Blue coat security utv_1104_final

진화하는 웹 보안 위협으로부터의
실시간 정보보호 대응방안
기술이사 양 경 윤
kyle.yang@bluecoat.com

© Blue Coat Systems, Inc. 2010. All Rights Reserved. Blue Coat Systems Confidential

Blue Coat 소개 회사 소개

 HQ : Sunnyvale, CA USA (NASDAQ:BCSI)
 1996년 설립(한국 :2005년 5월)
 150여 개국, 15,000+ 고객
 Fortune® 지 글로벌 100대 기업 중 95개사

 Fortune® 지 글로벌 500대 기업 중 85%

 글로벌 대형 은행 25개사

 세계 상위 10대 Service Provider 중 8개사

 인터넷 보안게이트웨이 부문 시장선도
 가트너 MQ – 보안 게이트웨이 시장 리더 (7 Years)

2 © Blue Coat Systems, Inc. 2010. All Rights Reserved. Blue Coat Systems Confidential – Internal Use Only

인터넷 위협 및 정보유출에 대한 계층적
보안 솔루션 – Secure Web Gateway

3 © Blue Coat Systems, Inc. 2010. All Rights Reserved. Blue Coat Systems Confidential

인터넷 위협에 대한 계층적 보안 적용 구성도

Monitor
인터넷
Web Mail
Encrypted Mail

Web 2.0 Sensitive
Data Email

AV / DLP

인증서버
보안 웹 게이트웨이

인트라넷

Email File Server
Database


커뮤니케이션의 변화

2008: 5th
Social Networking
Category Requests
nd: Personal
2009: 9th 2
Pages/Blogs
2010: 17th
3rd: Chat/IM

4th: Email

Category Rank
by Requests

Traditional Communications Vehicles New Communications Vehicles

Source: 2011 Blue Coat Web Security Report


소셜 네트워킹의 대중화

“인구” 순위:
1.중국
2.인도
3.페이스북
5억5천만명, 75개국어, 매일 70만명 신규 가입

사이버 범죄의 진화

Malware loves Phishing targets Legitimate Patience pays off
social media social networking sites become
unwitting hosts


맬웨어(악성코드) 공격의 유형

Fake AV: Leading Fake Video Malvertising: Phishing: More
malware attack Codec: 2nd most Drive-by sophisticated
requires people to popular attack; downloads target attacks create
act common in social legitimate sites; “skins” of target
network attacks leverage sites with working
reputation ratings links


최근 맬웨어(악성코드) 현황
 악성코드 출처의 90%가 합법적 웹
상업적 공격 증가 현황
사이트
 HTTP/SSL를 이용한 공격 증가

 SPAM의 83%가 URL 링크 이용 500% 이상 증가 추세
 검출이 어려운 Hidden Download 경로
이용

(ex. iframes injections, Fake update 등 )

 인기 사이트를 통한 초고속 감염
 소셜 네트워킹, 올림픽, 스포츠, 주요 뉴스 등


암호와 트래픽 및 실시간 대응의 필요성

SSL을 이용한 우회 프로그램을 이용한 인터넷 접속

SSL을 사용하는 웹사이트  시간 집약적 작업

 암호화된 트래픽의
분석 능력 한계

 대응 시간 지연

실시간으로 생성되는 피싱 사이트, 멜웨어 전파 웹사이트


기존 멜웨어 방어체계의 한계점

 시그니처에 의한 단순 차단 방식

 성능과 보안의 대립 관계  시간 집약적 작업

 매일 이루어지는 업데이트  분석 능력 한계

 1세대의 정적인 URL 필터링  대응 시간 지연

 새로운 링크와 컨텐츠 정보 미흡


WEB 2.0 보안 환경의 요구 사항
 실시간으로 신설되는 웹 링크와 콘텐츠에 대한 인지 능력
 요청된 URL의 실시간 분석 능력
 사용자 마다 업데이트가 필요 없는 보호 기능
 다운로드나 패치가 필요 없는 자동 적용 기능

고객 필요 사항 솔루션 선택의 어려움

좀 더 많은 부분을 확인하고 싶은데… Cloud, SaaS, Web 2.0 Protection
보안 기능을 강화하고 싶은데… Security Suite, Internet Suite, Anti-Virus,
업데이트를 하지 않으면 안되나… Web Filtering, Layered Defenses, Zero-
좀 더 쉽고 효과적이게 적용할 수 없나…. Day, Proactive Protection


WebPulse – 블루코트 클라우드 인프라
기존 사용자들(약 7,500만)로 구성된 클라우드 커뮤니티를 이용
전세계에 분산된 6개의 데이타센터에서 URL 수집 및 분석후 실시간 카테고리 정보 제공
80개 이상의 카테고리 분류, 50가지 언어 지원, 하루에 1억5,000만 건 이상 콘텐츠 분류
IWF(인터넷감시재단)과 국가별 리스트를 포함
Malware 전파 등 의심스러운 사이트를 위한 웹 평가 분류


실시간 방어를 위한 클라우드 서비스

안전한 웹 콘텐츠
실시간 업데이트
Multiple Threat Engines It’s bad
Machine Analysis

Human Raters Internet 맬웨어 포함
웹 콘텐츠
WebPulseTM

Don’t Know It’s good!

ProxySG

Users ProxySG
ProxySG

SSL 통제 기능
 SSL 접속을 통한 내부 정보 유출 및 파일 업로드, 게시판 쓰기 등 차단
 정책에 의한 사용자, 어플리케이션, 콘텐츠 통제
 SSL 을 통한 비인가 된 어플리케이션 차단
 SSL 인증서의 만료, 유효성, 사설 인증 여부 등 검증

%3s*<5y D&7w$=h9o 4g*%2@s
2@/^X!Z:b W{}77%21 j5+d#o6

%3s*<5y %3s*<5y

2@/^X!Z:b 2@/^X!Z:b
내부 사용자 망
외부 어플리케이션
세션 중재 기반으로 SSL 트래픽 가시성이
확보되어 보안 정책 적용 가능


웹 사용에 대한 가시성 제공 2. Proxy SG 기능

 Pre-Defined 및 Custom 리포팅을 지원하는 유연성
 Spyware, Malware / Traffic Profiles / Filtering Categories / Sessions / Web Content 등 지원
 관리자 권한 별 설정 지원, 스케줄링 보고서 지원
 PDF, Excel 형식의 이메일 발송, Archive 지원


Caching for Enhanced Performance

Users ProxyOne Appliance

Security without Compromising Performance


보안 웹 게이트웨이의 효과
 인터넷 게이트웨이에서 정보 유출에 대한 원천 차단
실시간 URL DB, 접속 메소드 제어, DLP 연동

 클라우드 서비스를 이용하여 악성코드 및 피싱 사이트에 대한 URL 또는
페이지 단위의 접속 실시간 차단

 규정준수, 업무 효율 및 대역폭/인프라 절감을 위해 사용자의 인터넷
사용에 대한 가시성 제공 및 통제
 비업무 사이트 제한, 성인/도박사이트 접속 금지 :사용자 /그룹/ 시간대별

 암호화 트래픽(HTTPS 이용)에 대한 가시성 확보로 숨겨졌던 보안
위협에 대한 대처 가능

 사이트 및 미디어(동영상) 캐싱으로 사용자 속도 향상 및 대역폭 절감


Data Loss Prevention

© Blue Coat Systems, Inc. 2010. All Rights Reserved.

왜 DLP 가 필요한가?

 주요 보안 정보  보안 강화의 필요성
 고객 정보  기업 신뢰도 유지
 이름, 주소 주민등록 번호
 정부 및 보안 관련 기관의 보안 지침
 계정 정보, 신용카드 번호
준수 요구 수렴

 지적 자산  내/외부 데이터 유출 방지
 소스 Code, 제품 설계도
 프로젝트 데이터

 기업 데이터
 영업 계약 정보 및 M&A 정보
 고객 리스트, 가격 정보

 직원 정보
 연봉, 인센티브 등 HR 정보

20 © Blue Coat Systems, Inc. 2010. All Rights Reserved.

Data Loss Prevention
DLP ( Data Loss Prevention )란 사용 중이거나 혹은
전송 중, 저장 중인 데이터에 대해 Deep or Full
Content Inspection 과 각종 보안 기법을 통하여 확인,
모니터링, 보호를 목적으로 하는 시스템으로써 이
DLP의 최종 목적은 개인 정보 및 내부 기밀 자료의
불법적인 유출에 대한 탐지와 예방 및 차단입니다.

 Data Leak Prevention
 Information Leak Detection and Prevention ( ILDP )
 Information Leak Prevention ( ILP )
 Content Monitoring and Filtering ( CMF )
 Information Protection and Control ( IPC )
 Extrusion Prevention System ( EPS )


DLP 의 종류
 Network DLP
 Network Gateway 로 사용되는 Solution
 일반적으로 Hardware/Software 일체형 Appliance 형태
 Data in Motion(외부로 전송되어지는 데이타), Data at Rest(내부에 저장된 데이타)에
대해 탐지 가능
 간단한 설치와 적은 관리 비용

 Endpoint DLP
 사용자 PC 나 Server 에 Agent 형태로 설치되는 Solution
 Gateway 를 통하지 않는 내부 Group 간의 Data 이동에 대해서도 탐지 가능
 암호화되어 전송되는 트래픽에 대해 암호화 전에 탐지 가능
 USB 와 같은 Mobile Device 에 대한 감사 가능
 OS 호환성 및 기술지원 비용 증가


고객의 요구사항

 취약한 모든 구간에 대한 보안
 Web, Email, Network DLP

 내부 보안 자료에 대한 유출 차단
 완벽한 탐지 솔루션

 오탐 최소화
 보안 자료 및 정보에 대한 정확한 등록과 확인

 인적 리소스에 대한 영향 최소화
 빠른 설치 및 손쉬운 관리

 장기적인 솔루션으로서의 높은 ROI 제공
 HQ, Small Office 등에 대해 Platform 별로 안정성,확장성 보장


DLP 적용 Best Practice
 유출 방지 대상 데이터 규정
 중요 데이터(DB 및 파일) 등록 – Finger Printing
 패턴 등록 – 키워드, RegEx

 기존 파일서버/웹 서버 등에 유출 방지 대상 데이터 유무
탐지
 Discovery DLP

 트래픽 미러링을 이용한 정보 유출 감시

 Mail, HTTP, HTTPS, FTP등을 통한 정보 유출 차단


기존 네트워크 DLP 적용시 이슈사항

구성하기 복잡함  설치하기 어려움
• 다수의 구성요소 DLP • 4-5 system 을 구성하여야
Solution Web
• Multiple vendor 사용 Full DLP 구성 가능 DLP Discover
File
y
Serve • 단일 기능 구성
r Manageme
Database • Full DLP 기능 요청 nt
License
• 수 주 또는수 개월의 최적화
Operating Email
기간 소요 DLP Network
System
DLP

운영에 대한 어려움 확장성의 문제
• 정책과 규칙에 대한 충돌 • 단일 기능의 서버들의 독립화
• 서비스 변경이 발생할 때 마다 수 많은 (Email, Web, Network)
테스트를 통한 검증 필요 • 제한적 기능의 통합


Bluecoat DLP : Simple
 정확한 분석과 정확한 패턴 제공
 통합된 Gateway DLP 로 사용 Monitor
Web Mail
Encrypted Mail
 Web DLP

 Email DLP Web 2.0 Sensitive
Data Email

 Network DLP
Email DLP
 Discovery DLP Web DLP

 손쉬운 구축 및 관리 DLP
ProxySG
 초기 구축
Discovery
 관리
Email
 확장 Database CMS

Network DLP


Blue Coat DLP 주요 기능
데이터 등록/탐지 Fingerprinting을 이용한 데이터 등록 및 탐지

 구조화 데이터
• Oracle, MS-SQL, PostgreSQL, Sybase, DB2,
Excel, CSV
• 단순 정규 표현 패턴이나 키워드 매칭이
아닌 효율적이고 정확한 방법으로
False Positive를 최소화
• 400만 개의 데이터 요소 등록 가능

 비구조화 데이터
• Windows, NFS 파일 공유, SharePoint,
Content Mgmt Systems : EMC, Oracle
• 600가지 이상의 파일 타입 지원
• 멀티바이트 캐릭터 셋 지원
• 다른 문서로 붙여 넣거나, 압축 및 수정 된
데이터도 인식

데이타 등록 및 탐지 Case
Full Documents & Derivative Works


정확한 탐지와 패턴 등록

600개 이상의 파일 타입 인지

파일 포맷에 상관없이 인지 가능, 압축 파일 포함 ( zip, rar )

언어에 상관 없이 인지 가능 ( 2Byte Code, 한글 포함 )

특정 데이터 구조와 상관 없이 인지 가능

전체 파일 및 부분 파일 전송도 인지 가능 ( 분할 전송 인지 )


DLP 구성 방안

 Mirroring 을 통한 방안
 Network TAP 을 통하여 Network Traffic 탐지

 MTA 를 통한 방안
 Mail Agent 기능을 통해 E-mail 탐지

 Proxy 를 통한 방안
 Internet Proxy ( ProxySG ) 와 통합 설치하여 WEB, FTP, IM, SSL
등에 대한 탐지


Blue Coat DLP Product Lineup

DLP DLP DLP
700 1700 2700
사용자 수 에 따른 확장성

네트워크 DLP 사용자 250 5000 20000

Number of Users
관리 DLP 장비 2 10 50

 실시간 탐색 성능
Packet 모니터 100 Mbps 250 Mbps 500 Mbps

ICAP 트래픽 100Mbps 170Mbps 270Mbps DLP2700

시간 당 - 이 메일 DLP1700
250,000 400,000 600,000
메시지 DLP700

탐색 250 GB/day 500 GB/day 1TB GB/day

 데이터 처리 능력
구조화 데이터 –
4000 만 4000 만 4000 만
데이터 셀 수
비구조화 데이터 –
400 GB 1 TB 1 TB Throughput
소스 콘텐츠 양
비구조화 데이터 – •위 숫자는 일반적인 사이징 가이드에 기반한 것이며
100 만 100 만 100 만 데이타의 종류 및 설정에 따라 변경 가능합니다.
파일 수

Blue coat security utv_1104_final

Recomendados

Recomendados

Mais conteúdo relacionado

Semelhante a Blue coat security utv_1104_final

Semelhante a Blue coat security utv_1104_final (20)

Mais de Cana Ko

Mais de Cana Ko (20)

Blue coat security utv_1104_final