Fortify S oftware - Application 보안

1. Fortify Software - Application 보안 2008. 02.

2. I. Fortify Software 소개 목 차 CONTENTS • 애플리케이션 보안 • 예방방안 • 유형 비교 • 요구사항 • 보안 동향 • 주요 취약점 • Fortify Software • 분석 로직 • 운영방안 • 적용사례 • 국내 레퍼런스 • 해외 레퍼런스

3. I. Fortify Software 소개 애플리케이션 해킹 – 기존 보안의 한계 ■ HTTP(S) 트래픽은 합법적으로 간주 /cgi-bin/phf /cgi-bin/printenv Web app IDS DB 웹 브라우져 Web Server Web app Web Client Web app DB Firewall * SQL Injection ID:Admin PWD: ‘ or 1=1 -- Web app Hacker 데이터베이스 방화벽 웹 서버 웹 어플리케이션 Telnet, FTP, NETBIOS, RPC…

4. I. Fortify Software 소개 애플리케이션 취약점을 이용한 사고 사례 ■ 최근 애플리케이션 취약점을 이용한 웹 해킹사고가 대형 포털 및 공공기관 등의 전 분야에 걸쳐 발생하고 있음

5. I. Fortify Software 소개 애플리케이션 취약점을 이용한 공격 “Now is the time for security at Application Level”, Dec. 2005, Gartner

6. I. Fortify Software 소개 애플리케이션 보안 특징 및 현실 • 개발자 • 개발자 참여 필요  취약점 조치는 개발자가 수행해야 함 • 기능성, 가용성, 편의성이 개발자들의 주된 목표, 또한 프로젝트 기간 내에 코딩을 완료해야 함 • 현실적으로 보안을 고려하여 코딩 할 수 있는 개발자 부재 • “보안 코딩 가이드”는 있으나 준수 한계  코딩단계부터 적용 가능한 보안 방안 부재 • 보안 관리자 / IT관리자 • 애플리케이션 상세 이해 한계 • 보안 코딩 가이드 준수 여부에 대한 검증 장치 혹은 프로세스 미비(매뉴얼 리뷰, 컨설팅) • 외주 개발 애플리케이션에 대한 보안 검증 장치 부재(개발사 몫?) • 국제규정 및 감독기관, 외부 규정을 준수하는 개발보안 필요 • 운영자 • 네트워크, 시스템 및 애플리케이션의 가용성 유지해야 함 • 애플리케이션에 대한 상세 이해 부족 • 운영단계에서 애플리케이션 취약점 조치 어려움 - 현실적으로 전수검사 불가능 개발 라이프 사이클(SDL)내의 보안 방안 부재 업무별 적정 프로세스 및 솔루션 부재

7. 주요 기능 및 특징 Public Web Server Web F/W HTTP Request Firewall Switch Web Application Attacker Internet Database 패킷 수집 및 분석 Intranet Web Server 서비스 통과 Manager 경보 ATTACKS DBMS 관리자 Console SQL Slammer Code Red Nimda Forceful SQL injection Site : I. Fortify Software 소개 예방방안 – 웹 방화벽 ■ 웹 방화벽 솔루션은 웹 프로그래밍 오류 및 자동화 공격 툴을 이용한 웹 해킹 탐지 및 차단 수행 서비스 구성

8. 주요 기능 및 특징 I. Fortify Software 소개 예방방안 – 웹 스캐너 ■ 전문 엔진을 사용하여 웹 애플리케이션 및 웹 서버 모의 공격 테스트 후 취약점 도출 서비스 구성 Public Web Server Firewall Switch Internet Web Application Database Penn Test (외부망) Intranet Web Server Penn Test (내부망) 관리자 Console

9. 주요 기능 및 특징 코드 I. Fortify Software 소개 예방방안 – 소스코드 분석 ■ 애플리케이션 소스코드에 대해 전문 엔진을 사용하여 분석 후 취약점 도출 서비스 구성 개발팀 보안결함 경영층 개발1팀 개발관리자 Build Server 보안분석 보안팀 CISO, CSO, CTO, CIO 개발자/테스터 IDE Plug-ins 보안 관리자 보안정책 개발2팀 코드 보안 관리 소스코드 분석 보안 분석 정책편집 CCO, CSO 보안정책 레포트 전사보안정책 개발3팀 외주개발

10. I. Fortify Software 소개 애플리케이션 보안 유형 비교

11. I. Fortify Software 소개 애플리케이션 보안 요구사항 ○ 개발 단계 별 보안 요구사항 소프트웨어 개발 라이프 사이클 단계인 “계획코딩테스트운영” 단계의 모든 단계 별로 보안성 검토 프로세스를 추가 도입 한다. 기존 애플리케이션 개발 방법에 따른 보안상의 취약점 발생을 사전에 방지하고, 향후 도출된 취약점 개선을 용이하게 한다. 개발 프로세스 솔루션 유형 단계 별 필요사항 계획 • 보안성 검토 프로세스 • 개발 보안 지침 • “APPs 개발자 보안 지침 가이드” 교육 • SDLC 단계 별 보안성 검토 프로세스 개선 설계 • 소스코드 취약점 분석 • 소스코드 취약점 분석 • 취약점 감사 • 취약점 개선 코딩 • 웹 스캐너 • 소스코드 취약점 분석 • 애플리케이션 취약점 분석 • 취약점 감사 • 취약점 개선 테스트 • 애플리케이션 방화벽 • 웹 스캐너 • 소스코드 취약점 분석 • 모의해킹 • 애플리케이션 변화관리 보안성 감사 • 신규 보안 취약점 감사 • 주기적인 보안 취약점 감사 • 애플리케이션 방어 운영

12. I. Fortify Software 소개 애플리케이션 보안 동향 – 개발과정 보안 ○ 애플리케이션 보안 동향 • 애플리케이션 개발 라이프사이클 단계별 보안요소가 고려 되어야 함 • 개발 후 개발 혹은 QA 단계에서 취약점을 조치한다면 구축 후 취약점을 조치하는 것보다 20배 의 비용 절감 효과 “Integrate security best practice and tools into software dev lifecycle”, Feb. 2006

13. I. Fortify Software 소개 애플리케이션 주요 취약점(예) ※위 목록상의 취약점 외에 백 여종 이상의 애플리케이션 취약점이 존재하며 취약점의 대부분이 애플리케이션 소스 변경에 의해 조치되어야 함 ※애플리케이션 취약점들은 개발단계 부터 디버깅 관점으로 관리되어야 함 (개발자 업무의 70%가 디버깅 업무)

14. I. Fortify Software 소개 애플리케이션 주요 취약점(예)-계속

15. FPR I. Fortify Software 소개 SDL 내의 Fortify Software 포지셔닝 Fortify ManagerCentral reporting and management of software security across the enterprise Fortify SCA Fortify SCA Dev Proactive security with targeted, accurate analysis tuned for low false positives Security Ops Team Management Fortify Defender Monitors and measures web applications in production Developers Fortify SCA Analyzes code comprehensively and accurately Security Testers Fortify TracerMakes every black box security test measurable and actionable Build Server Security Leads / Auditors

16. I. Fortify Software 소개 SDL 내의 Fortify Software 포지셔닝 ○ Fortify Source Code Analysis Suite • 개발단계부터 보안 취약점 발견 및 조치를 통한 “안전한 애플리케이션 개발” • SDLC 프로세스와 연동되어 “보안 검토 프로세스”로 사용 • 지원대상 : JAVA, JSP, .NET, C, C++, C#, PL/SQL 및 환경(Apache, J2EE, EJB, ASP.NET, Weblogic등) • 개발자 관점 (소스파일,라인,함수)의 개선 보고서 제공으로 애플리케이션 취약점 수정 용이 • IDE Plug-ins (VS.net, Eclipse, Jbuilder, WASD) 지원 ○ Fortify Tracer • 애플리케이션 보안 테스트 • 애플리케이션 QA 테스트시 보안 검증 ○ Fortify Defender • Application Firewall • “Hardened Software”방식(세계최초) • Monitoring mode 및 defense mode 지원 ○ Fortify Manager • 웹 기반의 애플리케이션 보안현황 관리(리포트, 이력관리, 룰 관리 및 update, 사용자관리)

17. I. Fortify Software 소개 Fortify Source Code Analysis 점검 프로세스 소스 파일 (Java, JSP, C/C++, C#, XML, .NET PLSQL) 개발자 Audit Workbench (취약점 감사) 보안관리자 Fortify Source Code Analysis (Data Flow, Control Flow, Semantic, Configuration, X-Tier Tracking) 관리자 취약점 이슈 Security manager (애플리케이션 보안관리) Custom Rules Corporate Coding Standards Coding Libraries Custom interfaces Application Specific Fortify Rules Builder Session-ID Length Entity Bean Configuration Information Leakage Log Forging Integer Overflow EJB Resource Permission Struts Form Field Validation Double Memory Free Null Pointer Dereference Directory Restriction Buffer Overflows SQL Injection Cross-Site Scripting Access Control Process Control No Null Termination Setting Manipulation Resource Injection Passwords in Config Files Unreleased Resource Format String Issues Privacy Violations Native Callout Unsafe Memory Operation Unchecked Return Value Always Unsafe Functions Race Conditions Uninitialized Variable 3rd Party Library / Framework Specific Fortify Secure Coding Rules Core Language Vulnerabilities

18. I. Fortify Software 소개 분석 로직 – 취약점 탐색 프로세스·데이터의 흐름을 따라 취약성을 찾습니다

19. 취약점 내역 소스코드 I. Fortify Software 소개 운영방안(1) - 보안 감사 프로세스 ○ 운영형태 - 애플리케이션 보안 관리자가 사용 주체가 되어 소스 취합 후 취약점 점검 및 테스트 - 특정 프로젝트 혹은 특정 업무에 대한 보안 취약점 점검 - 개발중 혹은 개발 완료된 애플리케이션에 대한 취약점 점검 - 개발자는 점검 결과를 확인하여 취약 소스 변경 ○ 장/단점 - 대량의 애플리케이션에 대한 전수 검사 가능 - 외주 개발 소스에 대한 보안성 검토 - 보안이 고려되지 않은 상태로 개발이 진행 후 소스코드를 취합, 검토 하므로 다량의 취약점이 발견되며 제거를 위한 별도의 시간 및 인력투여 필요 ○ 도식 취약점 탐색 취약점 검토 3rd party IDE Microsoft, Borland, Eclipse, IBM, etc, 소스코드 수 정 개발자 보안관리자

20. 보안 현황 / 리포팅 소스코드 I. Fortify Software 소개 운영방안(2) – 보안 점검 프로세스 ○ 운영형태 • - 개발자 : 개발환경에 IDE Plug-in을 설치하여, 개발중인 소스코드의 취약점을 수시로 탐색 및 취약점 제거 • - 보안 관리자 : • - 보안이 고려되어 개발된 소스코드를 취합하여 전수검사 수행 • - 중앙 관리 도구를 이용하여 보안현황 및 취약점 관리 • - Security Test • - 프로젝트 관리자 : 중앙 관리도구를 이용하여 업무별/애플리케이션의 취약점 변화 관리 ○ 장/단점 - 보안 개발 프로세스 확립으로 보안이 고려된 애플리케이션 개발 가능 - 보안취약점을 제거하기 위한 별도의 추가적인 절차 불필요 - 특정 개발 도구를 사용하여야 함 ○ 도식 취약점 검토결과 프로젝트 조회/관리 보안 현황 검토 / 관리 취약점 탐색 소스코드 수 정 3rd party IDE Microsoft, Borland, Eclipse, IBM, etc, 개발자 Security Manager 보안관리자 / 프로젝트 관리자

21. I. Fortify Software 소개 운영방안(3) – 보안점검 프로세스 ○ 운영형태 • - 개발자 : 개발 프로세스(변경관리 도구)와 연동되어 소스코드의 보안 취약점 확인 및 제거 • - 개발 관리자 or 보안 관리자 : • - 개발자에 의해 보안 취약점이 검토/제거된 소스 코드에 대해 결과 검토 후 승인 • - 중앙 관리 도구를 이용하여 애플리케이션 보안 취약점 현황 관리 • - Security Test ○ 장/단점 - 자동화된 보안 개발 프로세스 확립 - 보안취약점을 제거하기 위한 별도의 추가적인 절차 불필요 - 기 사용중인 변경관리 도구와의 연동 필요 ○ 도식 변경관리 프로세스 소스코드 수정/개발 취약점 탐 색 결재 요청 (취약점 제거결과 첨부) 보안성 검 토 결재 Whitebox Test 배포 소스코드 수 정 개발자 보안관리자 / 개발 관리자

22. I. Fortify Software 소개 적용사례(H은행)-추진과제 및 프로젝트 범위 프로젝트 구축범위 추진 과제 취약성 분석 웹 프로그램 개발시의 가이드라인 및 지침 수립 소스코드 분석 개발툴(개발자) eclipse 전수시스템 (정기 전수검사) Web Interface 보안 현황 관리 개발 가이드 개발환경 예외 처리 Fortify SCA 보안 정책 Security Knowledge History Report User Management Executive Summary 웹 프로그램의 개발/변경 시에 대한 상시 취약점 점검체계 구축 (형상관리와 연동) 형상관리 연동 Security Alert Security Policy 소스코드 (JAVA,JSP) 설정파일 Aurora(형상관리) 예외 처리 Fortify SCA 보안 정책 Security Knowledge Web 운영환경 모의해킹 시스템 기 운영중인 웹 프로그램에 대한 취약점 진단 및 조치 Fortify Tester Security Knowledge Report 운영시스템

23. I. Fortify Software 소개 적용사례(H은행)-프로젝트 일정 및 내역 • 추진 목표 및 내역에 대한 사전 전략 수립을 통한 성공적인 프로젝트 수행 2007/1 2006/8 2006/10 2006/11 2006/12 상시 취약점 점검 체계 구축 전략 수립 운영 APP 보안점검 수행 인터넷 뱅킹 애플리케이션 취약점 상시 점검 체계 구축 웹 어플리케이션 개발보안 추진 과제 도출(3개) 인터넷 뱅킹 애플리케이션에 대한 정기 전수검사 / 형상관리 연동 점검 / 개발시 상시 점검 시스템 구축 애플리케이션 상시 보안 점검체계 구현 운영 중인 인터넷 뱅킹 시스템에 대한 보안점검 및 주요 취약점 점검 웹 프로그램 개발시의 가이드라인 및 지침 수립 현황 분석 시스템 구축 테스트 이행 설계 형상관리(Aurora) 연동 웹 프로그램의 개발/ 변경 시에 대한 상시 취약점 점검체계 구축 점검 룰 최적화 정기 전수 시스템 구축 개발자 환경구축 개발 보안교육 모의해킹 시스템 구축 기 운영중인 웹 프로그램에 대한 취약점 진단 및 조치 개발 지침 및 가이드라인 수립 인터넷 뱅킹 시스템 전수 검사 및 중요 취약점 조치

24. 실행 테스트 2 자체 보안테스트 실시 1 변경된 소스 프로그램 취약점 진단 3 결재 의뢰 (Java) Java 정상시 운영 시스템 반영 5 I. Fortify Software 소개 적용사례(H은행)-구축 현황 • 형상관리 시스템과 연동된 상시 보안 점검 체제 구축 • 애플리케이션에 소스코드에 대한 상시 보안 점검 및 통제를 위하여, 당행 운영중인 형상관리 시스템(Aurora)과 연동하여 소스 프로그램 변경 시 자동화된 보안 검사 실시 • 개발툴(eclipse)에 보안점검 모듈 장착하여 개발자에 의한 상시 보안 점검 수행 • 일관된 보안 정책에 의한 애플리케이션 보안 수준 유지 어플리케이션 개발 서버 개발자 Eclipse 연동 Analysis Engine 컴파일 및 테스트 global data flow semantic control flow configuration 분석결과 형상관리 서버 취약점 존재시 소스 반려 4 Analysis Engine 보안 관리자 global data flow semantic control flow configuration Compile 및 보안진단 보안정책 설정(사전) 어플리케이션 운영 서버

25. Analysis Engine Analysis Engine global data flow global data flow semantic semantic control flow control flow configuration configuration 취약점 점검(웹 스캐닝) 정기 전수검사 (일일) 자체 보안테스트 실시 형상관리와 연동된 소스점검 1 3 8 2 모의공격 테스트 Security Testing System Attack and Analysis Engine Java JSP Configuration Java JSP Configuration I. Fortify Software 소개 적용사례(H은행)-구축 현황 • 전수 점검 및 모의해킹 진단 체제 구축 • 운영중인 소스코드에 대한 주기적인(일간) 전수 검사 실시하여 프로그램간 연동 취약점 검사 • 운영시스템에 대한 정기 취약점 점검(웹 스캐닝)을 실시하여 외부에서의 취약점 검사 • 운영시스템에 대한 주기적이고 체계적인 취약점 관리 체제 구축 운영 서버 개발자 Eclipse 연동 전수검사 결과 검토 및 조치 7 Manager 서버 레포트 열람 결과 협의 및 통지 6 보안정책 설정 보안 관리자 4 전수결과, 레포트 분석결과 4 웹 취약점 진단 시스템 웹 서버 진단 결과 5 9

26. 소스코드 I. Fortify Software 소개 적용사례(H은행)-구축 현황 • 애플리케이션 개발 시 보안 프로세스 확립 • 어플리케이션 개발팀에 의한 취약점 자체 점검 체계 및 보안 의식 강화 • 자동화 된 시스템 및 체제 구축으로 애플리케이션 보안 현황 및 관리 용이 • 정형화 된 진단방법의 구성으로 효율적인 상시 보안 점검 체계 확보 개발팀 경영진 Security Defects CISO, CSO, CTO, CIO 개발팀 1 개발리더 자체 보안성 검토 보안팀 개발자/QA 개발툴 플러그인 보안 관리자 정책 가이드라인 보안점검 시스템(형상관리/전수진단) 보안 관리 시스템(Manager) 취약점점검시스템(웹 스캐너) 보고서 개발팀 2 소스코드 점검결과 운영팀 개발팀 3 시스템 운영자 외주개발

27. I. Fortify Software 소개 적용사례(S전자) ○ 적용 전 보안검토 프로세스 코딩 소스코드 보안성 검토 취약점 N Y 취약점 조치 개선요청 운영 시스템 반영 종료

28. I. Fortify Software 소개 적용사례(S전자) ○ 적용 후 보안검토 프로세스 코딩 소스코드 보안성 검토 보안성 검토 취약점 N 취약점 Y N Y Y 취약점 조치 개선요청 운영 시스템 반영 종료

29. I. Fortify Software 소개 국내 레퍼런스(솔루션)

30. I. Fortify Software 소개 국내 레퍼런스(컨설팅)

31. Banking & Finance Infrastructure Telecom Other Government E-Commerce Healthcare I. Fortify Software 소개 Major Customer Deployments

32. I. Fortify Software 소개 Awards • 2007 Editor’s Choice: Network Computing product review • 2007 SC Magazine Reader Trust Award - Best Security Software Solution • 2007 Financial IT Security Future Now List - 25 Best Innovations • 2007 CMP Media Dr. Dobb’s Jolt Award for Product Excellence - Security • InfoWorld: 15 Tech Startups to Watch • 2006 CMP Media Dr. Dobb’s Jolt Award for Productivity - Security • 2006 SD Times 100 Winner • E-Commerce Times Product Review: 10 Security Software Stars • 2006 InfoWorld Technology of The Year Award • 2006 IBD Network’s Innovation Award • 2006 Sand Hill Group Top 20 Privately Held Pioneer at Software • 2005 CMP Media Dr. Dobb’s Jolt Aware for Product Excellence • 2005 SD Times 100 Winner • Finalist: Red Herring Top 100 Private Companies in N. America • 2005 Computerworld Honors Laureate Award • Fortify Named ‘The Next Big Thing’ at Enterprise 2005 • 2005 RSA Innovation Station Runner Up • 2005 InfoWorld Technology Of The Year: Best Security Analysis Tool • 2005 IBD Under the Radar Innovation Award for the Datacenter Category

33. II. 회사 소개 목 차 CONTENTS • 회사 개요 • 주요 연혁 • 조직도 • 사업분야 • 주요실적 • 특장점

34. 주요 협력사 주요 협력사 III. 회사 소개 1. 회사개요 회사명 회사명 주식회사 이씨큐밸리 (eSecuValiCORPORATION) 설립일 설립일 2007년 6월 7일 사업분야 사업분야 컴퓨터, 소프트웨어 개발 및 공급 사업장 사업장 서울시 금천구 가산동 60-11 스타밸리 503호 자본금 자본금 1억2천만원 119-81-99674 사업자번호 사업자번호

35. 2008 두산그룹 DB암호화(DataSecure) 구축 수주 2008. 01 분당서울대학교병원 보안시스템 구축 프로젝트 수주 한국소방검정공사 전자세금계약서/전자계약서 시스템 구축 수주 BC카드, 도시철도공사 서버보안 유지보수 계약 대검찰청 보안시스템 및 네트워크 고도화 사업 수주 DataSecure(DB암호화) 국내 리셀러 계약 대검찰청, 교보생명, 농심 보안시스템 유지보수 계약 BioPassword(개인정보보호), Untangle(UTM) 국내 총판 계약 그린화재해상보험, 하이리빙, 에이스테크놀러지 보안시스템 유지보수 계약 회사 설립 (이씨큐밸리 eSecuVali Corp.) – 전사 사업부서 및 유지보수 이동 eSecuUTM(통합보안) 개발 및 상표등록 2007. 12 2007. 09. 2007. 08. 2007. 07. 2007. 06. 2007 III. 회사 소개 2. 주요 연혁 eSecuVali Corp.는 방화벽 및 UTM 개발 경험을 보유한 보안솔루션 전문업체로 2000년부터 관련 분야에서 함께 노하우를 축적한 인력을 보유하고 있으며, 최고의 보안 Solution을 고객에게 제공하는 기업입니다.

36. eSecuVali Corp. 경영지원부 솔루션사업부 기술연구소 인사/총무 개발팀 영업팀 기술팀 • 신제품개발 • UTM • eSecuDC • 보안 컨설팅 • DB보안 • DB 취약점 분석 • 세션 로깅 • 서버 보안 • UTM • BioPassword • APP 취약점 분석 • 자산 지킴이 • 보안 컨설팅 • DB보안 • 서버 Audit • 서버 보안 • UTM • BioPassword • 기술지원 • 유지보수 • 인사/총무 • 회계 / 재무 III. 회사 소개 3. 조직도 이씨큐밸리의 조직은 기술연구소, 경영지원부, 솔루션사업부로 구성되어 있으며, 국내 최고 수준의 IT 인력 및 Security 전문기술을 보유하고 있습니다.

37. (주)이씨큐밸리 주요추진사업 Solution Service Security • Network - eSecuUTM - Untangle(UTM) • System - eSecuDC - eTrust AC(서버보안) - GateOne(세션로깅) • Application - BioPassword - DB 보안 - DB취약점 분석 - App 취약점 분석 • 보안 SI • DB 취약점 분석 • 보안통합유지보수 • 전자세금계산서 • 전자계약시스템 • 전자입찰시스템 • 자산관리 시스템 • eSecuDC • 신제품 개발 • 정보보호컨설팅 • A/S is -> To be 모델 제시 III. 회사 소개 4. 사업분야 이씨큐밸리는 현재 각 분야별 전문가를 보유하고 있으며, 주요 사업분야는 Security Consulting사업, 보안 SI Service, 보안 Solution 사업등 세 부분으로 구분됩니다.

38. III. 회사 소개 5. 주요실적(Solution)

39. III. 회사 소개 5. 주요실적(Solution)

40. III. 회사 소개 5. 주요실적(Service)

41. III. 회사 소개 5. 주요실적(Service)

42. III. 회사 소개 6. 특장점 eSecuVali는Electronic, Security, Validation의 합성어로 정보보호 솔루션 및 서비스를 고객에게 제공하여 보안의 3요소인 기밀성, 무결성, 가용성의 완벽한 조화를 추구하는 e-Security 전문 기업입니다. Solution Network: eSecuUTM/ Untangle(UTM) System: eSecuDC / eTrust AC/ GateOne Application: BioPassword / DB 보안/ DB취약점분석 Application취약점분석 Security 정보보호 컨설팅/보안 시스템 구성 기획 AS IS ⇒ TO BE 방향 제시 Service 보안 SI 보안 통합 유지보수 DataBase 취약점 분석 eSecuDC

43. eSecuVali Corp. 153-777, 서울 금천구 가산동 60-11 스타밸리 503호 TEL:02-2027-1090 / FAX:02-2027-1095