PowerPoint Presentation

Save this PDF as:
 WORD  PNG  TXT  JPG

Size: px
Start display at page:

Download "PowerPoint Presentation"

Transcription

1 Infoblox Inc. All Inc. Rights All Reserved. Rights Reserved. Data Protection and Malware Mitigation 정재원부장 엑스퍼넷

2 컨트롤이되지않는 Gulfstream 650 으로비행이가능하십니까? Infoblox Inc. All Inc. Rights All Reserved. Rights Reserved.

3 G650 비행조작은네트워크보안과같습니다. 만약한개라도잘못되면 Securing DNS From Malware Is Often That One Thing Goes Wrong Infoblox Inc. All Inc. Rights All Reserved. Rights Reserved.

4 고객비즈니스과제수많은보안도구가있음에도불구하고맬웨어는여전히... 현재조직에는데이터를보호하고맬웨어완화를방지하는여러가지솔루션이있지만부분적으로만적용됩니다... 91% 의악성코드가 DNS 를사용하여공격을시도 Infoblox Inc. All Inc. Rights All Reserved. Rights Reserved.

5 데이터보호및맬웨어완화 (Data Protection & Malware Mitigation) 는 ActiveTrust ( 또는 ATC), ADP, 데이터커넥터, 네트워크인사이트및에코시스템을결합한솔루션입니다. 이솔루션은보안팀, 네트워크팀, 운영부서가맬웨어공격을방지하고탐지하는역할을담당하는조직을위한솔루션입니다. 이팀의주요목표중두가지는 DNS를사용하여맬웨어확산및데이터유출을막는것입니다 Infoblox Inc. All Inc. Rights All Reserved. Rights Reserved.

6 DNS 가맬웨어에의해악용되고있습니다. DNS 를통해 C2 통신및데이터유출이허용되기전까지보안팀과네트워크팀은 DNS 를공격의경로로생각하지않았습니다. 솔루션을통해즉각적인이점을얻을수있습니다. 신속한사고 대응및개선 데이터유출및맬웨어공격이성공적일때다음과같은피해를입을수있습니다. - 수익손실 - 명성과브랜드손상의손실 - 고객이탈 - 개인평판및고용상실가능성 맬웨어공격및데 이터유출로부터 의위험감소 Cyber Kill Chain에서악성코드공격의신속한중단 Infoblox Inc. All Inc. Rights All Reserved. Rights Reserved.

7 Data Protection and Malware Mitigation 데이터유출및악성코드로인한브랜드피해, 재정적및법적영향을피하십시오! Disruption of Cyber Kill Chain Data Exfiltration Prevention Visibility DNS 제어평면에서맬웨어 / APT 활동차단 최신보안위협정보로정책적용 사내또는사외사용자보호 위협의측면이동방지 DNS IoC 를생태계와공유하여개선촉진 다른시스템에서감지할수없는 DNS 기반데이터유출차단 Big Data, 기계학습및스트리밍분석을사용하여제로데이위협을탐지하고방지합니다. 온 - 프레미스및클라우드의확장가능한적용 네트워크상의장치및호스트에대한가시성 감염된엔드포인트에대한가시성 우선순위지정을위한네트워크컨텍스트 위협행위자, 위협캠페인, 기타조직의관련위반에대한상황별정보 Infoblox Inc. All Inc. Rights All Reserved. Rights Reserved.

8 DNS In The Kill Chain Weaponization 백도어와전달가능한페이로드의결합 DNS Protocol Anomalies DNS Hijacking DNS Exploits Exploitation 피해자시스템에서코드를실행하기위한취약점악용 DNS Tunneling DNS Callback Command & Control (C2) 희생자의원격조작을위한명령채널 Reconnaissance 이메일주소, 컨퍼런스정보수집등 Delivery 이메일, 웹, USB 등을통해공격툴로묶은번들을희생자에게전달 Installation 자산에악성코드설치 Actions on Objectives Hands on Keyboard 액세스로침입자는원래목표를달성합니다. DNS Reconnaissance DNS Infiltration DNS Tunneling DNS DDoS DNS Tunneling DNS Exfiltration Internal DNS DDoS Infoblox Inc. All Inc. Rights All Reserved. Rights Reserved.

9 Industry Recommendations: SANS Critical Security Controls 1) Inventory of Authorized and Unauthorized Devices 2) Inventory of Authorized 1 and Unauthorized Software 2 3) Secure Configurations for 3 Hardware and Software Source: 13) Data Protection 13 12) Boundary Defense ) Secure Configurations for Network Devices 8 8) Malware Defenses Infoblox Inc. All Inc. Rights All Reserved. Rights Reserved.

10 Data Protection and Malware Mitigation 사용사례 1. 사전에예방하여 DNS 를통한맬웨어및데이터추출방지 2. 위협정보를수집하여기존인프라 ( 방화벽등 ) 에배포 3. 가시성및컨텍스트향상 DNS 통신지점에서 C&C / botnet 통신중지 머신러닝을이용한데이터추출방지 위협인텔리전스데이터교환및위협조사 통합된정책관리, 분석및보고 에코시스템통합 ( 온프레미스옵션포함 ) Infoblox Inc. All Inc. Rights All Reserved. Rights Reserved.

11 솔루션제안 Data Protection & Malware Mitigation 을위한솔루션제안 Infoblox Inc. All Inc. Rights All Reserved. Rights Reserved.

12 ActiveTrust Infoblox DNS Firewall Infoblox Threat Insight in the Cloud Infoblox Threat Intelligence Data Exchange (TIDE) Infoblox Dossier Infoblox Inc. All Inc. Rights All Reserved. Rights Reserved.

13 Infoblox DNS Firewall DNS 를통한 Malware C&C 통신방어 : 다중 Response Policy Zones (RPZs) 클라우드보안포털 (CSP) 을통한최신위협인텔리전스피드 사이버보안에코시스템으로의통합 Infoblox Inc. All Inc. Rights All Reserved. Rights Reserved.

14 Infoblox Threat Insight in the Cloud DNS 기반데이터추출을클라우드로이동하여대규모로탐지 DNSMessenger, DGA 및 Fast Flux 감지 데이터추출을위한평판, 서명및행동분석을결합한 DDI 기반솔루션 Infoblox Inc. All Inc. Rights All Reserved. Rights Reserved.

15 TIDE: High Quality Data Timely - 데이터가최신상태인지확인하고필요할때전달합니다. Reliable 신뢰성높은연구팀에의해데이터가큐레이팅됩니다. Accurate 정확한데이터세트 <.01 % 의역사적인오탐지율 Contextual - 위협과관련이있는이유는무엇입니까? Easy-to-use - 타사통합을위해다중출력형식 (JSON, CSV, RPZ 등 ) 지원 Infoblox Inc. All Inc. Rights All Reserved. Rights Reserved.

16 Infoblox Dossier : 신속한위협조사 여러소스에대한단일중앙뷰는시간, 비용및자원을절약합니다. 보다쉬운우선순위지정을위해위협에컨텍스트적용 신속한재조정을위해위협지표를신속하게분석합니다 Infoblox Inc. All Inc. Rights All Reserved. Rights Reserved.

17 ActiveTrust - 아키텍처 Threat intelligence Data Exchange (TIDE) Delivered via Cloud Security Portal (CSP) Infoblox DNS Firewall (on premise) Forward malicious domain names Threat Insight in the cloud DNS Data Various output formats supported for third party systems - custom Pre-integrated, RPZ files ready for use DNS data Infoblox Grid DNS, DHCP, IPAM Easily provide outbound DNS indicators of compromise to third party system(s) to act on out of the box Infoblox Data Connector (free) Cybersecurity ecosystem technologies: SIEM, NGFW, vulnerability scanner, NAC, endpoint security, filter, web proxy Infoblox Inc. All Inc. Rights All Reserved. Rights Reserved.

18 Everywhere,,, 2019 년에는 57% 의근로자가사무실책상에앉지않습니다. - 70% 75% 69% 사용자가네트워크에연결되어있지않은경우데이터유실우려 * 악성코드가네트워크에침투할수있음 * 오프네트워크액세스에대해동일한수준의보안을제공할수는없을것이라고믿음 * Infoblox Inc. All Inc. Rights All Reserved. Rights Reserved. * 출처 : 소포스의최근원격및모바일사용자연구

19 ActiveTrust Cloud - Workflow Scenarios Encrypted DNS Query, Embeds Client ID and MAC (With DNS Forwarding Proxy) (No DNS Forwarding Proxy) Connector Infoblox Inc. All Inc. Rights All Reserved. Rights Reserved.

20 온 - 프레미스솔루션과의완벽한통합통합정책관리, 심층가시성, 보고및분석 Data Connector Infoblox Cloud On-premise Grid 중앙정책관리 온프레미스 Infoblox Grid 데이터로강화된모든보고서 ( 데이터커넥터사용가능 ) 온프레미스 (On-premise) 와로밍 (Roaming) 상태사이를이동하면서장치활동에대한통합된전체라이프사이클보기 최종호스트의깊은가시성 : MAC 주소, 장치유형, device OS, DHCP 임대내역, 사용자 ID, 부서, 위치및위험프로필 자산의위험프로필을기반으로한교정의우선순위지정 Infoblox Inc. All Inc. Rights All Reserved. Rights Reserved.

21 로밍클라이언트 : ActiveTrust Endpoint 작고경량의에이전트가엔드포인트의 DNS 를 Infoblox 클라우드로리디렉션합니다. 클라이언트 ID 를암호화하고 DNS 패킷에포함합니다. 로그인한사용자에대한정보를보냅니다. SCCM 또는 McAfee epo 와같은자동화된솔루션을사용하여장치 / 워크스테이션에대량배치가능 Windows (7/8/10) 및 Mac OSX * 에서사용가능 * Infoblox Inc. All Inc. Rights All Reserved. Rights Reserved. 온 - 프레미스 ActiveTrust로보호되는회사내부네트워크가바이패스모드로전환되도록구성할수있습니다 * 1 단계는 Windows 및 Mac 에대한지원을제공합니다. 향후 Linux, ios, Android 를지원예정입니다.

22 상황별리포팅제공네트워크, 장치및애플리케이션모니터링, 분석및보안에대한통찰력 네트워크관리자 시간기반운영및사용보고서 활성장치에대한정보 Malware C&C Malware download Exploit kits APT DGA and Fast Flux DNS tunneling Data Exfiltration DNS Messenger 보안관리자 보안정책별응답적중률 상위악성도메인, 조회수가많은상위고객 위협범주, 하위범주를두번클릭 IP 메타데이터 보안연구원 악의적인활동, 장치및로그인한사용자의출처에대한세부정보드릴다운 지정된시간에전자메일로보낼보고서예약 Infoblox Inc. All Inc. Rights All Reserved. Rights Reserved.

23 What s In The Box: Data Protection and Malware Mitigation Disruption of Cyber Kill Chain Data Exfiltration Prevention Visibility ActiveTrust + Threat Insight DNS 통신지점에서맬웨어 /APT 활동감지 C&C/ 봇넷통신방지 사내구축환경의사용자보호 에이전트없이엔드포인트보호 Big Data, 기계학습및스트리밍분석을사용하여제로데이데이터유출방지 사내구축환경의사용자보호 확장가능한집행 감염된엔드포인트에대한가시성 ActiveTrust Cloud DNS 통신지점에서맬웨어 /APT 활동감지 C&C/ 봇넷통신방지 사내또는사외에서사용자를보호합니다. 신속한위협조사가가능합니다. Big Data, 기계학습및스트리밍분석을사용하여제로데이데이터유출방지 사내또는사외에서사용자를보호합니다. 확장가능한집행 감염된엔드포인트에대한가시성 Advanced DNS Protection 시그니처를사용하여알려진 DNS 터널링공격방지 Threat Intelligence: TIDE FireEye Threat Connect Infoblox 및타사플랫폼에서위협정보를배포할수있습니다. FireEye NX Series 및 Threat Connect 로부터받은위협정보에기반한정책시행 Dossier 신속한위협조사및자동화를통해보안요원을확보할수있습니다. 위협행위자, 위협캠페인, 다른조직의관련위반에대한상황별정보 Data Connector SIEM 의데이터저장및처리비용최적화 보안이벤트를사용하여네트워크컨텍스트와데이터의상관관계를자동화합니다. (Splunk) 감염된로밍장치 (IP, MAC 주소, 임대내역, 장치유형 ) 에대한식별정보제공 온 - 프레미스및클라우드에대한통합보고를가능하게합니다. Network Insight 새로운장치가네트워크에연결되면 ISE 와공유 Qualys 와통합하여매주 / 매월검색을기다리는대신새장치를발견한경우즉각적인취약성검색 Qualys 는가상작업부하가증가할때를감지하고알림 네트워크상의장치및호스트에대한가시성 Cybersecurity Ecosystem (SIEM, Cisco ISE, Qualys, Rapid 7, Carbon Black) 보안시스템연동을통해위협을방지합니다. 에코시스템기술과의절충지표공유 (Carbon Black, Cisco ISE, Qualys, Rapid 7, SIEM) 를통해개선. 우선순위부여 Reporting and Analytics Infoblox Inc. All Inc. Rights All Reserved. Rights Reserved.

24 Why Infoblox Inc. All Inc. Rights All Reserved. Rights Reserved.

25 우리가고객에게제공하는가치 VISIBILITY PROTECTION RESPONSE BUSINESS IMPACT 네트워크에서의공격, 감염및데이터추출시도보기 관리되지않는네트워크및장치식별 데이터를도용하려는감염된장치또는잠재적인불량직원을찾아냅니다. DNS 공격, APT/ 악성프로그램, 데이터유출차단 안전한플랫폼 자동화된위협인텔리전스피드 네트워크의모든부분에대한데이터추출시도및확장보호의활성차단 APT kill chain 을방해하고, 감염된장치와관련사용자를찾아냄 데이터공유및중앙집중식방어를위해업계표준생태계와협력합니다. 운영효율성 속도 / 시간절약 비용절감 직원생산성 고객만족 수익보호 브랜드보호 Infoblox Inc. All Inc. Rights All Reserved. Rights Reserved.

26 Why Infoblox 가치제안의사결정자니즈이점 최초의 DNS 어플라이언스출하 네트워크작업자동화및자동변경및구성관리를보완하기위해 Netcordia 인수 인터넷보안회사인터넷아이덴티티 IID 인수완벽한기능의 DNS 보호 네트워크어드민 네트워크어드민 지능적인위협에대한 분석가 고객은엔터프라이즈급장비가필요 DNS 안정성및빠르고쉽게관리되는 DHCP 장애조치 변경으로인한네트워크중단 네트워크에대한구성데이터레코드변경사항을자동으로수집하고변경사항과전체네트워크상태간의상관관계를식별 신뢰할수있는위협정보를활용하여네트워크보호 사전에보안취약점을차단하고데이터손실을방지하기위한다른조치를취할수있음 Infoblox Inc. All Inc. Rights All Reserved. Rights Reserved.

27 Next Steps Path to Engagement Free Trials/software ActiveTrust Cloud eval ActiveTrust (on-premises) eval Security(PCAP) assessment Infoblox 전문가와상의하십시요. ActiveTrust 평가판다운로드링크 : ActiveTrust Cloud 평가판다운로드링크 Infoblox Inc. All Inc. Rights All Reserved. Rights Reserved.

28 서울시구로구디지털로 31 길 38-21, 609 호 ( 구로동, E&C 벤처드림타워 3 차 ) Tel. 02) / Fax. 02) / Copyrightc Expernet Co.,Ltd.All rights reserved Infoblox Inc. All Inc. Rights All Reserved. Rights Reserved.