© 2007 McAfee, Inc. Loss... · 2008. 7. 24. · ePO는McAfee사의다양한보안제품군(백신,...

2

목 차

3

1. DLP 제품 소개

4

前述한 바와 같이 주요 데이터 유출 사고는 외부의 해킹 또는 공격을 통해서만 발생되는 것이 아니라 내부 사용자의고의 또는 과실에 의하여 발생되는 경우가 더욱 빈번한 현실 입니다.

1. DLP 제품 소개 1-1. Endpoint 보안 위협

1

Laptop PC / HDD 도난 및 분실

3

스파이웨어, 키로거 등

5

어플리케이션 해킹에 의한 유출

2

무분별한 저장 매체 사용

4

CD / 프린터 등 인쇄 매체

6

권한 남용

5

• 외부로부터의 공격 방어에 치중

내부 사용자에 의한 고의 또는 실수에 의한정보 유출을 차단할 수 없음

• 대부분 보안 솔루션은 정보의 기밀성을보호하지 않음.

대부분 네트워크 및 서버를 보호.극히 일부 기능만이 정보의 기밀성과 무결성보호에 관여함

• 정보 라이프사이클 내내 끊임없이 유통되는속성 때문에 통제하기 어려움.

끊임없이 기업 네트워크 경계와 내부 서버리소스간을 이동하는 속성을 지님.

LAN

Clients Servers

WebFiltering

Authentication

Anti-virus

VPN

Anti-spyware

ThreatDetection

Change/PatchManagement

Firewall

Anti-virus

1. DLP 제품 소개 1-2. 기존 보안 솔루션의 한계

기존 보안 솔루션의 한계

6

과도한 관리 비용수많은 보안 솔루션들이 보안 비전문가에 의해 관리됨으로 많은비용이 발생하며 효율적 보안 정책 유지도 어려움

정책 일관성 결여현업의 보안 요구와 보안 시스템에의 보안 정책 구현에 일관성유지가 어려움

라이프사이클 취약점오래된 불필요한 보안 규칙들로 보안 정책은 점차 복잡해지고관리하기 어려워짐. 이로 인한 보안관리 비효율성이 관리취약점으로 등장

비즈니스프로세스상 단절

정보가 이동/공유되는 과정에서 데이터 이동 모니터링, 제어의일관성이 단절되어 버림

계속되는 데이터유출 위험

데이터 유출 모니터링, 감사 기능의 부족으로 가시성을 확보하기어려워 향후 보안 대응에 어려움이 많음

1. DLP 제품 소개 1-2. 기존 보안 솔루션의 한계

7

분류 태그

정책 통제

1. DLP 제품 소개 1-3. DLP 개요

DLP는 조직의 데이터를 보호 대상 데이터와 비 보호 대상 데이터를 대상으로 구분하여 보호 대상 데이터를대상으로 보안 태그 부착, 관련 보안 정책 (대응 정책)을 수립 / 배포 및 통제를 통해 다양한 데이터 유출 가능성을차단하며, 사용자의 통상적인 업무 수행에 불편함을 극소화한 솔루션 입니다.

Operation Processes

기존 보안 정책 및 유관부서 의견을 수렴하여 데이터를

구분하고 분류

분류된 데이터에 대한 태그 부착 (Security Tagging)

주요 정보의 흐름 및 처리에 대한 룰을 규정하고 대응 정책

을 배포함 Monitor, Prevent, Quarantine and Encrypt

위반을 모니터링, 가시성을 확보, 필요 시 경보/보고서

Logs, Event and Report

8

1. DLP 제품 소개 1-3. DLP 개요

Data의 생성 및 흐름에 따른 DLP의 기능을 요약하면 데이터가 생성에 따른 Data 분류 및 태그 부착, 태그가 부착된Data에 대한 추적 그리고 Data 유출 경로 별 차단 기능으로 구분 됩니다.

파일 서버로부터유입

기업 어플리케이션파생 데이터

사용자에 의해 작성된데이터

Data Classification (Enforce Tagging Rules)

Data Loss Prevention (Enforce Reaction Rules)

Emails

Web posts (Webmail, forums,

etc.)

Printing

Removable media

대외비로 구분(태깅)된 데이터는원본이 아래와 같이 변경되더라도지속적 보호 제공

• Rename a file

• Change file format

• Copy content to a 2nd

document

• Archive document

• Encrypt document

Endpoint

Content Tracking (Maintain Tags)

9

Non-Windows desktop

Guest without DLP Host

Mobile email

Desktop withDLP Host

ePO Management console

Corporate network

보안 담당자의 PC에서 원격관리

ePO Management ServerOutbound SMTP, HTTP

트래픽을 지문정보를 기준으로유출 여부 감시

DLP Gateway

Mobile laptop

DLP Gateway

사내 모든 기기에 설치되어 정보유출을 모니터링, 차단하는 주체

DLP Host

Laptop PC과 같은 이동 컴퓨터에서도 정보 유출을 차단 가능

Roaming Users

14

2

3

1 42 3

포괄적 유출 경로를 지원하는 에이전트기반의 솔루션

DLP에이전트 미 설치 컴퓨터 (게스트 시스템, 미 지원OS)를 위한 어플라이언스 솔루션 (SMTP, HTTP감시)

DLP Host DLP Gateway

1. DLP 제품 소개 1-4. DLP 구성

10

파일 저장 위치 별 분류 – 파일서버 특정폴더Contents에 따른 분류 – 키워드, 정규식, 임계치 등파일 유형에 따른 분류 – 확장자, 어플리케이션Fingerprint관리자에 의한 복합 기준 분류

USB 메모리 등 모든 물리적 장치분류 등급에 따른 외부 복사제어인쇄 모니터링 또는 차단복사 & 붙여 넣기 화면 캡처메일 클라이언트를 통한 유출 차단네트워크 어플리케이션을 통한 유출 방지윈도우 제공 네트워크 경로차단웹 브라우저를 통한 웹 포스팅 차단외부 웹 메일 사용시 차단

Forensic 로그 및 분석유출 시도 증거물 수집 (Automatic Evidence Collection)실시간 경고 (POP-UP MESSAGE)‘Bypass’ 옵션정책 예외 설정

1. DLP 제품 소개 1-3. DLP 주요 기능

DLP의 핵심 주요 기능은 아래와 같습니다.

11

and

Email and Web Security

• Secure Internet GatewayEndpoint Security

• Anti-virus

• Anti-spyware

• Desktop Firewall

• Host IPS

• NAC

Network Security

• IntruShield IPS

Risk Management

• Vulnerability Management

• Remediation

• Policy Enforcementt

Compliance Management

• Data Loss Prevention

• Policy Auditing

ePO는 McAfee사의 다양한 보안 제품 군(백신, Host IPS, 방화벽, NAC 등)을 통합 관리하는 제품으로 McAfee Data Loss Prevention(이하 DLP)제품도 통합 관리하고, 1) 웹 방식 원격 콘솔, 2) 한글화 완료, 3) 편집 가능한 대시 보드, 4) 액션 가능한 편리한 보고서, 5) Active Directory 연동 기능의 특징이 있습니다. 현재 전 세계 30,000 여 개의 고객사에서 5,400백여 대의 Client PC를 안정적이고 효율적으로 관리하고 있습니다.

1. DLP 제품 소개 1-4. DLP 구성

12

Step 1: Tag 정의 (규칙)

1. DLP 제품 소개 1-4. DLP 정책 적용

13


파일서버 또는 파일 서버 내의 특정 폴더에 저장되어있는 모든 데이터에 태그 부착

“회계자료 공유폴더” 내의 모든 파일에 “회계자료-대외비” 태그 부착을 통한 데이터 유출 차단

태그가 부착된 파일은 기관 내에서는 자유로운 이동 보장을 통한 업무 지속성 확보 가능

적용된 정책은 해당 파일이 공유 폴더, 파일서버 또는 사용자 컴퓨터 등 저장되는 위치와는 상관없이동일한 정책 유지

위치 내용 형식 지문

Step 1-1. DLP 위치 기반 태그 규칙의 예:

14

Step 1-2. DLP 내용 기반 태그 규칙의 예:


태그가 부착된 위치 (특정 서버 / 폴더 등) 외부에서도 특정 파일에 부착된 태그 인식 가능

보안관리자 – “나는 대외비 자료가 어떤 내용을 담고 있는지는 알 수 있는데, 어느부서에서 어떻게 공유되고 전송되는지 파악하기 힘듭니다”

파일 내용에 대한 반응은 대응 규칙 (정책)에서 설정한 대외비 데이터의 양에 따라서 결정

신용카드 번호 1개는 외부로 전송이 가능하지만, 3개 이상의 경우는 차단


15

Step 1-3. DLP 형식 기반 태그 규칙의 예:

특정 어플리케이션에 의해서 생성된 파일은 모두 자동으로 태그 부착

어플리케이션 기반의 태그 규칙은 특정 어플리케이션에 의해서 새로 생성되는 모든 파일에

자동으로 태그 부탁

Business Object 어플리케이션으로 생성되는 모든 파일에는 ‘Business 대외비’ 태그부착Visual C++을 통새서 생성되는 모든 파일은 ‘Development 대외비’로 태그 가능



16

Step 1-4. DLP 지문 기반 태그 규칙의 예 (DLP Gateway 기능):

DLP Gateway Appliance를 통해 동일한 형식의 태그가 부착된 데이터의 흐름을 감시

DLP Gateway Appliance를 통해 DLP Agent가 설치되지 않은 컴퓨터를 통한 데이터 흐름 감시

방문자 컴퓨터를 통한 데이터 유출 감시 및 차단

Linux / Mac PC를 통한 데이터 유출 감시 및 차단



17


Step 2: 대응 규칙

18

Step 2-1. 클립 보드 사용 차단 규칙

특정 어플리케이션 내에서만 클립 보드 사용 허용 (어플리케이션간 사용 차단)

사용자는 특정 어플리케이션 (예, 엑셀) 내에서는 복사 / 붙여 넣기 기능 사용 가능하지만타 어플리케이션으로 붙여 넣기는 차단됨.엑셀 파일을 복사한 후에 Email에 붙여 넣기 차단

ClipboardScreen Capture Printing Email Web Post

Removable Storage


19


Removable Storage

Step 2-2. 화면 캡처 차단 규칙

특정 또는 모든 어플리케이션에 대한 화면 캡처 차단

직원들이 스프레드시트 화면 또는 Visual C++ 화면을 캡처할 이유가 없음.

특정 태크가 부착된 파일만을 대상으로 화면 캡처 차단 가능

직원들은 일반 파워포인트 화면을 캡처할 수는 있으나, ‘대외비’ 태그가 부착된파원포인트 화면은 캡처 불가


20

Step 2-3. 출력 차단 규칙

특정 태크가 부착된 데이터는 특정 부서만 출력 가능

연구소 외부 직원이 ‘개발문서’를 출력할 필요 없음

사용 승인된 프린터를 통해서만 출력 가능

로컬 프린터 연결 또는 타 부서 네트워크 프린터 연결 차단

출력 규칙 위반 증거 저장


Removable Storage


Step 2-4. Email 차단 규칙

태그가 부착된 데이터 첨부, 복사 & 붙여 넣기 또는 데이터 내용을 입력하는 행위까지 차단

태그, 파일 형식, 파일 확장자 및 Email 목적지 별 모니터링 및 차단 기능

단순히 1개의 규칙으로 모든 사용자를 통제하는 것은 무모한 방법이다. 보다 세밀하고사용 경우에 따른 개별적인 규칙 적용이 가능해야 한다.

21


Removable Storage


Step 2-5. 웹 포스트 차단 규칙

웹 메일 차단

사용자가 회사의 Outlook 메일을 우회하여 대외비 정보를 전송하는 경우 차단

Blog, Forum 등 Web Posting을 통한 정보 유출 차단

22


Removable Storage


23

Step 2-6. 이동식 저장 장치 차단 규칙

어떠한 외부 장치가 연결되어 사용되더라도 완벽한 통제가 가능

DLP Gateway Appliance를 통해 DLP Agent가 설치되지 않은 컴퓨터를 통한 데이터 흐름 감시

특정한 등록된 보안 USB 메모리만 사용하도록 규칙 설정 가능개발 문서는 연구소 소속 사용자만 복사 가능하도록 설정 가능신속한 예외 규칙 설정 / 적용을 통한 업무 지속성 확보 가능악의적인 사용자가 중요 데이터 삭제 시도 시에 데이터 복사본 확보 가능


Removable Storage


24

1. DLP 제품 소개 1-5. DLP 정책 적용 화면

25


26


27


28


29

1. DLP 제품 소개 1-6. DLP Gateway

정보 유출에 대한 Gateway 하드웨어 기반 솔루션

핵 심 기 능

Web 및 Email 통신을 통한 정보 유출을 방지.

DLP 에이전트 미 설치 시스템 (외부 방문자 Laptop PC, 비 Windows시스템 및 모바일 기기)

에서의 정보 유출 방지

중요한 정보 유출을 모니터링, 차단 또는 암호화 기능

HIPAA 및 PCI Compliance에 대한 lexicon포함

30

1. DLP 제품 소개 1-6. DLP Gateway 정책 적용 화면

31


32


33

• 현업의 요구:

지정된 외장기기 만을 사용하도록 제한하며 위반 사실을모니터링 함사용자 개인 디바이스(MP3플레이어 등)등을 기업내부에서사용하지 못하도록 감시, 차단지정된 저장매체(특정 보안USB메모리)만 사용하도록 제한함.일반 데이터는 허용하나 대외비 데이터는 복사 감시, 방지

• 제공 기능:

각종 외부 기기 사용에 대한 고도로 정교한 정책 지원• 지정된 기기만을 사용하도록 허용함• 기존 데이터 사용에 영향 없이 대외비 데이터만 외부 기기로

복사되지 않도록 정책 설정함

사용자, 그룹 및 부서별 별도 정책 할당 및 강력한 예외 처리기능사용자 및 기기에 대한 상세한 로그 기능을 통해 감사추적을제공하여 컴플라이언스 요구를 충족함

1. DLP 제품 소개 1-7. DLP Device Control

34

McAfee DLP 의 기본 기능으로 제공컨텐트 인식, 형식 인식 기반의 매체 제어 기능을 제공외부 저장기기(USB드라이브, CD, DVD 등)로의 데이터 입출력을 정책기반으로 규제일상 업무 방식을 크게 통제하지 않는 범위에서 USB드라이브 사용을감시, 통제함으로 업무 생산성 손실 없이 보안 목표를 달성함보안 관리자가 모든 외부기기(I/O기기)에 대한 완전한 통제권을 확보(USB, CD/DVD, floppy, Bluetooth, IrDA, 이미징 기기, COM/LPT 포트)

1. DLP 제품 소개 1-7. DLP Device Control

Remarks:Device Control은 별도 제품으로 구매하실 수 있습니다. Device Control에 대한 상세한 제품 자료를 요청하시면 제공해 드립니다.

35

2. DRM / PC 보안 제품 비교

36

1. 국내 정보 유출 방지 솔루션 현황솔루션 구분 주요 벤더 사 유형

PC보안(매체제어)닉스테크, Waterwall systems, 세이퍼존 등

통합PC보안 솔루션에 포함된 매체제어, 웹필터링 및 암호화 기능

네트워크 발신통제 소만사, XcurenetSMTP, HTTP, IM등 트래픽 감시실시간 차단 기능은 미 제공

문서보안 Softcamp, Markany, 파수닷컴DRM에서 기능 확장된 기업문서 보안

솔루션

종합 정보 유출 방지(DLP) McAfee DLP에이전트 기반, 컨텐트 인식, 다양한 경로

포괄적 지원

주요 고객층 : 대기업, 첨단 제조, 관공서, 병원, 금융권을 중심으로 사용되며 PC보안, 네트워크 발신통제, 문서보안 별도 솔루션으로 현재 크게 3가지로 도입/혼용 사례가 있음

도입 범위 : 연구소, 특정 사업부 별도 도입 및 전사 도입

PC보안 제품 : 매체제어, 웹필터링의 형식으로 주로 활용되고 있음.

문서보안(DRM 또는 ERM) : 소프트캠프, 마크애니, 파수닷컴 3사가 비슷한 시장 점유율로 국내 시장을점유하고 있음.


37

회사명 사업분야 정보 유출 방지 제품 / 출시시기

닉스테크 PC보안 SafePC Enterprise / 2001년 6월

세이퍼존 PC보안 DefCon Pro / 2001년

워터월시스템즈 정보유출방지 WaterWall / 2002년

Xcurenet 정보유출감시, 웹 컨텐트 보안, 컨설팅 Venus / ContentFilter / 2006년

소만사정보유출 감시,

트래픽 분석, 모니터링Mail-i / Msg-i / 2002년

소프트캠프 PC보안, 기업정보유출방지 Document Security 및 관련제품 / 2002년 3월

마크애니 문서보안, 컨텐츠보안 Document SAFER / 2001년

파수닷컴 문서보안, 컨텐츠보안 Enterprise DRM / 2001년 10월


38

구 분 McAfee DLP 2.0

SoftcampDocument security

MarkAnyDocument

SAFER

파수닷컴Enterprise

DRM

닉스테크SafePC

세이퍼존데프콘프로

WaterwallSystems

WaterWall

XcurenetVenus/Cont

entFilter

소만사Mail-i / Msg-i

설치 및 구축

제공 유형 S/W S/W S/W S/W S/W S/W S/W S/W Appliance

서버 – 에이전트 방식 O O O O O O O 서버 Appliance

별도 암호화 인프라 요구 X O O O X X X X x

기반 매커니즘 데이터 분류및 흐름감시

DRM암호화

DRM암호화

DRM암호화

PC보안(매체제어)



네트웍모니터링

네트웍모니터링

사용자 추가 작업 없음(투명함) 권한지정 등 권한지정 등 권한지정 등 없음 없음(투명함) 없음(투명함) 없음(투명함) 없음(투명함)

설치, 유지보수 용이성 용이 어려움 어려움 어려움 용이 용이 용이 용이 용이

감시. 보호 경로

USB등 저장매체 유출 감시 O O O O O O O X X

TCP/UDP 포트 감시/제어 O X X X O O O 일부 일부

웹사이트/웹메일 감시/제어 O O O O X X X O X

복사&붙여넣기,스크린캡쳐 O O O O X X O X X

어플리케이션 통한 유출 감시, 차단(IM, P2P등) O X X X O O O X X

컨텐트 인식

파일 내용 인식 O X X X X X X O O

키워드 감시, 유출 차단 O X X X X X X O O

Regular Expression 정의 O X X X X X X O O

포멧 변환 시 지속적 보호 O X X X X X X O O

Zip, 암호화 시 지속적 보호 O X X X X X X X X


39

구분McAfee DLP 2.0

SoftcampDocument security

MarkAnyDocument

SAFER

파수닷컴Enterprise

DRM

닉스테크SafePC

세이퍼존데프콘프로

Waterwall Systems

WaterWall

XcurenetVenus/Cont

entFilter

소만사Mail-i / Msg-i

매체 제어 기능 (이동 매체 및 Bluetooth 등 최신 기기)

외부 기기 인식 차단 O X X X O O O X X

저장매체 Read-only 허용 O X X X O O O X X

저장매체 복사데이터 로깅 O X X X X X X X X

예외 허용 기기 쉽게 추가 O X X X X X X X X

최신기기 관리자가 쉽게 추가 O X X X X X X X X

문서 보안(DRM)기능

문서 유출 시 암호화 X O O O X X X X X

문서 사용권한 제어(ACL) X O O O X X X X X

문서 자동파기, 인쇄제한 등 X O O O X X X X X

정책 관리/가시성 확보

유출 시도 문건 증거 수집 O X X X X X O O O

상세 로그 기능 O O O O O O O O O

보고서 기능 O O O O O O O O O

타 시스템 보안 통합 관리 O X X X X X X X X

기타 기능

호스트, 게이트웨이 다계층 보호제공

O X X X X X X X X

정책 일시 Bypass 기능 O X X X X X X X X

문서 암호화 기능의 경우 McAfee Endpoint Encryption 제품으로 기능 보완 가능


40

문제점 세부 내용

어플리케이션 종속성새 버전에 대한 지원이 늦음다양한 형태의 기밀 정보(소프트웨어 소스코드 등)에 대한 보호 방안 미흡.

중앙 통제 방안 미흡내부 사용자의 실수나 악의적 의도를 통제할 수 없음사용자의 불순한 의도에 의한 정보 유출을 막을 수 없다.

암호화로 인한 사용자불편

외부와의 문서 공유가 복잡해진다.PKI 구축, 유지보수에 막대한 비용이 발생.

도입 이전 문서 파일보호 안됨

솔루션 구축 후 생성되는 파일,컨텐츠에 대해서만 보호됨. 대부분의 기존 데이터는 보호되지 않음.

자동 생성 컨텐츠 보호가어렵다.

자동으로 생성되는 데이터에 대한 보호 방안이 미흡함(예 Business Object사 솔루션은 DB내용을 자동으로 조회하여 Excel데이터로 자동 저장하여줌)위와 같은 과정에서는 사용자 개입이 원천적으로 불가능하기 때문에 적절한 권한 부여 어려움.


41

구분 ERM(Enterprise Right Management) DLP(Data Loss Prevention)

기본 동작 방식 • 각 문서 단위 권한 제어 • 데이터 분류 및 흐름 감시

적용 개요

• 사용 권한 레벨이 사전에 정의됨• 문서 생성자가 적절한 권한을 부여하며 문서 소멸 시까지

따라다님• 문서는 암호화되어 권한을 지닌 사용자만이 접근할 수 있음

• 문서 및 데이터를 중요도별 분류• 민감도 수준(보호,기밀,제한 없음 등)에 따라 데이터 분류됨• 데이터 흐름을 감시함으로 분류된 데이터 유출을 감시/차단

어플리케이션종속성

• 기존 Office Application 업무 환경/작업 방식에 변화를초래하며 큰 영향을 줌.(MS-Office, Outlook, Adobe PDF 등)

• 벤더 및 어플리케이션 중립적임으로 보다 다양한 컨텐츠감시/차단 가능

주요 특징• 외부 유출 시에도 문서가 계속 보호됨(암호화)• Customization 불가피(그룹웨어 등) 도입 및 유지

보수 비용 과다 및 운영 Resource 과다 소요

• 사용자에 투명하게 동작• 포괄적 보호(단일 에이전트로 다양한 유출 경로 지원, 다양한

파일 형식 지원)• 내용 인식, 추적

도입 시 고려사항

• 기존 업무처리에 크나큰 변화가 발생됨• 도입 이전의 컨텐츠 및 자동 생성 파일에 대한 보호가 쉽지

않음• 암호화로 인해 정보 유통 불편함 초래• 기존 인프라(그룹웨어 등)와 통합 작업으로 호환성 문제 및

복잡성 증가

• 배포 전 데이터분류 작업이 필요함• 유출된 데이터에 대한 보호 기능 McAfee Endpoint

Encryption 제품으로 보완


42

3. 시스템 요구 사항

43

3. 시스템 요구 사항

구 분 Specification

McAfee ePO Server ePolicy Orchestrator 4.0Windows2000/2003서버 (최신패치및 SP)

McAfee DLP Server

Windows 2003서버 SP1 이상SQL server 2005 or SQL Server Express with Advanced Services SP2MS .NET Framework 2.0Microsoft IIS

McAfee DLP Agent Windows 2000 Prof. SP4Windows XP Prof SP1

44

제안 내용과 관련하여 문의 사항이 있으신 경우 아래 제안 사로연락 주시면 성심 성의껏 지원하여 드리겠습니다.

㈜인성디지탈서울시 송파구 가락동 99-5 효원빌딩 7,8,9층

전화: (02) 2105-4567담당자: 윤원영

([email protected] / 011-1755-0689)

© 2007 McAfee, Inc. Loss... · 2008. 7. 24. · ePO는McAfee사의다양한보안제품군(백신,...

Documents

Transcript of © 2007 McAfee, Inc. Loss... · 2008. 7. 24. · ePO는McAfee사의다양한보안제품군(백신,...