQ Flex - BAS(Breach & Attack Simulation) 셀프 테스트 서비스
AttackIQ Flex - BAS(Breach & Attack Simulation) 셀프 테스트 서비스 AttackIQ Flex - BAS(Breach & Attack Simulation) 셀프 테스트 서비스
AttackIQ Flex - BAS(Breach & Attack Simulation) 셀프 테스트 서비스
 
웹스트리밍동영상보안자료
웹스트리밍동영상보안자료웹스트리밍동영상보안자료
웹스트리밍동영상보안자료
 
2014 pc방화벽 시온
2014 pc방화벽 시온2014 pc방화벽 시온
2014 pc방화벽 시온
 
05. it정보화전략-어플리케이션 프레임워크
05. it정보화전략-어플리케이션 프레임워크05. it정보화전략-어플리케이션 프레임워크
05. it정보화전략-어플리케이션 프레임워크
 
201412 문서보안제안서 시온
201412 문서보안제안서 시온201412 문서보안제안서 시온
201412 문서보안제안서 시온
 
All about Data Center Migration Session 1. <Case Study> 오비맥주 사례로 알아보는 DC 마이그레...
All about Data Center Migration Session 1. <Case Study> 오비맥주 사례로 알아보는 DC 마이그레...All about Data Center Migration Session 1. <Case Study> 오비맥주 사례로 알아보는 DC 마이그레...
All about Data Center Migration Session 1. <Case Study> 오비맥주 사례로 알아보는 DC 마이그레...
 
Event storming based msa training commerce example add_handson_v3
Event storming based msa training commerce example add_handson_v3Event storming based msa training commerce example add_handson_v3
Event storming based msa training commerce example add_handson_v3
 
[네이버D2SF] 안전한 서비스 운영을 위한 Ncloud 보안교육
[네이버D2SF] 안전한 서비스 운영을 위한 Ncloud 보안교육[네이버D2SF] 안전한 서비스 운영을 위한 Ncloud 보안교육
[네이버D2SF] 안전한 서비스 운영을 위한 Ncloud 보안교육
 
Atlassian을 이용한 애자일 ALM 소개 / JIRA 프로젝트 예산 관리 - 커브
Atlassian을 이용한 애자일 ALM 소개 / JIRA 프로젝트 예산 관리 - 커브Atlassian을 이용한 애자일 ALM 소개 / JIRA 프로젝트 예산 관리 - 커브
Atlassian을 이용한 애자일 ALM 소개 / JIRA 프로젝트 예산 관리 - 커브
 
애플리케이션 개발 단계에서의 성능 품질과 생산성 효율, 둘 다 잡기
애플리케이션 개발 단계에서의 성능 품질과 생산성 효율, 둘 다 잡기애플리케이션 개발 단계에서의 성능 품질과 생산성 효율, 둘 다 잡기
애플리케이션 개발 단계에서의 성능 품질과 생산성 효율, 둘 다 잡기
 
내부자정보유출방지 : 엔드포인트 통합보안
내부자정보유출방지 : 엔드포인트 통합보안 내부자정보유출방지 : 엔드포인트 통합보안
내부자정보유출방지 : 엔드포인트 통합보안
 
[고려대학교-SANE Lab] 170317풀타임세미나 이상민
[고려대학교-SANE Lab] 170317풀타임세미나 이상민[고려대학교-SANE Lab] 170317풀타임세미나 이상민
[고려대학교-SANE Lab] 170317풀타임세미나 이상민
 
2016 보안솔루션 제언
2016 보안솔루션 제언2016 보안솔루션 제언
2016 보안솔루션 제언
 

포티파이 안전한 애플리케이션 구축 및 운영방안

  • 1. An HP Company 2012.9 ㈜크라비스커뮤니티 안전한 애플리케이션 구축 및 운영방안
  • 2. An HP Company 기업 애플리케이션 현실 2 웹 환경 업무 레거시 통합 App 외부 파트너와 연결된App 아웃소싱 개발 사내 업무 시스템 공격의 75% 이상이 애플리케이션 대상 공격 - 가트너
  • 3. An HP Company 애플리케이션 보안 동향 – 개발과정 보안 3 ○ Gartner 예측 - 2010년 까지 SDLC내에 보안을 통합시킴으로써 주요 취약점의 80%가 감소할 것임 (80% 가능성) - 2010년 까지 상기 취약점의 감소는 현재의 설정관리와 침해사고 대응 비용의 75%를 감소시킬 것임 (70% 가능성) - 2008년까지 어플리케이션 보안은 시스템의 기능 만큼이나 중요하게 평가의 주요 요소가 될 것임. (70% 가능성) 단계 보안Activity 프로젝트 개시/ 분석 -보안 요구사항 정의 (시스템, 기능) -보안 코딩 표준 정의 -보안 프레임웍 정의 -보안 요구사항 매핑 설계 -보안 명세(Spec.) 정의 - 위협 모델링 - 보안 설계 - 보안 테스트 계획 수립 개발 - 보안 코드 검토 - 보안 단위 시험 - White Box 보안 시험 - 보안 시스템 구축 테스트 - 보안 기능 시험 - 보안 침투 테스트 - 보안 코드 스캐닝 유지관리/ 운영 - 보안 운영 지침 수립 (패치, 설정, 지속적 점검 등) - 보안 이슈 추적/해결 “Integrate security best practice and tools into software dev lifecycle”, Feb. 2006
  • 4. An HP Company 애플리케이션 보안 특징 및 현실 4 - 개발자 참여 필요  취약점 조치는 개발자가 수행해야 함 - 기능성, 가용성, 편의성이 개발자들의 주된 목표, 또한 프로젝트 기간 내에 코딩을 완료해야 함 - 현실적으로 보안을 고려하여 코딩 할 수 있는 개발자 부재 - “보안 코딩 가이드”는 있으나 준수 한계  코딩단계부터 적용 가능한 보안 방안 부재  개발자  운영자  보안 관리자 / IT관리자 - 애플리케이션 상세 이해 한계 - 보안 코딩 가이드 준수 여부에 대한 검증 장치 혹은 프로세스 미비(매뉴얼 리뷰, 컨설팅) - 외주 개발 애플리케이션에 대한 보안 검증 장치 부재(개발사 몫?) - 국제규정 및 감독기관, 외부 규정을 준수하는 개발보안 필요 - 네트워크, 시스템 및 애플리케이션의 가용성 유지해야 함 - 애플리케이션에 대한 상세 이해 부족 - 운영단계에서 애플리케이션 취약점 조치 어려움 - 현실적으로 전수검사 불가능 개발 라이프 사이클(SDL)내의 보안 방안 부재 업무별 적정 프로세스 및 솔루션 부재
  • 5. An HP Company SDL에서의 보안 요소 5 Build Server 개발자 보안 테스트 보안운영 Security Leads / Auditors Manage and Measure 개발단계에서 취약점 조기 조치 애플리케이션 분류 및 보안테스트 코드 배포시 애플리케이션 모니터링 및 방어 전수검사에 의한 취약점 분류, 취약도 확인 및 조치 Management
  • 6. An HP Company HP Fortify Within the Secure Software Lifecycle 6 HP Fortify SCA Proactive security with targeted, accurate analysis tuned for low false positives HP Fortify SCA Analyzes code comprehensively and accurately Developers HP Fortify SecurityScope HP WebInspect Makes every black box security test measurable and actionable Security Testers HP Fortify RTA Monitors and measures web applications in production Security Ops Team Security Leads / Auditors HP Software Security Center Central reporting and management of software security across the enterprise Management Build Server FPR HP Fortify SCA
  • 7. An HP Company HP Fortify Software 모듈별 기능(요약) 7 ○ Fortify Real-Time Analyzer ○ Fortify Static Code Analyzer - 개발단계부터 보안 취약점 발견 및 조치를 통한 “안전한 애플리케이션 개발” - SDLC 프로세스와 연동되어 “보안 검토 프로세스”로 사용 - 지원대상 : Adobe®, ASP.NET, C/C++, C#, Classic ASP, HTML(HTML5), Java, JavaScript/AJAX, JSP, PHP, PL/SQL, MS T-SQL, VB for Applications, VB Script, VB.NET, XML, Flex, 환경(Apache, J2EE, EJB, ASP.NET, Weblogic등) 및 Premium Language(COBOL, ColdFusion®, Python, Mobile, ABAP) – 20종 언어 및 환경 분석 - 개발자 관점 (소스파일,라인,함수)의 개선 보고서 제공으로 애플리케이션 취약점 수정 용이 - IDE Plug-ins (VS.net, Eclipse, IBM WSAD/RAD, Borland JBuilder) 지원 ○ Fortify SecurityScoupe, WebInspect - 애플리케이션 보안 테스트 - HP WebInspect와 연계하여 하이브리드 분석 - Application Firewall - “Hardened Software”방식(세계최초) - Monitoring mode 및 defense mode 지원 ○ Software Security Center - 웹 기반의 애플리케이션 보안현황 관리(리포트, 이력관리, 룰 관리 및 update, 사용자관리) - 온라인 협업 관리 - 거버넌스
  • 8. An HP Company 취약점 내 용 Path Manipulation 시스템 중요파일(password, 소스코드 등)에 접근 하여 시스템 침탈 가능 SQL Injection DB 공격하여 비인가 정보 획득, 데이터 변조 가능 Cross-Site Scripting 페이지 가로채기, 바이러스 설치, 백도어 등의 스크립트 공격 가능 HTTP Response Splitting 페이지 가로채기, 바이러스 설치, 백도어 등의 스크립트 공격 가능 Trust Boundary Violation 프로그램 내부 데이터 조작 공격 Unchecked Return Value: Missing Check against Null 시스템 간접정보 획득, 및 프로그램 오동작 가능 J2EE Misconfiguration: Missing Error Handling 시스템 간접정보 획득 가능성 주요 분석 카테고리(셈플) ○ 전체 카테고리(https://www.fortify.com/vulncat/ko/vulncat/index.html) ○ 보안 카테고리 분석 카테고리 8 - API Abuse , Code Quality, Encapsulation, Environment, Errors, Input Validation and Representation, Security Features, Time and State의 8개 분류로 구성된 490여개 보안 및 품질 카테고리로 구성 - OWASP TOP 10 및 CWE 항목을 수용하는 200여 보안 카테고리로 구성 - 정보유출과 같은 보안 사고의 근본적인 원인을 조기 탐지 및 제거
  • 9. An HP Company 주요 분석 카테고리(셈플) 문제점 내 용 Poor Style: Redundant Initialization 이 변수 값은 할당되어 있지만 사용하지 않으므로 불필요한 저장 공 간을 차지합니다. Poor Style: Value Never Read 이 변수 값은 할당되어 있지만 사용하지 않으므로 불필요한 저장 공 간을 차지합니다. Redundant Null Check 프로그램이 null 포인터를 역참조할 가능성이 있기 때문에 null 포인 터 예외가 발생합니다. Unreleased Resource : Database 프로그램이 시스템 리소스를 해제하지 못할 수도 있습니다. Unreleased Resource : Stream 프로그램이 시스템 리소스를 해제하지 못할 수도 있습니다. Dead Code: Expression is Always True 이 식은 항상 true가 됩니다. Dead Code: Unused Field 이 필드는 사용되지 않습니다. ○ 품질 카테고리 분석 카테고리 9 - 시스템에 심각한 오류를 일으키는 메모리/리소스 사용 및 해제, Error 처리, 미사용 루틴 탐지등 300여 항목의 품질 카테고리로 구성 - C/S 기반과 서버에서 작동되는 시스템의 심각한 오류를 사전에 제거 하여 애플리케이션의 품질 향상 (예- 은행의 코어 뱅킹 시스템, 제조사의 조업시스템 – NH증권, 현대해상, 농협카드, 신한은행 등)
  • 10. An HP Company 분석 카테고리(샘플) ○ 모바일 환경 카테고리 분석 카테고리 10 - 모바일 폰의 데이터 유출 위험 또는 불필요한 권한을 부여 하는 애플리케이션 설정 및 코딩 오류 등 보안 카테고리로 구성 취약점 내 용 Query String Injection : Android ContentResolver 사용자 입력을 포함하고 있는 SQLite 쿼리 문을 생성하면 공격자가 허가받지 않은 레코드를 볼 수 있습니다. Insecure Storage : Android External Storage Android의 외부 저장소에 데이터를 작성합니다. 외부 저장소에 저장한 파일은 누구나 읽을 수 있으며 USB 대용량 저장소로 컴퓨터의 파일을 전송할 때 사용자가 수정할 수 있습니다. 또한, 외부 저장소 카드에 있는 파일은 파일을 작성한 응용 프로그램을 제거한 후에도 그대로 유지됩니다. 이러한 제약으로 인해 저장소에 작성된 민감한 정보가 손상되거나 공격자가 프로그램이 의존하는 외부 파일을 수정하여 악성 데이터를 프로그램에 삽입할 수도 있습니다. Access Control : Android ContentResolver 적절한 접근제어 없이 사용자가 제어하는 기본 키를 포함하는 SQLite 문을 실행하면 공격자가 허가받지 않은 레코드를 볼 수 있습니다. Privilege Management : Android Network 프로그램이 네트워크 연결을 구성할 수 있는 권한을 요청합니다. Privilege Management : Android Messaging 프로그램은 SMS 작업을 수행하도록 요청합니다. Privilege Management : Android Disable 프로그램은 핸드셋을 비활성화할 수 있는 권한을 요청합니다. Privilege Management : Android Data Storage 프로그램이 Android의 외부 저장소에 데이터를 작성할 수 있는 권한을 요청합니다. Privilege Management : Android Location 프로그램은 장치의 GPS 위치에 접근할 수 있는 권한을 요청합니다. Privilege Management : Android Telephony 프로그램은 전화를 걸고 받을 수 있는 권한을 요청합니다.
  • 11. An HP Company Requirements Design Coding Testing Production 1단계 : 소프트웨어 보증 센터(Security Gate) Security Gate 보안 승인 테스트 프로세스 적용 방안 - 애플리케이션 보증 센터
  • 12. An HP Company HP Fortify SCA Static Code Analyzer Integrated within Build Server Environment 3rd party code in-house code Data Integration Tool Integration Correlation Software Security Center Development 프로세스 적용 방안 - 애플리케이션 보증 센터 개발자 : 버그 관리시스템에 할당, 중요 이슈 확인 / 수정 Bug Tracking Software Security Center Collaborative Web interface or Audit Workbench 감리자/보안담당자 : 분석결과 확인, 중요한 이슈 분류 보안 / 개발 관리자 : 진행사항 확인, 리포트 확인 Scan Results 소프트웨어 보안 게이트 • 개발 완료 전 최종 점검 • 아웃소싱 개발 프로그램에 대한 검증 • 전체 개발과정상의 한가지 단계 적합 테스트 운영기능테스트코딩빌드계획 Ad-hoc testing 12
  • 13. An HP Company Requirements Design Coding Testing Production Step 1: Security Gate 구현 Step 2: SDLC의 보안 Security Gate 보안 승인 테스트 보안이 고려된 애플리케이션 개발의 생산비용 절감 프로세스 적용 방안 - SDLC 확장
  • 14. An HP Company 중앙 집중식 관리 및 제어 Requirements Design Coding Testing Production Security Gate Efficient Remediation Bug tracking Develope r IDEs Collab Module Automate Testing Via Build Integration Via Developers IDE Via QA Server Key Benefits • 조기에 취약점을 발견하고 조치하게 되므로 비용 절감 • 개발자는 보안코딩을 학습하여 개발함으로써 애플리케이션의 위험이 낮아짐 프로세스 적용 방안 - SDLC 확장
  • 15. An HP Company Development Fortify IDE Plugins IDE 상에서 Fortify 360 서버에 접속하여 문제를 확인하고 수정 개발자 : IDE, 버그 관리툴, 협업 기능을 통해 할당된 이슈를 확인하고 제시된 Fortify 가이드에 따라 수정 Bug Tracking Software Security Center Collaborative Web interface or Audit Workbench 보안 감리자 / 개발 관리자 : 시스템에 로그인 하여 분석결과 확인 및 취약점 할당 보안 / 개발관리자 : 진행사항 확인, 리포트 확인, 중요 사항 발생시 Alert 수신 (예- XSS vulnerabilities found in overnight build) 프로세스 적용 방안 - SDLC 확장 소프트웨어 개발 프로세스 전체에 적용 최소의 비용으로 문제를 수정하고 예방 할 수 있음 적합 테스트 운영기능테스트코딩빌드계획 15 HP Fortify SCA Static Code Analyzer Integrated within Build Server Environment 3rd party code in-house code Data Integration Tool Integration Correlation Software Security Center Scan Results
  • 16. An HP Company 프로세스 적용 방안 - Cloud Scan 구성
  • 17. An HP Company Cloud Scan 구성 – 필요 구성요소 1. Cloud CLI - 빌드 환경 설정 2. Cloud Contoller - 클라이언트와 클라우드 간의 통신 서비스 3. Cloud Engine (Hadoop-Master) - Job Master 4. CloudScan Cloud (Hadoop-Scan Engine) - Job Slaves
  • 18. An HP Company 1. Response 2. Response job (option) Upload .fpr files 3. Request Result File4. Get results Cloud Scan 개념
  • 19. An HP Company Cloud Scan 구성 Source Code Compiler Cloud CLI Sourceanalyzer JRE TCP/IP OS Cloud Controller (Web Service) Tomcat JRE TCP/IP Linux, Windows SSC 360 WEB Tomcat JRE JDBC TCP/IP Windows DBMS MS-SQL 2008 Oracle JDBC TCP/IP OS Cloud ControllerC, .NET 개발 System Source Code Compiler Cloud CLI Sourceanalyzer JRE TCP/IP OS Source Code Compiler Cloud CLI SCA JRE TCP/IP Any OS Source Code Compiler Cloud CLI Sourceanalyzer JRE TCP/IP OS JAVA 개발 System Source Code Compiler Cloud CLI Sourceanalyzer JRE TCP/IP OS Source Code Compiler Cloud CLI SCA JRE TCP/IP Any OS 관리 서버 관리서버용 DBMS Scan Server SCA Hadoop Slave JRE TCP/IP Linux Hadoop Server Master Hadoop JRE TCP/IP Linux SCA Hadoop Slave JRE TCP/IP Linux SCA Hadoop Slave JRE TCP/IP Linux SCA Hadoop Slave JRE TCP/IP Linux [분석 절차] 1. 개발시스템에서 CloudCLI 이용 분석 요청 (빌드 수행) 2. CloudController는 요청을 받아 Hadoop서버에 JOB 요청 3. Hadoop 서버는 가용한 ScanServer를 할당 4. 할당받은 Scan Server에서 SCAN 수행 5. 분석결과는 선택에 따라 두 경로로 전달 - 분석 요청 시스템으로 FPR전송 - SSC서버에 분석결과 등록
  • 20. An HP Company Source Code Compiler Cloud CLI Sourceanalyzer JRE TCP/IP OS Cloud Controller (Web Service) Tomcat JRE TCP/IP Linux, Windows SSC 360 WEB Tomcat JRE JDBC TCP/IP Windows DBMS MS-SQL 2008 Oracle JDBC TCP/IP OS Cloud ControllerC 개발 System Source Code Compiler Cloud CLI Sourceanalyzer JRE TCP/IP OS Source Code Compiler Cloud CLI SCA JRE TCP/IP Any OS Source Code Compiler Cloud CLI Sourceanalyzer JRE TCP/IP OS JAVA 개발 System Source Code Compiler Cloud CLI Sourceanalyzer JRE TCP/IP OS Source Code Compiler Cloud CLI SCA JRE TCP/IP Any OS 관리 서버 관리서버용 DBMS Scan Server SCA Hadoop Slave JRE TCP/IP Linux Hadoop Server Master Hadoop JRE TCP/IP Linux SCA Hadoop Slave JRE TCP/IP Linux SCA Hadoop Slave JRE TCP/IP Linux SCA Hadoop Slave JRE TCP/IP Linux [분석 절차] 1. 개발시스템에서 CloudCLI 이용 분석 요청 (빌드 수행) 2. CloudController는 요청을 받아 Hadoop서버에 JOB 요청 3. Hadoop 서버는 가용한 ScanServer를 할당 4. 할당받은 Scan Server에서 SCAN 수행 5. 분석결과는 선택에 따라 두 경로로 전달 - 분석 요청 시스템으로 FPR전송 - SSC서버에 분석결과 등록 Cloud Scan 구성
  • 21. An HP Company 하이브리드 보안 분석 구성 설계/디자인 코딩 테스트(QA) 운영 HP Fortify SCA & Plug-in Edition 개발 소스 코드 보안 분석 HP Fortify SecurityScope Run Time Test 소스 코드 실행 영역 보안 분석 HP Webinspect Run Time Test 침투 테스트 (웹 스캐너) 분석결과 통합 HP Software Security Center Tool Integration Data Integration Correlation 진행 이력, 결과 확인 / 개발 평가, 측정 / 정책 수립, 반영 / 보안 관리 •보안/개발 관리자, 감리자(Fortify 360 협업, 감사 모듈) •보안 감리자 / 개발 관리자 -분석결과 확인 -개발자에게 취약점 할당 보안 / 개발관리자 -진행사항 확인 -리포트 확인 -중요 사항 발생 시 Alert 수신 프로세스 적용 방안 - 하이브리드 분석
  • 22. An HP Company 22 비교 항목 비교 항목 설명 하이브리드 분석 웹 스캐너 소스 코드 분석 분석 영역 애플리케이션 소스 코드, 바이너리, 실행 보안 분석 여부 소스 코드, 바이너리, URL URL 소스 코드 분석방식 애플리케이션 보안 분석 기법 소스 코드 분석, 바이너리 분석, 침투 테스트 침투 테스트 소스 코드 정적 분석 분석 결과 보안 분석 결과 통합, 연관 분석 소스 코드, 라인, URL URL 소스 코드, 라인 분석 커버리지 애플리케이션 전체에 대한 보안 분석 커버리지 소스 코드 100%, 바이너리70% 이상 바이너리 30% 이하 소스 코드 100% 정확성 보안 취약점 탐지 정확성 정확한탐지=과탐+미탐 미탐 과탐 애플리케이션 보안 분석 비교
  • 23. An HP Company Fortify SCA 적용사례 - 신규 개발 시 23 23 2012-10-05 보안 담당자 개발 관리자 취약성관리서버 http://host_ip:8180 개발서버 개발담당자 자체점검 쉘 수행 및 로그 확인 2 소스코드 분석 수행 3 분석 결과 등록 IDE Plug-In Eclipse, CLI 4 분석결과 확인, 다운로드 1 소스코드 Upload Java, Jsp 5 취약점 제거 6 시스템 전수 검사 중간 테스트 및 이관 전
  • 24. An HP Company HP Fortify SCA 적용사례 - 품질 프로세스 연동 취약성관리서버 http://host_ip:8180 개발서버 개발담당자 자체점검 2 소스코드 분석 수행 3 분석 결과 등록 IDE Plug-In Eclipse, CLI 4 분석결과 확인, 다운로드 1 소스코드 Upload Java, Jsp 5 취약점 제거 운영서버 프라미 스 이관 프로세스개발 프로세스 6 취약점 존재 유무 정보 취약점 존재 ? 7 소스코드 이관 Java, Jsp NO(이관) YES(반려)
  • 25. An HP Company No. 시장 사업 개요 구분 사업년도 발주처 비고 1 통신 Apps. Source code Audit 신규 2005.12 SK Telecom 2 금융 변경관리도구와 통합된 SDLC 프로세스에서 보안성 검토 신규 2006.1 국민은행 3 금융 기업 뱅킹 업무 재 구축 시 개발단계부터 보안성 검토 및 적용 신규 2006.4 SC 제일은행 4 금융 개발단계 부터 보안성 검토 신규 2006.8 하나은행 5 제조 In-house/out sourcing 애플리케이션에 대한 보안성 검토 신규 2006.8 삼성전자 6 금융 인터넷 뱅킹 보안성 검토 신규 2006.11 외환은행 7 통신 Apps. Source code Audit 확장 2006.11 SK Telecom 8 통신 In-house/out sourcing 애플리케이션에 대한 보안성 검토 확장 2006.12 삼성전자 9 제조 In-house/out sourcing 애플리케이션에 대한 보안성 검토 확장 2006.12 삼성전자 10 공공 E-commerce 보안개발 프로세스 구축 신규 2006.12 KTNET 11 금융 SC제일은행 뱅킹시스템 보안분석 확장 2007.10 SC제일은행 12 금융 농협 업무 보안개발 프로세스 구축 신규 2007.11 농협 차세대 13 교육 학내 APP 보안분석용 신규 2007.12 한남대학교 14 금융 사내 APP 보안 분석용 신규 2007.12 KOSCOM 15 SI 개발 프로젝트에 대한 보안성 검토 신규 2008.3 LG CNS 16 통신 사내 APP 보안 분석용 신규 2008.4 LG Telecom 17 운송 사내 APP 보안 분석용 신규 2008.6 대한항공 17 운송 사내 APP 보안 분석용 신규 2008.6 대한항공 18 제조 개발 프로젝트에 대한 보안성 검토(Global ERP) 확장 2008.6 삼성전자 19 통신 사내 APP 보안 분석용 신규 2008.6 삼성네트웍스 20 통신 사내 애플리케이션 보안성 검토(T-World) 확장 2008.6 SK Telecom 21 SI LGCNS 패밀리사이트 보안 분석 확장 2008.6 LG CNS 22 금융 차세대 인터넷 뱅킹 시스템 보안 분석용 확장 2008.6 KB 국민은행 차세대 23 서비스 웹 애플리케이션 보안 분석 신규 2008.9 Auction 24 금융 웹 업무 보안 분석용 신규 2008.10 신한은행
  • 26. An HP Company N o. 시장 사업 개요 구분 사업년도 발주처 비고 25 통신 Apps. Source code Audit 확장 2009.1 SK Telecom 26 금융 변경관리도구와 통합된 SDLC 프로세스에서 보안성 검토 신규 2009.2 기업은행 27 금융 애플리케이션 보안 검토 프로세스 확립 신규 2009.3 삼성화재 28 SI 개발 프로젝트에 대한 보안성 검토 신규 2009.3 삼성 SDS 29 SI 개발 프로젝트에 대한 보안성 검토 확장 2009.4 LG CNS 30 공공 보안 감사 신규 2009.5 지식경제부(우정금융) 31 공공 운영 애플리케이션에 대한 보안 검토 및 개선 신규 2009.6 철도공사 32 금융 애플리케이션 보안 검토 프로세스 확립 신규 2009.6 BC 카드 33 서비스 애플리케이션 보안 검토 프로세스 확립 신규 2009.6 SK Communications 34 공공 이용자중심 프로젝트 개발 및 대외 점검 신규 2009.6 KISA 35 금융 애플리케이션 보안 검토 프로세스 확립 신규 2009.7 삼성카드 36 금융 개발 전 단계 보안 취약점 점검 신규 2009.7 NH 카드 차세대 37 공공 개발 전 단계 보안 취약점 점검 신규 2009.8 건강보험심사평가원 38 공공 SI 사업에 대한 개발 보안 프로세스 확립(금융 정보 분석원) 신규 2009.9 금융위원회 39 공공 SI 사업에 대한 개발 보안 프로세스 확립(자동차 고도화 사 업) 신규 2009.9 국토해양부 40 금융 변경관리도구와 통합된 SDLC 프로세스에서 보안성 검토 신규 2009.10 신한카드 41 제조 운영 애플리케이션에 대한 보안 검토 및 개선 신규 2009.10 삼성물산 42 유통 애플리케이션 보안 검토 프로세스 확립 신규 2009.11 삼성TESCO 43 금융 운영 애플리케이션에 대한 보안 검토 및 개선 신규 2009.11 롯데카드 44 제조 운영 애플리케이션에 대한 보안 검토 및 개선 신규 2009.12 오토에버 45 금융 차세대 시스템 보안 분석 및 개선 신규 2009.12 현대해상 차세대
  • 27. An HP Company No. 시장 사업 개요 구분 사업년도 발주처 비고 46 금융 차세대시스템 개발 보안 강화 신규 2010.02 하나 SK카드 차세대 47 대학 학사운영 시스템 보안 강화 신규 2010.02 숙명여자대학교 48 제조 운영 애플리케이션에 대한 보안 검토 및 개선 신규 2010.03 삼성모바일디스플레이 49 제조 운영 애플리케이션에 대한 보안 검토 및 개선 확장 2010.03 삼성전자 50 SI 보안감사 연장 2010.03 삼성 SDS 51 공공 개발시스템 보안 강화 체계 구축 확장 2010.03 지식경제부(우정금융) 52 SI 보안감사 연장 2010.04 LG CNS 53 금융 개발 보안 강화 확장 2010.05 현대해상 54 금융 차세대 시스템 개발보안 강화 신규 2010.06 대구은행 차세대 55 금융 차세대 시스템 개발보안 강화 신규 2010.06 수협 차세대 56 금융 운영 애플리케이션에 대한 보안 검토 및 개선 신규 2010.09 ING 생명 57 공공 등기시스템 개발보안 강화 신규 2010.09 대법원 58 ISV 개발 애플리케이션에 대한 보안검증 신규 2010.09 이글루시큐리티 59 공공 운영 애플리케이션에 대한 보안 검토 및 개선 신규 2010.10 근로복지공단 60 공공 운영 애플리케이션에 대한 보안 검토 및 개선 신규 2010.10 특허청 61 공공 공공 보안시스템 보안검증 신규 2010.12 국가보안연구소 62 유통 사내 시스템 개발보안 강화 신규 2010.12 GS리테일 63 금융 운영 애플리케이션에 대한 보안 검토 및 개선 신규 2010.12 현대카드
  • 28. An HP Company No. 시장 사업 개요 구분 사업년도 발주처 비고 64 금융 웹애플리케이션 취약점 분석시스템 구축 신규 2011.01 신협 65 공공 애플리케이션 취약점 분석도구 도입 신규 2011.02 국민연금공단 66 금융 차세대 업무 보안 분석 시스템 구축 신규 2011.04 NH증권 67 금융 차세대 업무 보안 분석 시스템 구축 신규 2011.04 부산은행 68 SI 개발시스템 보안 강화 체계 구축 신규 2011.04 삼성SDS 69 SI PCI 컴플라이언스 프로젝트 신규 2011.05 SK C&C USA 70 금융 차세대시스템 구축 소스코드 보안 시스템 구축 신규 2011.06 메리츠화재보험 71 제조 소스코드 보안 분석시스템 구축 신규 2011.07 동부하이텍 72 교육 차세대시스템 취약점 분석 도구 도입 신규 2011.07 한양대학교 73 포털 웹애플리케이션 취약점 분석시스템 구축 신규 2011.08 NHN 74 금융 소스코드 취약점 분석 인프라 패키지 도입 신규 2011.10 삼성생명 75 제조 개발 소스 보안분석 시스템 구축 신규 2011.10 안철수연구소 76 통신 웹애플리케이션 취약점 분석시스템 구축 신규 2011.10 KT렌탈 77 유통 소스코드검증솔루션 구축사업 신규 2011. 11 현대백화점 78 금융 소스코드 취약성 점검 툴 도입 신규 2011. 12 KB국민카드 79 공공 정보시스템 소스코드 보안취약점 분석도구 구매 추가 2011. 12 KISA 80 유통 차세대 시스템 개발 소스코드 보안분석 도구 구매 신규 2011. 12 현대그린푸드 81 금융 정적 보안분석 솔루션 도입 신규 2011. 12 KB생명
  • 29. An HP Company No. 시장 사업 개요 구분 사업년도 발주처 비고 82 금융 보안분석 솔루션 확장 도입 추가 2011. 05 NH농협증권 83 금융 차세대 개발업무 보안 검토 도구 구매 추가 2011. 05 ING생명 84 SI 개발 프로젝트 보안코딩 점검도구 시범도입 추가 2011. 05 삼성SDS
  • 30. An HP Company No. 시장 사업 개요 발주처 적용 솔루션명 1 공공 대법원 등기시스템,사법시스템 보안 분석 대법원 FortifySCA 2 공공 교육행정정보시스템(NEIS) 보안 검증 교육인적자원부 FortifySCA 3 공공 건설교통부 보안 컨설팅 건설교통부 FortifySCA 4 금융 비씨카드 보안 컨설팅 비씨카드 FortifySCA 5 금융 대구은행 보안 컨설팅 대구은행 FortifySCA 6 제조 POSCO 보안 컨설팅 포스데이타 FortifySCA 7 금융 미래에셋생명 보안 컨설팅 미래에셋생명 FortifySCA 8 공공 지식경제부 체신금융 고도화 프로젝트 지식경제부 FortifySCA 9 공공 형사 사법 통합 2단계 프로젝트 법무부 FortifySCA 10 공공 육군 탄약정보 시스템 프로젝트 육군 FortifySCA ※ 이외 50여 곳 이상의 컨설팅 수행 Customers(서비스) 30
  • 31. An HP Company Customers(World-wide) 31 E-Commerce Banking & Finance Telecom Government Infrastructure Healthcare Other
  • 32. An HP Company Thank You! 서울시 송파구 가락동 91-14 국토빌딩 TEL: 02-558-2997 부장 서태진 010-4444-3650