UZENi

데이터보안팀

조응진

October 2012

2012 Database Grand Conference 10th

리스크와 컴플라이언스 관점의 취약점 추적 관리

1

발표내용

목차:

이야기 들어보기…

• Verizon Report

• AppSecurity Survey

• 결론은?

찾아보기…

• Risk, Compliance, Vulnerability

스캔을 해보니…

• 취약점 분석 절차

• 기존 취약점 분석의 안타까움

• 차세대 취약점 분석의 요건

2

이야기 들어보기… Verizon 2012 DBIR(Data Breach Investigation Report)

WHO IS BEHIND DATA BREACHES?

stemmed from external agents (+6%)

implicated internal employees (-13%)

committed by business partners (<>)

of all data theft tied to activist groups

3

이야기 들어보기… Verizon 2012 DBIR(Data Breach Investigation Report)

HOW DO BREACHES OCCUR?

utilized some form of hacking (+31%)

incorporated malware (+20%)

involved physical attacks (-19%)

employed social tactics (-4%)

resulted from privilege misuse (-12%)

4

이야기 들어보기… Verizon 2012 DBIR(Data Breach Investigation Report)

WHAT COMMONALITIES EXIST?

of victims were targets of opportunity (-4%)

of attacks were not highly difficult (+4%)

of all data compromised involved servers (+18%)

of breaches took weeks or more to discover (+6%)

of incidents were discovered by a third party (+6%)

of breaches were avoidable through simple or intermediate

controls (+1%)

of victims subject to PCI DSS had not achieved compliance

(+7%)

5

이야기 들어보기… Application Security, INC “Data Security at An Inflection Point: 2011 Survey of Best Practices and Challenges”

현재 보안 위협을 상승 시키는 요소는 무엇이라고 생각하십니까?

6

이야기 들어보기… Application Security, INC “Data Security at An Inflection Point: 2011 Survey of Best Practices and Challenges”

그럼 보안 위협에 대한 대응 방안은 무엇이라고 생각하십니까?

7

이야기 들어보기… Verizon 2012 DBIR(Data Breach Investigation Report)

보고된 사고의 예방 조치 비용과 기술적 수준은?

63%

Simple

Cheap

8

이야기 들어보기… 결론은?

1. 데이터 보안에 리스크 기반의 접근 방식이 필요하다. • 월드와이드 보안규정(컴플라이언스)은 데이터 보안 문제에 주의를 집중한다. • 데이터베이스 서버는 데이터 침해의 주요 소스이다. • 가장 취약한 데이터 소스에 자원을 집중해야 한다.

1%/1%

<1%/<1%

3%/<1%

7%/34%

60%/35%

64%/94%

Unknown

Network Infrastructure

Offline Data

People

User Devices

Servers

Categories of compromised assets by percent of breaches

And percent of records

Breaches/Records

Sources: Verizon Business Data Breach Investigation Report 2011

9

이야기 들어보기… 결론은?

2. 새로운 목표 설정이 필요하다.

효과적인 보안 프로세스 관리

Re-Active < Pro-Active

요구준수: Check & Balance

ROSI(Return On Security Investment)

향상

10

찾아보기… Risk, Compliance, Vulnerability

Risk: 특정 위협이 특정 취약점을 악용할 수 있다는 가능성(NIST SP 800-40) Threat: 시스템 피해가 발생할 가능성이 있는 의도적인 상황의 실현이나 실행(NIST SP 800-40)

11

찾아보기… Risk, Compliance, Vulnerability

Risk관리는 프로세스로서 다음의 세 가지를 포함하고 있음(NIST SP 800-30)

RM Process

Risk Assessment Risk Mitigation Evaluation &

Assessment

12

찾아보기… Risk, Compliance, Vulnerability

Compliance의 종류

SOX HIPAA Basel II FISMA GLBA DPA

SysTrust FRCP

FACTA Sec Rule 17a

개인정보보호법

PCI-DSS ISO27000 ISO9000 ISO20000 ISO19011 ISO13335 ISO21827 ISO15408 ISO15504 ISO19770 ISO10770

NIST SAS70

IT/Security Requirements

Regulatory Compliance

IT Compliance

13

찾아보기… Risk, Compliance, Vulnerability

Compliance별 Control Objectives vs. Security Requirements

Database 감사 요구사항 SOX PCI DSS

HIPAA Basel

II FISMA GLBA

계정, 역할, 권한과 관련된 작업 (Accounts, Roles & Permissions): Do you have visibility of GRANT and REVOKE activities?

● ● ● ● ● ●

실패한 로그인 (Failed Logins): Do you have visibility of failed logins and other exception activities?

● ● ● ● ● ●

높은 권한의 사용자 작업 (Privileged User Activity): Do you have visibility of users activities?

● ● ● ● ● ●

민감한 데이터에 대한 접근 (Access to Sensitive Data): Can you have visibility into what information is being queried(SELECTs)?

● ● ● ● ●

스키마 구조의 변경 작업 (Schema Changes): Are you aware of CREATE, DROP and ALTER Commands that are occurring on identified Tables/Columns?

● ● ● ● ● ●

데이터 변경 작업 (Data changes): Do you have visibility into Insert, Update, Merge, Delete commands?

● ●

14

찾아보기… Risk, Compliance, Vulnerability

Vulnerability: 시스템에 존재하고 있는 약점으로서 악의적인 사용자의 주 공격 루트가 되는 Security Hole

취약점

Vendor Bugs

Misconfigurations Poor Architecture

Incorrect Usage

15

찾아보기… Risk, Compliance, Vulnerability

Vulnerability Assessment(취약점분석): 공격자의 눈으로 대상 DBMS의 내외부에 존재하는 Security Hole을 찾아 위험도를 측정 분류하고 대응 방안과 대안을 권고하는 것

Scanning

Hackers Eye

View

Outside-In

(Pen-Test)

Inside-Out

(Security Audit)

Identifies

-Vulnerabilities

-Misconfigurations

-User Right &

Role Permissions

Report

16

찾아보기… Risk, Compliance, Vulnerability

Vulnerability Assessment(취약점분석): 분석을 위한 취약점 데이터는 월드와이드 스탠다드가 적용되어 있어야 함

17

찾아보기… Risk, Compliance, Vulnerability

Vulnerability Assessment vs. Penetration Test

• 종종 헛갈리게 사용됨 • VA가 Pen-Test로 잘못 표현되거나 VA의 주기능이 Pen-Test에 있다고 판단하기 때문 • VA는 잠재적인 취약점을 식별하는 테스트 • Pen-Test는 취약점을 악용함으로써 식별된 취약점을 검증하는 VA의 보완재

Note: Vulnerability Assessment의 중심 기능은 잠재적인 취약점 식별, 취약점 검증, 오탐 방지 및 제거.

18

찾아보기… Risk, Compliance, Vulnerability

Vulnerability Assessment Solution / Tool

• 보안 구축 순서상 가장 먼저 갖추어야 할 도구 • 정보 시스템 보안의 실질적인 행동지침을 알려주는 도구 • 보안의 활동 및 과정(Process)에 효과적인 도움을 주는 도구

취약점 분석 툴의 5대 요건

취약점 분류 취약점 해소 방법

취약점 발견

취약점간 관계 정의

시스템에 미치는 영향 분석

19

스캔을 해보니… 데이터베이스 취약점 분석 실행

취약점 분석 방식 및 절차(KDB 데이터베이스 보안 가이드 라인)

20

스캔을 해보니… 데이터베이스 취약점 분석 실행

리포트가…

모의 침투 - 발견 취약점 건수 보안감사 - 발견 취약점 건수

분석항목(category)

취약건수(Item/objects) 분석항목

(category) 취약건수(Item/objects)

6개 Category 242 Item

55 / 55

8개 Category 468 Item

213 / 1,695

55 / 55 221 / 3,783

54 / 54 222 / 2,911

0

5

10

15

20

25

30

35

40

HIG

H

MED

IUM

LOW

40

132

HIGH

MEDIUM

LOW

3

Denial ofServices

2

PasswordAttacks

2TNS Attack

44Vulnerabilities

3

BufferOverflow

1Configurations

21

스캔을 해보니… 데이터베이스 취약점 분석 실행

보안담당자와 DBA는…

Risk

Compliance 대응 Vulnerabilities

처리

Are we Secure?

DB 만?

22

스캔을 해보니… 멀티레벨 스캔이 가능해야

데이터의 생명주기 및 서비스 경로를 대응할 수 있는 분석이 필요하다.

• 네트워크 보안 -시스템 및 네트워크 장비에 대한 보안 취약점 및 설정 오류 점검

• 데이터베이스 보안 -데이터베이스 보안 감사 및 모의 침투 테스트

• 웹 애플리케이션 보안 -웹 서버 / 웹 애플리케이션 취약점 점검

• 보안성 평가 -기업 내부 보안 설정 및 컴플라이언스 이행 평가

• 가상화 시스템 보안 -가상화 시스템(자산)에 대한 동적 관리 및 취약점 점검

• 보안 취약점 검증 및 위험 평가 -실제 공격에 악용될 수 있는 취약점 확인 및 위험 평가

23

스캔을 해보니… 운영 효율성 효익이 높아야

유연한 통합 대시보드와 현황 분석 리포트가 제공되어야 한다.

• 중앙 집중화된 취약점 관리 -관리자(권한별) 대시보드를 통한 다양한 취약점 통계 및 현황 분석

• 신속한 취약점 조치 및 이력 관리 -취약점 조치 가이드 제공 및 조치 사항에 대한 결과와 실적 관리

• 다양한 이행 점검 보고서 -PCI DSS, HIPPA, FISMA 등 산업 표준에 따른 보안 컴플라이언스 보고서 (ASV 인증 솔루션: PCI DSS, HIPPA 컴플라이언스 등에서 인정/승인한 진단 솔루션) -다양한 출력 방식(HTML, XML, CSV, DB Export, HWP 등)

• 타시스템(관리/관제 시스템)과의 결과 데이터 연동 -API 방식, DB Schema

• 취약점 데이터의 갱신이 용이성 -새롭게 발표된 취약점 데이터의 적용이 용이해야 -새로운 데이터의 적용 주기가 되도록 빨라야 -데이터 적용 전 대안(대응 가이드)이 제시되어 한다.

24

스캔을 해보니… 추적(이력관리)이 원활해야

추적관리는 ①솔루션 측면 ②취약점 정보 측면 ③진단 서비스 측면으로 구분, 관리 되어야 한다. ① 솔루션 측면

• 검출된 취약점의 조치사항에 대한 결과와 이행 실적의 관리 • 스캔 회차별 Fixed / UnFixed / New 등 검출된 취약점의 이력 추적 용이 • 각종의 통계 및 컴플라이언스 보고서에 적용 • 정규 패치 전 대안을 적용했던 부분의 이력관리 필요

25

스캔을 해보니… 추적(이력관리)이 원활해야

추적관리는 ①솔루션 측면 ②취약점 정보 측면 ③진단 서비스 측면으로 구분, 관리 되어야 한다. ② 취약점 정보 측면

• 각 벤더의 취약점 보고, 보안 알림, 패치 알림 등의 정보에 민감해야 함 • 취약점 정보를 제공하는 공인된 기관의 메일링 리스트, RSS 구독 • 보안 전문가 커뮤니티 가입, 활동 • 유명 기관의 보안 보고서 정기 구독

26

스캔을 해보니… 추적(이력관리)이 원활해야

추적관리는 ①솔루션 측면 ②취약점 정보 측면 ③진단 서비스 측면으로 구분, 관리 되어야 한다. ③ 진단 서비스 측면

• 보안진단(취약점 진단) 서비스 활용 및 DB보안 인증(DQC-S) 취득 -데이터 보안 인증이란 공공·민간에서 구축·활용 중인 데이터베이스를 대상으로 접근제어, 암호화, 취약점분석, 작업결재 등 데이터베이스 보안에 구체적인 체계를 마련하고 기술요소 전반을 심사하여 인증하는 것 -데이터보안인증기관: 한국데이터베이스 진흥원 (www.kdb.or.kr) -데이터보안인증홈페이지: www.dqc.or.kr

27

이상입니다.

^^ 감사합니다. ^^