보안취약점 탐지, 맥스패트롤 (MAXPartol) 침투테스트 기능

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019.02.11 08:00 / 카테고리 : 보안취약점 진단 - 맥스패트롤



보안취약점 (Vulnerability)은 컴퓨터의 H/W, S/W의 결함이나 설계 및 설정상의 허점으로 이를 악용하여 비인가자의 접근 허용, 주요 데이터 유출 및 변조, 삭제, 정상적인 서비스를 방해할 수 있는 약점을 말합니다. 


보안 취약점은 크게 CCE(Common Configuration Enumeration)와 CVE(Common Vulnerabilities Exposures)로 나뉩니다.  CCE는 IT 인프라 구성의 취약점을 주로 이야기 합니다. 예를 들어 OS, 네트워크, DBMS, WEB, WAS 등이 있습니다. CVE는 어플리케이션 취약점을 주로 나타냅니다. Microsoft, Adobe, Java, Open SSL 등의 어플리케이션 또는 응용프로그램에서 야기되는 문제점을 나타낸다고 해석하면 됩니다. 



일반적으로 취약점 점검은 연 1회 이상 실시하고 취약점을 보완해야하며, 홈페이지는 연 2회 이상 실시하는 것이 좋습니다. 이를, 자동화하고 전수지단으로 취약점 탐지를 더 많이 한다면, 기업의 전반적인 보안 수준은 올라갈 것이며, 악성코드 및 랜섬웨어 등의 피해를 미리 방지할 수 있습니다. 


아이마켓코리아에서 공급하는 MaxPartol(맥스패트롤) 취약점 탐지 솔루션은 Agent 설치가 필요 없는 분석 방식으로 시스템에 미치는 영향을 최소화 하였습니다. 또한, 계정관리 솔루션과 보안 이벤트 관리 시스템 등과의 유연한 연동이 가능합니다. 





맥스패트롤 특장점 소개

점검 기준 값의 유연한 설정을 제공합니다. 



▣ 신속한 업데이트를 제공합니다. 자세한 내용은 아래의 샘플을 참고해주시기 바랍니다.



동적 스케쥴링 (Dynamic Scheduling) 기능을 지원합니다.

  • AD에 등록된 호스트 자동으로 임포트/ 외부 데이터 임포트하여 스캔 진행

  • 보고서 생성(스캔 후 또는 정기적) / 스캔 결과 아카이빙

  • 취약점 삭제 모니터링 / 호스트 디스커버리 / 컴플라이언스 컨트롤 (이행 점검)


커스터마이징 리포트 기능을 제공합니다. 커스터마이징 리포트 기능은 MaxPatrol에서 제공하는 보고서를 특정 커스텀 리포트로 생성하는 기능입니다. 

  • XML 데이터를 기반으로 다양한 형태의 EXCEL 보고서 생성 가능

  • 쉽게 작성할 수 있는 유연성 제공


다른 보안 시스템과 통합 방안을 제공합니다. 이를 통해서 기존에 구축된 다양한 보안 시스템과 통합 연동 방안을 쉽게 제공합니다.



보안 포털 시스템과의 연동 사례






맥스패트롤 주요 기능 - 침투 테스트


▣ 네트워크 기반 취약점 및 인벤토리 식별 (Black Box 스캐닝)


▣ 취약점 식별

  • 배너 기반 식별

  • 익스플로잇 기반 식별

  • 패스워드 Bruteforce

  • DoS 공격


▣ 낮은 오탐율 (False-Positive) 

  • 서비스 및 소프트웨어의 정확한 버전 파악 후 진단

  • Safe 익스플로잇을 사용


▣ 지속적인 지식기반 업데이트

  • 주간 업데이트

  • CVE 카탈로그 모니터링

  • 취약점 공개 정보

  • 보안 업데이트 모니터링

  • Positive 리서치 팀에 의해 지속 관리


<블랙박스 스캐닝을 통해 확인된 자산 정보 및 취약점 정보>



맥스패트롤 침투테스트의 기본 매커니즘


인벤토리 스캐닝

▣ Host Discovery

- ICMP Ping

- TCP Ping (사전 정의된 포트 또는 커스텀 포트 추가 기능 제공)


▣ TCP Port Scan

- 전체 TCP Port Scan(1~65535)

- 특정 Port Scan


▣ UDP Service Scan

- 특정 UDP Service Scan


▣ Network Service 식별

- 배너 분석(예, “telnet ftp.test.com 21” 이후 응답된 배너 분석

- Protocol command 이용 및 응답 분석


▣ Application 식별

- 에러 메시지, 코드 분석

- 배너, Protocol command 이용 및 응답 분석


▣ OS 식별

- 식별된 Open port set 분석

- Application level service 분석


▣ 추가 정보 수집

- 식별된 서비스 기반으로 추가적인 정보 수집 결정 및 수행


취약점 스캐닝

▣ 취약점 식별

식별된 서비스, Application 취약점 식별 수행


▣ BruteForce 테스트

식별된 서비스/프로토콜 별로 선택 수행




Safe Scan 기능 제공

침투 테스트 시 스캐닝으로 인한 영향(서비스 장애 등)을 최소화 합니다. 


 구분

 설명

 네트워크 프린터 스캔 제외

 - 스캔 도중 네트워크 프린터 발견 시 스캔 대상에서 제외

 - 취약한 프린터로부터 대량의 문서 출력과 같은 오작동을 미연에 방지

 Protocol 별 Bruteforce

 - Bruteforce할 Protocol 선택 가능

     ex) HTTP, FTP, MS-SQL, Oracle, PoP3, SSH, SMP, SMTP, Telnet, VNC, Sybase, SNMP, Radmin, SAP, SIP 등

 Dos 공격 강도 조절 옵션

 - DoS 공격 체크를 위한 버퍼 사이즈 조정 기능 제공

 - Well-Known 또는 Unknown 공격 테스트 비활성화 옵션 기능 제공

 Port Scan 동시 연결 수 제한 기능

 네트워크 부하 감소, 서버 자원 소모 최소화

 Port/Service 식별 이후, 취약점

 점검 비활성화 옵션

 보안 관점 자산 식별 옵션 기능 (Open Port 및 Service 식별만 수행)




침투 테스트 기반 인벤토리 활용 사례



침투 테스트 결과 예시

  • Port/Protocol : 445/TCP

  • Service : Microsoft Directory Service

  • 탐지된 취약점 : 1건 (SMB Signing is not mandatory)

  • 취약점 수정 가이드 : SMB 서버 설정에서 SMB signing 사용 설정(enable)




맥스패트롤 솔루션을 통해서 기업 인프라, 애플리케이션에 대한 침투테스트를 주기적으로 실시하여 보안 취약점을 탐지하고 대책을 세울 수 있습니다. 도입 및 구매 문의는 아래의 아이마켓코리아 담당자에게 연락 주시면 친절하게 안내해 드립니다. 



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

[탈레스] 보메트릭 솔루션, 기업 비정형데이터를 효과적으로 암호화

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019.01.31 07:30 / 카테고리 : 보메트릭 암호화 솔루션



금융감독원은 2016년에, 주민등록번호 암호화 대상인 금융권 회사들에게 비정형파일(이미지, 로그, 음성, 문서 파일 등)에 대한 암호화를 권고하였습니다. 그리고, 2017년 1월부터 100만명 이하의 개인정보를 보유한 기업을 대상으로는 개인정보를 반드시 암호화 해야하는 개인정보보호법 개정안 이슈가 있었습니다. 


KISA에서 고지한 개인정보의 암호화 조치 안내서 자세히 보기 (클릭)


개인정보 암호화 의무 (개인정보보호법 개정안)


내부망에 주민등록번호를 저장하는 경우, 「개인정보 보호법」제24조의2, 동법 시행령 제21조의2에 따라 「개인정보의 안전성 확보조치 기준」 제7조 제4항(“개인정보 영향평가”나 “암호화 미적용시 위험도 분석”)과 관계없이 암호화 하여야 한다. 이 경우에는 다음의 기간 이전까지 암호화 적용을 완료하여야 한다. 


※ 100만명 미만의 정보주체에 관한 주민등록번호를 보관하는 개인정보처리자: 2017년 1월 1일

※ 100만명 이상의 정보주체에 관한 주민등록번호를 보관하는 개인정보처리자: 2018년 1월 1일



최근에는 기존의 정형데이터 형식보다는 다양한 형식의 비정형데이터의 저장이 많아지고 있고 비정형데이터에 민감한 정보가 저장되고 있습니다. 여기에 포함되어 있는 개인정보가 유출될 경우에는 기업과 개인이 모두 피해를 볼 수 있는 큰 사고가 될 수 있습니다. 


하지만, 비정형데이터 환경을 구축하기 위해서는 시스템 증설 비용, 호환성, 시스템 부하(오버로드), 별도의 애플리케이션 설치로 드는 막대한 비용 등 기업에게 감당할 수 없는 부분이 많아 현실적으로 힘듭니다. 


그렇기 때문에 저비용, 고효율, 호환성이 좋은 암호화 솔루션을 선택하는 것이 매우 중요합니다. 또한, 보안 신뢰성도 높아야합니다. 솔루션의 성능과 회사의 신뢰성을 모두 고려하여 선택/도입하여야 합니다.






1. 신뢰성 있는 전문 보안 회사 선택

Thales e-Security 는 40년 이상 전세계의 많은 기업들에게 암호화 솔루션 및 보안 컨설팅을 제공해온 기업으로 신뢰성이 무엇보다 요구되는 방위산업 분야에서 오랜 경력을 자랑하는 Thales Group에 속했습니다. Vormetric은 Thales Group의 자회사 입니다. 



탈레스 이시큐리티의 보안 제품은 국내 대부분의 생명보험사, 손해보험사를 포함한 400여 곳의 고객사와 월마트, GM, GE, 버라이존, JP모건, Bank of America, 보잉 등 외국계 기업에서 이미 많이 사용하고 있는 신뢰성 높은 회사입니다.


탈레스 이시큐리티는 클라우드 파트너 프로그램, ASAP 테크놀로지 파트너 프로그램, OEM파트너 프로그램 및 채널 파트너 프로그램을 운영하며 고객이 어떤 상황에 처해있든 관계없이 쉽고 빠르게 데이터를 보호할 수 있도록 지원하고 있습니다.


특히, 2018년 10월 멀티클라우드에서 암호화 키를 관리할 수 있는 CipherCloud Key Manager (CCKM)가 출시됨에 따라 온프레미스, 퍼블릭 클라우드 등 다양한 환경에 민감한 데이터를 저장하고 있는 고객들의 보안이 한층 강화될 것으로 보고 있습니다.




2. 입증된 성능의 보안 장비 선택

Thales e-security의 Vormetric Data Security 솔루션은 이미 많은 기업들이 채택하여 사용하고 있는 비정형데이터 암호화 솔루션입니다. 무엇보다 저비용 고효율, 편리한 도입이 강점입니다. 


커널레벨의 파일단위 암호화 기능을 지원하므로 오라클, SQL 서버, DB2와 같은 대부분의 데이터베이스는 물론 로그파일, 이미지, 영상, 음향 등의 비정형데이터까지도 암호화할 수 있다는 특징을 가지고 있습니다. 그리고, 커널레벨 암호화의 장점인 어플리케이션 수정이 필요없다는 특징도 갖고 있어 암호화를 위한 추가 개발 및 추가 시간이 필요없다는 장점도 있습니다.


또한, 블럭단위 암호화를 수행하기 때문에 데이터 암호화를 위한 소요시간이 짧고 암호화 이후 파일사이즈가 변하지 않을 뿐 아니라 시스템 부하가 타사 제품 대비 매우 낮은 것이 특징입니다. 





Vormetric 암호화 솔루션 소개



Vormetric Data Security Platform

보메트릭 데이터 시큐리티 플랫폼은 데이터베이스, 클라우드 및 빅데이터 환경 등 여러 인프라 환경에 존재하는 정형 및 비정형의 대용량 데이터를 효과적으로 보호하는 다양한 솔루션을 하나의 플랫폼 형태로 제공하여 통합된 솔루션으로 호환성과 관리의 용이성을 둘 다 잡은 데이터 보안 솔루션입니다.


성능 저하나 암호 키 관리에 대한 복잡성 없이 모든 유형의 파일, 데이터베이스 및 애플리케이션을 보호할 뿐 아니라 구축 및 관리가 용이합니다. 리눅스, 유닉스, 윈도우 등 주요 운영체제를 모두 지원하며, 정형 데이터뿐 아니라 비정형 데이터를 효과적으로 보호합니다.




Vormetric Data Security Manager

보메트릭 각 솔루션의 보안 정책과 암호키를 중앙 집중적으로 관리할 수 있는 기능을 제공하는 Vormetric Data Security Manager는 보메트릭 암호화 플랫폼의 핵심이라고 말할 수 있습니다. 


실제 운영 환경에서 1만 대 이상의 암호화 대상 서버 관리 능력이 입증되었으며 자동화와 기존 관리 환경과의 연동을 위해 레스트풀 API(RESTful API)와 툴킷(Toolkit)을 제공합니다.


보안 인증으로는 FIPS 140-2 Level 1, FIPS 140-2 Level 2, FIPS 140-2 Level 3,Common Criteria (ESM PP PM V2.1) 인증을 받았습니다.


또한, 가상화 환경과 클라우드 환경, 가상 어플라이언스, 아마존의 AWS AMI 형태도 제공하고 있기 때문에 활용성이 매우 뛰어납니다.





Vormetric Transparent Encryption (VTE)

저장 데이터에 대한 실시간 암호화, 사용자 접근 권한 통제 및 보안 인텔리전스 로그 수집 기능을 제공하는 솔루션입니다. 


물리적, 가상, 빅데이터, 도커 및 클라우드 환경에 존재하는 정형 데이터베이스와 비정형 파일에 대한 실시간 암호화를 유지할 수 있으며 투명한 암호화 방식으로 애플리케이션, 인프라 또는 업무 절차를 변경하지 않고 암호화를 구현할 수 있도록 지원합니다. 


사용자와 프로세스의 무단 접근을 방지하는 정책을 적용하고 관련 액세스 로그를 지속적으로 수집함으로써 데이터에 대한 지속적인 보호 및 통제를 보장할 수 있습니다.




Vormetric Tokenization and Dynamic Data Masking

DB토큰화 및 동적 디스플레이 보안을 제공하기 떄문에 데이터센터, 빅데이터, 컨테이너, 클라우드 환경 등 데이터의 위치에 구애받지 않고 민감한 자산 보안과 비식별화를 효율적으로 달성할 수 있도록 지원합니다. 


Vormetric Tokenization and Dynamic Data Masking을 사용하면, 동적 데이터 마스킹이 포함된 이 솔루션은 각종 보안 정책과 PCI DSS 등의 컴플라이언스를 준수할 수 있습니다.





Vormetric Application Encryption

데이터베이스의 특정 컬럼이나 파일, 빅데이터 노드 및 PaaS 클라우드 환경을 암호화할 수 있습니다. 여기에는 기존의 기업 애플리케이션과의 암호화 통합을 간소화시키는 라이브러리가 포함되어 있기에 도입하기에 매우 용이합니다. 


이 라이브러리는 암호화 및 키 관리 작업에 사용될 수 있는 일련의 문서화된 표준기반 API를 제공하며, 자체적인 암호화 및 키 관리 솔루션을 개발하고 구현하는데 드는 시간, 복잡성 및 위험을 제거해주는 장점이 있습니다. 


Vormetric Application Encryption에는 암호화 전후 사이즈와 형태가 동일하게 하는 FPE(Format Preserving Encryption)라는 신기능이 탑재되어 통상 암호화를 위한 별도의 IT인프라를 증설할 필요가 없기에 시간적, 비용적인 부분에서 기업에 효과적인 솔루션입니다. 






비정형데이터 암호화 및 데이터 통합 보안환경 구성에 최적화된, Thales Vormetric 솔루션에 대한 문의는 아래의 아이마켓코리아 담당자에게 문의주시기 바랍니다.



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

맥스패트롤(MaxPatrol) - ERP, ICS, SCADA 보안취약점 자동화 탐지/진단

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019.01.30 08:30 / 카테고리 : 보안취약점 진단 - 맥스패트롤



시스템이 다양해지고 복잡할 수록 취약점 분석을 통한 높은 수준의 보안향상이 가능합니다. 운영의 생산성과 효율성을 위해서 체계적이고 통합적인 대응이 가능한 취약점 점검 자동화 솔루션의 필요성이 증가하고 있는 추세입니다. 


자동으로 정기적, 전수 진단을 할 수 있다면 컴플라이언스 준수(주요정보통신기반 시설 보호 지침, 전자 금융 거래법, 금융 전산보안 강화 종합 대책, 정보보호관리체계 ISMS) 뿐만 아니라 보안 수준이 향상되어 보안사고를 막을 수 있습니다. 


전 세계적으로 대부분의 보안 침해 사건들이 잘 알려진 취약점들과 잘못된 시스템 설정, 취약한 취약점 관리 등으로 인해 발생하고 있습니다. 2013년 Positive Technologies가 실시한 조사에 따르면, 외부 공격자의 경계 보안 우회 성공률이 90%에 달했습니다. 아울러, 조사 대상의 55%의 경우에 있어서 침입자가 공격 개발에 성공해 기업 전체의 인프라를 장악했습니다



다양한 비즈니스, 운영, 정보 기술의 통합 역시 현대 기업의 공격 표면을 확대시켜 사이버 공격의 위험에 크게 노출시키고 있습니다. 취약한 ERP 시스템을 통해 스마트 그리드나 발전소를 원격으로 제어하거나 취약한 GSM-R 시스템의 초고속 열차를 하이재킹하는 일은 이제 더 이상 영화에서나 가능한 일이 아니라 더 이상 무시해서는 안 되는 현존하는 위험이 되었습니다.


기업의 네트워크 및 전화 장비, 와이파이, 데이터베이스, 운영체제, 웹 애플리케이션, ERP와 같은 주요 비즈니스 애플리케이션과 SCADA와 같은 주요 기반 시설들은 취약점 탐지 및 대처가 매우 중요합니다.



대부분의 기업들은 보안취약점에 대한 대비를 아래와 같은 수준에서 진행하고 있습니다.

  • 보안 취약점 스캐닝 절차 수립

  • 보안 취약점 스캔을 자체적으로 실시

  • 저가 또는 오픈 소스 스캐너 사용

  • 이행 조치 프로세스에 필요한 명확한 역할과 책임 부재

  • 안전하고 정확한 스캔 결과를 제공하는 취약점 스캐너 사용



하지만, 진화하는 사이버 공격을 막기 위해서는 아래 단계의 수준까지 조치하여야 합니다.

  • 매트릭 및 상위 데이터 제공

  • 관련 부서와의 협업 정착

  • 빠르고 지속적인 업데이트 적용 (OS 및 애플리케이션 패치)

  • 공격 요소의 지속적인 감소 활동

  • 지속적인 프로세스 개선



맥스패트롤(maxpatrol)은 Agent 설치가 필요없는 낮은 권한의 블랙박스 및 화이트박스 기법의 취약점 탐지 자동화 솔루션으로 시스템에 미치는 영향을 최소화하고 계정관리 솔루션과 보안 이벤트 관리 시스템 등과의 유연한 연동이 가능합니다.



철저한 시스템 분석

취약점 탐지 및 분석, 침투테스트, 네트워크 및 데이터베이스 스캐닝, 시스템 및 애플리케이션 테스트, 설정 및 인벤토리 진단, 상세 컴플라이언스 점검 기능 등이 모두 통합된 MaxPatrol은 현존하는 가장 포괄적인 취약점 및 컴플라이언스 관리 솔루션입니다. 또한, 네트워크, 와이파이 장비, ERP 시스템, 데이터베이스, 웹 애플리케이션, ICS/SCADA, 모바일 코어, 뱅킹 시스템, ERP 등과 같은 운영 기술(OT) 등 기존의 모든 IT 시스템을 위한 단일 솔루션입니다.



강력하고 유연한 컴플라이언스

네트워크 보안의 글로벌 리더로서, Positive Technologies는 SOX, ISO, PCI-DSS, 3GPP, NIST, NERC, HIPAA 등의 데이터 보안 규격을 준수하는 데 필요한 요구사항들을 파악하고 있습니다. 

아울러, 기업에게는 글로벌 또는 업계 규정 외에도 지역 또는 기업 내부 표준과의 컴플라이언스도 요구된다는 사실 또한 인지하고 있습니다. 



맥스패트롤(MaxPatrol)은 벤치마크들을 통합하여 5천 개 이상의 규제 사항들을 제공함으로써 기업의 하이레벨 컴플라이언스 표준이 운영상 보안 규제에 신속히 적용될 수 있도록 합니다. 




정확하고 정직한 보호

어느 기업이나 보안과 관련하여 안정적인 결과를 원합니다. 오탐지를 걸러내느라 또는 미탐지와 관련된 결과를 처리하느라 며칠 혹은 몇 주나 되는 시간을 허비하고 싶은 기업은 없습니다. Positive Technologies의 숙련된 연구가들과 보안 전문가들에 의해 유지 보수되는 맥스패트롤(MaxPatrol)은 다음과 같은 기능들을 제공합니다. 


  • 배너 기반의 점검을 통해 오탐율을 낮추는 스크립트 점검

  • 휴리스틱 분석

  • 취약점 매핑에 대한 직접적인 OS가 아닌 서비스 및 시스템의 상태 점검으로 작동 중인 서비스 및 프로토콜에 대한 취약점 확인 

※ 이러한 고유의 방식으로 정확한 소프트웨어 ID 및 버전이 제공되어 업계 최저의 오탐율을 보장합니다.





주요 인프라 보호

주요 인프라라고 하면 ICS/SCADA만 해당될 뿐만 아니라 은행, 통신 등 사회적으로 중요한 비즈니스에 관련된 모든 기업이 될 수 있습니다. 


비즈니스가 기존 IT 시스템이나 산업 기술에 의존하는지의 여부와 관계 없이 맥스패트롤(MaxPatrol)은 기업 보안에 대한 깊이 있는 보안 진단을 실시하고, 위험성이 탐지되는 곳을 보여주는 실질적인 공격 모델을 생성하며, 공격 차단에 필요한 절차를 제공합니다.





SAP 보안 자동화
기존 SAP 인프라의 방대한 규모와 복잡성으로 인해 SAP 시스템의 보호와 시스템의 정확한 설정 보장이 어렵습니다. SAP 통합 인증을 받은 맥스패트롤(MaxPatrol)은 업계를 선도하는 솔루션으로서 SAP 인프라의 모든 부분에 대하여 보안 자동화 기능을 제공합니다. 

맥스패트롤(MaxPatrol)을 통해 다양한 SAP 인스턴스에 대한 신속하고 비침입적인 진단을 실시할 수 있습니다. 또한, “shadow SAP_ALL” 사용자, 취약한 암호, SOD 위반 등 SAP 보고서에서는 나타나지 않는 상세 정보를 제공합니다. 

기업과 기업의 SAP 인프라는 지속적으로 변화합니다. 사용자 활동, 역할 및 프로파일, 환경 설정, 암호 정책 등을 정기적으로 모니터링 함으로써 이러한 변화가 기업의 보안 태세를 약화시키지 않도록 해야 합니다. 


안전한 통신
SSL/TLS 암호화 채널 기반의 맥스패트롤(MaxPatrol) 컴포넌트 간 통신과, 수집된 모든 정보의 로컬 스토리지 및 역할 기반의 고급 액세스 제어 메커니즘이 취약점에 대한 민감한 정보의 유출을 예방합니다. 
 

암호 정책 감사
하기 프로토콜을 사용하는 시스템에 대한 사전 브루트포스 등 블랙박스 및 화이트박스 감사
  • 원격 액세스 및 VPN, RDP, VNC, Radmin, Telnet, SSH 등
  • 애플리케이션 프로토콜 : SAP, Oracle, SQL, Sybase, SIP, VMWare 등
  • 인프라 프로토콜 : SMTP, PoP3, SMB, FTP, HTTP 등 


에이전트리스의 네트워크 무결성 모니터링
내장형 컴포넌트가 네트워크 전체의 인시던트와 원하지 않는 변경 사항의 탐지를 돕습니다.  


민감한 데이터의 탐지
강력한 검색 엔진으로 파일과 데이터베이스에 포함된 신용카드 및 PIN 번호, 카드 인증 값(CVV) 등의 데이터를 식별합니다. 


인증된 CVE와 호환 인증 솔루션
취약점 분류와 IT 보안 시스템 및 도구와의 통합 간소화를 위한 보편적으로 인정되는 CVE 시스템 지원을 인증 받은 솔루션입니다.


XML 기반의 통합 API
비즈니스 정보 포털, 자산 관리, 헬프 데스크 티켓팅, 요청 추적, 위기 관리, 패치 관리, SIM/SIEM, IPS, NAC/NAP, WAF 침투테스트 등 시스템에서의 통합형 정보 보안 프레임워크의 생성을 지원합니다. 


유연한 보고 시스템
인벤토리 및 변경 관리, 컴플라이언스, IT 성능 관리 등에 대하여 자동으로 보고서를 작성합니다 MHT, PDF, XML 번역기를 사용하여 사용자 지정 포맷과 디자인으로 보고서를 작성할 수 있습니다.



맥스패트롤 솔루션을 통해서 ERP, ICS, SCADA의 보안취약점을 점검 할 수 있습니다. 도입 및 구매 문의는 아래의 아이마켓코리아 담당자에게 연락 주시면 친절하게 안내해 드립니다. 



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

Azul Zulu JDK - Oracle Java JDK SE 8 유료화의 합리적인 대안

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019.01.29 08:00 / 카테고리 : Azul Zulu JDK



2019년 1월 부터 오라클 Java SE 8 버전에 대한 공개 무료 업데이트 종료가 된다고 발표 하였습니다. 이후에 SE 8 버전을 사용하는 기업 고객은 업데이트 지원을 받으려면 서브스크립션 라이선스(Subscription License)를 구매하야 오라클의 지원을 받을 수 있게 되었습니다.





보는 시각에 따라 다르겠지만, 결국에는 기업(상용) 버전의 Oracle Java SE 8 버전은 유료화되었다고 보는 것이 맞습니다. 오라클은 서브스크립션을 도입하면서 오라클 자바 SE의 BCL 정책을 폐지하였기 때문에, 오라클 JDK를 쓰고 싶으면 서브스크립션 라이선스를 구매해야 합니다. 



오라클 SE 6, 7 버전도 2022년 까지 유료 업데이트 지원이 종료되므로 사실상 기업은 오라클 JDK SE 8 버전으로 바꿔야합니다. 결론적으로 오라클 Java SE 8 버전을 유료로 써야 합니다. 


2019년 1월 이후, 오라클 자바 SE 8에 대한 무료 업데이트 지원 여부

2019년 1월에 자바 SE8에 대한 퍼블릭 버전이 종료됩니다. 2019년 1월 이후에 나오는 추가적인 Update & Security Patch를 Subscription 라이선스가 없으면 받을 수 없습니다.


기존 Oracle JDK 버전 공개 정책충분한 기간을 제공하던 기존 버전 공개 정책 

  • JDK 6: 2 년 11 개월 (from public JDK 5 updates) 

  • JDK 7: 1 년 9 개월 (from public JDK 6 updates)

  • JDK 8: 1 년 1개월 (from public JDK 7 updates)

※ 새 플랫폼(버전)의 안정적인 상용화 적용을 위한 오버랩 기간 제공



자바 SE가 6개월 주기로 바뀌었기 때문에 공개 업데이트라는 것이 사실상 없어진 것이나 마찬가지입니다. 즉, 오라클 JDK를 기업에서 이용하려면 서브스크립션 라이선스를 반드시 구매해야 합니다. 


  • 새 Open JDK는 다음 버전 출시되는 6개월 동안 만 업데이트 제공

  • 그 중 오라클의 LTS가 제공되는 버전만 계약 하에 기술지원 가능 

  • JDK 8 공개 업데이트는 2019년 1월까지 제공됨 

  • 2019년 1월 이후, 기업사용자는 현재처럼 JDK 8을 사용할 수 있으나, 보안패치나 오류수정 업데이트는 받을 수 없음



기업고객은 Java JDK SE 유료화에 대한 대책으로 4가지 선택지가 있습니다.


오라클의 새 정책에 따라 2018년말까지 의사결정 목표 설정이 필요합니다.


  1. Oracle’s JDK 상용계약

  2. Red Hat’s IcedTea JDK 상용계약

  3. Open JDK 무상 사용 (Free Open JDK)

  4. Azul’s Zulu JDK 상용 계약



1. Oracle JDK 상용계약 검토

  • 기술적인 관점에서 변경사항 없음

  • 다운로드 절차만 변경될 뿐, 상용화 적용을 위한 새로운 변경 불필요 

  • 경제성의 관점에서는 (On the business side) 가장 비싸고, 매우 높은 비용을 각오해야 함 



2. Red Hat IcedTea JDK 상용계약 검토

  • Red Hat은 2017년 12월 이후 자체 제품에 Oracle Java SE 번들 제공 중단

  • 기존 고객도 2018년 11월 말까지만 Oracle Java SE 적용 가능

  • Red Hat은 Open JDK 소스코드로부터 자체 제작한 JDK로 전환 중.

  • 자체 JDK는 Open JDK 기준으로 2020년 10월까지만 제공 예정.

  • 그러나, Red Hat 외 수많은 다양한 시스템 환경들을 고려할 때, 적합하지 않은 옵션



3. 무료 Open JDK (Free OpenJDK Option)

  • 무료 Open JDK를 사용하려는 기업고객은 매 6개월 마다 새로운 JDK 버전으로 업그레이드해야 함.

  • JDK 8 이하 버전에서 9 이상으로 업그레이드 할 경우, Java Platform Module System 으로의 변경으로 인해 잠재적으로 매우 중요한 검증과정 요구

  • 대부분의 third-party libraries & frameworks은 아직 이러한 높은 수준의 변경에 대하여 준비되어 있지 않은 상황임

  • 향후 출시될 JDK도 이와 같이, 하위버전에 대한 호환성 등 기업고객에게 상당한 부담을 초래할 수 있는 큰 변화를 포함할 수 있는 가능성이 많음



많은 기업들이 Open JDK는 유지보수의 관점에서 사용이 어려우며, Java JDK는 비용이 비싸기 때문에 대안을 찾고 있는 상황입니다. 이런 대안으로 유지관리 지원이 잘되는 Java JDK를 대안으로 찾고 있습니다.

4. Azul Zulu JDK 상용계약 검토

  • Azul의 상용고객은 Open JDK 소스코드 기반으로 표준화된 JDK를 더 긴 기술지원 조건으로 사용 가능함.

  • Azul의 모든 Java 버전에 대한 연장된 기술지원 정책은 기업고객의 시스템 운영에 있어서 지속적인 보안성과 안정성을 제공함.

  • Azul은 Java Community Process (JCP)의 상임멤버기업으로 참여하고 있으며(the Executive Committee), Java SE 9, 10 and 11를 위한 전문가 그룹의 멤버기업으로 활동 중임.


아이마켓코리아에서 공급하는 Azul System의 Julu JDK는 Oracle JDK의 합리적인 대안이 될 수 있습니다. 또한, 아줄 확장 서비스(extended support)를 통해 엔터프라이즈급 서비스 보안지원을 받을 수 있습니다. 



Azul Zulu JDK 특장점 및 호환성 여부


100% Open source

Open JDK 기반으로 표준화 된 Java SE 호환성 제공


Performance  

오라클도 동일한 Open JDK 소스코드를 사용하는 것처럼, 동일한 소스코드를 사용함으로 Performance는 크게 차이가 나지 않음.


Certified Compliance. 

Azul은 OpenJDK Community의 공식 TCK License Agreement (OCTLA)를 보유하고 있음.

따라서, Zulu JDK는 정당성과 Java SE 호환성이 인증되어 있으며, Technology Compatibility Kit (TCK) 및 14년 이상 누적된 자체 품질 검증과정으로 100,000번 이상의 테스트를 거친 후 제공됨


Certified Non-Contamination

엄격한 사용권한 검증과정을 통해 추가적인 권한 확보나 요구사항이 발생하지 않도록 검증과정을 거친 후 제공됨


Patent Indemnification

더 안전한 권한을 위하여 JCP Specification licenses에서 제공되는 IP 권리 외, Azul 자체 IP 권한 제공 


Oracle JVM vs. Azul JVM 

  • 동일한 소스코드로부터 개발 (the same source code)

  • 동일한 Java SE 호환성 

  • 동일한 100,000 번 이상의 TCK 테스트 검증 (same 100,000 TCK tests)


Certification information 

  • Azul은 공식 TCK 테스트 권한을 보유하고 있음 (Azul is a TCK test suite licensee)

  • Azul은 제공되는 소스코드가 테스트 되었으며, 소스코드 내 어떠한 사용권한 문제가 없음을 검증


OpenJDK is the reference implementation for Java SE

  • Java 7 이후, 모든 Java 개발은 오픈소스 기반 하에 진행됨

  • 오라클 및 다른 상임멤버 기업들의 엔지니어들이 Open JDK 프로젝트를 위해 협력 중


There is no secret source in Oracle JDK, including performance

  • 오라클 또한 Open JDK 소스코드를 기반으로 하는 JDK 제공함 



Azul System은?


  • 100% Java 사업에만 집중 

  • 세계 최고 수준의 Java 기술지원 능력 보유 (Mission-critical JVM deployments)

  • 기존 고객의 97% 이상이 계약 갱신

  • 검증된 전문성을 바탕으로 기술 중심의 JVM 상품 제공

  • Java Community Process (JCP) 상임 임원멤버 기업 (Executive Committee, OpenJDK committers)  Open JDK 6 프로젝트 리더 역할 수행

  • 표준화, 호환성 제공 - TCK test suites 권한 보유

  • 주요 Java 버전에 대한 10년 이상의 기술지원 정책 제공










주요 클라이언트





오라클 JDK SE 8 유료화 정책에, 합리적인 비용으로 대응할 수 있는 엔터프라이즈 JDK, Azul Zulu JDK에 대한 문의는 아래의 아이마켓코리아 담당자에게 문의주시기 바랍니다.



(주) 아이마켓코리아
김 병 우
차 장 │ IT 솔루션 영업팀

TEL : 02-3708-8331
E-mail : bw.kim@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

맥스패트롤 (MAXPATROL) - 기업용 보안취약점 탐지, 컴플라이언스 관리, CCE, CVE

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019.01.28 08:00 / 카테고리 : 보안취약점 진단 - 맥스패트롤


많은 기업들이 데이터베이스 보안, 암호화, 엔드포인트 보안, 네트워크 보안 등, 다양한 보안솔루션에 대해 많은 비용을 투자하고 있습니다. 


하지만, 많은 사이버공격 및 보안사고의 원인은 사소한 취약점에서 비롯되고 있습니다. 사이버 공격자들은 기업의 사소한 취약점, 준수하지 않은 컴플라이언스를 집요하게 파고 들어 이를 시작으로 기업의 전산시스템을 공격합니다. 

 

최고의 보안은 바로 사후 조치가 아니라, 사후 예방이라는 점을 잘 알고 있는 보안관리자, 보안책임자는 보안취약점에 대해서 중요하게 인지하고 이를 강화하기 위한 대책을 강구하고 있습니다. 또한, 최대한 자동화하여 인력 소모의 리소스도 줄여야 합니다.


이러한 보안 인식에 발맞춰서 아이마켓코리아에서는 Positive Technologies의 취약점 점검 및 관리 자동화 시스템인 맥스패트롤(MAX Patrol) 솔루션을 소개해드립니다. 해당 솔루션을 통해 CCE, CVE, 컴플라이언스 점검을 간편하고 빠르게 진단하여 보안성을 높이시기 바랍니다. 







보안 취약점(Vulnerability) 이란?

컴퓨터의 하드웨어 및 소프트웨어의 결함이나 설계 및 설정상의 허점으로 이를 악용하여 비인가자의 접근 허용, 주요 데이터의 유출/변조/삭제, 정상적인 서비스를 방해 할 수 있는 헛점을 말합니다. 


CCE (Common Configuration Enumeration)

  • IT 인프라 구성 취약점 : OS, Network, DBMS, WEB, WAS 등
    · ex : 정보통신망법의 패스워드 길이와 조합법 / 8자리 이상 (숫자, 알파벳, 특수문자 조합)

  • 점검 도구 유형 · 수동 : Script · 자동 : Scanner ( Agent / Agentless 방식)

CVE (Common Vulnerabilities Exposures)

  • 어플리케이션 취약점 : Microsoft, Adobe, Java, Open SSL등
    · ex : CVE-2016-0102 : IE를 통한 악성 웹사이트 접근 시 원격코드 실행(MS16-023)
    · ex : CVE-2015-5119 : Adobe Flash Player Use After Free

  • 점검 도구 유형 : Agentless 방식



취약점점검 이라 함은 컴퓨터의 하드웨어 또는 소프트웨의 결함이나 체계 설계상의 헛점 (Common Vulnerabilities Exposures) 으로 인해 사용자에게 허용된 권한 이상의 동작(Common Configuration Enumeration)이나 허용된 범위 이상의 정보열람, 변조, 유출을 가능하게 하는 약점에 대하여 점검하는 것을 말합니다.




보안 취약점(Vulnerability) 진단 유형


 구분

 CCE 기반의 보안규정 준수 점검

 CVE 기반의 보안 취약점 점검

 정의

 인프라의 환경구성을 평가하고 내부 정책 및 법규준수에 대한 감사와 지속적인 이행을 확인

 호스트나 네트워크 단위로 공격자 관점의 취약점을 검색 하여 관리 및 분석

 목적

 시스템의 보안설정을 보장하여 감시와 규제 보안강화

 공격자 관점으로 시스템의 알려진 취약점 존재여부 검사

 점검 대상

 IT 인프라(OS, 네트워크 등)의 설정 구성 및 설정 관련 보안정책 준수여부

 시스템의 OS 및 어플리케이션 고유의 취약점

 점검 방법

 점검대상 시스템에 에이전트 또는 에이전트리스 방식으로 점검

 네트워크 침투 테스트 & 점검대상 시스템에 에이전트 또는 에이전트리스 방식으로 점검

 점검 내역

 (예시)

 정보통신망법의 패스워드 길이와 조합법, 8자리 이상의 숫자 알파벳, 특수 문자 조합 등을 규정준수 여부

 접근 가능한 네트워크에 대해 취약점이 알려진 버전의 서비스가 실행 중인지 점검

 조치 방안

 보안규정 미비사항을 보안규정에 맞게 운영자가 수정

 취약점 미비사항에 대해 제조사 패치 적용

 장단점

 보안규정 준수를 위한 보안감사 요구충족 최소 보안 취약점 대응 가능

 점검대상 시스템의 OS 및 어플리케이션 의 보안취약점에 대해 지속적인 대응 가능

 비고

 국내 미래부 및 금융위 보안규정 준수항목 법적 근거 

*CIS(Center for Internet Security)에서 150개 보안전문기업과 함께 조직의 보안통제 준수율을 점검하는 표준 보안지표 정의

 2017.4월 기준 약 8만개 이상의 알려진 취약점이 존재하며, 하루 평균 40개 이상의 취약점이 지속적으로 발견되어 CVE 취약점 항목에 등록되고 있음






기업용 취약점 및 컴플라이언스 관리 솔루션 맥스패트롤(MAX Patrol) 소개

바이러스 백신 프로그램, 방화벽, 침입 차단 시스템 등 기존 도구들은 문제의 원인을 제거하기보다는 문제가 발생한 사후를 처리하려고 합니다. 이 같은 보안 방식에만 의존한다면 보안 침해 사고는 시간 문제입니다. 



이러한 상황에서 반드시 필요한 것은 시스템과 네트워크 전체에 걸쳐 취약점 탐지 및 분석, 침투테스트, 네트워크 및 데이터베이스 스캐닝, 시스템 및 애플리케이션 테스트, 설정 및 인벤토리 진단 및 상세 컴플라이언스 점검 등을 자동화한 프로세스이며, 이 모든 것이 가능한 솔루션이 바로 MaxPatrol입니다.



Positive Technologies의 MaxPatrol은 다양한 애플리케이션, 데이터베이스, 네트워크, 운영체제 등에 걸친 취약점 및 설정 결함을 식별하는 데 있어서 에이전트가 없는 낮은 권한의 블랙박스 및 화이트박스 기법을 제공함으로써 단편적인 보안 및 고가의 외부 컨설팅을 대체합니다



맥스패트롤(MaxPatrol)은 

SAP 보안진단 인증 솔루션으로 인증 ERP, ICS/SCADA, 모바일 코어 및 뱅킹 시스템에 대한 심도 깊은 보안 진단을 실시하는 통합형 취약점 관리 솔루션으로 전 세계에 이미 1천여 기업들이 맥스패트롤을 사용하여 실질적인 공격모델을 생성하고, 비즈니스 상의 위험 요소를 업데이트하며, 보안 및 컴플라이언스를 유지하는데 맥스패트롤 솔루션을 사용하고 있습니다. 




맥스패트롤(Max Patrol)은 Agent 설치가 필요 없이 분석이 가능한 솔루션이므로 시스템에 미치는 영향을 최소화 할 수 있습니다. 또한, 계정관리 솔루션과 보안 이벤트 관리 시스템 등과의 유연한 연동이 가능합니다. 




CVE 기반 취약점 점검

침투테스트

에이전트리스 블랙박스 기반 점검, 네트워크 취약점 스캐너 역할, 오픈 포트 및 웹 취약점 스캐닝, 서비스 및 애플리케이션 식별, 서비스 및 애플리케이션 취약점 스캐닝, 패스워드 조합 대입 테스트


감사

에이전트리스 화이트박스 기반 점검, 시스템 취약점 스캐너 역할, 대상 점검 시스템에 대한 접근 계정 및 권한 사용, 대상 점검 시스템에 대한 스캐닝 프로토콜 및 포트 사용, 소프트웨어 CVE 취약점 및 인벤토리 스캐닝 / 업데이트


CCE(CIS) 기반 보안규정 준수 점검

컴플라이언스

에이전트리스 화이트박스 기반 점검, 시스템 보안설정 스캐너 역할, 대상 시스템에 대한 접근 계정 및 권한 사용, 대상 시스템에 대한 스캐닝 프로토콜 및 포트 사용, 기반시설 취약점관리 항목 및 글로벌 보안 설정 점검 항목 스캐닝







[맥스패트롤 진단 결과 보고서 및 내부 정책(컴플라이언스) 수립]





맥스패트롤(MAX Patrol) 보안취약점 탐지 및 컴플라이언스 자동화 시스템 주요 기능


지능형 기법

상세 보안 설정, 파라미터 점검 등 블랙박스와 화이트 박스 분석 기법을 모두 사용한 위협 분석을 통해, 인프라의 전체 자산을 지속적으로 모니터링 하고 진단합니다.



보안 사각지대 차단

인프라의 전체 자산과 ICS, SCADA, 코어 텔레콤, 코어 뱅킹 시스템 등 운영 기술들은 지속적으로 모니터링하고 진단하며, 위험 제어를 KPI에 연계시켜 비즈니스 보호 수준을 측정합니다.



신속한 컴플라이언스

MaxPatrol은 하이레벨의 컴플라이언스 표준을 운영상 보안규제에 적용시켜 문서기반의 수동정책 점검을 자동화된 점검방식으로 변경합니다.



사용자 지정 보고서 작성

비즈니스 고유의 특성에 맞는 보고서를 작성합니다. MaxPatrol은 수백개에 달하는 개별 데이터 필드를 제공하며 비즈니스에 가장 중요한 세부사항을 선택할 수 있도록 합니다.



공격 차단

200여명의 보안 전문가들이 연간 20회 이상의 대규모 침투테스트와 200회 이상의 애플리케이션 보안 진단을 실시하여, 150개 이상의 제로데이 취약점을 발견하고 있으며, 이러한 결과가 바탕이 된 지식이 MaxPatrol에 적용되고 있습니다.




맥스패트롤(MAX Patrol) 기술적 특징

MaxPatrol은 하기 시스템에 대한 블랙박스 및 화이트박스 기반의 테스트와 보안 설정 진단이 가능 합니다.


  • 네트워크 장비 (방화벽과 IPS포함) : Cisco, Check Point, Stone-soft, Juniper (JunOS, ScreenOS), etc.

  • Telecom 장비와 VoIP SYSTEM : Alcatel, Huawei, Nortel, Ericsson, Digium

  • Operating Systems : Windows, MacOS X, Linux, AIX, HP-UX, Cisco IOS, Oracle Solaris, Fedora, Gentoo, Mandriva, Slackware, etc.

  • Databases : Microsoft SQL, Oracle, IBM DB2, PostgreSQL, MySQL, Sybase

  • Desktop Applications 및 Browsers : MS IE/Office, Firefox, Google Chrome, Safari, Opera, OpenOffice, Lotus, Acrobat Reader, Flash Player, Thunderbird

  • Infrastructure Applications : Microsoft Active Directory, Exchange, Sharepoint, IIS, IBM Lotus, Netscape DS, LDAP-UX, Sendmail, PostFix, MDae-mon, Mail-Enable, Exim SMPT Server, Apache, CommuniGatePro

  • 가상화 및 터미널 플랫폼 : VMWare vSphere/ESX, Microsoft Hyper-V, Citrix XenApp

  • 보안 시스템 : 개인 IPS, 개인 방화벽, Antiviruses

  • Business Systems : Oracle E-Business Suite, SAP R3/ECC, NetWeaver 

  • 다양한 ICS/SCADA 플랫폼 : Siemens, Invensys, Schneider Electric, Rock-well Automation, etc.




맥스패트롤 솔루션을 통해서 기업의 보안취약점을 탐지하고 완벽한 컴플라이언스 관리로 정보보호관리체계 등의 규정 준수는 물론, 사이버 공격을 원천적으로 차단하시기 바랍니다. 솔루션에 대한 도입 및 구매 문의는 아래의 아이마켓코리아 담당자에게 연락 주시면 친절하게 안내해 드립니다. 



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

보메트릭 암호화 솔루션 - 토큰화 데이타 마스킹 (Tokenization Data Masking)

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019.01.16 19:30 / 카테고리 : 보메트릭 암호화 솔루션



보메트릭 솔루션 토큰화 (Vormetric Tokenization with Dynamic Data Masking)

토큰을 생성하고 전체 시스템을 보호하기 위한 여러 가지 방법이 있습니다. 그러나 암호화와 달리 형식적인 데이터 토큰화 표준은 존재하지 않습니다. Thales eSecurity의 Vormetric Vaultless Tokenization 을 통해서 안전하게 Token 값을 생성하고, Database에 Token 값을 저장할 수 있습니다. 


또한, Thales Vormetric Vaultless Tokenization with Dynamic Data Masking 은 고객 정보를 보호하고 규정 준수 범위를 줄이며 비용을 절감하기 위한 효과적이고 높은 보증 토큰 솔루션을 지원합니다. 그리고, 조직이 최소한의 중단 및 관리 오버 헤드로 보안 및 규정 준수 목표를 해결 할 수 있도록 지원합니다.


토큰 방식 데이터 보호 : Vormetric Tokenization with Dynamic Data Masking 

  • Vormetric Token Server를 통해 토큰(대체값) 생성 및 조회 수행, 일정 부분의 어플리케이션 수정 필요

  • 토큰화가 적용된 개인정보 DB는 더 이상 암호화 대상이 아님 (농협 등 주민번호에 대해 대체 값 적용)

  • AD/LDAP 등 계정 관리 시스템과 연동하여 사용자 권한에 따른 실시간 데이터 마스킹 적용



보메트릭 토큰화 동작 방식 예시 #1 : 주민등록번호(고유식별번호) 토큰화

[동작 과정]

  1. 고객 : 주민등록번호 입력

  2. App 서버 : 전용 API를 통해 개인정보를 토큰 서버로 전송

  3. 토큰 서버 : 토큰 값 생성 → DSM에서 암호화 키 수신 → 개인정보 암호화

  4. 토큰 서버 : 토큰 값 반환

  5. App 서버 : 토큰 값을 DB에 저장





보메트릭 토큰화 동작 방식 예시 #2 : 권환에 따른 정책 기반 실시간 마스킹



[동작 과정]

  1. Token 서버와 연계된 고객사 내부의 AD/LDAP Server에 등록된 사용자에 대해 권한을 각각 부여

  2. 부여된 권한에 따른 정책을 통해 실시간 마스킹 또는 원본 데이터 조회 등 선별적 기능 제공



RESTful API 샘플





타사 API 방식 암호화 제품과의 보안성 비교

보메트릭 토큰화 방식은 AD/LDAP와 연동하여 계정 기반의 접근 통제가 가능합니다. 또한, 토큰 서버와의 통신에 의해서만 토큰화 및 원본 데이터 조회가 가능합니다. 


타사 API 방식은 일반 서버 또는 파일에 의한 암호키 관리가 되며 암호키가 유출될 가능성이 있습니다. 그리고, 비인가 프로그램의 암호화 모듈접근에 대한 통제 수단이 미비하여 평문 데이터 탈취가 가능하여 보안에 취약합니다. 






Vormetric Tokenization 암호화 방식 비교


 구분

 Vormetric Tokenization

 Vormetric 커널 암호화

 Plug-In 방식

 API 방식

 적용방식

 응용프로그램에서 토큰 서버를 호출하여 토큰(대체값)을 생성하도록 소스 코드 수정

 암호화 모듈이 운영체제 커널안에 로딩되어 파일에 대해 암복호화 수행

 DBMS 엔진 내부에 암호화 모듈이  탑재되어 DB 내부에서 암복호화

 응용프로그램에서 암호화 라이브러리를 호출하도록 소소 코드 수정

 운영환경

 제약 없음

(대상 서버에 설치되는 모듈 없음. , 토큰 서버를 위해 x86 기반의 가상화 환경 필요)

 대부분의 상용 운영체제 (AIX, HP-UX, Solaris, Windows,     Red Hat, SLES, Ubuntu, 클라우드)

 일부 상용 운영체제

(AIX, HP-UX, Solaris, Windows, 일부 리눅스)

 일부 상용 운영체제

(AIX, HP-UX, Solaris, Windows, 일부 리눅스)

 지원환경

 RESTful 표준을 지원하는 개발 언어 (C, Java 등 대부분의 개발언어에서 지원)

 Oracle, DB2, MS-SQL, Sybase, Informix, MySQL, PostgreSQL, Cache Hadoop, MongoDB 등 제한 없음

 Oracle, MS-SQL, DB2 등 특정 DBMS

 C 언어, Java 언어 등의 환경

 데이터

 사이즈

 원본 데이터와 동일한 사이즈의 토큰 생성

 암호화 전후 파일 사이즈 동일

 암호화 후 사이즈 증가

(13자리의 주민번호 암호화 후 16byte 로 증가 함)

 암호화 후 사이즈 증가

(13자리의 주민번호 암호화 후 16byte 로 증가 함)

 구축기간

 2~4개월

(토큰화 전후 데이터 사이즈가 동일하여 API 방식 암호화 대비 수정 방식이 단순함)

 3~5

 1개월 ~ 3개월

 3~6개월

 구축비용

 유지보수

 응용프로그램 수정을 위한 인력 소요 (초급이상)

토큰이 적용된 DB에는 민감정보가 사라짐에 따라 보안 관리에 용이

 구축 및 유지 보수를 위한 특수한 인력 불필요

 SQL 튜닝 인력비 (고급 이상) 소요

유지보수 중에도 지속적인 튜닝 필요

 응용프로그램 수정 (중급 이상) 소요

유지보수 중에도 지속적인 수정 필요



Vault-less 토큰 지원

  • 토큰 값과 암호화가 적용된 원본 데이터를 위한 저장소(Token Vault) 불필요

  • 기존 제품 대비 성능 대폭 향상

  • 토큰을 생성하는 토큰 서버의 확장성 향상 (이론적으로 무제한)



데이터 마이그레이션 기능 제공

  • 기존 사용 중인 데이터에 대한 자체적인 일괄 토큰화 기능










Thales Vormetric 기업 소개


보메트릭은 2001년 설립된 보안 전문 기업으로 글로벌 기업 Thales Group의 자회사입니다. 한국지사는 2012년 10월에 설립되었습니다. 


전 세계 1500개의 고객사, Fortune 30대 기업 중 17개의 기업이 보메트릭 솔루션을 사용하고 있습니다. 국내에서는 280개 이상의 고객이 있습니다.

2014 Deloitte Technology Fast 500 선정
Deloitte가 매년 선정하는 기술 분야의 선도 500대 기업에 2년 연속 선정 됨
 * 2013년 순위 435위에서 2015년 380위로 55단계 상승



Tokenization Data Masking 방식의 암호화가 가능한 암호화 솔루션, Thales Vormetric 솔루션에 대한 문의는 아래의 아이마켓코리아 담당자에게 문의주시기 바랍니다.



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

보메트릭 솔루션을 활용한 암호화 정책 설정 예시 및 구축 사례 (로그, 팩스)

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019.01.16 08:30 / 카테고리 : 보메트릭 암호화 솔루션



보메트릭 데이터 시큐리티 플랫폼(Vormetric Security Platform)으로 암호화 환경을 구축하는 방법 소개

탈레스 보메트릭 비정형데이터 암호화 솔루션은 이미지, 동영상, 음성, 로그, 문서 파일 등 다양한 데이터를 암호화 할 수 있는 통합 암호화 환경입니다. 보메트릭 솔루션을 도입하기 위한 전략과 구축 사례를 소개해드립니다. 이를 통해서 보메트릭 암호화 솔루션 도입에 대하여 참고할 수 있는 자료가 되시길 바랍니다. 




먼저, 보메트릭 데이터 시큐리티 플랫폼(Vormetric Security Platform)으로 암호화 환경을 구축 후에 변화되는 부분은 아래와 같습니다. 


1. 개인정보 컬럼 유형이 변경되지 않습니다.

2. DB 크기 증가가 되지 않습니다. 

3. 응용 프로그램의 변경이 없습니다.

4. 시스템 오버로드가 적은 고성능 암호화가 가능합니다.

5. 비정형데이터 (음성, 파일, 이미지, 영상, 로그 등) 암호화가 가능해 집니다. 




암호화 솔루션인 Vormetric Transparent Encryption의 정책 설정 예시


  • 조건 : Resource, User, Process, Time

  • 동작 : 모든 유형의 IO

  • 제어 : 키 적용 (암호화 및 복호화), 허용, 차단, 감사


 #

 Resource 

 User 

 Process 

 Action 

 Effects

 1

 *.log

 log_daemon

 log_process

 *

 Permit, Apply Key

 2

 *.log

 root

 admin_tools

 read

 Permit, Audit

 3

 *

 *

 * 

 * 

 Deny, Audit 



  1. 로그를 저장하는 특정 유저 및 프로세스만 암호화된 파일에 대해 읽기 및 쓰기 허용

  2. 관리자는 암호화 로그 파일에 대해 백업 등 관리 기능만 수행 가능

  3. 기타 모든 접근에 대해 통제 및 감사 로그 생성





Vormetric Transparent Encryption 의 암호화 방식은?





특허 기술 - MetaClear

  • 파일 이름, 생성일, 변경일 등 메타데이터는 변경하지 않고 파일의 내용만을 암호화 (파일의 속성을 유지)

  • 암호화 시 데이터 크기 변화 없음


▣ 암호화 알고리즘

  • 안전성이 확인 된 국내외 표준 암호화 알고리즘 3DES, AES 128/256, ARIA 128/256 지원


▣ 표준 및 인증

  • 국가사이버안전센터 암호모듈 검증필 (KCMVP)

  • NIST에서 주관하 FIPS 140-2 

  • GS 인증

  • SAP HANA 인증




CCKM – CipherTrust Cloud Key Manager 활용


  • 멀티클라우드 환경에서 중앙 집중화된 암호 키 관리

  • As a Service 또는 기존 전산실 환경에 구축

  • 가시성 향상 및 규제 충족을 위한 로깅 및 리포팅





멀티클라우드 환경 지원

  • IaaS : Amazon Web Services, Microsoft Azure, China and Germany Azure National Clouds

  • SaaS : Microsoft Office 365, Salesforce.com



클라우드 사업자 환경과 연계된 사용성





CipherTrust Cloud Key Manager를 As a Service 또는 기존 전산실 환경에 구축시


AS a Service 에서는 FIPS 140-2 Level 1 인증을 받은 암호 키 저장소, 전산실 구축에서는 개인클라우드 FIPS 140-2 Level 1, 온프레미스에서는 FIPS 140-2 Level 3 암호 키 저장소 구축이 가능합니다.





CipherTrust Cloud Key Manager를 가시성 향상 및 규제 충족을 위한 로깅 및 리포팅에 활용할 수 있습니다. 







암호화 구축사례 - 로그파일 





▣ 구축 및 관리

  • 암호화 : WAS 서버, 웹 서버, 저장 시 또는 통합 로그 서버 저장 시 암호화 (통합 로그 서버에서 암호화 시 WAS 서버, 웹 서버에서 평문)

  • 복호화 : 조회 권한 사용자/애플리케이션에 대해 복호화

  • 암호화 설정 : 업무 요건에 따라 다르지만 1 ~ 2일 내 완료

  • 초기 암호화 : 서버 및 스토리지 구성에 따라 다름. 테스트 필요



▣ 업무 영향

기존 애플리케이션 수정 및 구성 변경 필요 없음





암호화 구축사례 - 팩스 파일



▣ 사용 환경

  • 주 IDC 2대, DR IDC 2대 운영

  • 이미지는 Windows 공유 (CIFS)로 NAS에 저장

  • 키 관리 서버 이중화




팩스 파일 암호화 환경 구현 방안




구축 및 관리

  • FAX 서버에서 파일 입출력 시 암호화 및 복호화

  • FAX 서버 - NAS 구간 및 NAS 상에 암호화 상태 유지

  • 설치 및 암호화 기능 검증 : Main 센터, DR 센터 각 2개, 총 4대를 테스트 포함 수 일내 완료

  • 초기 암호화 없이 신규 수신 데이터 부터 암호화


▣ 업무 영향

  • FAX 어플리케이션 : 어플리케이션 수준에서 암호화 필요 없음 (어플리케이션 변경 없음)

  • 스토리지 및 하드웨어 계층 구성에 투명하게 동작




비정형데이터 전용 암호화 솔루션, Thales Vormetric 솔루션에 대한 문의는 아래의 아이마켓코리아 담당자에게 문의주시기 바랍니다.



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

Blog Information

아이마켓코리아

보안솔루션, HSM, 인증보안, DLP 솔루션, 암호화 장비, 기업서버 판매, 보메트릭, 센스톤, 다크트레이스

공지사항

블로그 검색

Calendar

«   2019/02   »
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

방문자 통계

  • 전체 : 321,486
  • 오늘 : 17
  • 어제 : 327
(주) 아이마켓코리아
주소 : 서울시 강남구 삼성로 512 삼성동빌딩 16층
대표이사 : 김규일 | 사업자등록번호 : 104-81-58502
TEL : 02-3708-8254 | Mail : raykim7@imarketkorea.com
Copyright © imarketkorea.Co,Ltd All Rights Reserved.