
4f8436a9f09ca929cf6ac1a051e23ed6.ppt
- Количество слайдов: 58
® IBM Software Group 온라인 사업에 영향을 주는 애플리케이션 보안과 규제 준수의 검증 방안 © 2007 IBM Corporation
IBM Software Group | Rational software 소개: 위급한 현실 “약 1억 명의 미국인들이 보안 문제로 피해를 받고 있다는 것을 통보 받았고, 이런 문제가 대중적으로 확산된 단계가 되었습니다. Approximately 100 million Americans have been informed that they have suffered a security breach so this problem has reached epidemic proportions. ” Jon Oltsik – Enterprise Strategy Group “ 2만 천명에 이르는 대출 사용자 정보가 노출되어졌을 수 있습니다. Up to 21, 000 loan clients may have had data exposed” Marcella Bombardieri, Globe Staff/August 24, 2006 “정부에 따르면, 2백 2십만에 이르는 현역 장병들의 개인정보가 도난 당했다고 … Personal information stolen from 2. 2 million active-duty members of the military, the government said…” New York Times/June 7, 2006 “해커가 2만6천여 직원의 개인을 증명할 수 있는 정보를 훔쳤을 수 있다고… Hacker may have stolen personal identifiable information for 26, 000 employees. . ” Computer. World, June 22, 2006 ®
IBM Software Group | Rational software 시장 분석 - IDC ®
IBM Software Group | Rational software 문제의 선 발견을 저해하는 광대한 애플리케이션 1 문제 처리의 저해요소가 된 보안팀 – 과중한 업무부하 2 관리와 시정의 결여 3 전체주기에서 늦게 이루어지는 문제점 확인 4 감시되지 않는 배포된 애플리케이션 5 관리에 어려움이 있는 서드파티 제조사 및 제품 ®
IBM Software Group | Rational software 항목 § 웹 애플리케이션 보안이 요구되는 이유 § 워치파이어 소개 § 웹 애플리케이션 보안 § 워치파이어 App. Scan 솔루션 § App. Scan의 지원 범위 § Rational-워치파이어 제품 통합(Product Integration) ®
® IBM Software Group 워치파이어 소개 © 2007 IBM Corporation
IBM Software Group | Rational software ® 워치파이어 개요 § 워치파이어는: 4 Just released – Gartner 선정 2006 애플리케이션 보 안 시장 선도 기업 4 애플리케이션 보안 및 규정이행 검증 소프트웨어와 서비스 제공업체 #1 in Market Share for Application Security – Gartner & IDC 4 800여 개 이상의 기업이 신뢰하는 워치파이어 § 배경: 4 1996년 설립, 190명의 직원, 메사추세츠, 보스턴에 본 사를 둠 4 최초로 애플리케이션 보안 검사 제품을 제조함 4 제품군: § 애플리케이션 보안 솔루션 - App. Scan § 개인정보 및 규정이행 솔루션 - Web. XM Best Security Company
IBM Software Group | Rational software ® 워치파이어를 신뢰하는 1, 000 기업들 미국 내 10대 대형 은행 중 9개 은행 상위 10개 기술 브랜드 중 8개 브랜드 상위 10대 제약/임상 기 업 중 7개 기업 다수의 대형 정부 기관 Veteran’s Affairs Army Air Force 크고 복잡한 웹 사이트 엄청난 고객 정보 강력한 규제 및 규정 대단한 사용자 규모 Navy Marines
IBM Software Group | Rational software ® 워치파이어가 제공하는 제품의 개요 웹 애플리케이션과 웹 서비스에 대한 자동화된 보안 검사 웹 규정이행 검사 솔루션 다음과 같은 범주의 규정이행과 품질 규 ü 보안 취약점의 판단과 수정을 위한 단 정 및 요구에 대한 지원: 일 및 전사적 적용이 가능한 솔루션 ü 개발자, 검사자 및 보안 전문가를 위 해 만들어진 도구 ü 전사에 걸친 보고서 생성 및 추적 기 능 ü 개인정보보호 HIPAA ü 미국 재활법 508조의 Accessibility(접 근성) 관련 조항 ü 브랜딩/IP/품질; 전자정부 법령의 207 항
IBM Software Group | Rational software 워치파이어 병합의 이유 보안 및 규정이행 무결성에 대한 위험이 기업의 정체성, 고객관계 및 사업 결과에 심각한 악영향을 주고 있습니다. ü 오늘날 사이버 공격의 75%가 애플리케이션 단에서 이루어지면, 이에 대한 보안 지출은 겨우 10%에 불과 합니다 1. ü 2010년에 이르면 80%의 조직은 애플리케이션 보안 사고를 경험하게 될 것입니다 2. ü 미국 기업들은 내부 보안 공격에 년간 4천억 달러의 비용을 지출하고 있습니다³ ü 64%에 이르는 CIO들은 IT 조직이 직면한 가장 중요한 도전이 보안, 규정이행 및 자료보호라고 느끼고 있습니다 4. Rational, Tivoli 및 글로벌 서비스를 아우르는 완벽한 End-to-end 보안 솔루션을 제공하기 위해 애플리케이션 보안 및 규정이행 검사 솔루션 업계 선도 제조업체를 병합 함으로 IBM 보안 관리 포트폴리오는 견고해지고 있습니다. 1, 2 Watchfire analysis with analysts support 3 CSI/FBI Survey 2005 4 IBM Service Management Market Needs Study, March 2006 ®
® IBM Software Group 웹 애플리케이션 보안 © 2007 IBM Corporation
IBM Software Group | Rational software ® 애플리케이션 보안 Info Security Landscape Desktop Transport Network Antivirus Protection Encryption (SSL) Firewalls / Advanced Routers Firewall Web Applications Application Servers Backend Server Databases Web Servers
IBM Software Group | Rational software ® 웹 애플리케이션 보안의 포인트 솔루션 § 웹 애플리케이션 보안 시장의 4 분야 4 블랙 박스 스캐너 (동적 또는 실시간 분석) 4 화이트 박스 스캐너(정적 또는 소스코드 분석) 4 웹 애플리케이션 방화벽(네가티브 및 파지티브 필터링 엔진을 갖춘 웹 애플리케이션 게이 트웨이) 4 Penetration Testing(모의해킹) (특정된 영역에 대한 수동 분석) Requirements Design Code Build QA Security Whitebox Production Other Black-box tester W. A. F. & P. T. Blackbox - App. Scan
IBM Software Group | Rational software ® 기업에 대한 도전 보안 지출 공격대상비율(%) 전체지출비율(%) Web Applications 75% 25% 10% 90% Network Server 자료출처: Gartner, IDC, Watchfire
IBM Software Group | Rational software 왜 애플리케이션 보안이 긴급으로 요구되나 § 웹 애플리케이션은 크래커의 제일 공격 목표: 4 75%의 공격이 애플리케이션 계층에서 발생 (Gartner) 4 XSS과 SQL Injection이 1, 2위로 보고되는 취약점 (Mitre) § 대부분의 사이트가 취약성을 가지고 있음: 4 사이트의 90%가 애플리케이션 공격에 취약함 (Watchfire) 4 쉽게 공격이 가능한 취약점의 78%가 웹 애플리케이션에 영향을 줌 (Symantec) 4 2010년에 이으러 기업 및 조직의 80%가 애플리케이션 보안 사고를 겪게 될 것임 (Gartner) § 웹 애플리케이션은 크래커를 위한 매우 가치 있는 표적임: 4 고객 정보, 신용카드, ID 탈취, 도용, 사이트 변조 등 § 규정이행 요구 항목: 4 Payment Card Industry (PCI) Standards, GLBA, HIPPA, FISMA, ®
IBM Software Group | Rational software 웹 애플리케이션 보안 - 문제점 웹 세션은 기본적으로 보호기제가 전혀 없다 § 방화벽은 웹 공격에 대한 적절한 방어를 제공하지 않는다. § 웹 필터, 인증 및 암호화는 다른 일을 한다. § 모의 해킹과 같은 작업은 많은 비용이 지출되고 불편하다. § IT 보안 인력은 일반적으로 애플리케이션 개발에 대한 경험이 없다. § 개발자와 프로그래머들은 일반적으로 보안관련된 경험이 없다. § 웹 공격: Cross-site Scripting, SQL Injection과 같은 공격이 지난해 갑자기 가장 많이 발생한 공격이 되었다. § 아직 많은 사람들이 이러한 문제점이 존재한다는 것조차 모르고 있다. ®
IBM Software Group | Rational software ® 웹 애플리케이션 공격은 사업에 관련된 문제 애플리케이션 위협 부정적인 영향 잠재적으로 사업에 미치는 영향 Buffer overflow Denial of Service (Do. S) Site Unavailable; Customers Gone Cookie poisoning Session Hijacking Larceny, theft Hidden fields Site Alteration Illegal transactions Debug options Admin Access Unauthorized access, privacy liability, site compromised Cross Site scripting Identity Theft Larceny, theft, customer mistrust Stealth Commanding Access O/S and Application Access to non-public personal Parameter Tampering Fraud, Data Theft Alter distributions and transfer accounts Forceful Browsing/ Unauthorized Site/Data Access Read/write access to customer databases SQL Injection Misdirect customersinformation, fraud, etc. to bogus site
IBM Software Group | Rational software 애플리케이션 보안 결함 #1 & #2 취약점 ®
IBM Software Group | Rational software ® 크로스사이트 스크립팅 – 절차 크래커 1) bank. com 링크 를 사용자에게 전 자메일 또는 HTTP 로 전송 4) 스크립트가 사용자의 동 5) 크래커는 탈취한 정보 를 이용하여 사용자를 도용함 의나 인지 없이 사용자의 쿠키 와 세션 정보를 전송 사용자 bank. com 2) 사용자가 데이터처럼 추가된 스크립트를 전송 3) 스크립트/데이터가 돌아오고, 브라우저에서 실행
IBM Software Group | Rational software 크로스사이트 스크립팅 - 예 HTML code: ®
IBM Software Group | Rational software 크로스사이트 스크립팅 공격 이용 § 상대방에게 자바스크립트를 전달하여 실행할 수 있다면, 나는…할 수 있다. 4 상대방이 브라우저로 보고 있는 도메인에 이용되는 쿠키탈취 4 해당 도메인에서 상대방이 보고 있는 페이지의 내용 수정 4 지금부터 상대방이 브라우저에서 하는 모든 행동을 추적 4 피싱 사이트로 상대방을 리디렉트 4 상대방 장비의 운영권한을 빼앗기 위해 브라우저 취약점을 악용 4… § XSS는 오늘날 최고의 보안 위협 입니다. (가장 많이 악용) ®
IBM Software Group | Rational software Case Study: 크로스사이트 스크립팅을 통한 사용자 공격 피싱 공격을 수행하기 위해, 악의적인 사용자는 배너 이미지를 생성하 § 거나 크로스사이트 스크립팅 취약점을 악용한 HTML 텍스트를 포함한 메일을 보내려 할 것입니다. 동적인 스크립팅에 의해 숨겨진 HTML은 대상 애플리케이션의 URL 주소 검색박스로 자바스크립트 코드를 전송 합니다. ®
IBM Software Group | Rational software 크로스사이트 스크립팅 – 보이고 생각하는 이상의 내 용 전달 전자메일 메시지로부터 삽입된 자바스크립트 ®
IBM Software Group | Rational software Injection 결함 § Injection 취약점은? 4 인터프리터로 전송되는 사용자-제공 데이터가 명령, 쿼리 또는 데이터의 일부 § 관련된 취약점은? 4 SQL Injection – DB에 있는 데이터로의 접근/변경 4 SSI Injection – 서버상에 명령 실행 및 민감한 정보로의 접근 4 LDAP Injection – 인증 우회 4… ®
IBM Software Group | Rational software Injection 결함 ®
IBM Software Group | Rational software 매개변수 조작 § 매개변수 조작(Parameter Tampering)은? 4 매개변수는 클라이언트로부터 정보를 수집하는데 이용됨 4 해당 정보는 사이트의 URL 매개변수에서 변경될 수 있음 § 매개변수 조작이 존재할 수 있는 이유는? 4 개발자는 매개변수의 적절한 값과 어떻게 매개변수를 활용할 것인지에 주안 을둠 4 잘못된 값에 대한 주의 혹은 처리가 이루어지지 않음 § 사업에 미치는 영향 4 해당 애플리케이션은 고객 정보에 접근을 허용하는 것과 같은 개발자가 의도 하지 않은 기능을 실행할 수 있습니다. ®
IBM Software Group | Rational software 매개변수 조작(데모 데이터) ®
IBM Software Group | Rational software 와일드카드 매개변수는? ®
IBM Software Group | Rational software URL 접근 제한의 실패: Privilege Escalation Types § 완벽히 제한된 자원에 주어진 접근 4 제공될 수 없는 파일들로의 접근 (*. bak, “Copy Of”, *. inc, *. cs, ws_ftp. log, etc. ) § 수직 권한 상승(Vertical Privilege Escalation) 4 알 수 없는 사용자의 로그인 페이지 이후의 페이지 접근 4 단순한 사용자의 관리자 페이지 접근 § 수평 권한 상승(Horizontal Privilege Escalation) 4 다른 사용자의 페이지에 사용자 접근 4 예: 은행 계좌 사용자의 다른 사용자 계정으로의 접근 ®
IBM Software Group | Rational software Real Example: 온라인 여행 예약 포탈 (User Transaction) reser. ID를 2001200로 변경 ®
IBM Software Group | Rational software ® Real Example : Insufficient Authorization § 불충분한 인증 및 권한 허용 4 다른 사용자의 거래 확인 전자메일 주소를 포함한 다른 고 객의 거래 전표가 표시됨
IBM Software Group | Rational software 애플리케이션 보안 침해의 대가 § 언론 주목 > 브랜드 악영향 > 주식시가의 급등락 § 언론/통신/감시 서비스 비용 § 법적인 수수료 (Reported $3 -4 million) § FTC(연방거래위원회) 페널티 (최고 1500만 달러의 벌금) § 감사 § 고객의 소송 § 고객 감소 ®
IBM Software Group | Rational software ® 소프트웨어 개발 주기내의 보안 검사 SDLC Coding Build QA Security Developers 애플리케이션 보안 테스팅의 발전 방향 Production
IBM Software Group | Rational software 이용할 수 있는 애플리케이션 보안 검사 1. 사람 – 채용, 교육, 및 외부 보안팀의 고용 2. 프로세스 – 마지막 단계에서 “채우는” 형태가 아닌 소프트웨어개발주기 (SDLC)의 일부로서 존재하도록 함 3. 기술 – 전술적인 도구로부터 전략적인 전사 배포로 전환 ®
® IBM Software Group 워치파이어 App. Scan © 2007 IBM Corporation
IBM Software Group | Rational software ® 웹 애플리케이션 보안의 발전(단계별 워치파이어 App. Scan 제 품군) § 전사적 확장성 검사에 개발팀을 포함시켜 보 안의 확장성과 완벽한 범위성 을 제공함 워치파이어 유니버시티 / CBT 보안 교육/훈련 App. Scan Enterprise § 전사적 시정 개발 및 관리에 대한 보고서의 시정과 배 포의 통합 App. Scan Reporting Console 기업 내 감사 § 보안 감사팀이 애플리케이션 점검을 주도하여 내부적인 검사로 확장 App. Scan Desktop 외주 감사 P. T. / App. Scan On. Demand § 취약점에 대한 애플리케이션 검사 시작
IBM Software Group | Rational software ® 문제를 지적하는 것을 넘어선 App. Scan 문제점 평가 문제점 이해 문제해결
IBM Software Group | Rational software ® 웹 애플리케이션 환경 도구: 적용 위치 웹 애플리케이션 스캐너 웹 서비스 웹 애플리케이션 • 웹 애플리케이션 환경 도구: 적용위치 네트워크 스캐너 웹 서버 데이터 베이스 데이터베이스 스캐너 운영체제 시스템 스캐너
IBM Software Group | Rational software 워치파이어 App. Scan 제안 § 웹 애플리케이션 코드 점검 § 가능성이 있는 취약점들과 에러 발견 § 발견된 내용들이 왜 문제인지를 전달 § 발견된 내용들이 어떻게 규정 및 규제를 위반하는지 보고 § 무엇을 어떻게 수정해야 하는지 권고 ®
IBM Software Group | Rational software 취약점 확인 ®
IBM Software Group | Rational software 적용할 수 있는 보안 권고문 및 수정 권고문 ®
IBM Software Group | Rational software 보안 보고서 ®
IBM Software Group | Rational software 산업표준 보고서 ®
IBM Software Group | Rational software 규정이행 보고서 ®
® IBM Software Group App. Scan 의 지원 범위 © 2007 IBM Corporation
IBM Software Group | Rational software ® App. Scan의 웹 애플리케이션 보안 점검 지원 범위 SDLC Coding Build QA Security Developers Production Security & Audit Team Developers Whitebox QA Team Other Black-box tester W. A. F. & P. T. Blackbox - App. Scan
IBM Software Group | Rational software ® 워치파이어와 IBM Rational 제품의 통합 시너지 SDLC Requirements Design Code Build RAD, RAM, Software Architect ROSE Clear. Case, Build Forge QA Security Compliance IBM Rational Requisite Pro ASE Quick. Scan CQ, CQTM, RFT, RPT App. Scan QA & ASE Integration App. Scan & App. Scan Enterprise Web. XM Privacy, Quality, Accessibility Watchfire
IBM Software Group | Rational software ® Rational Software Quality Solution으로서의 App. Scan BUSINESS SOFTWARE QUALITY SOLUTIONS Test and Change Management Change Defects Rational Clear. Quest Test Automation Developer Test Rational Purify. Plus Rational Test Real. Time Functional Test Rational Functional Tester Plus Automated Manual Rational Functional Tester Manual Tester Security and Compliance Test App. Scan Performance Test Rational Performance Tester Web. XM Rational Robot Quality Metrics Project Dashboards Detailed Test Results Quality Reports OPERATOINS Test Rational Requisite. Pro DEVELOPMENT Requirements
® IBM Software Group IBM Rational & Watchfire 제품 연계 © 2007 IBM Corporation
IBM Software Group | Rational software Clear. Quest를 위한 App. Scan의 QA Defect Logger ®
IBM Software Group | Rational software App. Scan Enterprise 와 Clear. Quest의 통합 ®
IBM Software Group | Rational software App. Scan과 Rational CQTM의 통합– 2 H 07 ®
IBM Software Group | Rational software ® 소프트웨어 개발 주기 내의 보안 및 개발 고려 사항 • 보안적인 고려 가 없는 요구 분 석, 설계, 코딩 및 품질관리는 배포 및 운영 시 반드 시 문제 및 사고 와 연관됨 • 보안검사가 단 계에 앞서 선행될 수록 문제점을 수 정하기 위한 비용 및 시간은 작아지 게됨 • 소프트웨어 개 발 주기 안의 각 단계와 팀은 웹 애플리케이션 보 안을 고려해야 함
IBM Software Group | Rational software App. Scan 고객을 위한 SEED System의 지원 방안 § 교육 4 App. Scan 운영 교육: 제품 구입시 및 Upgrade 발생시 4 워치파이어 유니버시티/CBT: 온라인 교육 § 오프라인 기술 지원 4 온라인 문제 처리 미진 시 4 고객사 요청시(2 nd 라인 기술지원) § 웹 애플리케이션 보안 방법론 개발 4 고객사 요청시 협력 4 정보 제공 § 모의해킹 4 고객사 요청시 협력 * 해당 지원 내역은 고객사 및 지원 업체의 상황에 따라서 변동이 있을 수 있습니다. ®
IBM Software Group | Rational software 고객사 ® 800개 이상의 기업들이 신뢰하는 Watchfire 세계 상위 10대 은행 중 9개 은행 세계 상위 10대 IT 기술 기업 중 8개 기업 세계 상위 제약/임상 기 업 중 7개 기업 다양한 대규모 정부 기관 Veteran’s Affairs Army Air Force 크고 복잡한 웹 사이트 방대한 고객 정보 강력한 규정 및 규제 적용 대단히 큰 사용자 규모 Navy Marines
IBM Software Group | Rational software 국내 유수 기업과 기관에서 신뢰하는 App. Scan 고객사 기업 및 기관 ®
IBM Software Group | Rational software 고객사 ® 보안 리더들이 자사 웹 애플리케이션을 보호하기 위해서 이용하는 Watchfire IT 기술기업 컨설팅 및 연구 기업
® IBM Software Group Thank You SEED System, Inc 5 th Floor, MK Building 31 -10, Yang. Pyeong-dong 1(il)Ga, Young. Deung. Po-Gu Seoul, South Korea ZIP# 150 -862 Tel: +82 -2 -2635 -7985 FAX: +82 -2 -2635 -7986 Sales Support: sales@seedsystem. net Technical Support: tech@seedsystem. net Secure your On-line Business and Infrastructure with SEED System, You Will Improve the Value of Business and Service on the Internet. © 2007 IBM Corporation
4f8436a9f09ca929cf6ac1a051e23ed6.ppt