IBM이 2022년 US Open을 지키는 방법 / How IBM Secured the 2022 US OpenUS오픈 테니스 쳄피언십 기간동안, US오픈 웹페이지와 모바일 앱의 인프라는 3백만건 이상의 보안 이벤트가 발생 했습니다. 대다수의 경우, 심각하지는 않은 공격들 이었으나, 보안 담당자들은 어떤 이벤트를 바로 조치에 취해야 할지를 결정해야 하는 순간들이 분명 있었습니다. 하지만 데이터가 너무나 다양하고 많은 경우에, 전문가들은 어디에 보안의 중심을 두어야 할지 알고 있어야 합니다.
과거 30년간 진행해온 US오픈 테니스 챔피언십 동안, IBM은 공식 디지털 혁신 파트너로 US오픈의 디지털 플랫폼을 안전하게 운영을 해 왔습니다. 대진표 상에 있는 256명의 단식 선수들과, 85만명의 관중들, 그리고 집에서 경기를 보고 있는 1백30만 시청자들은 사이버 공격이 프리미어 테니스 경기를 방해 할수 있을 것이라고 생각 하지 않습니다.
Throughout the US Open Tennis Championship, the infrastructure for USOpen.org and the mobile apps can see upwards of 3 million security events. While the vast majority of events are not serious, security analysts must quickly determine which are concerning to take immediate action. However, with such a large volume and variety of data, security analysts need to know where to focus their attention.
As the host of the digital platforms and official digital innovation partner for the US Open Tennis Championship over the past three decades, IBM maintains and secures the platforms. The 256 singles players on the court in the main draws, 850,000 spectators in the stands and 13 million fans watching at home are counting on IBM to ensure that a cybersecurity attack does not interrupt the premier tennis tournament.
인프라와 데이터의 보안 / Securing Data and Infrastructure
매년 멋있는 경험을 제공하는 US 테니스 연합의 파트너로서 IBM 컨설팅, IBM iX는 중요한 역할을 해 왔습니다. 하이브리드 클라우드 기술과 AI를 이용하여, IBM은 코트 위의 테니스 경기 분석과 선수들의 전략에 대한 거대한 데이터를 이용하여, 팬들이 경기를 생생하게 경험하고, 경기의 지식을 높일 수 있도록 식견을 제공하였습니다.
IBM은 파워 인덱스와 왓슨의 매치 인사이트를 통해 2가지의 주요 기능을 제공하였습니다. 파워인덱스는 선수들의 승률, 승패마진, 순위 차등, 코트의 상태, 부상 여부, 진행한 토너먼트 수와 순위, 라운드 진행 등의 실적에 영향을 끼칠 수 있는 25가지 요소를 활용하여, 선수들의 기량을 수치화 합니다. 또한 왓슨을 이용한 매치 인사이트는 자연어 처리, AI, 통계 분석 들을 이용해서 각각의 단일 경기들의 정확한 분석 시트를 제시해 줍니다. 이로 인해서 경기장과 집 모두에서 보고 있는 관중들은 특정 선수가 이길 것이라고 예상되는 이유와 어떤 승리 요소가 이 예상에 반영 되었는지 를 이해할 수 있습니다.
그러나, 이러한 주요 경험을 제공하는 것은 간단한 툴과 네트워크로 일어나지 않습니다. IBM 팀이 다양한 환경, 데이터 종류, 기기, 대량의 데이터의 수집/분석/보고를 할 수 있는 클라우드와 플랫폼들을 사용해서 만들어진 것 입니다. 그리고 보안 위협 요소들은 토너먼트의 경험을 방해하게 할 수도 있습니다. US Open을 통해 보면 IBM은 사이버 보안의 측면에서 세계적인 팀과 최신의 기술 면에서 우위를 가지고 있다는 것을 알 수 있습니다.
Every year, IBM iX, the experience design arm of IBM Consulting™, partners with the U.S. Tennis Association to create an exceptional experience. By using hybrid cloud technology and artificial intelligence (AI), IBM turns large amounts of data — from every shot on the court to player statistics — into insights that help fans feel more a part of the experience and increase their knowledge of the game.
IBM helps the US Open provide two key insights to fans via IBM Power Index and Match Insights with Watson. IBM Power Index uses 25 factors, such as player performance factors including win-loss ratio, win margin, rank differential, court surface, injury status, number and level of tournaments played, and round progression, to quantifies player momentum. Match Insights with Watson uses natural language processing, AI and statistical analysis to creates fact sheets for each singles match. Spectators both in the stands and at home can then understand why a specific player is predicted to win and which Win Factors attributed to that prediction.
However, providing these critical experiences does not happen with a single tool and network. The IBM team uses multiple environments, data types, devices, clouds and platforms to collect, analyze and report the vast amounts of data. A security incident can occur in any of these areas and disrupt the tournament experience. Throughout the US Open, the IBM team prioritizes cybersecurity with its world-class team and latest technology.
사이버 보안에 있어서 가장 긴급한 문제를 정하기 / Determining the Most Urgent Security Issues
IBM 은 US 오픈 전반적으로 앤드 포인트, 네트워크, 클라우드 환경과 같은 IT 기술환경을 보안의 위협으로 부터 보호하기 위해서, 보안 QRadars 플랫폼으로 관심을 돌렸습니다. 클라우드 기반의 인터페이스는 전세계적으로 널리 퍼져있는 보안팀들이 실시간으로 경기장 뿐만 아니라 인프라 환경에서 어떠한 일들이 벌어지는지 이해하기 쉽게 만들었습니다. QRadar 는 보안 팀들이 기업 전반적으로 위협을 발견, 우선 순위화 하고, 보안에 대응 하는 것을 도왔습니다.
IBM 보안 QRadar가 위협을 발견할 때, 보안의 종류와 위협의 강도 설정을 기반으로하여 이슈를 정하고 위협을 분석하였습니다. 보안 분석가들은 이러한 위협들의 관리를 자동화 합니다. 예를 들면, 모바일 앱에 보고된 위협적인 사건들은 간단하게 보안프로그램 안의 빈틈을 통해 범죄자들이 위협 요소를 발견하는 부분을 위협레벨 3으로 지정할 수 있습니다. IBM 보안 QRadar는 보안 이벤트들에 따라서 우선순위화를 하여서, 분석가들의 귀중한 시간을 빠앗지 않도록 합니다. 하지만 만약 플랫폼의 범죄자들이 신용 정보를 훔쳤다면, 이는 위협레벨 10으로 정하고, 보안 분석가 들에게 즉시 경고를 보냅니다.
IBM turns to its IBM Security QRadar platform to guard the entire US Open technology environment — including endpoints, networks and cloud platforms. The cloud-based interface makes it easy for the security team, which is spread around the globe, to see real-time data on what is happening on the court as well as in the infrastructure. QRadar helps security teams detect, prioritize and respond to threats across the enterprise.
When IBM Security QRadar detects a threat, it flags the issue and assesses the threat based on parameters, such as threat type and magnitude, and the platform then assigns a threat level. The security analysts then automates the management of these threats. For example, an incident reported on the mobile app may simply be a cybercriminal looking for cracks in the armor and assigned a level 3 threat. IBM Security QRadar prioritizes the security event accordingly and does not take up analysts’ valuable time if it is deemed as inconsequential. However, if the platform suspects stolen credentials, then it assigns a level 10 threat, and security analysts are immediately notified.
감지 발동 / Detection in Action
보안 분석가들이 QRadar를 통해 위협을 찾고 의심을 할 때, 실제로 어떻게 될까요?
이전부터 전통이 있었거나, 최근에 급조해서 만들어진 침투할 여지를 스캐닝 하는 다양한 공격집단들의 증가로 최근에 보안팀은 고생을 하고 있습니다. US오픈도 여지없이 평소에 생각했었던 다양한 용의자들의 스캐닝은 경험과 수집 및 통계분석하는 기업과 같은 새로운 공격자 들의 집단을 만들었습니다.
전통적으로 보안 담당자들은 이러한 새 공격집단을 무시해 왔습니다. 왜냐면 이들은 어떠한 것도 강탈해 가려고 하지 않았기 때문입니다. 그들은 US 오픈이 공식적으로 시작한지 첫번째 날 까지만 , 열정적으로 오픈서비스를 찾아 스캔을 해왔습니다.
어떤 보안 설계자는 1분 30초 안에 거의 1,500 의 이벤트를 찍고 스캐닝 되는 특정 부분에 트래픽이 많이 집중 되었다는 것을 알아차렸습니다. 무언가가 이상 했고, 보안 담당자가 깊게 더 알아보니 그는 사소한 작은 파일전송 프로토콜인 TFTP가 다량의 트래픽을 발생하게 되는 주요 원인이 된 것을 알 수 있었습니다.
So what does it actually look like when security analysts are sniffing and sussing out threats with QRadar?
Recently, the security team had been hit with an increasing volume of established and fly-by-night wannabe penetration testing scanners of the freelance variety. The US Open was no exception, experiencing scans from all the usual suspects and a handful of new ones, including a popular capture and statistical analysis organization.
Traditionally, the analysts had ignored these. They wouldn’t try to exploit anything; they would simply scan fervently, looking for open services. That was until a day after the US Open officially kicked off.
One security architect noticed a huge spike in scanning, topping at nearly 1,500 events within a minute and a half. Something seemed off. When he dug deeper, he found that contained within the larger spike was a smaller one, targeting specifically trivial file transfer protocol (TFTP) exploits.
스캐닝을 통해서 공격하는 타이밍은 매우 정교하여 보안 담당자들은 조치를 취해야만 합니다. 수집 및 통계분석 조직의 공격스캐닝의 데이터 탈취 시도는 다른 IP로 진행이 되었고 이는 VPS 서비스로 실제 사용시 가상머신에서 제공되는 서비스 입니다.
이러한 조사를 기반으로, 보안 분석가는 더 많은 공격의 유사성을 발견했습니다. 이 두가지 공격은 모두 SSH 포트에 있는 같은 종류의 사이퍼 종들을 갖고 있었고 제로 MQ를 실행하며, 브로커가 없는 메시지 컨트롤러를 9002 포트에서 실행을 하였습니다. 이는 우연치고 너무 많은 유사성이 있습니다.
결과적으로, 보안 설계자들은 이러한 통계분석조직의 공격을 막음 으로써, 미국에 거점을 두고 US 오픈에 대한 공격의 숫자를 줄이는데 일조를 하였습니다. 궁극적으로 QRadar는 분석가들이 비정상적인 것을 찾아낼 수 있도록 하여, 진실을 발견할 수 있게 도와줍니다.
The timing was so precise as to be concealed within the scan, he figured they had to be coordinated. The scan was the capture and statistical analysis site, but the exploit attempt was another IP. It was a VPS service, offering virtual machines for use.
Upon further investigation, he found more similarities. Both had the same cipher specs on the SSH port and both were running Zero MQ, a brokerless message controller, on Port 9002. It was too much of a coincidence.
As a result, the architect blocked the statistical analysis organization, to help lessen the number of US-based attacks against the US Open. Ultimately, QRadar allowed the analyst to dig into oddities to discover the truth.
보안이벤트에서 완화조치에 대한 정보 제공 / Providing Remediation Insights for Security Events
촉각을 다투면서 전체 테니스 경기를 보는 것은, QRadar가 위험의 심각성을 진단하여, 실제 보안 분석가들이 빠르고 효과적으로 위험을 관리하도록 도와줍니다. 또한 보안 분석가들이 실제로 하용하는 보안 분석 툴인 IBM Cloud Pack for Security는 보안 블로그, 기사, 자원등을 제공합니다.
IBM QRadar 에서 제공되는 정보를 기반으로 Cloud Pack for Security 는 AI와 자연어 처리 기술을 이용하여, 보안위협을 완화하기 위한 특별한 조치와 자원들을 추천해 주는 기술을 처리합니다. IBM은 보안문제에 의해서 혹시라도 팬 또는 관람객들이 테니스의 즐거운 경험을 방해받는 것을 바라보고 있지 않습니다.
파워 인덱스와 매치 인사이트와 같은 더 많은 기술적 요소들이 US 오픈의 관람객들에게 더 즐거운 경험을 제공합니다. 보안의 중요성은 계속 증가합니다. IBM QRadar와 Cloud Pack for Security와 같은 도구를 사용하면서, 보안 팀들은 토너먼트의 게임이 테니스 코트 그 자체에 집중할 때 빛이 난다는 것을 보여 줍니다.
It’s clear from the example above that, with time of the essence and the entire tennis world watching, the security analysts must quickly and effectively manage threats that IBM Security QRadar determines are severe. Another tool used to help analysts act fast is IBM Cloud Pak for Security, which provides millions of security blogs, articles and resources at their fingertips.
Based on the information provided by IBM Security QRadar, the IBM Cloud Pak for Security uses AI and natural language processing technology to recommend the specific steps and resources to remediate the cybersecurity threat. By saving valuable time, IBM reduces the risk of the spectator or fan experience being interrupted by a security issue.
As more technology elements, such as the IBM Power Index and Match Insights, have been added to the US Open spectator experience, the importance of security continues to increase. By using tools such as IBM Security QRadar and IBM Cloud Pak for Security, the security team makes sure that the focus of the tournament remains where it should be — on the court.
https://securityintelligence.com/posts/how-ibm-secured-2022-us-open/