IBM Tivoli Risk Manager (ESM)
1. 배경 및 필요성
기업의 전산 환경 변화기업의 전산 환경 변화 대두되는 관리 요소대두되는 관리 요소
다양한 Point 제품의 적용Integration
환경환경 변화변화 적응적응보안 정책 모델의 분산
새로운 어플리케이션의 적용
Centralization
관련 기술 부족, 기술의난이도
Increased Cost
No Integration No Control No Security
Organization & Management
관리자 : 보안 이벤트를하루에 100,000건 이상
모니터링
이벤트 모니터링 : 통합된보안관점의 뷰 부재
보안 사건에 대한 대응 : 몇시간이 걸릴지 모르는수작업(manual) 에 의존
규제와 지침(보안 감사)
1. 배경 및 필요성
보안보안 사고의사고의 종류종류
ESMESM
자동화된자동화된 보안보안 시스템시스템 적용적용
보안보안 시스템의시스템의 효율적효율적 운영운영
즉각적이고즉각적이고 총체적인총체적인 대응대응<기업 및 기관>
독립된독립된 보안관리보안관리 문제점문제점
불법자료불법자료 접근접근
최소최소 인력으로인력으로 통합통합 관리관리
정보정보 유출유출
파괴파괴 및및 훼손훼손
보안보안 관리자의관리자의 부족부족
개별개별 보안보안 관리비의관리비의 증가증가
이기종이기종 보안시스템보안시스템 증가증가 최소최소 비용비용 투자로투자로 통합통합 관리관리
<원인>
““통합보안관리통합보안관리((ESM)ESM)”” 시스템을시스템을 통한통한 보안관리보안관리
실시간실시간 보안관제보안관제 및및 운영운영//관리관리
보안성보안성
향상의향상의
극대화극대화
보안관리보안관리
업무의업무의
효율화효율화
안전한안전한 정보자산의정보자산의 운용운용 실현실현
ESMESM
투자비투자비 절감절감
인력인력 낭비낭비절약절약
시간시간 낭비낭비절약절약
방화벽
침입탐지
VPN
기타보안제품
Server
NetworkDevice
1. 배경 및 필요성
통합보안관리의 단계
Final Goal Risk Management
Event Monitoring & Analysis
System/Network security Audit
Centralized Policy ManagementAdvanced
Basic
Essential
2. Tivoli 보안 제품
기술적 보안 – Tivoli 솔루션
네트워크 데이터어플리케이션
침입차단시스템
침입탐지시스템
VPN
네트워크 취약점분석 시스템
네트워크 모니터링
네트워크 보안점검
• 공인 인증 기관과의 연계 프로그램 개발 가이드
• 통합 사용자 인증, 접근제어 암호화
• SSO를 통한 통합인증
서버
• 침입탐지• 침입자 분석, 로깅 분석• 시스템(Mainframe, Unix, NT) 모니터링 및 로깅
• 보안 점검 및 접근통제상황 실시간 점검
• 공개 서비스 시스템 접근• 제어자동 Virus 탐지
• 사용자관리, 인증, 권한
• 데이터 암호화통신
• 접근제어
• 로깅, 감사
PC
• 바이러스 방역
• PC의 사용자인증
• 무선통신의암호화
• 어플리케이션사용자 통제
• PC 방화벽
서버보안(Tivoli AMOS) 통합 사용자계정관리(TIM)SSO/EAM (TAM/TPM)
통합 보안 관리(ESM솔루션: Tivoli Risk Manager)
• 사용자 계정 관리• 사용자 계정 관리
Tivoli Identity Manager 개요
2. Tivoli 보안 제품
EIM(Enterprise Identity Management) 솔루션으로 웹 인터페이스를 통한 효율적인 전사 사용자 정보 관리를 제공
HR,ERP,CRM등의 비즈니스 시스템과 연계된 워크플로우를 사용하여 자동화된 승인 절차와 SSO/EAM시스템을 연
동하며 비즈니스 자원에 대한 정책 기반의 Provisioning 서비스 시스템 제공
사용자 및 접근 관리의 Single point 자동화된 provisioning 서비스
Self-care 계정/패스워드 관리(reset)웹 인터페이스를 통한 관리 권한 위임
감사&보고서 기반 데이터 마련
IdentityIdentityManagementManagement
공급자공급자
임직원임직원
고객고객
파트너파트너 어플리케이션어플리케이션
데이타베이스데이타베이스
오퍼레이팅오퍼레이팅 시스템시스템
디렉토리디렉토리
사용자사용자 자원자원
AutomatedAutomatedAccessAccessMgmtMgmt
WebWebDelegatedDelegated
AdminAdmin
Web SelfWeb Self--ServiceService
WebWebPasswordPassword
ResetReset
WorkflowWorkflow
ReportingReporting
AuditingAuditing
2. Tivoli 보안 제품
Tivoli Access Manager 개요
EAM(Extranet Access Management) 솔루션으로 전사 어플리케이션과 데이터 자원에 대한 접근 관리와, 사용자/
접속Device/Portal/Web Application/Custom Application에 대한 정책기반의 통합 자원 접근 통제기능 제공
어플리케이션뿐만 아니라 미들웨어(MQ), 시스템(UNIX, NT)에 대한 Access Management 가 통일된 아키텍처와
기술을 기반으로 확장 가능
협력사
직원
공급업체
BUSINESS
BUSINESS
종합인증/
접근제어
종합인증/
접근제어
•Security Layer
•Single Registry
•Single Policy
•Defense in Depth
•Security Layer
•Single Registry
•Single Policy
•Defense in Depth
Business Data
어플리케이션미들웨어시스템
App ClientBusiness Partners &
External Services
고객
LOGIC
LOGIC
XML/
WEB
XML/
WEB
SERVICES
SERVICES
디렉토리 기반의 사용자관리와 보안서비스(ACL)
2. Tivoli 보안 제품
Tivoli Access Manager for OS 개요
중앙 집중식 서버 접근 관리, 포괄적인 보안 정책 수행
역할 기반의 보안 모델 사용으로 전사적으로 일관된 보안 정책 적용 가능
서버 자체에 대한 부하를 최소화 하는 아키텍처와 멀티쓰레드 디자인
관리자접근통제적용
자동조치
이벤트 DB
업무 서버(UNIX/OS390)
통합콘솔/보고서
불법 접근/접근통제/감사
이벤트 전송Audit 기능
다양한 경보
사용자
Tivoli Access Manager for OS Server
(LDAP서버 포함)
Tivoli Access Manager for OS Server
(LDAP서버 포함)
Tivoli Access Manager
for OS Agent
Tivoli Access Manager
for OS Agent
Tivoli Risk Manager 개요
단위보안시스템단위보안시스템
보안 이벤트 및 로그
F/W IDS
네트워크장비 Application 침입탐지시스템 기타 시스템
SCANNER
방화벽
2. Tivoli 보안 제품
이벤트 데이타
통합보안통합보안 관제관제센터
Tivoli Risk Manager 서버
관리자 콘솔
RM AgentRM AgentF/W
서버
DBMS
NMS/SMS NMS/SMS 서버서버
보안시스템 통제
ESM(Enterprise Security Management) 솔루션으로 다양한 보안 포인트 솔루션의 보안 이벤트를 상관 관계 분석
알고리즘을 통하여 관리자에게 중요 보안 관련 정보만을 정제하여 통보
특정 이벤트에 따른 자동 조치를 구현할 수 있는 환경을 제공
보안 전문지식이 없는 시스템 관리자도 실시간으로 IT시스템에 대한 보안 위협을 감지하고 모니터링
2. Tivoli 보안 제품
IBM Directory Integrator 개요
통합 디렉토리 환경을 구현하기 위한 infrastructure
기업이 보유하고 있는 다양한 유형의 저장소를 IDI를 통해 통합하여 관리 및 정보간 동기화
... ... ......
Active Directory
NDS
Oracle, Microsoft SQL Server, DB2 Native access, or ODBC
LDAP Directory (e.g.... IBM Directory Server)
Native OS Directories (e.g.... ZOS, AIX, Linux)
ERP Directories (e.g.... Peoplesoft, SAP)
Application Directory (e.g.... Websphere Directory)
3. Tivoli Risk Manager 특징
보안 솔루션 통합
Centralized Console
Monitoring
Tivoli Tivoli Risk ManagerRisk Manager방화벽 X 방화벽
침입탐지
Application Server
XX
어울림 SecureWorksFirewall수호신 FirewallCheck Point Firewall-1 NGCyberGuard FirewallIBM SecureWay FirewallCisco Secure PIXFirewallTiny PersonalFirewallMicrosoft WindowsXP FirewallZone Alarm Firewall
Siren IDSNeoWatcherSniperIBM Tivoli Host IDSIBM Tivoli NIDSIBM Tivoli Web IDSCisco Secure IDSEnterasys DragonIDSNetScreenISS RealSecure IDSSnort IDS Symantec IntruderAlert
V3NetMcAfee Alert ManagerSymantec NortonAntiVirusTrend Micro ControlManagerVirobot Management Server
IBM DB2Microsoft SQL ServerOracleJDBC
Cisco RouterISS Site ProtectorIBM WSAOpenSSH Secure ShellIBM Tivoli AccessManager for e-businessIBM Tivoli PrivacyManager for e-business
방화벽 침입탐지 기타RDB백신
3. Tivoli Risk Manager 특징
RM Agent
Agent / Agentless Mode
Agent의 가용성 체크를 통한 Heartbeat 기능
Agent 상태에 대한 상세 Report 지원 및 관리
성능 향상을 위한 Event Queue 기능
Multi Sender 기능 및 Event priority 설정
확장된 Event 속성을 포함한 폭넓은 Filtering
Web 사이트를 통해 새로운 Adapter와 Adapter의 업그레이드
Tivoli Risk Tivoli Risk Manager Manager
ServerServer
CorrelationEngine
Risk ManagerRules
3. Tivoli Risk Manager 특징
Event Processing
Filter & Summarization
1st Level Correlation
2nd Level Correlation
불필요한 Event Filtering 및 Event 요약
Linked Event / Pattern Matching
Prolog Engine 기반
Adapter Filtering
Agent Filtering
Correlation Filtering
이벤트 속성에 의한 Filter
전송 여부에 의한 Filter
Rule 기반 Filter
Source Destination Category
10.10.1.1 10.10.2.2 Web Attack
10.10.1.1 10.10.2.3 Web Attack
10.10.1.1 10.10.2.3 Web Attack
10.10.1.1 10.10.2.3 Web Attack 2
3. Tivoli Risk Manager 특징
Distributed Correlation
State-based Correlation
Engine
Prolog Correlation
Rules
Client /Adapter Client /Adapter Client /Adapter Client /Adapter Client /Adapter
Distributed Correlation Server
SensorEvents
State-based Correlation
Engine
Distributed Correlation Server
State-based Correlation
Engine
Distributed Correlation Server
State-based Correlation
Engine
Prolog Correlation Engine
Incident/ Sensor Events
Risk Manager Server
Sensor Events
Incident GroupIncident
Sensor Events•이벤트 처리 부하 감소
•네트워크 부하 감소
3. Tivoli Risk Manager 특징
Rule Base Processing
경고 메시지들간 상호 연관성을 체크
실제 보안 위협을 신속하게 확인EventEvent
EventEvent
EventEvent EventEvent
normalization sensorevent situation timer boot
Rule Base Processing
방화벽
RM 이벤트 정의 파일
RM 이벤트 어댑터
침입탐지
RM 이벤트 정의 파일
RM 이벤트 어댑터
백신
RM 이벤트 정의 파일
RM 이벤트 어댑터
RDB
RM 이벤트 정의 파일
RM 이벤트 어댑터
시스템
RM 이벤트 정의 파일
RM 이벤트 어댑터
3. Tivoli Risk Manager 특징
SMS / NMS 와의 자연스러운 연동
Tivoli Integrated Event Management : 시스템, 네트워크, 어플리케이션을 통합한 Correlation으로 근본 원인 파악
SwitchAnalyzer
RiskManager
Risk Manager &
TEC
NetView
Pre-filtered network events are forwarded
to Risk Manager
Contextual launch of NetView console from
Risk Manager
Monitor events passed from Tivoli
Monitoring
Security events and incidents generated by
Risk Manager
Console
WarehouseWarehouseHistorical data
passed toWarehouse
OtherEnvironments
TivoliMonitoring Systems & Network
EnvironmentsEvents from
non-Tivoli sources
3. Tivoli Risk Manager 특징
SMS / NMS 와의 자연스러운 연동
이력 보고/ 추세 예측 : 공통적인 데이터 저장소를 통해 Business 관리 측면의 정보 제공
Business Systems Manager
Service Level Advisor
Reporting and Business Intelligence Integration
Risk Manager
Configuration Manager
Monitoring for…•Messaging & Collaboration
•Transaction performance•Web Infrastructure•Applications•Databases
CICS
Enterprise Console
NetviewSwitch Analyzer
Access Manager Family
Tivoli EnterpriseData Warehouse
3. Tivoli Risk Manager 특징
중앙 집중식 실시간 콘솔 관리 및 확장 아키텍처
Event Drills Advisor
E-mail 발송System Information
4. 기대효과
보안 관리 흐름 체계화
통합 보안 관리 서버
Database
Tivoli Enterprise Tivoli Enterprise ConsoleConsole
Crystal Report Crystal Report (22(22가지가지 제공제공))
Tivoli Enterprise Tivoli Enterprise Data Warehouse Report Data Warehouse Report Web Web 기반기반 Report Report 개발개발
HARMLESSHARMLESS
WARNINGWARNING
MINORMINOR
CRITICALCRITICAL
FATALFATAL E-Mail
음성경보
Auto Task
Pop-up
단문메시지
CorrelationEngine
Risk ManagerRules
관리자관리자그룹그룹
보안보안 관리대상관리대상 자원자원
보안 관리 업무/정책
4. 기대효과
시스템 보안 정책을 통합 운영함으로써 가용성과 통합성 증대
Point 보안 솔루션과의 연동을 통한 실질적 통합 보안 관리체제 구현
보안 로그 통합 관리 및 히스토리 정보 저장으로 보안 Knowledge Database 구축
기술적인 측면
보안관리의 일원화를 통해 Business변화에 신속히 대응할 수 있는 기반체제 구축
통합관리를 통하여 전사적인 시스템 보안 상태에 대한 신속한 파악
확장성 있는 통합 보안 관리 시스템 인프라 구축으로 향후 시스템 확장 시 기 투자 보호
통합 보안 관리 시스템 도입으로 e-Business의 최대활용 및 경쟁력 강화
안정된 보안 관리 시스템 운영으로 고객의 신뢰 확보
시스템 관리 솔루션 (Tivoli) 과의 연동/통합으로 관리 시스템에 대한 통합기능
보안 관리 비용의 절감
보안 침해 사고로 인한 기업 이미지 및 정보 자산의 손실 방지
고객의 IT 신뢰성 증가로 인하여 On-line 사업의 활성화 유도
보안 침해 사고로 인한 기타 유형, 무형의 손실 방지
관리적인 측면
Business적인 측면
투자대비 효과
5. 구축 사례
DARPA, Greybar Electric, Galileo Airline Reservation, Ahold, Worldspan, Guardian Life, Marriot (미)
Bendigo Bank, Fuji Bank, Sumitomo Metal System Solutions, JRA Turf Media System, Argo 21 Japan(아시아)
France Telecom(Orange Telecom), AGF, Northern Telecom Germany, Rabo Bank, Telecom Italia (유럽)
IBM (IGS e-Business Hosting organization)
국외
현대증권, SKC&C, SK Telecom, 외환카드, 현대자동차, HIT ISC(마북리), 국민은행 등
Tivoli Risk Manager의 구축 사례의 특징은 방화벽, 침입탐지시스템 50대,100대 이상을 사용중인
고객 사이트에서 운영중인 성능이 검증된 솔루션
국내
5. 구축 사례
OO 통신
고객명 OO통신
통합 대상
NeoWatcher침입탐지
Checkpoint Firewall-1방화벽
안철수 V3Net안티 바이러스
Tivoli RM Web IDS주요 시스템
비즈니스 분야 통신
도입 부서 무선 서비스
구성 특징
•OO 그룹사에 대한 통합 보안 관리 시스템 구축•기 사용중인 Tivoli 서버 관리 시스템(서버의 성능관리, 장애관리등)과 통합 보안 관제•Tivoli SMS서버, 통합보안관제 서버는 분리 구축하고, 각 관리 분야의 주요 이벤트는통합•기 구축된 서버 관리 시스템의 변경을 최소화하는 방안으로 통합 관리 시스템 구축
5. 구축 사례
고객명 OO은행
통합 대상
Siren침입탐지
Secureworks방화벽
VMS안티 바이러스
주요 업무 서버주요 시스템
비즈니스 분야 금융
도입 부서 보안 부서
OO 은행통합 보안 관제 서버
(RM 서버)
CorrelationEngine
Rules
Framework
EnterpriseC
onsoleFramework
C/S서버
Inventory
User Admin
Security Manager
Logfile
Adapte
r
RiskManager
보안 이벤트정보 가이드
보고서시스템
Firewall(Secureworks)
Adapter
IDS(Siren)
Adapter
Virus(VMS)
Adapter
Framework
보안서버
DistributedMonitoring
User Admin
Security Manager
Logfile
Adapte
r
RACF
OS/390