블랙리스트 - 인터넷 통신 보안 서비스
Download
Report
Transcript 블랙리스트 - 인터넷 통신 보안 서비스
Daily, World-Wide,
14종/ 약 30만건 이상의 ‘블랙리스트 DB’ 제공
블랙리스트 DB Service
© KTB 컨설팅
[email protected]
1. 현 문제 및 배경
블랙리스트 DB 구축을 위한 필수 정보
프락시 DB 목록(웹 프락시/ Socks 프락시)
비할당 IP 대역 목록
유해사이트 IP 대역 목록
트로이목마 & 포트스캐너 IP 대역 목록
웹 Bot 및 스파이더 IP 대역 목록
스파이웨어 IP 대역 목록
해킹에 의한 탈취로 신고된 IP 대역 목록
국제적으로 차단 권고된 IP 대역 목록
악성 P2P서버 IP 대역 목록
특정 국가별 IP 대역 목록
전세계 주요 회사 및 기관별 IP 대역 목록
전세계 주요 교육 및 연구소별 IP 대역 목록…
• 글로벌화 및 인터넷의 발달에 따른 위협은 날로 증가하고 있으며 ZeroDay 공격이 일반화되어 가는 경향임
• 매일 새로운 공격이 전세계에서 동시 다발적으로 진행됨에 따라 더 이상 수동적인 방어는 한계에 봉착
• 침해사고의 대부분은 소수의 조직적인 악의적 공격자에 의해 광범위하고 전문적으로 자행됨
• 사전에 공격을 예방하고 조기 대응하기 위한 체계적이고 지속 가능한 ‘블랙리스트 DB’ 구축이 필수적임
• ‘블랙리스트 DB’는 다양한 형태의 유형별 침해행위에 대해 종합적으로 대처 해야 함
• 이를 위해 ’국제적으로 인정받은 표준적인 14종의 블랙리스트 패턴을 정의하고 이를 DB화 함’
• 기존의 ‘블랙리스트 DB’ 구축 방법은 기존 수작업 등에 의해 관리하기에 지속성과 구축의 한계 발생
-> 항상 최신화되고 검증된 ‘블랙리스트 DB’를 보유하고, 이를 보안정책 및 장비/ 서비스 장비에 적용할시
보다 강화된 위협 관리가 가능하고 사전 예방 및 ZeroDay 공격에 능동적으로 대처할 수 있음
2
1. 현 문제 및 배경
기존 ‘블랙리스트’ 관리 방안
개선 ‘블랙리스트’ 관리 제안
사용자 접근(접속)
사용자 접근(접속)
블랙리스트 반영: 제안사가 제공한 DB(14종) 적용
공격 행위 시도
공격 행위 탐지
공격 행위 탐지
차단 및 대응
보안 사고
•
•
•
공격 행위 미 시도
공격 행위 시도
공격 행위 미 탐지
공격 행위 모니터링
차단 및 대응
블랙리스트 선정
공격 행위 모니터링
블랙리스트 반영
블랙리스트 선정
제한되고 수동적인 ‘블랙리스트’ 관리 한계 노출
전문적이고 지속적이며 체계적인 DB 부재
공격 발생 이후 시점에서 ‘블랙리스트’ 생성 가능
블랙리스트 반영
3
•
•
•
•
능동적이고 적극적인 관리 가능
전문적이고 지속적이며 체계적인 관리
공격 발생 이전 시점부터 차단 가능
‘블랙리스트 DB’중 일부를 필요시
‘화이트리스트 DB’ 로 사용할 수 있는
가용성 증대 가능
예) 전세계 주요 기관별 IP 대역
2. 서비스 제공 내용
구분
필요성 / 설명
통제 방향
적용 권고
프락시 DB 목록- 웹 프락시
웹 프락시를 통한 우회접속경로에 악용되기에 탐지시 주의 요망
In & Out
모니터링/차단
프락시 DB 목록- Socks 프락시
추적이 어려운 Socks 프락시는 악의적인 목적으로 악용되는 경우
가 많아 차단(특히 ‘웹서비스’ 접근시)하는것이 바람직
In & Out
차단
비할당 IP 대역 목록
전 세계 IP Block에 포함되지 않은 비할당 IP 대역 목록(실제 사용
할 수 없는 IP 목록임)은 조작(IP스푸핑 등)된 가짜 IP로 판단/차단
Out -> In
차단
유해사이트 IP 대역 목록
광고, 스패머, 개인정보 유출,악성 음란사이트 목록을 통해 접속하
거나 접근할 경우 이를 차단해야 함
In & Out
차단
트로이목마 & 포트스캐너 IP 대역 목록
주요 트로이목마 & 포트 스캐너등에 의해 침해행위를 자행하는 IP
대역과 포트를 차단해야 함
Out -> In
차단
웹 Bot 및 스파이더 IP 대역 목록
웹상의 각종 로봇 및 검색엔진이 주로 사용하는 IP 대역 목록으로
모니터링이 필요하며 ,정보 노출을 방지할 필요시에는 차단함
Out -> In
모니터링/차단
스파이웨어 IP 대역 목록
악성 스파이웨어를 전파하는 IP 대역 목록으로 차단해야 함
Out -> In
차단
해킹에 의한 탈취로 신고된 IP 대역 목록
해킹등에 의해 탈취(Highjacked)되어 신고된 IP 대역 목록으로 차
단해야 함
Out -> In
차단
국제적으로 차단 권고된 IP 대역 목록
악의적인 공격등이 자주 발생하는 IP 대역 목록으로 차단 필요
Out -> In
차단
악성 P2P서버 IP 대역 목록
P2P 사용시 Fake 및 웜전파 숙주로 악용되는 곳이므로 차단
In -> Out
차단
특정 국가별 IP 대역 목록
‘중국’ 등 특정국가에서의 접속을 차단할 경우 적용
Out -> In
선별 차단
전세계 주요 회사 및 기관별 IP 대역 목록
전세계 약 220,000여개의 주요 공공기관/상장사 및 법인/기구/단
체 목록중 적용 필요가 있는 기관만 선별하여 차단 필요
Out -> In
선별 차단
전세계 주요 교육 및 연구소별 IP 대역 목록
전세계 약 45,000여개의 주요 초/중/고/대학 및 연구소에서 주로
해킹 및 웜이 발생하거나 우회경로로 악용되기에 선별 차단
Out -> In
선별 차단
전세계 Microsoft사 IP 대역 목록
필요시 선별 적용
In & Out
모니터링/차단
4
3. 서비스 적용 방안
구분
주 적용 분야 및 방안 제안
주 적용 대상
시중 은행
인터넷뱅킹 업무에 적용하여 접근자가 제공된 ‘블랙리스트 DB’와 일치시 특정 서비스(계좌이
체 등) 차단 및 사용자 권한 하향 조정, 보안 위협 상향 조정을 통한 집중 모니터링
보안 및 네트워크
장비
증권사
HTS/ WTS 업무에 적용하여 접근자가 제공된 ‘블랙리스트 DB’와 일치시 특정 서비스(주식거
래 등) 차단 및 사용자 권한 하향 조정, 보안 위협 상향 조정을 통한 집중 모니터링
보안 및 네트워크
장비
카드 및 보험사 /
기타 금융기관
카드 및 보험등 각종 금융 관련 서비스에 적용하여 접근자가 제공된 ‘블랙리스트 DB’와 일치시
특정 서비스(결제 및 조회 등) 차단 및 사용자 권한 하향 조정, 보안 위협 상향 조정을 통한 집
중 모니터링
보안 및 네트워크
장비
개인정보 취급 기관
(신용평가사 등)
온라인상의 각종 개인정보(실명확인 등) 및 신용평가 업무에 적용하여 접근자가 제공된 ‘블랙
리스트 DB’와 일치시 특정 서비스(조회 및 승인 등) 차단 및 사용자 권한 하향 조정, 보안 위협
상향 조정을 통한 집중 모니터링
보안 및 네트워크
장비
전자상거래(쇼핑몰)
업체
온라인 전자상거래를 취급하는 각종 PG 및 쇼핑몰등의 전자결제 업무에 적용하여
접근자가 제공된 ‘블랙리스트 DB’와 일치시 특정 서비스(전자결제 등) 차단 및 사용자 권한 하
향 조정, 보안 위협 상향 조정을 통한 집중 모니터링
보안 및 네트워크
장비
공공 및 학교 기관
공공기관의 각종 민원 처리(전자결재 및 조회, 발급 등) 업무에 적용하여 접근자가 제공된 ‘블
랙리스트 DB’와 일치시 특정 서비스(발급 및 조회 등) 차단 및 사용자 권한 하향 조정, 보안 위
협 상향 조정을 통한 집중 모니터링
보안 및 네트워크
장비
각종 솔루션/ 서비스
업체
안티 피싱 솔루션 : 제공되는 DB중 전세계 약 270,000여개의 주요 기관별 IP목록을 ‘화이트리
스트’에 반영하고 DB중 필요한 부분을 ‘블랙리스트 DB’로 반영하여 필터링 정책을 향상
PC보안 / 유해사이트 차단: PC 접근제어 및 유해사이트 차단 등 사용자단 각종 필터링 솔루션
및 장비에 적용하여 사전 탐지 및 예방 효과 달성
웹방화벽: 블랙리스트 DB를 적용하여 IP별 필터링(차단) 정책을 적용하여 보안성을 향상
보안 관제 서비스 및 ESM/ TSM: 각 장비별 로그나 실시간 모니터링 정보를 기반으로 블랙리스
트 DB를 사전 적용하거나 사후 비교하여 향상된 관제서비스가 가능함
네트워크 보안 장비(방화벽/ IDS/ IPS / 필터링 등) : 블랙리스트 DB를 적용하여 향상된 보안
정책와 사전 예방 및 조기 탐지 효과를 기대할 수 있음
해당 솔루션 및 서
비스 장비군
게임 업체
‘중국’ 등 특정국가에서의 접속 및 우회경로 사용 및 악의적인 접근자에 대한 사전 필터링 정
책을 반영하는데 도움이 됨
접근통제를 위한
네트워크 장비
5
4. 서비스 적용 대상
구분
적용 대상
보안 영역
ESM/
TSM
방화벽
IPS/
IDS
웹방화벽
PC 보안
솔루션
웹서버/
서버군
네트워크
장비군
프락시 DB 목록- 웹 프락시
O
선택
선택
O
O
선택
선택
웹서비스
프락시 DB 목록- Socks 프락시
O
O
O
O
O
O
O
웹/네트워크
비할당 IP 대역 목록
O
O
O
O
O
O
O
네트워크
유해사이트 IP 대역 목록
O
O
O
O
O
O
O
네트워크
트로이목마 & 포트스캐너 IP 대역 목록
O
O
O
O
O
O
O
네트워크/PC
웹 Bot 및 스파이더 IP 대역 목록
O
O
O
O
선택
O
O
웹/네트워크
스파이웨어 IP 대역 목록
O
O
O
O
O
O
O
네트워크/PC
해킹에 의한 탈취로 신고된 IP 대역 목록
O
O
O
O
O
O
O
네트워크
국제적으로 차단 권고된 IP 대역 목록
O
O
O
O
O
O
O
네트워크
악성 P2P서버 IP 대역 목록
O
O
O
선택
O
O
O
네트워크/PC
특정 국가별 IP 대역 목록
O
O
O
O
선택
O
O
네트워크
전세계 주요 회사 및 기관별 IP 대역 목록
O
O
O
O
O
O
O
네트워크
전세계 주요 교육 및 연구소별 IP 대역 목록
O
O
O
O
O
O
O
네트워크
전세계 Microsoft사 IP 대역 목록
선택
선택
선택
선택
선택
선택
선택
네트워크
6
5. 서비스 제공 내역
• 기본 서비스
구분
선택 사항
서비스 주기
프락시 DB 목록- 웹 프락시
기본
Daily
프락시 DB 목록- Socks 프락시
기본
Daily
비할당 IP 대역 목록
기본
Monthly
특정 국가별 IP 대역 목록
기본
Monthly
전세계 Microsoft사 IP 대역 목록
기본
Monthly
구분
선택 사항
서비스 주기
유해사이트 IP 대역 목록
옵션
Monthly
트로이목마 & 포트스캐너 IP 대역 목록
옵션
Monthly
웹 Bot 및 스파이더 IP 대역 목록
옵션
Monthly
스파이웨어 IP 대역 목록
옵션
Monthly
해킹에 의한 탈취로 신고된 IP 대역 목록
옵션
Monthly
국제적으로 차단 권고된 IP 대역 목록
옵션
Monthly
악성 P2P서버 IP 대역 목록
옵션
Monthly
전세계 주요 회사 및 기관별 IP 대역 목록
옵션
Monthly
전세계 주요 교육 및 연구소별 IP 대역 목록
옵션
Monthly
비용
비고
기본 적용은 1 Site(도메인) 기준
장비 3대까지, 적용 장비 및 Site
추가 시 별도 협의
• 선택 서비스
비용
비고
기본 적용은 1 Site(도메인) 기준
장비 3대까지, 적용 장비 및 Site
추가 시 별도 협의
*의무 계약 기간: 1년(기본 및 선택서비스 모두 계약시 10% 할인), 총 2년 계약시 20% 추가 할인, 총 3년 계약시 30% 추가 할인
7
6. 정보 수집 대상 및 참조 근거
•
국제 공인 기구
·ICANN ·NIC ·IANA ·AFWG 등 약 20여개 기관
• Vendor
·Microsoft ·RedHat Linux ·Cisco ·CheckPoint
·eMule 등 약 30여개사
• 검색 엔진
·Google ·Yahoo ·MSN ·Astalavista
·Blackice ·ZoneAlarm ·Sygate ·Blockpost ·Kazaa
등 약 10여개사
• 커뮤니티
·’Securityfocus’ 등 해당 분야별 전문 사이트 및 포럼 약 400여개 이상
• 관련 문헌 및 자료
·’Forbes’ 등 관련 Document 및 자료 등 약 100여점 이상
8
7. 서비스 적용 대상
구분
기존 각 솔루션 및 장비 ‘Vendor’ 별 지원 사항
ESM/
TSM
방화벽
IPS/
IDS
웹방화벽
PC 보안
솔루션
웹서버/
서버군
네트워크
장비군
Transparent
사후 지원
X
X
X
X
X
X
Anonymous
사후 지원
X
X
X
X
X
X
High-Anonymity
X
X
X
X
X
X
X
Socks 4/5
X
X
X
X
X
X
X
비할당 IP 대역 목록
X
X
X
X
X
X
X
유해사이트 IP 대역 목록
X
X
X
X
일부 지원
X
X
트로이목마 & 포트스캐너 IP 대역 목록
일부 지원
일부
지원
X
X
X
X
X
웹 Bot 및 스파이더 IP 대역 목록
X
X
X
일부지원
X
X
X
스파이웨어 IP 대역 목록
X
X
X
X
X
X
X
해킹에 의한 탈취로 신고된 IP 대역 목록
일부 지원
일부
지원
일부
지원
X
X
X
X
국제적으로 차단 권고된 IP 대역 목록
일부 지원
X
일부
지원
X
X
X
X
악성 P2P서버 IP 대역 목록
X
X
X
X
X
X
X
특정 국가별 IP 대역 목록
X
X
X
X
X
X
X
전세계 주요 회사 및 기관별 IP 대역 목록
X
X
X
X
X
X
X
전세계 주요 교육 및 연구소별 IP 대역 목록
X
X
X
X
X
X
X
프락시 DB 목록
9
8. 서비스 비교
제안사
솔루션 및 장비별
Vendor
사용자 입력
O
제한/ 개별적
제한/ 개별적
Daily ~
불특정
불특정
30만건 이상
수십~수백건
불특정
○
X
수동 테스트
단일 검증
시스템에서만
수만건 이상
검증 안함
수백건
프락시 자동 설정 소프트웨어 제공
○
X
X
프락시서버 정보 수집 DB 제공
○
O
수동
추가 서비스(IP추적/ 클라이언트식별 / 차단
기능 등) 제공 가능여부
○
X
X
한국실정에 맞는 한국형 검증 여부
○
X
X
커스터마이징 가능 여부
○
X
X
서비스 항목
종합적이고 체계적인 DB 제공 여부
서비스 주기
정보 수집/ 제공 규모(일)
검증(LIVE)된 프락시서버 정보 제공
일일 검증 가능 수(능력)
10
•
블랙리스트 DB
#1 – ‘프락시 DB 목록’
11
1-1. 현 문제 및 배경
웹서버
Proxy 서버
우회 경로 및
Real IP 확인
불가
=
범죄자
피해 재발!
•
•
•
•
•
프락시서버를 통한 우회 접속 사용자는 대부분 문제를 일으킬 수 있는 잠재적 위험요인이자 해커가 대부분
프락시서버를 통해 주로 “피싱, 해킹, 온라인사기, 사이버테러 등”이 자행되고 있어 보안의 아킬레스건
프락시서버는 전세계에 수만대 이상이 분포하고 있고, 상태 변화가 심해 지속적 추적관리가 어려움
프락시서버의 리스트를 기존 수작업 등에 의해 관리하기에 방대한 양이고 지속성과 검증이 어려움
프락시서버는 지속성이 없이 계속 생성 및 소멸이 잦아 기 구축 리스트의 최신 현황 유지의 한계점 발생
-> 항상 최신화되고 검증된 프락시서버 리스트를 보유하고, 이를 보안정책 및 장비/ 서비스 장비에 적용할시
위협 관리가 가능함
12
1-2. 서비스 개요
방대한 전세계 주요 프락시 서버 리스트 정보를 수집/ 검증(Live 체크)하여 고객사에 Daily 제공
기존 수작업의 한계와 지속적인 정보 수집과 검증의 곤란함을 해결하는 유용한 정보제공 서비스
-서비스 주기와 범위: 일일 1만개 이상의 DB와 유효성 검증된 수천개의 Live 데이터 제공
-프락시 정보 수집: 수천개의 사이트 대상 수동/자동화 툴에 의한 방대한 규모의 원시 데이타 생성(수만개 이상/일)
-분석/ 가공: 1차 생성된 DB중 전문가의 필터링(중복 등)을 통한 1차 DB 생성(1만개 이상/일): 서비스 제공 내역 포함
-유효성 검증: 자동화된 프락시 검증 시스템을 통해 Live한 2차 DB 생성(수천개 이상/일): 서비스 제공 내역 포함
고객사
서비스 제공사
프락시 정보 제공(Daily)
보안 장비
관리자
프락시 정보 수집
시스템
전문가:
분석/ 가공
유효성 검증
자동화 시스템
웹서버
프락시 관리 서버
13
1-3. ‘Proxy Management Service’의 필요성
보안 수준 및 위협 관리의 강화
매일 최신화된 검증된 DB를 제공받아, 이를 보안 정책(보안장비 포함)에 반영시 보안 수준의 제고와 위협관
리가 강화됨
기 구축 프락시서버 리스트에 대한 검증 가능
기 구축 프락시서버 리스트에 대한 자동화된 검증이 가능(고객사 보유 프락시 서버 리스트에 대한 검증 서비
스 추가 제공 가능)하여 오 정책 적용의 위험성을 줄일 수 있음
기존 수작업의 어려움과 제약을 극복
기존 수작업을 통한 프락시서버 정보 수집의 시간적, 비용적, 인력적 낭비 요인을 줄일 수 있는 ‘서비스 제공
사’의 자동화된 시스템을 통한 Daily 서비스로 편리성과 지속성이 보장
비용 및 시간의 절감
전문화된 아웃소싱 서비스 제공을 통해 고객의 비용과 시간을 절감할 수 있음
커스터마이징 서비스 제공
고객에 특화된 커스터마이징 서비스를 제공할 수 있어 고객만족 극대화 가능
14
1-4. 서비스 비교
Proxy
Management
Service
프락시 정보
수집 소프트웨
어 방식
프락시 자동
설정 소프트웨
어 방식
인터넷 검색
(수작업/반자동)
Daily
불특정
불특정
불특정
수만개 이상
수백건~수천건
수십~수백건
불특정
검증(LIVE)된 프락시서버 정보 제공
○
X
X
수동 테스트
일일 프락시서버 검증 가능 수(능력)
단일 검증
시스템에서만
최소 1만개 이상
검증 안함
검증 안함
수백건
프락시 자동 설정 소프트웨어 제공
○
X
O
X
프락시서버 정보 수집 DB 제공
○
O
X
수동
추가 서비스(IP추적/ 클라이언트식별
/ 차단 기능 등) 제공 가능여부
○
X
X
X
한국실정에 맞는 한국형 검증 여부
○
X
X
X
커스터마이징 가능 여부
○
X
X
X
서비스 항목
서비스 주기
프락시서버 정보 수집/ 제공 규모(일)
15
1-5. 서비스 제공 내역
서비스 항목
기본
서비스
추가
서비스
Proxy Management Service
서비스 제공 주기
Daily
프락시서버 정보 수집 1차 DB(검증 단계 이전의 원시데이타에
대해 중복 및 불량 리스트를 제외한 리스트)
최소 1만개 이상/일
프락시서버의 유효성(Live)이 검증된 2차 DB
최소 수천개 이상/일
프락시 자동 설정 자체 소프트웨어(제품명: AutoProxy) 제공
관리자 테스트용
요청시 기술 지원 및 분석 지원
고객 대응
실시간 Real IP추적(웹서비스) 기능/ 클라이언트 식별 기능/
웹방화벽과 연동한 차단 기능 등
제공 가능
고객사 기 구축 프락시서버 리스트 검증 서비스
제공 가능
커스터마이징 가능 여부
제공 가능
16
1-6. 운영 시스템 동작화면 스크린샷
프락시 검증 결과
(LIVE 프락시 목록 추출)
프락시 검증시
동작화면(성공)
프락시 자동 설정
S/W 동작화면
프락시 검증시
동작화면(실패)
17