Download presentation
Presentation is loading. Please wait.
1
웹 애플리케이션 보안 Trend 인포섹㈜ 신수정 상무
2
웹 애플리케이션 보안 Trend 목 차 보안 파라다임의 변화 현재의 핵심위험 어떻게 대응할것인가? 권고
3
1. 보안 파라다임의 변화 Business-based Security Ubi_Env-based Security
웹 애플리케이션 보안 Trend 1. 보안 파라다임의 변화 Business-based Security Ubi_Env-based Security Application-based Security Infra-based Security
4
Application Layer Attack
웹 애플리케이션 보안 Trend 2. 현재의 핵심 위협 Application Layer Attack 2003: 9% 2004: 17% 2005: 59% 2006: 81%(Prediction) 3 Source:
5
2. 현재의 핵심 위협 Cross-site scripting Invalidated Input Buffer Overflow
웹 애플리케이션 보안 Trend 2. 현재의 핵심 위협 Cross-site scripting Invalidated Input Buffer Overflow Denial of service Cookie Poisoning
6
Business 및 법적 요구 Trend 3. 어떻게 대응할것인가? 체계 보안을 고려한 SDLC 분석 설계 구현 및 테스트
개발 상호 피드백 감사/준수 보안을 고려한 운영 모니터링 구축 운영 운영
7
3. 어떻게 대응할것인가? -개발 웹 애플리케이션 보안 Trend
SDLC내에 보안을 통합시킴으로써 주요 취약점의 80%가 감소할 것임 (0.8) - 상기 취약점의 감소는 현재의 설정관리와 침해사고대응 비용의 75%를 감소시킬 것임 (0.7) Source: Gatrner
8
3. 어떻게 대응할것인가? -개발 분석 설계 입력값 검증 인증 허가 세션관리 암호화 파라미터관리 예외처리 구성관리 민감데이타
웹 애플리케이션 보안 Trend 3. 어떻게 대응할것인가? -개발 분석 설계 입력값 검증 인증 허가 세션관리 암호화 파라미터관리 예외처리 구성관리 민감데이타 로깅과 감사 Entry Point? Data는 어떻게 흐르는가? 신뢰구간은 어떻게 되는가? 보호해야 할 코드는 무엇인가? White-Box Test (소스 검증) Black-Box Test (모의침투시험) Spoofing 변조 부인 정보유출 DOS 권한상승 Threat Source: Microsoft
9
3. 어떻게 대응할것인가? –운영 웹 애플리케이션 보안 Trend 웹서비스 보안인프라 정책 모니터링 감사
2006 Global 기업의 75%, %이상의 기업도입 예상 - 단순한 정보제공 Site에는 불필요 웹서비스 보안인프라 정책 모니터링 감사
10
3. 어떻게 대응할것인가? –운영 통합되고 일관성 있는 정책 웹 애플리케이션 보안 Trend 웹서비스 보안인프라 정책 모니터링
감사 통합되고 일관성 있는 정책
11
3. 어떻게 대응할것인가? –운영 웹 애플리케이션 보안 Trend 취약성 분석 및 대책적용 실시간 모니터링 감사 웹서비스
보안인프라 정책 모니터링 감사 보안인프라가 모든 문제를 해결해주지 못함
12
4. 권고 개발과정에 보안을 통합 웹 서비스 보안 인프라 구축을 통한 위협 대응 정책의 통합성 및 일관성
웹 애플리케이션 보안 Trend 4. 권고 개발과정에 보안을 통합 웹 서비스 보안 인프라 구축을 통한 위협 대응 정책의 통합성 및 일관성 문제있는 웹 서비스의 실시간 모니터링 지속적인 취약성 점검 및 대책적용 주기적 모의침투/모의감사
13
웹 애플리케이션 보안 Trend 감사합니다.
Similar presentations