Upload
kristen-haynes
View
351
Download
2
Embed Size (px)
DESCRIPTION
Fortify S oftware - Application 보안. 2008. 02. I. Fortify Software 소개. 목 차. CONTENTS. 애플리케이션 보안 예방방안 유형 비교 요구사항 보안 동향 주요 취약점 Fortify Software 분석 로직 운영방안 적용사례 국내 레퍼런스 해외 레퍼런스. I. Fortify Software 소개. 애플리케이션 해킹 – 기존 보안의 한계. ■ HTTP(S) 트래픽은 합법적으로 간주. /cgi-bin/phf - PowerPoint PPT Presentation
Citation preview
Fortify Software - Application 보안2008. 02.
2www.esvali.com
I. Fortify Software 소개
CONTENTS 애플리케이션 보안 예방방안 유형 비교 요구사항 보안 동향 주요 취약점 Fortify Software 분석 로직 운영방안 적용사례 국내 레퍼런스 해외 레퍼런스
목 차
3www.esvali.com
I. Fortify Software 소개 – 애플리케이션 해킹 기존 보안의 한계
■ HTTP(S) 트래픽은 합법적으로 간주■ HTTP(S) 트래픽은 합법적으로 간주
Telnet, FTP, NETBIOS, RPC…
WebServer
DB
DB
Web app
WebClient Web app
Web app
Web app
/cgi-bin/phf
/cgi-bin/printenv IDS
Firew
all
Hacker
알려진 공격에는 효과적인 차단 가능 (Black List 기반 )
Black List 의 업데이트 필수 1 세대 웹 공격 ( 단순 도구를 이용한 웹 공격 ) 에는 효과적이나 2 세대 공격 ( 웹 지식 및 도구 이용 ) 에는 무력
* SQL Injection ID:Admin PWD: ‘ or 1=1 --
웹 서버 웹 어플리케이션 데이터베이스 방화벽
웹 브라우져
4www.esvali.com
I. Fortify Software 소개 애플리케이션 취약점을 이용한 사고 사례
구분 세부 내용
사례 A
구 버전의 JSP 엔진 (Resin Server) 의 취약점 존재 해당 취약점을 이용해 Directory Traversal 가능 시스템 주요 설정파일 노출 (DB Connect) 획득한 정보를 이용해 외부에서 Database Server 접속 공격 수행시간 : 5~15 분 , 공격 탐지 : 탐지 안됨 . 관리자 인지 못함
사례 B
웹 컨텐츠 배포자의 환경 설정 취약점을 이용 이미 오래 전부터 알려진 공격 기법을 이용 시스템 설정 오류가 아닌 어플리케이션의 취약한 코드를 이용 단 3 번의 명령 실행으로 공격 성공 (SQL Injection) 공격 수행시간 : 5~10 분 , 공격 탐지 : 탐지 안됨 . 관리자 인지 못함
사례 C
웹 컨텐츠 배포자의 환경 설정 취약점을 이용 윈도우의 경우 WebDAV 나 Front Page Server Extension 다수의 개발자들이 컨텐츠 배포의 편의를 의해 사용 웹서버의 가상디렉토리가 Everyone 에 쓰기 권한 활성화 공격 수행시간 : 5~10 분 , 공격 탐지 : 탐지 안됨 . 관리자 인지 못함
사례 D
웹 컨텐츠 배포자의 환경 설정 취약점을 이용 회원들에게 기념우표 발행에 대한 정보 제공 및 구입 신청 홈페이지 일반회원이 로그인한 상태에서 파라미터 변조 시도 주요 정보를 GET 데이터를 통해 전송함 사용자 인증을 단순히 ID 값으로만 수행 공격 수행시간 : 1 분 , 공격 탐지 : 탐지 안됨 . 관리자 인지 못함
■ 최근 애플리케이션 취약점을 이용한 웹 해킹사고가 대형 포털 및 공공기관 등의 전 분야에 걸쳐 발생하고 있음■ 최근 애플리케이션 취약점을 이용한 웹 해킹사고가 대형 포털 및 공공기관 등의 전 분야에 걸쳐 발생하고 있음
5www.esvali.com
I. Fortify Software 소개 애플리케이션 취약점을 이용한 공격
“Now is the time for security at Application Level”, Dec. 2005, Gartner
6www.esvali.com
I. Fortify Software 소개 애플리케이션 보안 특징 및 현실
- 개발자 참여 필요 취약점 조치는 개발자가 수행해야 함- 기능성 , 가용성 , 편의성이 개발자들의 주된 목표 , 또한 프로젝트 기간 내에 코딩을 완료해야 함- 현실적으로 보안을 고려하여 코딩 할 수 있는 개발자 부재- “ 보안 코딩 가이드”는 있으나 준수 한계 코딩단계부터 적용 가능한 보안 방안 부재
개발자
운영자
보안 관리자 / IT 관리자
- 애플리케이션 상세 이해 한계- 보안 코딩 가이드 준수 여부에 대한 검증 장치 혹은 프로세스 미비 ( 매뉴얼 리뷰 , 컨설팅 )- 외주 개발 애플리케이션에 대한 보안 검증 장치 부재 ( 개발사 몫 ?) - 국제규정 및 감독기관 , 외부 규정을 준수하는 개발보안 필요
- 네트워크 , 시스템 및 애플리케이션의 가용성 유지해야 함 - 애플리케이션에 대한 상세 이해 부족 - 운영단계에서 애플리케이션 취약점 조치 어려움 - 현실적으로 전수검사 불가능
개발 라이프 사이클 (SDL) 내의 보안 방안 부재업무별 적정 프로세스 및 솔루션 부재
7www.esvali.com
I. Fortify Software 소개 예방방안 – 웹 방화벽
■ 웹 방화벽 솔루션은 웹 프로그래밍 오류 및 자동화 공격 툴을 이용한 웹 해킹 탐지 및 차단 수행■ 웹 방화벽 솔루션은 웹 프로그래밍 오류 및 자동화 공격 툴을 이용한 웹 해킹 탐지 및 차단 수행
구분 세부 설명
특징
애플리케이션 수정 없이 애플리케이션 공격 방어 웹서버 , 애플리케이션 서버등의 설정 오류로 인한 취약점 방어 애플리케이션 개발 언어 및 환경의 제약 없이 공격 방어 웹을 통한 공격 시도 탐지
한계
룰 설정을 위해서는 애플리케이션에 대한 분석이 수행되어야 함 룰 설정이 방대하고 까다로움 애플리케이션 변경시 룰 수정 필요 웹 서버 성능 저하요소
사용주체
시스템 / 네트워크 관리자 애플리케이션 운영자
주요 기능 및 특징서비스 구성서비스 구성
Web F/W
SwitchFirewall
서비스 통과패킷
수집 및 분석
관리자 Console
Attacker
DBMS
Public Web
Server
Database
WebApplication
IntranetWeb
Server
SQL SlammerCode Red Nimda Forceful SQL injection Site
:
AT
TA
CK
S
경보
Manager
HTTP Request
Internet
8www.esvali.com
I. Fortify Software 소개 – 예방방안 웹 스캐너
■ 전문 엔진을 사용하여 웹 애플리케이션 및 웹 서버 모의 공격 테스트 후 취약점 도출■ 전문 엔진을 사용하여 웹 애플리케이션 및 웹 서버 모의 공격 테스트 후 취약점 도출
구분 세부 설명
특징
애플리케이션에 존재하는 취약점 도출 사용의 편의성 웹서버 , 애플리케이션 서버등의 설정 오류로 인한 취약점 도출 웹 애플리케이션 개발 언어 및 환경의 제약 없이 취약점 도출 단시간에 대량의 모의공격 테스트 후 취약점 도출
한계
개발 완료된 애플리케이션에 대해서만 취약점 분석 가능 매일 update 되는 애플리케이션에 대한 대응 한계 점검 결과에 대한 실 적용 한계 ( 소스코드 변경 내용 파악 어려움 ) 오탐율
사용주체 QA/ 감사자 애플리케이션 테스트 요원 보안관리자 /CERT
주요 기능 및 특징서비스 구성서비스 구성
SwitchFirewall
관리자 Console
Public Web
Server
Database
WebApplication
IntranetWeb
ServerPenn Test( 내부망 )
Internet
Penn Test( 외부망 )
9www.esvali.com
I. Fortify Software 소개 예방방안 – 소스코드 분석
■ 애플리케이션 소스코드에 대해 전문 엔진을 사용하여 분석 후 취약점 도출■ 애플리케이션 소스코드에 대해 전문 엔진을 사용하여 분석 후 취약점 도출
구분 세부 설명
특징
애플리케이션 소스코드 관점의 진단결과 도출 소스코드 관점의 리포트 제공으로 취약점 수정 용이 단시간에 대량의 소스코드 분석 개발중인 애플리케이션에 대한 취약점 분석 개발 프로세스와 연동
한계
진단가능 언어 제한 웹서버 , 애플리케이션 서버등의 설정 오류로 인한 취약점 도출 한계 소스코드 미 보유시 진단 불가
사용주체
개발자 QA/ 감사자 보안 관리자 프로젝트 관리자
주요 기능 및 특징서비스 구성서비스 구성
보안 관리 소스코드 분석
보안 분석정책편집
보안정책
보안팀
경영층
CISO, CSO, CTO, CIO
코드
보안정책
레포트
전사보안정책
CCO, CSO
코드
보안
관리자
개발자 / 테스터IDE Plug-ins
보안결함
개발팀
개발 1팀
개발 2팀
개발 3팀
개발관리자Build Server
보안분석
외주개발
10www.esvali.com
I. Fortify Software 소개 애플리케이션 보안 유형 비교
애플리케이션 소스 취약점 점검 웹 애플리케이션 스캐너 웹 애플리케이션 방화벽
목표 보안성이 확보된 전사 애플리케이션 개발 및 구축 웹 취약점 점검 및 조치 웹 공격방어
사용목적 애플리케이션 근본 취약점 발견 및 조치 웹 애플리케이션 취약점 발견 및 조치 웹 서버 및 웹 애플리케이션 방어
형태 자체 엔진에 의한 취약점 점검 자체 엔진에 의한 취약점 점검 Proxy 방식
점검 관점 관리자 , 개발자 관점 공격자 관점 관리자 관점
사용 방법 전문 소프트웨어 및 지식에 의한 점검 전문 소프트웨어 및 지식에 의한 점검 룰 세팅에 의한 공격 방어
점검시점 개발단계 , 구축단계 , 실 운영환경 실 운영환경 ( 웹 애플리케이션 개발 완료 후 )
실 운영환경 ( 웹 애플리케이션 개발 완료 후 )
대상 애플리케이션
웹 애플리케이션 + 기업 애플리케이션 소스 (C, C++, C#, JAVA, JSP, PL/SQL)
웹 애플리케이션 웹 애플리케이션
점검 대상 Front-end + Back-end 애플리케이션 Front-end 웹 애플리케이션 웹 서버
점검 수준 취약 프로그램 소스 파일 , 라인 , 취약함수 취약 웹 애플리케이션 프로그램명 해당사항 없음
점검 항목 기업 애플리케이션 전체 웹 애플리케이션 해당사항 없음
향후 운영 용이 ( 도구 사용에 의한 자체 인원에 의한 주기적 점검 )
용이 ( 도구 사용에 의한 자체 인원에 의한 주기적 점검 )
어려움 ( 공격 유형에 따른 대처 )
기타
보안 감사도구로 활용외주소스에 대한 보안감사SDLC 단계별 보안성 검토 가능개발시 보안 metrics 구축
보안 감사도구로 활용웹 매플리케이션에만 국한됨
네트웍 운영환경 변경웹 서버의 가용성 및 성능에 영향 미침웹 애플리케이션에만 국한됨
11www.esvali.com
I. Fortify Software 소개 애플리케이션 보안 요구사항
• “APPs 개발자 보안 지침 가이드” 교육• SDLC 단계 별 보안성 검토 프로세스 개선
• 소스코드 취약점 분석• 취약점 감사• 취약점 개선
• 애플리케이션 취약점 분석• 취약점 감사• 취약점 개선
• 애플리케이션 변화관리 보안성 감사• 신규 보안 취약점 감사• 주기적인 보안 취약점 감사• 애플리케이션 방어
○ 개발 단계 별 보안 요구사항소프트웨어 개발 라이프 사이클 단계인 “계획코딩테스트운영” 단계의 모든 단계 별로 보안성 검토 프로세스를 추가 도입 한다 . 기존 애플리케이션 개발 방법에 따른 보안상의 취약점 발생을 사전에 방지하고 , 향후 도출된 취약점 개선을 용이하게 한다 .
계획단계 별 필요사항
개발 프로세스
• 보안성 검토 프로세스• 개발 보안 지침
• 소스코드 취약점 분석
• 웹 스캐너• 소스코드 취약점 분석
• 애플리케이션 방화벽• 웹 스캐너• 소스코드 취약점 분석• 모의해킹
솔루션 유형
설계
코딩
테스트
운영
12www.esvali.com
I. Fortify Software 소개 – 애플리케이션 보안 동향 개발과정 보안
○ 애플리케이션 보안 동향
단계 보안 Activity
프로젝트 개시 / 분석
-보안 요구사항 정의 ( 시스템 , 기능 )-보안 코딩 표준 정의-보안 프레임웍 정의-보안 요구사항 매핑
설계
-보안 명세 (Spec.) 정의- 위협 모델링- 보안 설계 - 보안 테스트 계획 수립
개발
- 보안 코드 검토- 보안 단위 시험- White Box 보안 시험- 보안 시스템 구축
테스트- 보안 기능 시험- 보안 침투 테스트- 보안 코드 스캐닝
유지관리 /운영
- 보안 운영 지침 수립 ( 패치 , 설정 , 지속적 점검 등 )- 보안 이슈 추적 / 해결
• 애플리케이션 개발 라이프사이클 단계별 보안요소가 고려 되어야 함• 개발 후 개발 혹은 QA 단계에서 취약점을 조치한다면 구축 후 취약점을 조치하는 것보다 20 배 의
비용 절감 효과
“Integrate security best practice and tools into software dev lifecycle”, Feb. 2006
13www.esvali.com
I. Fortify Software 소개 애플리케이션 주요 취약점 ( 예 )
취약점 현상 대응책
Path Manipulation시스템 중요파일 (password, 소스코드등 ) 에 접근 하여 시스템 침탈 가능
인가된 경로 외의 파일에 접근하지 못하도록 소스 변경
SQL InjectionDB 공격하여 비인가 정보 획득 , 데이터 변조 가능
사용자 입력값이 DB Query 문에 직접 조합되지 않도록 소스 변경
Cross-Site Scripting페이지 가로채기 , 바이러스 설치 , 백도어 등의 스크립트 공격 가능
사용자 입력값에 대해 필터링 하도록 소스 변경
HTTP Response Splitting페이지 가로채기 , 바이러스 설치 , 백도어 등의 스크립트 공격 가능
사용자 입력값에 대해 필터링 하도록 소스 변경
Trust Boundary Violation 프로그램 내부 데이터 조작 공격중요하게 다루어 지는 내부 데이터의 외부 사용자 입력값 이용 하지 않도록 소스 변경
Unchecked Return Value: Missing Check against Null
시스템 간접정보 획득 , 및 프로그램 오동작 가능
사용자 입력값에 대해 검사하도록 소스 변경
J2EE Misconfiguration: Missing Error Handling
시스템 간접정보 획득 가능성 Error 발생시 시스템 정보가 노출되지 않도록 설정파일 변경
※위 목록상의 취약점 외에 백 여종 이상의 애플리케이션 취약점이 존재하며 취약점의 대부분이 애플리케이션 소스 변경에 의해 조치되어야 함
※애플리케이션 취약점들은 개발단계 부터 디버깅 관점으로 관리되어야 함 ( 개발자 업무의 70% 가 디버깅 업무 )
14www.esvali.com
I. Fortify Software 소개 애플리케이션 주요 취약점 ( 예 )- 계속
취약점
Access Control Missing XML Validation Resource Injection
Authentication Null Dereference Session Fixation
Code Correctness Object Model Violation Setting Manipulation
Command Injection Obsolete Struts
Dead Code Password Management System Information Leak
EJB Bad Practices Poor Error Handling Unreleased Resource
Insecure Randomness Poor Logging Practice Unsafe JNI
J2EE Bad Practices Poor Style Unsafe Mobile Code
Log Forging Privacy Violation Unsafe Reflection
Member Field Race Condition Process Control Resource Injection
15www.esvali.com
I. Fortify Software 소개 SDL 내의 Fortify Software 포지셔닝
Fortify SCA Dev Proactive security with targeted, accurate analysis tuned for low false positives
Fortify SCAAnalyzes code comprehensively and accurately
Developers
Fortify TracerMakes every black box security test measurable and actionable
Security Testers
Fortify DefenderMonitors and measures web applications in production
Security Ops Team
Security Leads / Auditors
Fortify ManagerCentral reporting and management of software security across the enterprise
Management
Build Server
FPR
Fortify SCA
16www.esvali.com
I. Fortify Software 소개
○ Fortify Defender
○ Fortify Source Code Analysis Suite
- 개발단계부터 보안 취약점 발견 및 조치를 통한 “안전한 애플리케이션 개발”- SDLC 프로세스와 연동되어 “보안 검토 프로세스”로 사용- 지원대상 : JAVA, JSP, .NET, C, C++, C#, PL/SQL 및 환경 (Apache, J2EE, EJB, ASP.NET, Weblogic 등 )- 개발자 관점 ( 소스파일 , 라인 , 함수 ) 의 개선 보고서 제공으로 애플리케이션 취약점 수정 용이- IDE Plug-ins (VS.net, Eclipse, Jbuilder, WASD) 지원
○ Fortify Tracer
- 애플리케이션 보안 테스트- 애플리케이션 QA 테스트시 보안 검증
- Application Firewall- “Hardened Software” 방식 ( 세계최초 )- Monitoring mode 및 defense mode 지원
○ Fortify Manager
- 웹 기반의 애플리케이션 보안현황 관리 ( 리포트 , 이력관리 , 룰 관리 및 update, 사용자관리 )
SDL 내의 Fortify Software 포지셔닝
17www.esvali.com
I. Fortify Software 소개 Fortify Source Code Analysis 점검 프로세스
소스 파일소스 파일(Java, JSP, C/C++, C#, XML,
.NET PLSQL)
Fortify Source Code AnalysisFortify Source Code Analysis(Data Flow, Control Flow,
Semantic, Configuration, X-Tier Tracking)
취약점 이슈
개발자
보안관리자
관리자
Security manager( 애플리케이션 보안관리 )
Audit Workbench( 취약점 감사 )
Format String IssuesPrivacy ViolationsNative CalloutUnsafe Memory OperationUnchecked Return ValueAlways Unsafe FunctionsRace ConditionsUninitialized Variable
Buffer OverflowsSQL InjectionCross-Site ScriptingAccess ControlProcess ControlNo Null TerminationSetting ManipulationResource InjectionPasswords in Config FilesUnreleased Resource
Core LanguageVulnerabilities
3rd Party Library / Framework Specific
Application Specific
Fortify Secure Coding Rules
Session-ID LengthEntity Bean ConfigurationInformation LeakageLog ForgingInteger OverflowEJB Resource PermissionStruts Form Field ValidationDouble Memory FreeNull Pointer DereferenceDirectory Restriction
Fortify Rules Builder
Corporate Coding StandardsCoding LibrariesCustom interfaces
Custom Rules
18www.esvali.com
I. Fortify Software 소개 분석 로직 – 취약점 탐색
프로세스 · 데이터의 흐름을 따라 취약성을 찾습니다
19www.esvali.com
I. Fortify Software 소개 운영방안 (1) - 보안 감사 프로세스
- 애플리케이션 보안 관리자가 사용 주체가 되어 소스 취합 후 취약점 점검 및 테스트- 특정 프로젝트 혹은 특정 업무에 대한 보안 취약점 점검- 개발중 혹은 개발 완료된 애플리케이션에 대한 취약점 점검- 개발자는 점검 결과를 확인하여 취약 소스 변경
○ 운영형태
- 대량의 애플리케이션에 대한 전수 검사 가능- 외주 개발 소스에 대한 보안성 검토- 보안이 고려되지 않은 상태로 개발이 진행 후 소스코드를 취합 , 검토 하므로 다량의 취약점이 발견되며 제거를 위한 별도의 시간 및 인력투여 필요
○ 장 / 단점
○ 도식
개발자
취약점 탐색 취약점 검토
보안관리자
3rd party IDEMicrosoft, Borland, Eclipse, IBM, etc,소스코드
수 정
소스코드
취약점 내역
20www.esvali.com
I. Fortify Software 소개 운영방안 (2) – 보안 점검 프로세스
- 보안 개발 프로세스 확립으로 보안이 고려된 애플리케이션 개발 가능 - 보안취약점을 제거하기 위한 별도의 추가적인 절차 불필요- 특정 개발 도구를 사용하여야 함
○ 장 / 단점
○ 도식
개발자
취약점 탐색보안 현황 검토 / 관리
보안관리자 / 프로젝트 관리자
3rd party IDEMicrosoft, Borland, Eclipse, IBM, etc,
소스코드수 정
소스코드
보안 현황 /리포팅
Security Manager
취약점검토결과
프로젝트 조회 / 관리
- 개발자 : 개발환경에 IDE Plug-in 을 설치하여 , 개발중인 소스코드의 취약점을 수시로 탐색 및 취약점 제거 - 보안 관리자 :
- 보안이 고려되어 개발된 소스코드를 취합하여 전수검사 수행 - 중앙 관리 도구를 이용하여 보안현황 및 취약점 관리 - Security Test
- 프로젝트 관리자 : 중앙 관리도구를 이용하여 업무별 / 애플리케이션의 취약점 변화 관리
○ 운영형태
21www.esvali.com
I. Fortify Software 소개 운영방안 (3) – 보안점검 프로세스
변경관리 프로세스
○ 도식
개발자 보안관리자 / 개발 관리자
소스코드수정 / 개발소스코드
수정 / 개발취약점탐 색취약점탐 색
결재 요청( 취약점제거결과첨부 )
결재 요청( 취약점제거결과첨부 )
소스코드수 정
보안성검 토보안성검 토 결재결재 Whitebox
TestWhitebox
Test
- 개발자 : 개발 프로세스 ( 변경관리 도구 )와 연동되어 소스코드의 보안 취약점 확인 및 제거 - 개발 관리자 or 보안 관리자 :
- 개발자에 의해 보안 취약점이 검토 / 제거된 소스 코드에 대해 결과 검토 후 승인 - 중앙 관리 도구를 이용하여 애플리케이션 보안 취약점 현황 관리 - Security Test
○ 운영형태
- 자동화된 보안 개발 프로세스 확립 - 보안취약점을 제거하기 위한 별도의 추가적인 절차 불필요- 기 사용중인 변경관리 도구와의 연동 필요
○ 장 / 단점
배포배포
22www.esvali.com
I. Fortify Software 소개 적용사례 (H 은행 )-추진과제 및 프로젝트 범위
프로젝트 구축범위
보안 현황 관리
취약성 분석
소스코드 분석
형상관리 연동
Aurora( 형상관리 )
FortifySCA
Security Knowled
ge
보안정책
개발환경
ExecutiveSummarySecurityPolicy
Report History
UserManagement
SecurityAlert
We
b In
terfa
ce
웹 프로그램 개발시의 가이드라인 및 지침
수립
웹 프로그램 개발시의 가이드라인 및 지침
수립
웹 프로그램의 개발 /변경 시에 대한 상시
취약점 점검체계 구축( 형상관리와 연동 )
웹 프로그램의 개발 /변경 시에 대한 상시
취약점 점검체계 구축( 형상관리와 연동 )
기 운영중인 웹 프로그램에 대한 취약점 진단 및 조치
기 운영중인 웹 프로그램에 대한 취약점 진단 및 조치
소스코드(JAVA,JSP)
설정파일
모의해킹 시스템
Fortify Tester
Security Knowledge Report
운영환경
운영시스템
개발
가이드
예외처리
개발툴 ( 개발자 )eclipse
FortifySCA
Security Knowled
ge
보안정책
예외처리
전수시스템( 정기 전수검사 )
We
b
23www.esvali.com
I. Fortify Software 소개 적용사례 (H 은행 )- 프로젝트 일정 및 내역
웹 어플리케이션 개발보안 추진 과제 도출 (3 개 )
상시 취약점 점검 체계구축 전략 수립
운영 APP보안점검 수행 인터넷 뱅킹 애플리케이션 취약점 상시 점검 체계 구축
인터넷 뱅킹 애플리케이션에 대한 정기 전수검사 / 형상관리 연동 점검 / 개발시 상시 점검 시스템
구축
웹 프로그램의 개발 /변경 시에 대한 상시 취약점 점검체계 구축
웹 프로그램의 개발 /변경 시에 대한 상시 취약점 점검체계 구축
기 운영중인 웹 프로그램에 대한 취약점 진단 및 조치
기 운영중인 웹 프로그램에 대한 취약점 진단 및 조치
웹 프로그램 개발시의 가이드라인 및 지침
수립
웹 프로그램 개발시의 가이드라인 및 지침
수립운영 중인
인터넷 뱅킹 시스템에
대한 보안점검 및 주요 취약점
점검
애플리케이션 상시 보안 점검체계 구현
인터넷 뱅킹 시스템 전수 검사 및 중요 취약점 조치
현황 분석 설계 시스템 구축 테스트 이행
형상관리 (Aurora) 연동
정기 전수 시스템 구축
모의해킹 시스템 구축
2006/8 2006/10 2006/11 2006/12 2007/1
개발자 환경구축
점검 룰 최적화
개발 지침 및 가이드라인 수립
추진 목표 및 내역에 대한 사전 전략 수립을 통한 성공적인 프로젝트 수행
개발 보안교육
24www.esvali.com
I. Fortify Software 소개 적용사례 (H 은행 )- 구축 현황
형상관리 시스템과 연동된 상시 보안 점검 체제 구축애플리케이션에 소스코드에 대한 상시 보안 점검 및 통제를 위하여 , 당행 운영중인 형상관리 시스템 (Aurora) 과 연동하여 소스 프로그램 변경 시 자동화된 보안 검사 실시개발툴 (eclipse) 에 보안점검 모듈 장착하여 개발자에 의한 상시 보안 점검 수행일관된 보안 정책에 의한 애플리케이션 보안 수준 유지
보안 관리자
개발자
Eclipse 연동
어플리케이션 운영 서버
형상관리 서버
어플리케이션 개발 서버
컴파일 및 테스트
분석결과
Java
Analysis Engine
global data flowcontrol flow
semanticconfiguration
Compile 및 보안진단
정상시보안정책 설정 ( 사전 )
결재 의뢰(Java)
Analysis Engine
global data flowcontrol flow
semanticconfiguration
1 자체 보안테스트 실시
2 실행 테스트
3 변경된 소스 프로그램취약점 진단
4 취약점 존재시 소스 반려
5 운영 시스템 반영
25www.esvali.com
I. Fortify Software 소개 적용사례 (H 은행 )- 구축 현황
웹 취약점 진단 시스템
Manager 서버
전수 점검 및 모의해킹 진단 체제 구축운영중인 소스코드에 대한 주기적인 ( 일간 ) 전수 검사 실시하여 프로그램간 연동 취약점 검사운영시스템에 대한 정기 취약점 점검 ( 웹 스캐닝 ) 을 실시하여 외부에서의 취약점 검사운영시스템에 대한 주기적이고 체계적인 취약점 관리 체제 구축
레포트 열람
보안정책 설정
전수결과 , 레포트
Attack and Analysis Engine
Security Testing System
분석결과
모의공격 테스트
진단 결과
Analysis Engine
global data flowcontrol flow
semanticconfiguration
JavaJSP
Configuration
개발자
Eclipse 연동
Analysis Engine
global data flowcontrol flow
semanticconfiguration
1 자체 보안테스트 실시
보안 관리자
운영 서버
JavaJSP
Configuration
2 형상관리와 연동된소스점검
3 정기 전수검사( 일일 )
7 전수검사 결과 검토및 조치
8취약점 점검 ( 웹 스캐닝 )
웹 서버
4
6 결과 협의 및 통지
4
95
26www.esvali.com
I. Fortify Software 소개 적용사례 (H 은행 )- 구축 현황
애플리케이션 개발 시 보안 프로세스 확립어플리케이션 개발팀에 의한 취약점 자체 점검 체계 및 보안 의식 강화자동화 된 시스템 및 체제 구축으로 애플리케이션 보안 현황 및 관리 용이정형화 된 진단방법의 구성으로 효율적인 상시 보안 점검 체계 확보
보안점검 시스템 ( 형상관리 /전수진단 )
보안 관리 시스템 (Manager)
취약점점검시스템 ( 웹 스캐너 )
가이드라인
보안팀
CISO, CSO, CTO, CIO
운영팀
소스코드점검결과
정책
보고서
시스템 운영자소스코드
보안 관리자개발자 /QA개발툴 플러그인
Security Defects
개발팀 1
개발팀 2
개발팀 3
개발리더자체 보안성 검토
외주개발
경영진개발팀
27www.esvali.com
I. Fortify Software 소개 적용사례 (S 전자 )
개발부서 보안팀비고
개발팀 CERT
운영 형태 - 개발자는 “개발 보안 가이드”에 의거하여 코딩 - 보안팀에 의한 소스코드 보안성 검토 ( 매뉴얼 소스코드 리뷰 )
- 취약점 결과를 개발자에 송부 후 조치 - 보안성 검토 후 보안 승인에 의한 운영 시스템 반영
Pain Fact
- 샘플링 형태에 의한 소스코드 리뷰 - “ 개발 보안 가이드” 준수 여부 확인 한계 - 전수검사 불가능 - 수시로 변경되는 애플리케이션에 대한 검사 한계
코딩
종료
보안성 검토소스코드
취약점 조치
N
Y
취약점
개선요청
운영 시스템 반영
○ 적용 전 보안검토 프로세스
28www.esvali.com
I. Fortify Software 소개 적용사례 (S 전자 )
개발부서 보안팀비고
개발팀 CERT
운영 형태 - “ 개발 보안 가이드”를 포함하는 주요 취약점 등록 - 개발 단계부터 개발자에 의한 보안성 검토 및 조치 - 개발자들에 의한 코딩 완료 후 보안팀에 의한 전수 검사
Success Factor
- 개발단계부터 자동화된 프로세스 적용 - 모든 애플리케이션에 대한 전수검사 가능 - 애플리케이션 보안 검토 프로세스 확립 - 애플리케이션 보안 변화관리
코딩
종료
보안성 검토소스코드
취약점 조치
N Y취약점
개선요청
운영 시스템 반영
보안성 검토
취약점
Y
N
Y
○ 적용 후 보안검토 프로세스
29www.esvali.com
I. Fortify Software 소개 국내 레퍼런스 ( 솔루션 )
No.
고객명 도입시기 사용용도 적용대상업무 비고
1 SK Telecom 2005.12 Apps. Source code AuditSKT 사내 Appls.
2 국민은행 2006.1변경관리도구와 통합된 SDLC
프로세스에서 보안성 검토인터넷 뱅킹 업무
3 SC 제일은행 2006.4기업 뱅킹 업무 재 구축 시 개발단계부터 보안성 검토 및 적용 기업뱅킹업무
4 하나은행 2006.8 개발단계 부터 보안성 검토 기업 /개인뱅킹업무
5 삼성전자 반도체 2006.8In-house/out sourcing 애플리케이션에 대한 보안성 검토 MIS
6 외환은행 2006.11 인터넷 뱅킹 보안성 검토 인터넷 뱅킹
7 SK Telecom 2006.11 Apps. Source code AuditSKT 사내 Appls.
확장
8 삼성전자 통신 2006.12In-house/out sourcing 애플리케이션에 대한 보안성 검토 사내업무시스템
9삼성전자 정보전략 2006.12
In-house/out sourcing 애플리케이션에 대한 보안성 검토 사내업무 시스템 삼성전자 표준화 툴로
선정
10 KTNET 2006.12 E-commerce 사내 Appls
30www.esvali.com
I. Fortify Software 소개 국내 레퍼런스 (컨설팅 )
No. 고객명 컨설팅 일정 적용대상업무 비고
1 대법원2005.7-8 부동산 등기 시스템
2006.7-9 부동산 등기 시스템
2 BC Card2005.9-10 전사 애플리케이션
2006.6-8 전사 애플리케이션
3 교육인적자원부 2006.4-6 NEIS
4 건설교통부 2006.3-9 건축행정 시스템 SI 프로젝트 단계별 보안성 검토
31www.esvali.com
I. Fortify Software 소개 Major Customer Deployments
E-Commerce
Banking & Finance Telecom
Government
Infrastructure
Healthcare
Other
32www.esvali.com
I. Fortify Software 소개 Awards
- 2007 Editor’s Choice: Network Computing product review
- 2007 SC Magazine Reader Trust Award - Best Security Software Solution
- 2007 Financial IT Security Future Now List - 25 Best Innovations
- 2007 CMP Media Dr. Dobb’s Jolt Award for Product Excellence - Security
- InfoWorld: 15 Tech Startups to Watch
- 2006 CMP Media Dr. Dobb’s Jolt Award for Productivity - Security
- 2006 SD Times 100 Winner
- E-Commerce Times Product Review: 10 Security Software Stars
- 2006 InfoWorld Technology of The Year Award
- 2006 IBD Network’s Innovation Award
- 2006 Sand Hill Group Top 20 Privately Held Pioneer at Software
- 2005 CMP Media Dr. Dobb’s Jolt Aware for Product Excellence
- 2005 SD Times 100 Winner
- Finalist: Red Herring Top 100 Private Companies in N. America
- 2005 Computerworld Honors Laureate Award
- Fortify Named ‘The Next Big Thing’ at Enterprise 2005
- 2005 RSA Innovation Station Runner Up
- 2005 InfoWorld Technology Of The Year: Best Security Analysis Tool
- 2005 IBD Under the Radar Innovation Award for the Datacenter Category
33www.esvali.com
II. 회사 소개
CONTENTS
1. 회사 개요
2. 주요 연혁
3. 조직도
4. 사업분야
5. 주요실적
6. 특장점
목 차
34www.esvali.com
III. 회사 소개
회사명회사명
설립일설립일
사업분야사업분야
사업장사업장
자본금자본금
사업자번호사업자번호
주식회사 이씨큐밸리 (eSecuVali CORPORATION)
2007년 6월 7 일
컴퓨터 , 소프트웨어 개발 및 공급
서울시 금천구 가산동 60-11 스타밸리 503호
1억 2천만원
119-81-99674
회사명
설립일
사업분야
사업장
자본금
사업자번호
1. 회사개요
주요 협력사주요 협력사주요 협력사
35www.esvali.com
III. 회사 소개 eSecuVali Corp. 는 방화벽 및 UTM 개발 경험을 보유한 보안솔루션 전문업체로 2000년부터 관련 분야에서 함께 노하우를 축적한 인력을 보유하고 있으며 , 최고의 보안 Solution 을 고객에게 제공하는
기업입니다 .
2. 주요 연혁
2007. 12
2007. 09.
2007. 08.
2007. 07.
2007. 06.
분당서울대학교병원 보안시스템 구축 프로젝트 수주
한국소방검정공사 전자세금계약서 /전자계약서 시스템 구축 수주
BC카드 , 도시철도공사 서버보안 유지보수 계약
대검찰청 보안시스템 및 네트워크 고도화 사업 수주
DataSecure(DB암호화 ) 국내 리셀러 계약
대검찰청 , 교보생명 , 농심 보안시스템 유지보수 계약
BioPassword( 개인정보보호 ), Untangle(UTM) 국내 총판 계약
그린화재해상보험 , 하이리빙 , 에이스테크놀러지 보안시스템 유지보수 계약
회사 설립 ( 이씨큐밸리 eSecuVali Corp.) – 전사 사업부서 및 유지보수 이동
eSecuUTM( 통합보안 ) 개발 및 상표등록
2007
2008. 01 두산그룹 DB암호화 (DataSecure) 구축 수주2008
36www.esvali.com
III. 회사 소개
이씨큐밸리의 조직은 기술연구소 , 경영지원부 , 솔루션사업부로 구성되어 있으며 , 국내 최고 수준의 IT 인력 및 Security 전문기술을 보유하고 있습니다 .
3. 조직도
인사 /총무인사 /총무 영업팀영업팀 기술팀기술팀개발팀개발팀
경영지원부경영지원부 솔루션사업부솔루션사업부
인사 / 총무
회계 / 재무
인사 / 총무
회계 / 재무
보안 컨설팅DB 보안서버 Audit서버 보안UTMBioPassword기술지원유지보수
보안 컨설팅DB 보안서버 Audit서버 보안UTMBioPassword기술지원유지보수
신제품개발
UTM
eSecuDC
신제품개발
UTM
eSecuDC
eSecuVali Corp.eSecuVali Corp.eSecuVali Corp.eSecuVali Corp.
기술연구소기술연구소
보안 컨설팅DB 보안DB 취약점 분석세션 로깅서버 보안UTMBioPasswordAPP 취약점 분석자산 지킴이
보안 컨설팅DB 보안DB 취약점 분석세션 로깅서버 보안UTMBioPasswordAPP 취약점 분석자산 지킴이
37www.esvali.com
III. 회사 소개
이씨큐밸리는 현재 각 분야별 전문가를 보유하고 있으며 , 주요 사업분야는 Security Consulting 사업 , 보안 SI Service, 보안 Solution 사업 등 세 부분으로 구분됩니다 .
4. 사업분야
(( 주주 )) 이씨큐밸리 주요추진사업이씨큐밸리 주요추진사업
보안 SI DB 취약점 분석보안통합유지보수전자세금계산서전자계약시스템전자입찰시스템 자산관리 시스템eSecuDC신제품 개발
Network - eSecuUTM - Untangle(UTM) System - eSecuDC - eTrust AC( 서버보안 ) - GateOne( 세션로깅 ) Application - BioPassword - DB 보안 - DB 취약점 분석 - App 취약점 분석
Solution Service Security
정보보호컨설팅 A/S is -> To be 모델 제시
38www.esvali.com
III. 회사 소개 5. 주요실적 (Solution)
사업명 고객사 사업기간 발주처
두산그룹 DB암호화 시스템 구축 두산정보통신 08. 01 ~ 08. 02 한국전자증명원
분당서울대학교 병원 보안시스템 구축 분당서울대병원 07. 12 ~ 08. 01 KT
대검찰청 정보보안시스템 고도화 대검찰청 07. 09 ~ 10 에인트시스템
보안장비 외 안동과학대학 06.11~12 시나이미디어
하드웨어 보안 모듈 LGCNS 06.11~12 에스컴
그린화재 사이버마켓 이중화 그린화재 2006.7 그린화재
형사통합사법체계 2 차 DB 보안 법무부 , 대법원 06.05~09 에스컴
대검찰청 통합센터 이전 보안 컨설팅 대검찰청 2006.5~2006.6 대검찰청
형사통합사법체계구축 DB 보안 법무부 , 대법원 05.12~12 에스컴
한국관광공사 카지노 DB 보안 한국관광공사 05.12~12 매버릭시스템
정보보호 공유분석 시스템 구축 행정자치부 05.11~12 정보보호기술
퇴직연금 시스템 구축 그린화재 05.11~06.04 유니보스
보안 소프트웨어 대검찰청 05.10~12 대검찰청
서버보안 시스템 구축 교보생명 05.09~10 교보생명
39www.esvali.com
III. 회사 소개
사업명 고객사 사업기간 발주처
정보보안시스템 고도화 사업 대검찰청 04.10~11 대검찰청
하드웨어 보안 모듈 행자부 04.10~11 BGS 정보
신동아화재 보안시스템 증설 신동아화재 04.9~12 STG
침입차단 외 교원나라자보 04.08~09 에이텍솔루션
웹 서비스보안 시스템 구축 그린화재 04.06~07 그린화재
INISAFE 시스템 구축 신동아화재 04.03~03 한화 S&C
보안컨설팅 / 서버보안 ㈜한화 04.03~05 한화
전산관리시스템구축 동서울대학 04.02~02 동서울대학
서버 권한관리시스템 BC카드 04.01~02 BC카드
행정전자서명 인증시스템 구축 (2 차 ) 대검찰청 03.8~10 대검찰청
정보보호 컨설팅 신동아화재 03.7 시큐어소프트
서버보안 시스템 구축 SK Telecom 03.3~6 SK C&C
5. 주요실적 (Solution)
40www.esvali.com
III. 회사 소개 5. 주요실적 (Service)
사업명 고객사 개발기간 비고
전자세금계산서 및 전자계약서 시스템 구축 한국소방검정공사 08. 01~08. 02 JAVA
전자계약 ASP 서비스 시스템 롯데정보통신 07.05~07.09 JAVA, JSP
전자입찰시스템 , 전자계약시스템 , 원본입증 한국자산관리공사 07.03 JAVA, JSP
DB 보안 시스템 구축 [PKI Toolkit & DB암호화 ] 한화 63 시티 07.03 MS-SQL/DB2
PKI Toolkit 보안 / 인증시스템 한화갤러리아 07.03 .NET
보안메일 솔루션 (SecuEM) 납품 및 컨설팅 롯데정보통신 07.01~07.03 JAVA, JSP
전자계약 시스템 ( 부대조달 ) 방위사업청 07.01 JAVA, JSP
전자 협약 건설교통기술평가원 06.12~07.01 JAVA, JSP
전자세금계산서 (SecuBill ASP Service 연계 ) 동양생명 06.11~07.01 JAVA, JSP
전자세금계산서 (삼성전자 10 개 계열사 통합 ) 삼성전자 06.11~07.03 JAVA, JSP
전자계약 도원디테크 06.11~07.02 VB/ASP
전자계약 인천국제공항철도 06.11~07.01 JAVA, JSP
DPF 계약관리 시스템 ( 내부시스템 ) 일진전기 06.11~07.02 VB/ASP
인증시스템 ( 한양사이버대학교 Site) 한양대학교 06.10 ASP
전자세금계산서 포항공대 06.10~06.12 JSP
전자입찰 및 전자세금계산서 시스템 계룡건설 06.09~07.01 .Net
전자세금계산서 시스템 인희 06.08~06.10 .Net
전자계약 시스템 SK 네트웍스 06.07~06.08 VC, ASP
41www.esvali.com
III. 회사 소개
사업명 고객사 개발기간 비고
전자협약 시스템 해양수산기술진흥원 06.07~06.08 JAVA, JSP
전자세금계산서 시스템 제일화재 06.05~06.08 JAVA, JSP
PKI 툴킷 납품 및 개인근로자 계약시스템 적용 대림산업 06.06 .NET
전자세금계산서 시스템 – Secubill ASP 연계 삼성 SDI 06.05~06.07 JAVA, JSP
전자세금계산서 시스템 – Secubill ASP 연계 삼성 SDS 06.05~06.06 JAVA, JSP
전자세금계산서 시스템 다음커머스 06.05~06.06 VC++, ASP
전자세금계산서 시스템 한국자산관리공사 06.05~06.06 JAVA, JSP
전자입찰 인천국제공항철도 06.05~06.08 JAVA, JSP
전자계약 시스템 서희건설 06.05~06.08 VB/ASP
전자계약 및 전자세금계산서 시스템 대우엔지니어링 06.04~06.06 JAVA, JSP
전자계약 및 전자세금계산서 시스템 뉴코아아울렛 06.04~06.06 JAVA, JSP
전자계약 및 전자잔고증명 시스템 위니아만도 06.03~06.06 SAP R/3 ERP
SecuWeb(PKI 툴킷 ) 납품 및 전자구매시스템 대성산업 06.03~06.04 JAVA, JSP
5. 주요실적 (Service)
42www.esvali.com
III. 회사 소개
eSecuVali 는 Electronic, Security, Validation 의 합성어로 정보보호 솔루션 및 서비스를 고객에게 제공하여 보안의 3요소인 기밀성 , 무결성 , 가용성의 완벽한 조화를 추구하는
e-Security 전문 기업입니다 .
Security정보보호 컨설팅 /보안 시스템 구성 기획
AS IS ⇒ TO BE 방향 제시
Service보안 SI보안 통합 유지보수DataBase 취약점 분석eSecuDC
6. 특장점
Solution Network : eSecuUTM / Untangle(UTM) System : eSecuDC / eTrust AC / GateOne Application : BioPassword / DB 보안 / DB취약점분석 Application 취약점분석
eSecuVali Corp.
153-777, 서울 금천구 가산동 60-11 스타밸리 503호TEL:02-2027-1090 / FAX:02-2027-1095