QRadar Network Insights_소개_2017_CO

Size: px

Start display at page:

Download "QRadar Network Insights_소개_2017_CO"

재환 우
5 years ago
Views:

1 QRadar Network Insights 소개 한국 IBM 보안사업부 나병준실장 / 전문위원 /CISSP 2017 년 1 월

2 Agenda 소개 고객에대한챌린지와문제의해결 포지셔닝 Use Case 2

QRadar Network Insights (QNI) 개요 새로운 IBM QRadar Network Insights (QNI) 의발표 내부자위협, 데이터유출, 멜웨어활동에대해빠르고쉽게탐지하는혁신적인네트워크분석솔루션 로그와네트워크플로우데이터가충분히제공하지못하는가시성의제공

3 QRadar Network Insights (QNI) 개요 새로운 IBM QRadar Network Insights (QNI) 의발표 내부자위협, 데이터유출, 멜웨어활동에대해빠르고쉽게탐지하는혁신적인네트워크분석솔루션 로그와네트워크플로우데이터가충분히제공하지못하는가시성의제공 네트워크커뮤니케이션으로부터애플리케이션활동을기록하고, 아티팩트를캡처하고, 자산, 애플리케이션, 사용자참여를식별함 실시간위협분석과장기간의회귀분석을위한네트워크트래픽에대한구성기반의분석 App Exchange 상의기본제공되는앱을통해빠르게어플라이언스를전개하고모범사례를적용함 3 IBM Security

기업이오늘날당면한도전 내부자위협 고위험군사용자를인지하여이에대한피싱, 민감데이터에대한접근, 데이터저장등과같은활동을모니터링해야함 이메일피싱 & 켐페인탐지 실시간으로이메일을분석하여의심스러운컨텐츠, 첨부파일여부를확인할필요성 멜웨어탐지와 & 분석 파일분석 이름, 속성, 움직임,

4 기업이오늘날당면한도전 내부자위협 고위험군사용자를인지하여이에대한피싱, 민감데이터에대한접근, 데이터저장등과같은활동을모니터링해야함 이메일피싱 & 켐페인탐지 실시간으로이메일을분석하여의심스러운컨텐츠, 첨부파일여부를확인할필요성 멜웨어탐지와 & 분석 파일분석 이름, 속성, 움직임, 내재된스크립트관찰 데이터유출탐지 파일을식별하고추적함 DNS 이상징후, 민감컨텐츠, 이상연결, 별칭사용 네트워크와서비스발견 서버, 디바이스, 엔드포인트, 애플리케이션, 서비스를발견하여인벤토리화 컴플라이언스와의갭을식별 엔터프라이즈, 산업, 규정및정책컴플라이언스를지속적으로모니터링 4 IBM Security

DNS, 웹, 이메일, 파일전송속으로숨음 악성행위요소는은닉하고, 우회움직임을통해데이터를유출함

5 이러한문제를푸는것이왜어려운가? 지능형위협 : 훨씬더정교해지고향상된은닉 실시간위협탐지는필요한보안컨텍스트가부족함 네트워크컨텍스트의실시간가시성과오탐의수 위협은정상애플리케이션트래픽, DNS, 웹, 이메일, 파일전송속으로숨음 악성행위요소는은닉하고, 우회움직임을통해데이터를유출함 현재의로그와플로우는위협라이프사이클에걸쳐일관된가시성을제공하지않고있음 PCAP 데이터는비용이많이들고사후포렌식분석을위해사용됨 지나치게민감한툴은너무많은오탐을생산함 위협탐지의정확도를향상시킬수있는인프라스트럭처와통신컨텍스트가부족함 지능형위협 피싱이메일 악성코드 데이터유출 컴플라이언스갭 DNS 어뷰징 5 IBM Security

위협이보안디바이스로부터의로그와네트워크인사이트와의상관관계를통해선택됨 향상된컨텍스트를위해디바이스, 사용자,

6 IBM QRadar Network Insights 숨을곳을남겨두지않음 혁신적인네트워크위협분석 실시간으로네트워크트래픽으로부터본질적위협인디케이터를수집 네트워크트래픽의전체가시성을통해위협을헌팅하고추적함 향상된위협탐지 위협이보안디바이스로부터의로그와네트워크인사이트와의상관관계를통해선택됨 향상된컨텍스트를위해디바이스, 사용자, 애플리케이션을발견하고분류함 장기간의회귀분석 애플리케이션, 자산, 아티팩트, 사용자와관련된행위를선택적으로수집 최신인텔리전스를이용한히스토리컬분석을통하여숨겨진위험과위협을드러냄 6 IBM Security

7 QRadar QNI 그림의완성 기본 강화 고급 중요한갭을채움 무엇이있는가? 누가누구와통신하는가? 어떤파일과데이터가교환되고있는가? 악성코드처럼보이는가? 중요하거나민감한데이터가포함되어있는가? 이악성애플리케이션이사용되었는가? 네트워크상의이위협이신규위협인가? 어디에있고무엇을하였는가? 7 IBM Security

8 핵심사용예제 : 데이터유출에대해서 비밀의노출 50% 의회사는정기적으로기밀데이터의유출을경험하고있습니다. - 대기업경영자협회 나의중요한데이터가어디에포스팅되었는가?!? 숨겨지지않은민감데이터가이메일, 채팅메시지, 파일또는소셜미디어를통해실시간으로네트워크상에노출됨. 이러한전송에대한지식은 QRadar 가인시던트대응의속도를높이기위해허가된행위와무허가행위를구별하도록함 파일이간위치 파일속성캡처 어떤사용자의 ID 가어디서사용되었나 비정상적 DNS 페이로드 유출의심헌팅 과다한파일전송 통신상의개인정보탐지 다른의심스러운컨텐츠 워터마크와기밀브랜딩 기본 강화 고급 신용카드데이터탐지 8 IBM Security

9 Agenda 소개 고객에대한챌린지와문제의해결 포지셔닝 Use Case 9

10 성능요약과전개가이드 기본 강화 고급 세팅 a Performance will vary depending on QRadar Network Insights setting, search / extraction criteria and network data b 10Gbps performance achievable with multiple appliances 성능 10Gbps ~10Gbpsa a ~ 3.5Gbps b 세팅 스택 : # Appliances / Tap* Up to 3.5Gbps Up to 7.0Gbps Up to 10Gbps 강화 고급 *Performance will vary depending on QNI setting, search / extraction criteria and network data 10 IBM Security

11 고객의고민 CISO APT 에더많이노출되면서보안운영에노출되지않는보안사고발생가능성 인시던트탐지와대응시간을최적화하는과정에서네트워크와시스템에서발생하는위험비용증가 SOC 관리자 / 보안분석가 완전한가시성의확보필요성 내부자와악성코드에의한데이터유출을매우걱정함 팀을훈련시켜잠재적데이터유출및영향도에대해매우빠르게대응시킬필요가있음 네트워크보안엔지니어 / 포렌식전문가 위협내부자, 데이터유출, 악성코드를쉽게탐지하기를원함 더정확한컨텍스트와인사이트로오탐을줄일필요성 히스토리컬분석과위협헌팅을더고속으로수행할필요성 11 IBM Security

12 QRadar Network Insights 포지셔닝 위협식별 : 알려진혹은알려지지않은위협 강화된가시성 Ø ü Ø ü IDS/IPS 솔루션은특정한위협또는위험증상을찾아내거는데사용됨 QNI 는알려진위협또는위험을탐지하는것뿐만아니라, 보안팀이보안분석에요구되는컨텐츠를확보하여알려지지않은위협을탐지하는데에사용될수있음 1 세대포렌식솔루션을포함한 Deep 패킷분석솔루션은오직메타데이터를캡처하고인덱싱만수행함. QNI 는보안팀이패킷페이로드컨텐츠를처리하고, 추출하고, 조사하도록함 실시간 & 히스토리컬분석 용이한구성과확장성 Ø ü Ø ü 네트워크모니터링솔루션은사용자에게위협에대한실시간뷰를제공하지만패킷데이터를캡처하거나저장하지않아과거데이터관찰에제한이있음 QRadar 장비와연동된 QNI 는보안팀이풍부한컨텐츠에대해실시간과히스토리컬분석을수행하고자동화하도록함 네트웤보안솔루션은특정한분석접근법을사전에제시하는데그것은접근할수있는정보가미리정의되어있기때문임 QNI 는보안유즈케이스기반하에선택적으로필요한컨텐츠를추출하도록유연하게디자인되어있음. 이기능이 QRadar App Framework 과연계되어단일플랫폼상에서네트워크보안분석에확장성을부여함. 12 IBM Security

13 플로우비교 네트워크플로우 ( 넷플로우 ) QFlow(Layer 7 플로우 ) XGS 장비 (IPS) 기본네트워크트래픽정보포함 Yes Yes Yes Yes 애플리케이션정보포함 No Yes Yes Yes 사용자정보포함 No No Yes Yes Deep 컨텐츠가시성포함 No No No Yes 공격 / 익스플로잇식별포함 No No Yes No QRadar Network Insights SSL 트래픽조사여부 No No Inbound /outbound Inbound / outbound ( 키또는 MiTM Proxy) 트래팍차단기능여부 No No Yes No 구축모델 TAP / SPAN port TAP / SPAN port TAP / SPAN port 또는인라인 성능 다양함 1G ~ 10 G 400 Mbps 25 Gbps TAP / SPAN port 3.5 Gbps 10 Gbps ( 스텍지원 ) 13 IBM Security

14 경쟁제품과의비교 무엇이다른가? 경쟁제품 Logrhthm Network Monitor - 플로우분석 + 메타데이터추출 - 파일재구성 - 제한된패킷캡처 NetFlow 통합 (Splunk 3rd party App) - 네트워크디바이스로부터 NetFlow 분석 Protectwise - 클라우드기반 - 기본적인플로우분석 + 애플리케이션탐지 - 회귀분석을위해서는별도의풀패킷캡처솔루션이필요 Lancope - 기본적인플로우분석 + 애플리케이션탐지 포렌식 (Netwitness / Solera / FireEye) - 포렌식재구성을위한풀패킷캡처 - 분석과데이터쿼리를위한메타데이터 / 인덱싱 Vs. QRadar Network Insights - QNI 사용자는라이브러리에서유용한 Yara 룰을이용하여쉽게분석을커스터마이징할수있음 - 확장을위한 1920 장비를스택지원 - LR 선택적패킷캡처는실제포렌식분석에필요한데이터를캡처함 이러한오퍼링은오늘날의보안위협을탐지하거나유즈케이스를구현하는데필요한가시성이결여되어있음 Netflow 가제공하는특정애플리케이션레벨의가시성은제한된가시성임 - 포렌식오퍼링은가능한많은이벤트와플로우소스에걸친데이터분석기반의위협탐지로디자인되어있지않음 14 IBM Security

15 Agenda 소개 고객에대한챌린지와문제의해결 포지셔닝 Use Case 15 IBM Security

위협라이프사이클대응 : 피싱 피싱공격 엔터프라이즈네트워에대한공격의 95% 는성공적인스피어피싱의결과임 - SANS Institute 사용자가열기전피싱이메일을탐지 사용자가메일박스에접근하기전의심스러운이메일제목, 컨텐츠와첨부파일을탐지하여 QRadar 가이를경보함

16 위협라이프사이클대응 : 피싱 피싱공격 엔터프라이즈네트워에대한공격의 95% 는성공적인스피어피싱의결과임 - SANS Institute 사용자가열기전피싱이메일을탐지 사용자가메일박스에접근하기전의심스러운이메일제목, 컨텐츠와첨부파일을탐지하여 QRadar 가이를경보함 이메일제목 Invalid certificate 탐지 이메일을받은다른사용자추적 비정상적인 DNS 룩업 첨부에있는임베디드스크립트 기본 강화 고급 이메일필드분석 누군가가감염되었다면 누가피싱되었는지, 어떤답변이전송되었는지, 누가침해당했는지를빠르게탐색 16 IBM Security

17 위협라이프사이클대응 : 멜웨어탐지와분석 멜웨어는어디에나존재함 2014 년중반부터 2015 년까지멜웨공격을수행하는첨부기반 URL 이 600% 이상증가 - Proofpoint 감염방법으로매크로를사용하는이메일공격이 50% 증가 - Clearswift.com 어떤파일도인지없이통과못함 QRadar Network Insights 는모든파일의디테일을확인함 : 수신되고송신되는파일의이름, 타입, 엔트로피, 임베디드스크립트와파일해시 QRadar 와 X-Force Exchange 의위협인텔리전스를통하여멜웨어가탐지를우회할가능성을종식시킴 수신위치를헌팅 삽입된멜웨어시그니처 DNS 시스템사기 악성소스와의통신 파일해시의위협인텔리전스상관분석 파일타입불일치 임베디드스크립트탐지 기본 강화 고급 의심스러운컨텐츠탐지 17 IBM Security

위험한내부자식별 내부자위험노출 모든공격의 55% 는악의적인내부자또는부주의한내부적행위에기인함 - IBM 2015 Cyber Security Intelligence Index 내부자위험은 IT 시스템또는데이터유출이상으로위험할수있음 - 이것은물리적피해또는파괴로귀결될수있음 위험한사용자행위를인식하고부정적인경향을모니터링함 - Carnegie Mellon SEI

18 위험한내부자식별 내부자위험노출 모든공격의 55% 는악의적인내부자또는부주의한내부적행위에기인함 - IBM 2015 Cyber Security Intelligence Index 내부자위험은 IT 시스템또는데이터유출이상으로위험할수있음 - 이것은물리적피해또는파괴로귀결될수있음 위험한사용자행위를인식하고부정적인경향을모니터링함 - Carnegie Mellon SEI 승인받지않은웹브라우징또는검색을식별하고, 위험하거나의심스러운도메인에대한접근을인지하고, 이상행위이후에따르는행위를추적하고, 의심스러운컨텐츠에의해트리거된별명과특권사용자를해석하여 QRadar UBA 에지속적으로데이터를공급함 누가누구와통신하였는가 이메일컨텐츠 악성소스와의상호작용 비정상 DNS 조회 웹사이트컨텐츠 평상시와다른핵심정보교환및전송 이메일제목 개인정보데이터탐지 기본 강화 고급 인터넷으로의데이터전송 18 IBM Security

19 무엇이있는지발견 무엇이사용되었는지발견함 50% 의회사는전개하거나사용하는자산들을완전히알지못함 자산식별 서비스를인지 서비스를발견 기본 강화 고급 알려지지않은것을발견함 쉐도우 IT 를발견함 웹애플리케이션과데이터베이를발견함 워터마크와기밀브랜딩을탐지함 신용카드데이터를탐지함 자동으로자산, 디바이스서버, 서비스, 어플리케이션, 사용자, 인터넷서비스를발견함. 이는위협탐지, 보안과컴플라이언스를향상시킴 파일속성을캡처함 19 IBM Security

20 추가적인컨텍스트를통해위협탐지가향상됨 더높은정확도를통한업무량감소 회사의 42% 는경보의상당량을처리하지못함 너무많은오탐 - ESG research 중요한컨텍스트의부족으로인해보안팀은오탐에시달리고있음. 자산, 디바이스, 사용자와애플리케이션의식별, 그리고네트워크상에서이러한것들의행위패턴이이해되고분석될때 QRadar 는이상행발생기반하에경보의정확도를큰폭으로향상시킬수있음 서버를발견하고종류별로구별함 데이터플로우크기를기록 데이터플로우방향을이해함 평상시행위를베이스라이닝 웹애플리케이션과 DB 서버를발견 서비스를발견 민감한데이터를하이라이트 평판을평가 기본 강화 고급 웹카테고리를알림 20 IBM Security

21 제로데이위협탐지 새로운제로 - 데이위협비율이증가 제로데이가일주일에 1 번꼴로발견됨 HTTP 헤더 IP 평판 기본 강화 고급 - Dark Reading 놓친것을발견함 새로운연결 애플리케이션 비커닝 전통적인탐지와방지수단은새로운제로 - 데이공격을놓칠수있으나, QRadar Network Insights 는시간에따른탐지와대응을가능하게하도록이상증상을식별하는데도움을줄수있음 정상행위를베이스라이닝 플로우 Duration DNS 21 IBM Security

22 소셜미디어위험을관리함 소셜미디어가유용한공격툴이되어가고있음 매일 16 만개의페이스북페이지가해킹되고있음 컨텐츠와컨텍스트 피싱탐지 기본 강화 고급 소셜미디어는중요하지만비즈니스에위험함 - New York Post 피싱에사용되는위험인자이거나, 멜웨어를퍼뜨리는채널, 식별자와패스워드를획득하는경로로서소셜미디어의사용이비즈니스에위협으로등장함. 사용 vs. 정책 애플리케이션 민감데이터탐지 URLs 멜웨어탐지 소셜미디어의개인적인사용은쉽게비즈니스경계선, 자산그리고고객을넘어비즈니스평판에영향을준다. 실시간의문맥적컨텐츠분석은이러한사용여부를탐지하는열쇠이다. 22 IBM Security

THANK YOU FOLLOW US ON: ibm.com/security securityintelligence.com xforce.ibmcloud.com @ibmsecurity youtube/user/ibmsecuritysolutions Copyright IBM Corporation 2016. All rights reserved.

Any statement of direction represents IBM's current intent, is subject to change or withdrawal, and represent only goals and objectives.

23 THANK YOU FOLLOW US ON: ibm.com/security securityintelligence.com youtube/user/ibmsecuritysolutions Copyright IBM Corporation All rights reserved. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any kind, express or implied. Any statement of direction represents IBM's current intent, is subject to change or withdrawal, and represent only goals and objectives. IBM, the IBM logo, and other IBM products and services are trademarks of the International Business Machines Corporation, in the United States, other countries or both. Other company, product, or service names may be trademarks or service marks of others. Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection and response to improper access from within and outside your enterprise. Improper access can result in information being altered, destroyed, misappropriated or misused or can result in damage to or misuse of your systems, including for use in attacks on others. No IT system or product should be considered completely secure and no single product, service or security measure can be completely effective in preventing improper use or access. IBM systems, products and services are designed to be part of a lawful, comprehensive security approach, which will necessarily involve additional operational procedures, and may require other systems, products or services to be most effective. IBM does not warrant that any systems, products or services are immune from, or will make your enterprise immune from, the malicious or illegal conduct of any party.

<4D F736F F F696E74202D20315FB9DAC7FCB1D920BACEC0E55FC0CEBCE2BFEB2E707074>

<4D F736F F F696E74202D20315FB9DAC7FCB1D920BACEC0E55FC0CEBCE2BFEB2E707074> 2014 년 5 월 20 일 2014 년최신보안동향분석및보안인텔리전스대응방안 박형근전문위원, 보안사업부, SWG 2014 IBM Corporation IBM 보안역량 Security Operations Centers Security Research and Development Labs v13-01 Institute for Advanced Security Branches