인젠 연구소 양봉열 opensecurity.kr 고객의 문제 난 안전함을 원해! 그런데.. 어떤 제품을 선택해야 하나? 완벽하게 보안하려니 돈이 너무 많이 들잖아? 도입은 했는데 알아서.
Download
Report
Transcript 인젠 연구소 양봉열 opensecurity.kr 고객의 문제 난 안전함을 원해! 그런데.. 어떤 제품을 선택해야 하나? 완벽하게 보안하려니 돈이 너무 많이 들잖아? 도입은 했는데 알아서.
인젠 연구소 양봉열
opensecurity.kr
고객의 문제
난 안전함을 원해! 그런데..
어떤 제품을 선택해야 하나?
완벽하게 보안하려니 돈이 너무 많이 들잖아?
도입은 했는데 알아서 다 안 해주나?
장비가 너무 많아서 관리하기가 힘들어!
대체 무슨 일이 일어나고 있는 거야?
남들은 이런 경우 어떻게 대응하지?
맨날 똑같은 일 지긋지긋 해!
이렇게 된다면?
잘 고르려면?
한 번에 보안 솔루션을 비교 검증
○ 도입 필요성, 개요, 인증 여부
○ 실제 고객의 평판
○ 레퍼런스 사이트 비교
○ 일괄 제안 또는 데모 요청 / 입찰가 비교
○ BMT 주관
이렇게 된다면?
TCO를 줄여주는 보안 SI
규모와 상황에 따라 오픈 소스 사용
○ 고속, 대용량이 필요하다면 유료 솔루션
○ 그 외에는 오픈소스 솔루션
○ 필요한 경우 커스터마이징
유기적인 보안 플랫폼의 구축
전부 다 비싼 돈 내고 살 필요는 없다!
ASP 모델
웹 호스팅 모델처럼 무료 트래픽 양을 제한
이렇게 된다면?
집단 지성을 이용하는 똑똑한 솔루션
외부 정보원을 통한 위협 가능성 수집
○ 취약점 보고서로부터 메타 데이터 추출
다양한 실무자의 참여로 공개 ISAC 구축
○ 서버 관리자, 보안 관리자, 독립 보안 연구자
실제 관제 이력을 끌어모아 패턴 DB화
○ 사고분석 보고서의 로그 스냅샷 자동 추출
○ 정부 보안 기관의 사고 분석 활용
자동 수집된 블랙리스트 공개 및 방화벽 자동 차단
보안 정책의 공유
○ 검증된 자동 대응 스크립트를 입맛대로 사용
보안 대시보드 위젯 제작 및 공유 지원
이렇게 된다면?
고객 환경에 적응적인 똑똑한 솔루션
자동 오탐 제거
○ 침입 정보의 표준화
Snort Rule로 통합되어 간다면 충분히 가능
○ 운영체제 종류 및 패치 정보 수집
○ 소프트웨어 버전 정보 수집
○ 취약점 정보 수집
수동 오탐 제거
○ Top 10을 주기적으로 확인하여 Rule 튜닝
이렇게 된다면?
대규모 일괄 정책 편집 지원
장비 유형과 위치 정보로 그룹 분류
각 그룹별 일괄 보안 정책 적용
예: NAC Center
○ 특히 관제센터에서는 꼭 필요한 기능
일관된 관점의 상태 정보 수집
이렇게 된다면?
현재 상황 파악
Overview
○ 시각적인 패턴 분석
○ 조기 경보
새로 발표된 취약점과 패치 상황
현재 유행하는 공격 및 대응 방안 제시
Zoom & Filter
○ 이상 징후를 보이는 자산이나 세션 확인
○ 관련 있는 로그 자동 추적
Details on demand
○ 원시 로그 수준까지 추적
이렇게 된다면?
플랫폼 API를 공개하고 스크립팅 지원
정보 자동 수집
예시
○ 취약점 정보 확인
○ 패치 릴리즈 확인
○ 보안 관련 블로그
사용자 정의 필터링 지원
○ 꼭 필요한 보안 정보만 구독
해야 할 일
공개형 보안 플랫폼의 구축
누구나 참여 가능한 보안 포탈의 구축
○ 자발적인 사용자 참여를 이용하여 정보 구축
보안 정보, 제품 정보, 서버 운영 노하우,
질문 답변, 연관 패턴 등
누구나 사용 가능한 공개 보안 도구 구축
○ 오픈 소스 통합보안시스템을 제공하고,
○ 로그 통계 및 차단 정보 수집
외국이 아닌 진짜 국내 보안 데이터를 얻을 수 있음
해야 할 일
성능의 고도화
필요성
○ 방대한 데이터를 해석하기 위한 필수 요소
○ 저장 및 검색 속도가 뒷받침되어야 분석 가능
로그 검색 엔진 개발
○ Boolean 검색 지원
○ 실시간 증감 인덱싱
○ 수평적 확장성 보장
○ 정확도 100% 필요
○ 수십 테라까지 검색 속도 보장
해야 할 일
보안 위젯 개발
데이터 소스 + 컨트롤 = 위젯
어떻게?
○ 데이터 소스 정규화
○ 쉬운 데이터 가공 방식 개발
○ 다양한 컨트롤 개발
외부 사이트의 Embedding 지원
○ 플래시 위젯은 아예 퍼가는 것도 가능
○ 레드윙 참고 : http://red.miwing.com/
○ 아마존은 블로그에서 상품 진열/구매도 가능
누구랑 협력하면 좋을까?
ETRI
보안 분야 신문, 잡지
시각화 기술
그렇지만 ETRI 없어도 원서 참조해서 개발하면 됨
http://www.boannews.com/
개인화 된 포털 개발사
서버 관리자 모임
위자드 웍스 (위젯) : http://wzd.com/
http://www.superuser.co.kr/
○ 보안/해킹 툴 프로젝트
언더그라운드 해커 그룹
검색 엔진 개발자 그룹
http://irgroup.org/
수익 모델
보안 플랫폼 기반 컨설팅
기술지원 팩 판매
스크립트 판매
빠르고 세밀한 분석 지원 필요
설치 지원, 유지보수
플러그인
검증된 연관 룰
자동 대응 스크립트
커스터마이징
ASP 사업
광고
보안/네트워크 장비 등
보안 플랫폼의 실질 표준화 (De facto)
시장을 우리가 주도할 수 있게 됨
부록 : 구현 기술
Python Powered!
Portal / Web Console
○ Django Web Framework
○ Host by Apache + mod_python
Server
○ Twisted Network Framework
Custom Log Stream Protocol
XML-RPC Protocol
부록 : 아키텍처
Widgets
Message Bus
Statistics
Plugin
DataSource
Plugin
Reaction
Plugin
Collector
Plugin
Analyzer
Plugin
Archive
Plugin