차이
문서의 선택한 두 판 사이의 차이를 보여줍니다.
양쪽 이전 판이전 판 | 다음 판양쪽 다음 판 | ||
wiki_security_corp:a기업_apt취약점_점검_컨설팅_사례 [2014/09/02 09:04] – wiki1122 | wiki_security_corp:a기업_apt취약점_점검_컨설팅_사례 [2015/03/17 04:43] – wiki1122 | ||
---|---|---|---|
줄 6: | 줄 6: | ||
==== [ 배경 및 주제 ]==== | ==== [ 배경 및 주제 ]==== | ||
- | - Global 기업인 A사는 다수의 정보시스템을 운영하고 있으며, 정보통신망법상의 법적규제를 준수해야 하는 기업이기 때문에 매년 정기적 취약점 진단과 모의해킹을 전문업체에게 의뢰하여 운영하고 있다. \\ | + | - Global 기업인 A사는 다수의 정보시스템을 운영하고 있으며, 정보통신망법상의 법적규제를 준수해야 하는 기업이기 때문에 매년 정기적 취약점 진단과 모의해킹을 전문업체에게 의뢰하고 있다. \\ |
- | - A기업의 연간 모의해킹 진단을 의뢰받아 수행과정에서 APT공격에 대한 사회적 이슈가 커지면서 APT대응 전용솔루션이 도입되어 있지 않은 A사로써는 | + | - A기업의 연간 모의해킹 진단을 의뢰받아 수행하는 |
- | - 당사의 협력사와 협의하여 APT대응 전용솔루션을 단기간 임대하여 전사적 시스템을 대상으로 솔루션에서 탐지되는 APT공격을 분석하여 조치방안을 협의하였다. \\ | + | - A기업은 |
- A기업의 전사 네트워크상의 단말 노드를 대상으로 APT 취약 현황을 점검 및 조치방안 수립 | - A기업의 전사 네트워크상의 단말 노드를 대상으로 APT 취약 현황을 점검 및 조치방안 수립 | ||
- 어떤 APT대응 전용솔루션의 경우 너무 많은 탐지정보를 알려주기 때문에 실질적인 대응이 곤란해지는 과탐지 또는 오탐지의 문제점도 있기 때문에 대응에 적합한 전용솔루션을 활용함으로써 실질적인 효과를 얻을 수 있도록 하였다. \\ | - 어떤 APT대응 전용솔루션의 경우 너무 많은 탐지정보를 알려주기 때문에 실질적인 대응이 곤란해지는 과탐지 또는 오탐지의 문제점도 있기 때문에 대응에 적합한 전용솔루션을 활용함으로써 실질적인 효과를 얻을 수 있도록 하였다. \\ | ||
줄 18: | 줄 18: | ||
==== [ IT 및 정보보안 환경 ]==== | ==== [ IT 및 정보보안 환경 ]==== | ||
* 비즈니스 및 IT 환경 | * 비즈니스 및 IT 환경 | ||
- | - 고객사는 전국으로 분산되어 있는 조직구성으로 제조, 정유, 물류, B2C, B2B 등 다양한 업무를 수행하고 있어서 일괄적인 IT정책 및 보안정책을 적용하기 어려운 환경이다. \\ | + | - 고객사는 전국으로 분산되어 있는 조직으로 제조, 정유, 물류, B2C, B2B 등 다양한 업무를 수행하고 있어서 일괄적인 IT정책 및 보안정책을 적용하기 어려운 환경이다. \\ |
- 고객사의 네트워크 환경은 전국망을 운영하고 있으며, 본부의 백본스위치를 경우하여 인터넷을 접속하는 네트워크 구조로 구성되어 있다. \\ | - 고객사의 네트워크 환경은 전국망을 운영하고 있으며, 본부의 백본스위치를 경우하여 인터넷을 접속하는 네트워크 구조로 구성되어 있다. \\ | ||
* 정보보호 환경 | * 정보보호 환경 | ||
- | - 전국적으로 분산된 A고객사는 | + | - 전국적으로 분산된 A기업은 |
- 각 PC 등의 단말기에는 바이러스 백신을 의무 설치하는 정책을 운영하고 있으며 네트워크상의 바이러스월을 운영하여 네트워크와 PC단말기상에서 바이러스 등의 악성코드에 대응하고 있으나 바이러스백신이 탐지하지 못하는 Zero-day공격 등에는 실질적인 대응이 이뤄지지 못하고 있다. \\ | - 각 PC 등의 단말기에는 바이러스 백신을 의무 설치하는 정책을 운영하고 있으며 네트워크상의 바이러스월을 운영하여 네트워크와 PC단말기상에서 바이러스 등의 악성코드에 대응하고 있으나 바이러스백신이 탐지하지 못하는 Zero-day공격 등에는 실질적인 대응이 이뤄지지 못하고 있다. \\ | ||
- 또한, 전국망으로 내/외부 업무 서비스를 제공하고 있으나 망분리가 구축되어 있지 않기 때문에 본사의 보안통제의 사각지대에 있는 조직에서 악성코드가 감염되어 전국망에 확산될 경우 심각한 위험에 놓일 수 밖에 없는 구성으로 되어 있다. | - 또한, 전국망으로 내/외부 업무 서비스를 제공하고 있으나 망분리가 구축되어 있지 않기 때문에 본사의 보안통제의 사각지대에 있는 조직에서 악성코드가 감염되어 전국망에 확산될 경우 심각한 위험에 놓일 수 밖에 없는 구성으로 되어 있다. | ||
==== [ 주요 수행 내용 ]==== | ==== [ 주요 수행 내용 ]==== | ||
- | - A고객사의 현황에 적합한 APT대응 전용솔루션을 임대하여 고객사 네트워크 구성괴 회선속도를 고려하여 본부의 백본스위치에 TAP으로 설치하였다. \\ | + | - A고객사의 현황에 적합한 APT대응 전용솔루션을 임대하여 고객사 네트워크 구성과 회선속도를 고려하여 본부의 백본스위치에 TAP으로 설치하였다. \\ |
- APT대응 전용솔루션은 백본 네트워크에 위치하여 3주간의 In/Out 패킷을 모두 수집하여 내부 엔진에서 제공하는 탐지기준에 따라 운영했다. \\ | - APT대응 전용솔루션은 백본 네트워크에 위치하여 3주간의 In/Out 패킷을 모두 수집하여 내부 엔진에서 제공하는 탐지기준에 따라 운영했다. \\ | ||
- In/Out 패킷들에서 외부 C& | - In/Out 패킷들에서 외부 C& | ||
줄 35: | 줄 35: | ||
==== [ 프로젝트 CSF ]==== | ==== [ 프로젝트 CSF ]==== | ||
- | * 다양한 형태의 APT공격에 대한 오탐지 또는 과탐지를 배제한 정확도가 높은 APT대응 전용 솔루선의 선정 | + | * 다양한 형태의 APT공격에 대한 오탐지 또는 과탐지를 배제한 정확도가 높은 APT대응 전용 솔루션의 선정 |
* 자동화된 솔루션의 한계를 극복하여 실질적이고 정확한 APT취약성 현황을 제공하기 위하여 전문 엔지니어가 솔루션의 결과물을 분석 | * 자동화된 솔루션의 한계를 극복하여 실질적이고 정확한 APT취약성 현황을 제공하기 위하여 전문 엔지니어가 솔루션의 결과물을 분석 | ||
* 필요시 연 2회(상, 하반기)에 걸친 반복적인 수행과 대응 | * 필요시 연 2회(상, 하반기)에 걸친 반복적인 수행과 대응 |