1 / 58

온라인 사업에 영향을 주는 애플리케이션 보안과 규제 준수의 검증 방안

온라인 사업에 영향을 주는 애플리케이션 보안과 규제 준수의 검증 방안.

weston
Download Presentation

온라인 사업에 영향을 주는 애플리케이션 보안과 규제 준수의 검증 방안

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 온라인 사업에 영향을 주는 애플리케이션 보안과 규제 준수의 검증 방안

  2. “약 1억 명의 미국인들이 보안 문제로 피해를 받고 있다는 것을 통보 받았고, 이런 문제가 대중적으로 확산된 단계가 되었습니다.Approximately 100 million Americans have been informed that they have suffered a security breach so this problem has reached epidemic proportions.” Jon Oltsik – Enterprise Strategy Group “2만 천명에 이르는 대출 사용자 정보가 노출되어졌을 수 있습니다.Up to 21,000 loan clients may have had data exposed” Marcella Bombardieri, Globe Staff/August 24, 2006 “정부에 따르면, 2백2십만에 이르는 현역 장병들의 개인정보가 도난 당했다고…Personal information stolen from 2.2 million active-duty members of the military, the government said…” New York Times/June 7, 2006 “해커가 2만6천여 직원의 개인을 증명할 수 있는 정보를 훔쳤을 수 있다고…Hacker may have stolen personal identifiable information for 26,000 employees..” ComputerWorld, June 22, 2006 소개: 위급한 현실

  3. 시장 분석 - IDC

  4. 1 문제 처리의 저해요소가 된 보안팀 –과중한 업무부하 2 관리와 시정의 결여 3 전체주기에서 늦게 이루어지는 문제점 확인 4 감시되지 않는 배포된 애플리케이션 5 관리에 어려움이 있는 서드파티 제조사 및 제품 문제의 선 발견을 저해하는 광대한 애플리케이션

  5. 항목 • 웹 애플리케이션 보안이 요구되는 이유 • 워치파이어 소개 • 웹 애플리케이션 보안 • 워치파이어 AppScan 솔루션 • AppScan의 지원 범위 • Rational-워치파이어 제품 통합(Product Integration)

  6. 워치파이어 소개

  7. 워치파이어는: Just released – Gartner 선정 2006 애플리케이션 보안 시장 선도 기업 애플리케이션 보안 및 규정이행 검증 소프트웨어와 서비스 제공업체 800여 개 이상의 기업이 신뢰하는 워치파이어 배경: 1996년 설립, 190명의 직원, 메사추세츠, 보스턴에 본사를 둠 최초로 애플리케이션 보안 검사 제품을 제조함 제품군: 애플리케이션 보안 솔루션 - AppScan 개인정보 및 규정이행 솔루션 - WebXM 워치파이어 개요 #1 in Market Share for Application Security – Gartner & IDC Best Security Company

  8. Veteran’s Affairs Army Navy Marines 워치파이어를 신뢰하는 1,000 기업들 미국 내 10대 대형은행 중 9개 은행 상위 10개 기술 브랜드 중 8개 브랜드 상위 10대 제약/임상 기업 중 7개 기업 다수의 대형 정부 기관 Air Force 크고 복잡한 웹 사이트 엄청난 고객 정보 강력한 규제 및 규정 대단한 사용자 규모

  9. 워치파이어가 제공하는 제품의 개요

  10. 오늘날 사이버 공격의 75%가 애플리케이션 단에서 이루어지면, 이에 대한 보안 지출은 겨우 10%에 불과 합니다 1. 2010년에 이르면 80%의 조직은 애플리케이션 보안 사고를 경험하게 될 것입니다 2. 미국 기업들은 내부 보안 공격에 년간 4천억 달러의 비용을 지출하고 있습니다³ 64%에 이르는 CIO들은 IT 조직이 직면한 가장 중요한 도전이 보안, 규정이행 및 자료보호라고 느끼고 있습니다4. 워치파이어 병합의 이유 보안 및 규정이행 무결성에 대한 위험이 기업의 정체성, 고객관계 및 사업 결과에 심각한 악영향을 주고 있습니다. Rational, Tivoli 및 글로벌 서비스를 아우르는 완벽한 End-to-end 보안 솔루션을 제공하기 위해 애플리케이션 보안 및 규정이행 검사 솔루션 업계 선도 제조업체를 병합함으로 IBM 보안 관리 포트폴리오는 견고해지고 있습니다. • 1,2 Watchfire analysis with analysts support • 3 CSI/FBI Survey 2005 • 4 IBM Service Management Market Needs Study, March 2006

  11. 웹 애플리케이션 보안

  12. Desktop Transport Network Web Applications 애플리케이션 보안 Info Security Landscape Web Applications Antivirus Protection Encryption (SSL) Firewalls / Advanced Routers Application Servers Backend Server Firewall Databases Web Servers

  13. Build QA Security Production Code Requirements Design 웹 애플리케이션 보안의 포인트 솔루션 • 웹 애플리케이션 보안 시장의 4 분야 • 블랙 박스 스캐너 (동적 또는 실시간 분석) • 화이트 박스 스캐너(정적 또는 소스코드 분석) • 웹 애플리케이션 방화벽(네가티브 및 파지티브 필터링 엔진을 갖춘 웹 애플리케이션 게이트웨이) • Penetration Testing(모의해킹) (특정된 영역에 대한 수동 분석) Whitebox Other Black-box tester W.A.F. & P.T. Blackbox - AppScan

  14. 공격대상비율(%) 전체지출비율(%) Web Applications 10% 75% 보안 지출 90% Network Server 25% 기업에 대한 도전 자료출처: Gartner, IDC, Watchfire

  15. 왜 애플리케이션 보안이 긴급으로 요구되나 • 웹 애플리케이션은 크래커의 제일 공격 목표: • 75%의 공격이 애플리케이션 계층에서 발생 (Gartner) • XSS과 SQL Injection이 1, 2위로 보고되는 취약점 (Mitre) • 대부분의 사이트가 취약성을 가지고 있음: • 사이트의 90%가 애플리케이션 공격에 취약함 (Watchfire) • 쉽게 공격이 가능한 취약점의 78%가 웹 애플리케이션에 영향을 줌 (Symantec) • 2010년에 이으러 기업 및 조직의 80%가 애플리케이션 보안 사고를 겪게 될 것임 (Gartner) • 웹 애플리케이션은 크래커를 위한 매우 가치 있는 표적임: • 고객 정보, 신용카드, ID 탈취, 도용, 사이트 변조 등 • 규정이행 요구 항목: • Payment Card Industry (PCI) Standards, GLBA, HIPPA, FISMA,

  16. 웹 애플리케이션 보안 - 문제점 웹 세션은 기본적으로 보호기제가 전혀 없다 • 방화벽은 웹 공격에 대한 적절한 방어를 제공하지 않는다. • 웹 필터, 인증 및 암호화는 다른 일을 한다. • 모의 해킹과 같은 작업은 많은 비용이 지출되고 불편하다. • IT 보안 인력은 일반적으로 애플리케이션 개발에 대한 경험이 없다. • 개발자와 프로그래머들은 일반적으로 보안관련된 경험이 없다. • 웹 공격: Cross-site Scripting, SQL Injection과 같은 공격이 지난해 갑자기 가장 많이 발생한 공격이 되었다. • 아직 많은 사람들이 이러한 문제점이 존재한다는 것조차 모르고 있다.

  17. 웹 애플리케이션 공격은 사업에 관련된 문제 Misdirect customers to bogus site

  18. 애플리케이션 보안 결함 #1 & #2 취약점

  19. 크로스사이트 스크립팅 – 절차 크래커 5) 크래커는 탈취한 정보를 이용하여 사용자를 도용함 1) bank.com 링크를 사용자에게 전자메일 또는 HTTP로 전송 4) 스크립트가 사용자의 동의나 인지 없이 사용자의 쿠키와 세션 정보를 전송 bank.com 사용자 2) 사용자가 데이터처럼 추가된 스크립트를 전송 3) 스크립트/데이터가 돌아오고, 브라우저에서 실행

  20. HTML code: 크로스사이트 스크립팅 - 예

  21. 크로스사이트 스크립팅 공격 이용 • 상대방에게 자바스크립트를 전달하여 실행할 수 있다면, 나는…할 수 있다. • 상대방이 브라우저로 보고 있는 도메인에 이용되는 쿠키탈취 • 해당 도메인에서 상대방이 보고 있는 페이지의 내용 수정 • 지금부터 상대방이 브라우저에서 하는 모든 행동을 추적 • 피싱 사이트로 상대방을 리디렉트 • 상대방 장비의 운영권한을 빼앗기 위해 브라우저 취약점을 악용 • … • XSS는 오늘날 최고의 보안 위협 입니다. (가장 많이 악용)

  22. Case Study: 크로스사이트 스크립팅을 통한 사용자 공격 • 피싱 공격을 수행하기 위해, 악의적인 사용자는 배너 이미지를 생성하거나 크로스사이트 스크립팅 취약점을 악용한 HTML 텍스트를 포함한 메일을 보내려 할 것입니다. 동적인 스크립팅에 의해 숨겨진 HTML은 대상 애플리케이션의 URL 주소 검색박스로 자바스크립트 코드를 전송합니다.

  23. 크로스사이트 스크립팅 – 보이고 생각하는 이상의 내용 전달 전자메일 메시지로부터 삽입된 자바스크립트

  24. Injection 결함 • Injection 취약점은? • 인터프리터로 전송되는 사용자-제공 데이터가 명령, 쿼리 또는 데이터의 일부 • 관련된 취약점은? • SQL Injection – DB에 있는 데이터로의 접근/변경 • SSI Injection – 서버상에 명령 실행 및 민감한 정보로의 접근 • LDAP Injection – 인증 우회 • …

  25. Injection 결함

  26. 매개변수 조작 • 매개변수 조작(Parameter Tampering)은? • 매개변수는 클라이언트로부터 정보를 수집하는데 이용됨 • 해당 정보는 사이트의 URL 매개변수에서 변경될 수 있음 • 매개변수 조작이 존재할 수 있는 이유는? • 개발자는 매개변수의 적절한 값과 어떻게 매개변수를 활용할 것인지에 주안을 둠 • 잘못된 값에 대한 주의 혹은 처리가 이루어지지 않음 • 사업에 미치는 영향 • 해당 애플리케이션은 고객 정보에 접근을 허용하는 것과 같은 개발자가 의도하지 않은 기능을 실행할 수 있습니다.

  27. 매개변수 조작(데모 데이터)

  28. 와일드카드 매개변수는?

  29. URL 접근 제한의 실패: Privilege Escalation Types • 완벽히 제한된 자원에 주어진 접근 • 제공될 수 없는 파일들로의 접근 (*.bak, “Copy Of”, *.inc, *.cs, ws_ftp.log, etc.) • 수직 권한 상승(Vertical Privilege Escalation) • 알 수 없는 사용자의 로그인 페이지 이후의 페이지 접근 • 단순한 사용자의 관리자 페이지 접근 • 수평 권한 상승(Horizontal Privilege Escalation) • 다른 사용자의 페이지에 사용자 접근 • 예: 은행 계좌 사용자의 다른 사용자 계정으로의 접근

  30. Real Example: 온라인 여행 예약 포탈 (User Transaction) reserID를 2001200로 변경

  31. Real Example : Insufficient Authorization • 불충분한 인증 및 권한 허용 • 다른 사용자의 거래 확인 전자메일 주소를 포함한 다른 고객의 거래 전표가 표시됨

  32. 애플리케이션 보안 침해의 대가 • 언론 주목 > 브랜드 악영향 > 주식시가의 급등락 • 언론/통신/감시 서비스 비용 • 법적인 수수료 (Reported $3-4 million) • FTC(연방거래위원회) 페널티 (최고 1500만 달러의 벌금) • 감사 • 고객의 소송 • 고객 감소

  33. Build Coding QA Security Production 소프트웨어 개발 주기내의 보안 검사 SDLC Developers Developers Developers 애플리케이션 보안 테스팅의 발전 방향

  34. 사람 – 채용, 교육, 및 외부 보안팀의 고용 프로세스 – 마지막 단계에서 “채우는” 형태가 아닌 소프트웨어개발주기 (SDLC)의 일부로서 존재하도록 함 기술 – 전술적인 도구로부터 전략적인 전사 배포로 전환 이용할 수 있는 애플리케이션 보안 검사

  35. 워치파이어 AppScan

  36. 웹 애플리케이션 보안의 발전(단계별 워치파이어 AppScan 제품군) • 검사에 개발팀을 포함시켜 보안의 확장성과 완벽한 범위성을 제공함 전사적 확장성 AppScan Enterprise 전사적 시정 • 개발 및 관리에 대한 보고서의 시정과 배포의 통합 AppScan Reporting Console 보안 교육/훈련 워치파이어 유니버시티 / CBT 기업 내 감사 • 보안 감사팀이 애플리케이션 점검을 주도하여 내부적인 검사로 확장 AppScan Desktop 외주 감사 • 취약점에 대한 애플리케이션 검사 시작 P.T. / AppScan OnDemand

  37. 문제를 지적하는 것을 넘어선 AppScan 문제해결 문제점 이해 문제점 평가

  38. 웹 애플리케이션 스캐너 웹 서비스 웹 애플리케이션 웹 서버 운영체제 데이터베이스 스캐너 시스템 스캐너 웹 애플리케이션 환경 도구: 적용 위치 • 웹 애플리케이션 환경 도구: 적용위치 • 웹 애플리케이션 환경 도구: 적용위치 네트워크 스캐너 데이터베이스

  39. 워치파이어 AppScan 제안 • 웹 애플리케이션 코드 점검 • 가능성이 있는 취약점들과 에러 발견 • 발견된 내용들이 왜 문제인지를 전달 • 발견된 내용들이 어떻게 규정 및 규제를 위반하는지 보고 • 무엇을 어떻게 수정해야 하는지 권고

  40. 취약점 확인

  41. 적용할 수 있는 보안 권고문 및 수정 권고문

  42. 보안 보고서

  43. 산업표준 보고서

  44. 규정이행 보고서

  45. AppScan 의 지원 범위

  46. Build Coding QA Security Production AppScan의 웹 애플리케이션 보안 점검 지원 범위 SDLC Developers Security & Audit Team Developers QA Team Developers Whitebox Other Black-box tester W.A.F. & P.T. Blackbox - AppScan

  47. Build QA Security Compliance Code Requirements Design 워치파이어와 IBM Rational 제품의 통합 시너지 SDLC IBM Rational CQ, CQTM, RFT, RPT ROSE RAD, RAM, Software Architect Requisite Pro ClearCase, Build Forge WebXM Privacy, Quality, Accessibility AppScan QA & ASE Integration AppScan & AppScan Enterprise ASE QuickScan Watchfire

  48. Rational Software Quality Solution으로서의 AppScan BUSINESS SOFTWARE QUALITY SOLUTIONS Test and Change Management Defects Change Test Requirements Rational RequisitePro Rational ClearQuest Rational ClearQuest Rational ClearQuest Test Automation OPERATOINS DEVELOPMENT Functional Test Developer Test Security and Compliance Test Performance Test Rational Functional Tester Plus Rational PurifyPlus Rational Performance Tester Automated Manual AppScan WebXM Rational Functional Tester Rational Manual Tester Rational Test RealTime Rational Robot Quality Metrics Quality Reports Detailed Test Results Project Dashboards

  49. IBM Rational & Watchfire 제품 연계

  50. ClearQuest를 위한 AppScan의 QA Defect Logger

More Related