future ppt format - egloospds23.egloos.com/pds/201112/14/57/kradar-2011-12-12.pdf · • 대용량...
TRANSCRIPT
Future Advanced Security Fair 2011 Future Advanced Security Fair 2011
WeGuardia™ K·Radar
시큐리티 인텔리전스 플랫폼
2011년 12월 13일 엔초비팀장 양봉열
www.future.co.kr
Future Advanced Security Fair 2011
목 차
WeGuardia™ K·Radar 소개
WeGuardia™ K·Radar 기능
빅 데이터(Big Data) 시대
WeGuardia™ K·Radar 플랫폼
www.future.co.kr
Future Advanced Security Fair 2011
빅 데이터(Big Data) 시대
대용량 로그 관리 현실
빅 데이터(Big Data)
기존 관제 시스템 한계
Future ASF 2011
빅 데이터(Big Data)
DB
파일서버
웹서버 무선AP
무선 모바일 단말
유선 PC 단말
수많은 네트워크, 서버, 보안 장비
테라바이트(TB), 페타바이트(PB) 단위의 로그 데이터
Future ASF 2011
대용량 로그 관리 현실
대용량 로그
처리속도/
공간한계
비정형
원본 데이터
처리 불가
수작업 로그
감사 및 분석
통계 리포트
가공의 어려움
Future ASF 2011
• 당일 공개 취약점에 대한 공격 발생 추이 확인 방법은?
• 아웃바운드 접속 로그 중 해외 목적지 IP 주소 통계는?
• 미 출근 직원의 시스템 로그인 기록 확인 방법은?
• 공격자 침입 시스템의 타임라인 구성 방법은?
• 웹프록시 로그 중 C&C, 악성코드 유포지 접속 PC는?
• APT 시대에 아직도 TOP 10 정보만 볼 수 있다?
기존 관제시스템 한계
• S/W 설치 내역과 취약점 연관 오탐 제거 방법은?
• 취약한 해외지사의 VPN 연결을 통한 웹쉘 업로드 탐지 방법은?
• DDoS 장비의 탐지된 TOP IP 목록을 FW에 연동 및 차단 방법은?
• 로그 분석을 통한 침입 시도 자동 탐지 방법은?
• 로그 업로드 시 관련 정보 및 대응지침을 찾는 방법은?
단순한 리포팅
분석과 대응 한계
www.future.co.kr
Future Advanced Security Fair 2011
WeGuardiaTM K·Radar 소개
통합 관제 체계 발전
시큐리티 인텔리전스
WeGuardia™ 통합 보안 체계
Future ASF 2011
통합 관제 체계 발전
종합분석시스템
보안 인텔리전스
ESM (보안관제)
NMS (네트워크 관제)
TMS (위협분석 및 관리)
RMS (취약점 탐지 및 관리)
Future ASF 2011
시큐리티 인텔리전스
네트워크 장비 (스위치, 라우터, AP)
단위 보안 솔루션 (IPS, DDoS, AV 등)
애플리케이션 서버 (응용 로그)
서버 에이전트 (성능/무결성, 웹쉘 탐지)
통합 로그 수집
자동화된 로그분석
이벤트 관제
자동화된 대응
검색 및 통계 쿼리
이슈 대응
문맥연관 분석, 오탐제거
상황인지
상황전파 및 이슈 추적 관리 타 솔루션 연동, 경보, 리포팅
•모든 비정형 데이터 수집
•시스템 취약성 스캔(OVAL)
•로그기반 침입탐지
Future ASF 2011
시큐리티 인텔리전스
모든 로그 통합 및 커스터마이즈 된 보안 운영체계 구축
대용량 비정형 로그
실시간 고속 수집
로그분석
스크립트를 이용한
자동화 분석
대응 스크립트를
이용한
자동화 대응
로그 통계 쿼리를
이용한
유연한 분석
WeGuardia™ K·Radar
Future ASF 2011
WeGuardiaTM 통합 보안 체계
WeGuardiaTM XTM
방화벽, VPN, IPS
WeGuardiaTM DDoS
DDoS 차단
WeGuardiaTM ES
엔드포인트 보안
WeGuardiaTM IPS
침입방지
• 대용량 실시간 분산 처리
• 비정형 데이터 검색 및 통계
• 로그분석 및 대응 자동화
• 네트워크, 서버, 단말 통합관제
WeGuardiaTM K·Radar
지능적인 대용량 로그 분석 및 대응
• CERT 예경보, 보안뉴스
• 익스플로잇, 취약점
• 국내 홈페이지변조현황
• 전세계 보안 동향
StormCast (S-ISAC)
최신 보안 동향 수집
WeGuardiaTM WIPS
무선 보안
WeGuardiaTM FW
방화벽
WeGuardiaTM SSLplus
SSL VPN, 방화벽
Future Advanced Security Fair 2011
www.future.co.kr
WeGuardiaTM K·Radar 기능
STORMcast 및 다이나믹 대시보드
강력한 로그 분석
다차원 분석 및 맵 에디터
서버 및 네트워크 관제
로그 기반 침입 탐지 패턴
대응 스크립트 기반 자동화
Future ASF 2011
STORMcast 및 다이나믹 대시보드
Future ASF 2011
STORMcast 및 다이나믹 대시보드
보안 정보
통합검색엔진
6,800
2,621
10,044
25,482
18,946
48,720
13,675
9,915
- 10,000 20,000 30,000 40,000 50,000 60,000
KrCERT 통계
사이트 변조
익스플로잇
취약점 권고문
SANS 통계
CVE
보안뉴스
보안블로그
STORMcast 보안 정보 건수
<2011.12.04 기준 통계>
2008년 4월 부터 엔초비 인터넷 스톰 센터 운영
보안 정보 인덱싱을 통한 로그, 이벤트 분석 및 대응
Future ASF 2011
STORMcast 및 다이나믹 대시보드
실시간 최신 보안정보 수집 및 통합 검색
Future ASF 2011
STORMcast 및 다이나믹 대시보드
TOP 공격 IP
TOP 피해 IP
TOP 공격 국가
실시간 이벤트
전체 트래픽 추이
TOP 공격 패턴 토폴로지 맵
Future ASF 2011
강력한 로그 함수
table
datasource
stats
timechart
sort
rename
lookup
search
fields
avg
count
dc
first
last
sum
max
min
per_hour
단일 테이블
다수의 데이터소스
그룹별 통계
시간대별 추이
정렬
컬럼 재명명
사전 조회
검색
필드 선택
평균
유효값의 수
유일한 유효값 수
첫 유효값
마지막 유효값
유효값의 합
최대값
최소값
단위시간당 평균값
로그 쿼리 문법과 함수
Future ASF 2011
강력한 로그 분석
table xtm8000\syslog | search rule == 1234 | timechart span=1m count
1234 룰로 검색하여 1분 단위로 로그 발생 시간 추이 조회 결과 출력
특정 패턴을 이용한 공격 추이
table xtm8000\syslog | lookup geoip dip output country | search country !=KR |
stats count by dip | sort -count
GEOIP 조회로 KR이 아닌 모든 아웃바운드 로그를 목적지 IP 별로 통계 후 내림차순 정렬
해외 아웃바운드 로그 통계
table xtm8000\syslog | search sip == 1.2.3.4 | stats min(_time) as d by dip | sort d
공격자 IP 1.2.3.4 에서 접근 시도한 타겟 시스템들의 IP 별 최초 Access Time을 오름차순 정렬
특정 공격자 IP의 시스템별 접근 타임라인
Future ASF 2011
강력한 로그 분석 : IP 국가 통계 예시
사전 조회와 통계를 조합한 로그 분석
Future ASF 2011
다차원 분석 및 맵 에디터 : 차트 추가
데이터 쿼리를 통한 다양한 차트 제공
쿼리 확인 쿼리 가공 차트 속성 지정
기간 선택 및 DB 쿼리문을 이용한
쿼리 결과 확인
선택한 쿼리에 대한
차트 타입 선택 및 항목 설정
선택한 쿼리에 대한
차트 이름 및 기타 속성 지정
Future ASF 2011
다차원 분석 및 맵 에디터 : 차트 추가
데이터 쿼리를 통한 다양한 차트 제공
쿼리 확인 쿼리 가공 차트 속성 지정
기간 선택 및 DB 쿼리문을 이용한
쿼리 결과 확인
선택한 쿼리에 대한
차트 타입 선택 및 항목 설정
선택한 쿼리에 대한
차트 이름 및 기타 속성 지정
Future ASF 2011
다차원 분석 및 맵 에디터 : 차트 추가
데이터 쿼리를 통한 다양한 차트 제공
쿼리 확인 쿼리 가공 차트 속성 지정
기간 선택 및 DB 쿼리문을 이용한
쿼리 결과 확인
선택한 쿼리에 대한
차트 타입 선택 및 항목 설정
선택한 쿼리에 대한
차트 이름 및 기타 속성 지정
Future ASF 2011
다차원 분석 및 맵 에디터 : 차트 추가
데이터 쿼리를 통한 다양한 차트 제공
쿼리 확인 쿼리 가공 차트 속성 지정
기간 선택 및 DB 쿼리문을 이용한
쿼리 결과 확인
선택한 쿼리에 대한
차트 타입 선택 및 항목 설정
선택한 쿼리에 대한
차트 이름 및 기타 속성 지정
Future ASF 2011
다차원 분석 및 맵 에디터 : 차트 추가
데이터 쿼리를 통한 다양한 차트 제공
쿼리 확인 쿼리 가공 차트 속성 지정
기간 선택 및 DB 쿼리문을 이용한
쿼리 결과 확인
선택한 쿼리에 대한
차트 타입 선택 및 항목 설정
선택한 쿼리에 대한
차트 이름 및 기타 속성 지정
Future ASF 2011
트리맵을 이용한 2차원 데이터의 시각화 및 상관분석
다차원 분석 및 맵 에디터 : 다차원 분석
Future ASF 2011
병행축을 이용한 3차원 데이터의 시각화 및 상관분석
다차원 분석 및 맵 에디터 : 다차원 분석
Future ASF 2011
배경화면, 이미지, 연결선 편집
실행 프로그램 및 로그 쿼리 바인딩 설정을 통한 경보 표시와 자동 대응
다차원 분석 및 맵 에디터 : 맵 에디터
Future ASF 2011
서버 및 네트워크 관제 : 서버
네트워크 연결 상태, 프로세스 목록, ARP 캐시, 라우팅 목록 조회
에이전트 로깅 설정을 통해 원격지에서 로그 수집 가능
호스트 별 휴면계정, 취약점 정보, 설치된 SW 목록, 패치 내역, 웹쉘 스캔 등 추가 지원
Future ASF 2011
서버 및 네트워크 관제 : 네트워크
WeGuardiaTM 모델 별
모델링 및 포트 맵핑
포트 Up/Down 반영 및
임계치 깜빡임
로그 조회 연결
NIC 포트 별
TX/RX 추이 그래프
SNMP 설정
(IP 및 커뮤니티)
Future ASF 2011
로그 기반 침입 탐지 패턴
(type: rfi ; id: NCHOVY-2009-0003;
msg: GRBoard 1.8 Multiple Remote File Inclusion Vulnerabilities;
path: /theme/179_squarebox_pds_list/view.php;
var : theme;
reference: http://www.exploit-db.com/exploits/7979/;
cve: CVE-2009-0444; )
Remote File Inclusion 패턴 예시
(type: regex; id: NCHOVY-2005-0002;
msg: Zeroboard 4.1 preg_replace Remote nobody Shell Exploit;
path: /bbs/view.php;
var : keyword;
regex: \/[^\/]*e[^\/]*$;
reference: http://www.exploit-db.com/exploits/15890/; )
정규표현식 패턴 예시
웹 익스플로잇 시도를 웹 로그를 통해 탐지 및 경보
Future ASF 2011
로그인 공격 이벤트가
발생하는 경우
10분간 자동으로
방화벽 차단
트래픽 임계치에
도달한 경우
해당 장비의
최근 트래픽 추이를
메일로 전달
GEOIP 모듈을 활용한
국가 식별 및 메일 경보
대응 스크립트 기반 자동화
방화벽 차단
대응 자동화 경보 메일 스크립팅
특정 국가의
침입시도에 대한
메일 경보
Future Advanced Security Fair 2011
www.future.co.kr
WeGuardiaTM K·Radar 플랫폼
크라켄 플랫폼
크라켄 이니셔티브
크라켄 로그 DB
맵리듀스 분산처리
크라켄 다운로드 및 활용방안
Future ASF 2011
오픈 아키텍처
커뮤니티 지향
클라우드 지향
크라켄 이니셔티브
• 기존 오픈소스 및 타사 솔루션과의 진정한 통합
• 파이썬, 자바스크립트를 이용한 스크립팅 지원
• 완전히 밀착되어 동작하는 분석 및 대응 자동화
• 벤더에서 지원하지 않아도 직접 기능 구현 가능
• 로그분석 및 대응 스크립트의 공유 및 확산
• 커뮤니티를 통한 각종 문제 해결 도움
• 사용자 주도의 확장 모듈 개발
• 빠른 버그 식별 및 즉각적인 사용자 패치 가능
• 오픈소스 SIEM의 클라우드 연동 지원
• 클라우드 관제를 통한 매니지드 서비스 제공
• 수많은 센서 배포를 통한 전세계 위협 동향의 실시간 수집 및 분석, 공유
WeGuardiaTM K·Radar 플랫폼 = 크라켄
Future ASF 2011
크라켄 구성요소
오픈소스 보안 프로젝트 (약 100여 개 모듈) 모든 보안 솔루션의 관리 기반 운영체계
웹 브라우저(콘솔) 액티브 디렉토리 RADIUS 서버
크라켄 베이스
크라켄 GEOIP
크라켄 스톰캐스트
크라켄 파일모니터
크라켄 파이썬
크라켄 센트리
크라켄 웹콘솔
크라켄 설정DB
크라켄 NTP
크라켄 SYSLOG
크라켄 보안 개체 모델
크라켄 로그DB
크라켄 웹공격 탐지
크라켄 로그스토리지
크라켄 로그 API
크라켄 LDAP
크라켄 코덱
크라켄 SIEM
크라켄 SNMP
크라켄 메일
크라켄 SNMP 모니터
크라켄 방화벽 제어
크라켄 RPC
크라켄 BNF
크라켄 RADIUS
크라켄 크론
크라켄 메시지버스
크라켄 코어 (유니버셜 미들웨어)
Future ASF 2011
크라켄 로그 DB
상용 DB에 비해 월등한 입력 성능, 효율적인 스토리지 사용
맵리듀스 엔진을 통한 대규모 분산 쿼리 지원
실시간 압축 저장, 압축된 상태로 쿼리 가능
정규표현식 검색 지원, 로그 검색에 특화된 다양한 쿼리 함수 지원
스크립팅을 통한 다양한 쿼리 가공 및 자동 대응 지원
0
20000
40000
60000
80000
100000
120000
SSD HDD
logs
/ se
c
로그 쓰기 속도
MySQL /50
MySQL /5000
Kraken LogDB
0
50
100
150
200
250
Original MySQL Kraken LogDB
MB
로그 용량
관계형 DB 기능 및 성능의 한계를 뛰어넘은 전용 로그 DB
Future ASF 2011
맵리듀스 분산처리
크라켄 로그 DB 맵리듀스
크라켄 로그 DB
크라켄 로그 스토리지
크라켄 센트리
크라켄 로그 DB 클라이언트 reduce
map
로그 DB
서치 전용 노드
로그 DB
서치 전용 노드
로그 DB
서치 전용 노드
로그 DB
저장/추출 노드
로그 DB
저장/추출 노드
로그 DB
저장/추출 노드
로그 DB
크라켄 센트리
로그 DB
크라켄 센트리
로그 DB
크라켄 센트리
Future ASF 2011
네트워크 포렌식
Captive Portal 구축
포워드 프록시 구축
사설 CA 구축
크라켄 PCAP 및
L7 디코더 이용
크라켄
Captive Portal 이용
크라켄 Proxy 이용
크라켄 CA 이용
크라켄 다운로드 및 활용 방안
• http://krakenapps.org
• hg clone http://krakenapps.org/hg
www.future.co.kr
Future Advanced Security Fair 2011
감 사 합 니 다.