2020.11.02 자체 보안성 심의

자체 보안성 심의

 자체 보안성 심의 시 참고 사항
 - 정보보호 최고 책임자의 승인을 받을 것
- 자체 보안성 심의를 실히 할 때 필요한 경우 침해사고 대응기관 정보공유, 분석센터(금융보안원)등 외부 기관에 의뢰하여 심의대상 전자금융업무에 대한 보안대책의 적정성 여부 검토 가능

자체 보안성 심의 결과의 제출 기준
 - 자체 보안성심의를 마친 후 해당 행위를 수행한 날로부터 7일 이내에 금융감독원장이 정한느 자체 보안성심의 결과보고서를 금융감독원에 제출해야함
 - 예외 신규 전자금융업무가 제공 또는 시행된 날을 기준으로 과거 1년 이내 전자 금융사고가 발생하지 않은 기관으로서 금융감독원장이 정하는 기준에 해당하는 금융회사 또는 전자금융업자

개선 보완 요구
 - 금융감독원장은 개선 보완을 요구할 수 있음


자체 보안성 심의 주체별 역할
  사업 추진 부서의 역할
    -  심의 대상 사업에 대한 사업계획수립 및 보안 대책을 수립 적용하느 역할을 수행

  정보보안부서
    - 보안 대책에 대한 적정성을 점검 , 세부적인 검토가 필요한 경우 금융보안원에 보안성 검토를 의뢰할 수 있음
    - 정보보보위원회를 통한 심의 의결은 필수 사항이 아니므로 금융회사 내부의 상황에 따라 결정 할 수 있다


보안성심의 위원회
  - 구성 : 통상적으로 보안성심의 위원회의 위원장은 정보보호최고책임자가 담당


자체 보안성 심의 절차
  - 절차 : 사업계획단계, 분석/설계단계,구현단계,테스트/보안단계,운영단계
  - 운영 :  정보보호부서는 해당 신규 전자금융업무에 대한 심의 의결 후 CISO가 승인한 자체 보안성심의 결과 보고서를 신규 전자금융업무가 제공 또는 시행된 날로 부터 7일이냉 금융감독원에 제출

전자금융거래 관련 공동 표준
 - 표준안 제안단계, 표준안 개발단계, 검토단계(보안성 심의 기준을 준수하는지 여부를 심의), 제정단계,활용단계 
   보안성심의 기준
     = 컴플라이언스 준수, 사용자 접근성,호환성 지원, 
        서비스 품질보장(안전성), 불필요한 기능제거(간결성), 표준화 그룹체계 관리

==========================================================

분산형 전자금융서비스
  비중요 정보처리시스템 지정
    - 고유식별정보 또는 개인정보를 처리하지 않는 정보시스템 , 전자금융거래와 관련 없는 고유식별 정보 또는개인 정보를 처리하는 정보처리 시스템,  개인정보 비식별 조치 가이드 라인을 준수하여 비식별화된 고유 식별정보 또는 개인 (신용)정보를 처리한는 정보 시스템

   CAS의 클라우드 보안 위협 현황
   - 데이터 유출, 잘못된 설정과 부적절한 변경관리, 클라우드 보안 아키턱처 및 전략 미흡, 신분 클리덴셜 접근키 관리 불충분 , 계정 하이재킹, 내부자 위협, 불안전한 인터페이스 및 API, 취약한 제어 영역, 대카스트럭처와 애프리스트럭처의 실패, 클라우드 사용의 가시성 제한, 클라우드 서비스 오용 및 악용

  신분 크리텐셜 액세스 키 관리 불충분
   - 이중 인증을 사용하는 것을 포함 , 계정에 보안 조치를 취한다.
   - 루트 계정 사용을 제한한다
   - 비즈니스 필요사항과 최소권한원칙에 입각해 계젇과 가상 프라이빗 클라우드, 신원 그룹을 분리한다
   - 키 순환에 중앙집중화된 프로그래밍 방식을 사용한다.
   - 사용하지 않는 크르데셜과 액세스 권한을 제거한다 
 * 크리덴셜 스터핑 : 기존에 다른곳에서 유출된 아이디와 암호를 여러 웹사이트나 앱에 로그인될  경우 개인정보나 자료를 유출하는 방법

 안전하지 못한 인터페이스와 API
  - 안전하지 못한 인터페이스와 API는 아주 자주 악용되는 공격 요소이다.
  - API 구현시 시큐리티 by 디자인 원칙을 적용하는 것이 좋음
  인벤토리(목록)나 테스트, 감사, 비정상 활동 보호등의 아이템을 감시와 같은 좋은 API프랙티스를 적용한다
 API 키를 보호하고 재사용을 피한다
  OCCI나 CIMI 같은 오픈 API 프레임워크를 고려한다.

 메타스트럭처와 애플리스트럭처의 실패
  - CSA는 케타스트럭처를 클라우드 서비스 업체와 고객의 경계선이라고 부른다
  - API는 고객이 승인되지 않은 접근을 감지하지만 로그나, 감사 시스템 데이터 같은 민감정보도 들어있음
  - 경계선은 공격자가 데이터에 대한 액세스 권한을 획득하거나 클라우드 고객에 문제를 초래할ㄹ 구 있도록 만드는 실패지점이 될수 있음

   클라우드 서비스 공급자가 가시성과 노출 경감책을 제공하도록한다    
   클라우드 네이티브 디자인으로 적절히 기능과 통제책을 구현한다
   클라우드 서비스 공급자가 침입 테스트를 실시하고 그 결과를 고객에게 제공하도록한다


클라우드사용과 관련된 가시성이 제한되는 문제
  허가받지 않은 app을 사용 허가된 앱을 오용하는 문제
  하향식으로 사람과 프로세스 기술을 연결해 클라우드 가시성을 발전시킨다.
  크랑우드 사용 정책, 집행과 관련해 전사적으로 의무 교육을 실시
  클라우드 보안 아키턱처, 외부 위험관리 전문가가 승인되지 않은 클라우드 서비스에 대해 평가를 한다
  아웃바운드 활동을 분석하기윟새 Cloud Access Security Broker 나 Software-Defined GateWay에 투자한다.
  인바운드 연결을 분석하기 위해 웹어플리케이션 방화벽에 투자한다
 전사적으로 무신뢰(Zero-trust)모델을 도입해 적용한다


클라우드 서비스 오용 및 악용
  - 직원들이 크라우드를 오용 악용하고 있는지 모니터링한다
  - 크라우드 DLP 솔류션을 이용, 데이터 유출을 모니터링해 막는다


암호화 및 키 관리
   필요시  HSM(Hardward Security Modules)을 이용하여 키관리를 강화하는 것도 고려 할 수 있음
   암호화키는 접근이 통제된 보안네트워크에 저장하고 클라우드서비스 제공자의 직원이나 동일 클라우드서비스를 이용하는 외부 기관이 접근할 수 없도록 한다

보안 모니터링 및 취약점 분석-평가
  연 1회 이상(홈페이지는 6개월에 1회이상) 실히

금융보문 추가 보호 조치
  - 클라우드서비스 제공자의 건전성에 관한 사항
  - 전자 금융보조업자에 대한 재무 건전성을 연1회 이상 평가하여 재무상태 악화에 따른 도산에 대비하고 전자금융보조업자의 주요 경영활동에 대해 상시 모니터링을 실시
  - 금융회사의 의무 준술를 위해 클라우드서비스 제공자의 지원 및 협조가 필수적인 내용
    = 사고보고 및 분석 수행절차 확보, 금융권 통합보안 관제 수행 체게 지원, 취약점 분석 평가 수행 체계 지원, 합동비상대응훈련지원, 건물 전원 전산실 금융회사 수준 구축, 전산자료 보호, 이중화 및 백업체계 구축, 해킹 등 방지대책, 
   - 극내외 클라우드 보안 인증 제도
     = 클라우드 서비스 보안 인정제(CASP), 미국(FedRAMP), Gobal(CSA STAR), 싱가포르(MTCS)

클라우드 서비스 도입방안
  - 사전 준비 : 이용대상 선정 및 중요도 평가, 업무연속성 계획 및 안전성 확보조치 방안 수립, 업무 위수탁 운영기준 보완, 제공자 후보 선정 및 평가, 정보보호위원회 심의의결
  - 계약체결
  - 보고 및 이용
  - 이용 종료 : 출구 전략 이행

인증-평가 종류
  laas/paas - 표준 등급제만 운영 : 5년 (유효기간)
  saas - 표준 등급제 5년 , 간편 등급제 (3년)
 인증평가는 KISA에서 평가 - 인증위윈회 
 정책기관은 과학기술정보통신부 , 기술자문기관은 국가보안기술연구소

laas - 14개분야 117개 , saas/paas 는 13개 분야 78개 , saas 간편은 11개 분야 30개 통제항목

==========================================================
인공지능과 RPA
 침해 위협 데이터의 글로벌 표준
   - STIX(structure Threat Infomation eXpression)
   - TAXII(Trusted Automated eXchange off Indicator Infomation)
   - CVE(common Vulnerability(벌너러빌러티 - 취약성 -) Exposures)
   - CPE(common Platform Enumeration)
   - CybOX(CYBer Obsrvables Expression)

 향후 보안 관제의 방향
   - 가치 함수를 직접활둉하는 방법, 상태의존적이며 제어 전략에 대한 탐색을 활용하는 방법 , 가치함수와 제어전략 탐색을 위하여 분리된 모듈을 사용하되 학습과정에서 이들을 종합적으로 활동하는 액터-크리틱 방법

 - 패턴 방식과 SIEM의 시나리오 방식을 이용하여 1차로 침해 위협을 레이브링하여 필터링하고 2차로 비지도 학습기반의 AI플랫폼에서 클러스터링을 수행

해외 인공지능 플랫폼 : Watson, Tensorflow,Skytree
인공지능 기술의 보안 분야 :  Darktrace (N/w  - lasso 모형 기반) , Vectra (글로벌, profile, 공격형태 상관 분석, local learning) , Splunk (kill chain을 통한 손상 및 침해평가), RSA SA (Malware), Elasticsearch (Auto Modeling, 지도학습 지원, 비지도학습)

===========================================================

실시간 데이터 분석
 데이터 분석 방법론
   - 패턴매칭 
      = 알려진 비정상 데이터 패턴 검색 
      = 블랙 리스트, 비정상 데이터 패턴 기준
      = 패턴정의가 쉽다
  - 이상징후 분석
      = 데이터 발생 추이 변화 추적
      = 정상 추이 변화 기준의 화이트 리스트 기준
      = 전체 데이터 발생 추이를 추적 , 패턴을 몰라도 된다.
      = 대량 데이터 처리 필수

  패턴매칭 
   - 오용행위와 비정상 행위의 보안모델 제공
      = 패턴 매칭이라는 방법론(패턴 매칭은 도청과 원리가 같음)

  이상징후
   - 통계분석에 기반을 둔 방법론, 데이터 발생 추이를 정량적으로 측정 후 변화를 추적
  
ESM(Enterprise Security Management)
  - 슬래머 웜바이러스에 의해 전국의 인터넷이 마비된 1.25대란이 발생 한 후 인터넷침해대응지원센터 구측 등 체계적 조직적인 보안 대응이 강화

  - 보안 이벤트 + 보안 이벤트
     = 기존 패턴 매칭 보안장비의 정확도가 낮기 때문
     = 이벤트의 정확도가 보장 된다면 상관 분석은 그 필요성이 사라진다.

  - 보안 이벤트 + 시스템 로그
     = 보안 이벤트는 항상 오탐 가능성을 가지고 있으며 결정적으로 보안 위협 상황에서만 에러 로그가 발생한다는 조건이 성립되지 않는다
   
  - 시스템 로그 + 시스템 로그
    = ESM이 시스템 로그를 직접 수집한 후 패턴매칭을 이용햇거 보안 이벤트 생성 및 상관분을 하겠다는 것으로 보안 이벤트 + 보안 이벤트의 방법론 문제점을 그대로 가지고 있음

SIEM(Security Information and Event Management)
    - SIEM은 이기종 보안장비에서 발생한 보안 이벤트를 취합한 후 상관 분석을 통해 분석의 정화도를 높여준다는 개면을 가지고 있음
   - 상관 분석은 두변수가 어떤 선형적 관계를 갖고 있는지를 분석하는 통ㄷ계 분석 방법론

통계 분석적용이 어려운 보안 데이터
   - 전통적 보안 관제 분야
   - 핵심 보안 이벤트(IDS,IPS 등)
   - 필터링(패턴매칭)된 데이터


이상징후 분석은 다음과 같은 상대적 특징을 갖음
  - 통계정 분석에 기반한 이상징후 분석은 데이터베이스 기술의 한계로 인해 정보보안분야에서 오랫동안 패턴매칭 보다 비중이 낮았다
  - 특징 : 패턴을 몰라도 된다. 상태 왜곡(오탐)의 가능성이 낮다(패턴 매칭에 비해 상재적으로 오탐가능성이 낮음), 단순하다

==========================================================

NGFW(차세대 방화벽)
 - 특징 : IP주소를 출발지와 목적지를 구분하고 Port로 애플리케이션의 성격을 구분
           IP주소는 사용자(공격자)를 특정하지 못하는 한계를 가지고 있고 애플리케이션 증가 및 표준 표준 포트를 사용하지 않는 애플리케이션의 증가로 인해 Port정보를 이용한 애플리케이션 구분 역시 한계를 보이게 되었음


차세대 방화벽의 사용자 단위 애플리케이션 제어 범위 예시
 - 로그인 모니터링 , 역활검색(사용자 역화별 애플리케이션 허용차단 정책 적용), 엔드 스테이션 폴링 (사용자와 IP패칭 상태 추적), Captive(캡티브 - 포로 , 붙들어놓은) Portal(사용자인증 체계 연동을 통한 사용자 인증)

 

문서.rtf

0.03MB