PowerPoint Presentation

Size: px

Start display at page:

Download "PowerPoint Presentation"

서정 야
4 years ago
Views:

1 Cybereason Complete Endpoint Protection EDR + NGAV Complete Endpoint Protection

반복되는사고들 September 7, 2017: One of the three major consumer credit reporting agencies experienced a breach, compromising the personal information of as many as half of all

1 million from one attack. August 16, 2017: The world's largest container shipping company had a $300 million impact on Q3 results, after halting worldwide operations.

delays. July 6, 2017: One of the largest health, hygiene, and home products manufacturers announced a $129 million decline in yearly forecast.

July 17, 2017: The world s 3 rd largest shipping company announced a cyberattack in filing with the U.S. Securities and Exchange Commission.

2 반복되는사고들 September 7, 2017: One of the three major consumer credit reporting agencies experienced a breach, compromising the personal information of as many as half of all American adults August 2, 2017: The second largest confectionary manufacturer in the world lost $150 million in quarterly sales and had incremental expenses of $7.1 million from one attack. August 16, 2017: The world's largest container shipping company had a $300 million impact on Q3 results, after halting worldwide operations. August 3, 2017: A company that is home to several of the world's largest skin care brands delayed $41 million of second-quarter sales, after 10 days of shipping and production delays. July 6, 2017: One of the largest health, hygiene, and home products manufacturers announced a $129 million decline in yearly forecast. July 28, 2017: One of the top 5 largest pharmaceutical companies in the world had operations and drug production disabled for more than a month after a cyber attack. July 17, 2017: The world s 3 rd largest shipping company announced a cyberattack in filing with the U.S. Securities and Exchange Commission. Estimated impact is in the hundreds of millions of dollars. July 21, 2017: Computer Software company announced its revenue for Q3 will be down as much as $20 million from original expectations. In addition, their stock price has steadily declined sine the cyber attack. Complete Endpoint Protection - 2

3 Comprehensive Security: Enterprise Attack Protection Complete Endpoint Protection - 4

4 EDR (Endpoint Detection & Response) 의정의 E Endpoint D Prevention R 위협을 Features 에 SW agent 설치통과 / 우회하는위협을탐지실시간 / 임의로대응 Buyer s Guide 다양한 machine 지원하는가? 경량 SW agent (CPU, Memory, Disk..) 충돌이슈최소화및대응지원 통합 Agent (NG AV, EDR..) 사전차단 (Prevention) 지원하는가? 행위 (Behavior) 기반탐지 (Detection) 을지원하는가? Fileless malware 탐지를지원하는가? 사후조사 (Investigation) / 근원분석 (Root cause) 분석에필요한전문지식필요한정도는? 데이터분석기술 ( 대용량, 속도 ), 클라우드 / 구축형 프로세스 suspend, kill 파일 delete, quarantine, acquisition Machine 격리 API 연동 Complete Endpoint Protection - 4

업계의한개또는여러조직에서보안침해로고생했기에, EDR 솔루션을도입하여사전에위험을완화 (Mitigation) 하기로했습니다.

5 EDR 구매이유 귀사가도입했거나 EDR 솔루션도입에 사후분석에많은공수가투입됩니다. 그부분에많은도움이되리라믿고있습니다. 관심있는주요이유는무엇입니까? ( 전체응답자 = 339) 데이터자산보호및유출방지를위해내부위협에대한지표가될수있는사용자및단말의비정상행위모니터링이필요합니다. 예전에보안사고가있어서 EDR 도입을추진하려합니다. 업계의한개또는여러조직에서보안침해로고생했기에, EDR 솔루션을도입하여사전에위험을완화 (Mitigation) 하기로했습니다. 12% 14% 10% 10% 8% 15% 16% 15% 사고 (Incident) 대응조치와관련된시간과효율성을개선하는데도움이된다고믿습니다. 사고 (Incident) 대응방어체계를강화하기위해특정공격체인동작을이해하려면전체위협수명주기에대한가시성이필요합니다. 사고 (Incident) 탐지에걸리는시간을개선할수있다고믿습니다. 기존의엔드포인트보호플랫폼 (EPP) 제품군을보완한다고믿습니다. 출처 : Enterprise Strategy Group, 2017 Complete Endpoint Protection - 4

6 ABOUT Cybereason 투자자 : Spark Capital, CRV, Lockheed Martin, Softbank, Wells Fargo 200개이상의레퍼런스 이스라엘군의첩보부대 (Unit 8200) 출신 25만대이상의엔드포인트에적용한여러고객사례 보스턴본사 텔아이브 도쿄 런던 시드니 Complete Endpoint Protection - 6

7 Cybereason Product 구성 Cybereason EDR 엔드포인트의메타정보를수집하여사이버공격의징후를상관분석및머신러닝으로실시간으로자동탐지하고대응할수있는사이버보안플랫폼. 침입전 NGAV에의한사이버공격침입방지 침입후 EDR 에의한침해탐지및대응 Remediation 위협에대한즉각대응 Investigation 쉽고능률적인추적조사 Detection 실시간자동위협탐지 + Cybereason Services 전문적인지식과기술을가진 보안분석가의고객지원 ( 옵션 ) Prevention 악성코드실행방지 Cybereason NGAV 알려지지않은악성코드, 알려진악성코드, 랜섬웨어, Fileless(PowerShell) 악성코드등모든종류의악성코드를차단할수있는차세대안티바이러스 Complete Endpoint Protection - 7

8 Cybereason Layer of Protection Cybereason은엔드포인트를보호하기위해단계별로보호방안제공. 각단계는서로다른유형의위협에대응하며포괄적인보안제공. 한번의인스톨 ( 단일에이젼트-사용자모드 ) 로 EDR+NGAV 적용. Pre-Execution Dynamic Post-Infection 1. NGAV Anti-Malware - 시그니쳐기반 2. NGAV Anti-Malware - 머신러닝기반 3. 동적행위분석 - Anti-Ransomware - Fileless 위협보호 4. EDR Complete Endpoint Protection - 8

9 지금당신의기업에 공격이진행되고있음을 누가알려주고있습니까? Cybereason Deep Detect & Respond EDR(Endpoint Detection and Response): 엔드포인트위협탐지및대응 Complete Endpoint Protection

Cybereason 개요 Cybereason 의 Complete Endpoint Protection Platform 은자동화된탐지,

Cybereason EDR 엔드포인트의메타정보를수집하여사이버공격의징후를상관분석및머신러닝으로실시간으로자동탐지하고대응할수있는사이버보안플랫폼.

10 Cybereason 개요 Cybereason 의 Complete Endpoint Protection Platform 은자동화된탐지, 완벽한상황인식및 공격자활동에대한깊은이해와대응방안을제공합니다. Cybereason EDR 엔드포인트의메타정보를수집하여사이버공격의징후를상관분석및머신러닝으로실시간으로자동탐지하고대응할수있는사이버보안플랫폼. Prevention 악성코드실행방지 + 머신러닝기반의다양하고깊이있는분석 공격의징후를실시간으로탐지 / 시각화 고급화된표적공격및랜섬웨어탐지 공격단계별로완벽한보안대책제공. Remediation 위협에대한즉각대응 Detection 실시간자동위협탐지 Investigation 쉽고능률적인추적조사 Cybereason NGAV 알려지지않은악성코드, 알려진악성코드, 랜섬웨어, Fileless(PowerShell) 악성코드등모든종류의악성코드를차단할수있는차세대안티바이러스 Complete Endpoint Protection - 10

11 Cybereason 개요 Cybereason의목표는공격라이프사이클의모든단계에서복잡한위협을구체적으로자동탐지하고공격자가공격을성공시키기전에신속하게위협에대응하는것입니다. Windows, Mac 및 Linux 시스템을포함하여엔터프라이즈의모든최종사용자시스템과서버에서상세정보를지속적으로수집. 초기감염, 명령및제어 (C&C), 권한상승및확장감염, 데이터유출과같은모든악성활동을식별하기위해중앙집중식분석을수행. 탐지된위협을시간대별로직관적으로나타내며근본원인, 감염된호스트및사용자, 관련통신및사용된도구등에대한가시성을완벽하게제공. Collect( 효율적인분석데이터수집 ) 최소화된호스트영향도및전체적인가시성을제공. 센서는시스템의사용자영역에서연속적으로실행 (No BlueScreen!). Cloud 또는 On-Promise 구성지원. Endpoint당하루에 10MB 미만의트래픽사용. Relate( 효과적인가시성및상관관계 ) 기업또는조직전체의위협상황을제공. Endpoint별위협및 Endpoint들의상관관계를분석 ( 중앙집중식헌팅엔진 ). 공격과관련된모든요소를자동으로연결하여제공. 간과할수없는의심스러운공격활동을탐지. Analyze( 빅데이터자동분석 ) 세밀한행동분석및시그니쳐기반분석을동시수행. 초당 800만건이상의분석력.( 특허기술 ) 위협모델을설정하여탐지하는기능제공. Ransomware, File-less Malware, 확장감염등을탐지. Present ( 최적화된대응력 ) 악의적인공격의전체내용을시각화. 자동으로위협에대한조치 / 대응우선순위를제공. 모든공격단계를한번클릭으로치료 ( 자동대응포함 ). 상세분석을위해관련데이터세트전체를쉽게조회 / 확인. Complete Endpoint Protection - 11

12 Cybereason 의도입효과 Cybereason을사용하면아래의세가지질문에보다신속하게응답할수있습니다. 당신은지금공격을받고있습니까? 공격자들은지금무엇을하고있으며, 어디에있습니까? 우리는어떻게공격을멈추고, 이후또발생되지않도록할수있습니까? 현재의보안인프라의문제점능력있는보안분석가의부족가시성부족시간부족수많은경고로인한피로도! Cybereason의해결방안 자원이제한적인팀을위해설계됨. 행동분석및머신러닝을통해자동화된위협탐지및대응기능을제공. 모든공격요소를하나의시각적스토리로제공. 공격에관련된모든요소를통합하여분석. 기업또는조직의위협현황에대한완벽한가시성을제공. 분석가가무슨일이일어나고있는지즉시파악하여바로대응가능. 초당 800만건의데이터포인트를분석 (24/7). 위협이벤트별연관성을자동으로제공. 한번의클릭으로치료. 공격 (Real Attack) 만을탐지하고자동으로위협의우선순위를지정. 사전구성된탐지모델 ( 규칙작성필요없음 ) 이포함. Complete Endpoint Protection - 12

13 Cybereason 개요 Cybereason의목표는공격라이프사이클의모든단계에서복잡한위협을구체적으로자동탐지하고공격자가공격을성공시키기전에신속하게위협에대응하는것입니다. Windows, Mac 및 Linux 시스템을포함하여엔터프라이즈의모든최종사용자시스템과서버에서상세정보를지속적으로수집. 초기감염, 명령및제어 (C&C), 권한상승및확장감염, 데이터유출과같은모든악성활동을식별하기위해중앙집중식분석을수행. 탐지된위협을시간대별로직관적으로나타내며근본원인, 감염된호스트및사용자, 관련통신및사용된도구등에대한가시성을완벽하게제공. Collect( 효율적인분석데이터수집 ) 최소화된호스트영향도및전체적인가시성을제공. 센서는시스템의사용자영역에서연속적으로실행 (No BlueScreen!). Cloud 또는 On-Promise 구성지원. Endpoint당하루에 10MB 미만의트래픽사용. Relate( 효과적인가시성및상관관계 ) 기업또는조직전체의위협상황을제공. Endpoint별위협및 Endpoint들의상관관계를분석 ( 중앙집중식헌팅엔진 ). 공격과관련된모든요소를자동으로연결하여제공. 간과할수없는의심스러운공격활동을탐지. Analyze( 빅데이터자동분석 ) 세밀한행동분석및시그니쳐기반분석을동시수행. 초당 800만건이상의분석력.( 특허기술 ) 위협모델을설정하여탐지하는기능제공. Ransomware, File-less Malware, 확장감염등을탐지. Present ( 최적화된대응력 ) 악의적인공격의전체내용을시각화. 자동으로위협에대한조치 / 대응우선순위를제공. 모든공격단계를한번클릭으로치료 ( 자동대응포함 ). 상세분석을위해관련데이터세트전체를쉽게조회 / 확인. Complete Endpoint Protection - 13

14 Cybereason EDR 구조 패턴인식, 머신러닝, 행동분석등다양한노하우로구현된 Cybereason 의두뇌, 악의적인행동을인식하고일련의공격으로 연결되는것을 "Malop : Malicious Operation 으로감지.. 사용자모드에서실행되는센서에의해 EndPoint 데이터를항상수집하여프로세스, 사용자장치, 메모리, 레지스트리, 기타에서일어나는변화를기록. 또한프로세스의정지, 파일격리레지스트리키삭제등다양한조치. 공격세부정보를알기쉽게확인할수있는관리 화면으로공격의전체진행상황을시각화하여제공하여분석가가 세부사항을신속하게규명하고최적의해결방안을고려하게함. Cloud 및 On-premise 방식모두지원 Complete Endpoint Protection - 14

15 Cybereason EDR 특허기반인메모리분석 GEN 2 SECURITY SOLUTIONS GEN 3 CYBEREASON VS. 80,000 RECORDS PER SECOND 8,000,000 RECORDS PER SECOND Complete Endpoint Protection - 15

16 Cybereason EDR Built-in 탐지모델 - 킬체인 차별화 Infiltration ( 침입 ) C & C Lateral Movement ( 측면확대 ) 수십만데이터조각상관자동상관분석 Fileless 멀웨어공격탐지 (PowserShell) 공격자가침투하기위해사용하는알려지거나알려지지않은멀웨어, 멀웨어툴, Zero-day 익스플로잇탐지 내부리소스와외부공격자의 C&C 와의통신탐지 (DGA ) 기존보안솔루션이탐지하지못하는공격자의거점확산및은밀한확장탐지 행위기반분석 오탐 & 과탐 Free Privilege Escalation ( 권한상승 ) 공격을찾기위해권한상승이나상위레벨의접근을시도하는유저나프로세스행위조사 Data Exfiltration ( 정보유출 ) 데이터를외부로유출하는시도나내부네트워크에공격를가하는행위식별 Ransomware 파일암호화등의악성행위식별 알려진멀웨어 (TI) & 알려지지않는멀웨어탐지 룰등수동최적화불필요 Zero 메인터넌스 Complete Endpoint Protection - 16

17 Cybereason EDR 분석엔진 (Hunting Engine) Malop Suspicions Evidence Hunting Engine( 빅데이터 ) Malop 악성이벤트선별 악성가능성높은 Evidence 추출 ( 임계치낮음 ) 흥미롭거나변칙적인 Facts 추출 실시간다차원분석 IP, 도메인등평판정보비교 자동화 EndPoint Facts 실시간메타데이터수집 ( 네트워크접속, 프로세스등 ) Complete Endpoint Protection - 17

Cybereason EDR 주요기능 Cybereason 실시간공격탐지및대응플랫폼은자동화된탐지,

Cybereason EDR은수만대의엔드포인트환경을실시간으로모니터링하고공격에대한조기대응을실현합니다.

보안대책을적절히강구하여모든엔드포인트를감시하고그들에대해위협을탐지, 식별, 대응을즉시이행할수있고, 감염원인,

18 Cybereason EDR 주요기능 Cybereason 실시간공격탐지및대응플랫폼은자동화된탐지, 완벽한상황인식및공격자활동에대한깊은이해를제공. 수만대의엔드포인트도실시간모니터링가능 기업이보유한다양한엔드포인트에대해악성코드의감염및공격을탐지하고범위를확인하고정확하게대응하는것은쉬운일이아닙니다. Cybereason EDR은수만대의엔드포인트환경을실시간으로모니터링하고공격에대한조기대응을실현합니다. Windows, Mac OS, Linux 서버를포함한모든모니터링 보안대책을적절히강구하여모든엔드포인트를감시하고그들에대해위협을탐지, 식별, 대응을즉시이행할수있고, 감염원인, 경로등피해를정확하게파악하는솔루션이요구됩니다. Cybereason EDR은다양한환경을감시, 공격의전체상황을시각화하고대응할수있는플랫폼입니다. 모든엔드포인트의상태를알기쉽게가시화 사이버공격의방법은점점교묘해지고있으며, 엔드포인트의상태를상시파악할수있는환경은현재의보안인프라에서는찾아보기어렵습니다. Cybereason EDR은공격의징후를행동분석및공격방법등의분석을통하여진행중인공격을직관적으로시각화하여신속하게대응할수있습니다. Complete Endpoint Protection - 18

Cybereason EDR 강점및도입효과 진행되는공격을직관적으로시각화 Cybereason 의강점 의심스러운활동을추출하여연결되는일련의공격스토리로시각화. 공격의근본원인, 악의적인활동, 통신, 영향을받은기기와사용자를시계열로자동으로표시하여운영자의보안업무를줄이고대응시간을단축. 머신러닝을활용한신종공격탐지 행동분석을통해알려지지않은위협에대한대응.

19 Cybereason EDR 강점및도입효과 진행되는공격을직관적으로시각화 Cybereason 의강점 의심스러운활동을추출하여연결되는일련의공격스토리로시각화. 공격의근본원인, 악의적인활동, 통신, 영향을받은기기와사용자를시계열로자동으로표시하여운영자의보안업무를줄이고대응시간을단축. 머신러닝을활용한신종공격탐지 행동분석을통해알려지지않은위협에대한대응. 초당 800 만건의이상의빅데이터분석 실시간으로사이버공격의전체상황을파악. 군사보안수준의사이버공격대응체계지원 이스라엘군의첩보부대에서축적된노하우를집약. Cybereason 도입효과 쉬운배포, 리소스최소화 공격의전체상황을즉시확인 시각화된알기쉬운관리화면 악의적인행동을실시간자동감지및대응 Complete Endpoint Protection - 19

20 Cybereason 의 Attack life cycle! Cyber kill chain! Cybereason 은내부에서발생하는위협행위 (Malops) 를공격단계별로탐지하여알려줍니다. Infection - 감염공격자가사용자환경에서초기발판을얻기위해사용하는알려지지않은 Malware, 악의적인도구및악성프로그램의신호. Privilege Escalation - 권한상승환경내에서리소스에대한높은수준의액세스권한을얻으려는시도. Scanning 내부탐색내부네트워크를탐색하여취약점을찾는시도. Lateral Movement 확장감염자신의환경에서공격자의발판을확장하려는시도. 예를들면해시패스 (Pass the Hash) 및패스티켓기술 (Pass the Ticket techniques) 등. Command and Control - 명령및제어 (C&C) 사용자환경과공격자의서버사이에서탐지된네트워크트래픽. 예를들면도메인생성알고리즘 (DGA) 등. Data Theft - 데이터수집및유출환경에서데이터를수집하거나추출하려는시도. Complete Endpoint Protection - 20

21 Cybereason EDR 주요기능 Dashboard 초기감염권한상승탐색확장 C&C 데이터유출 직관적실시간현황 대쉬보드 한눈에공격상황을파악하고 적절하고민첩하게대응할수 있도록가이드. 공격단계별위협탐지현황 감염규모 ( 버블의크기 ) 감염후경과시간 ( 버블색상 ) 공격유형의통계 시간별통계 위협탐지현황요약 Complete Endpoint Protection - 21

22 Cybereason EDR 주요기능 Malop 확인 동일한형태의공격그룹화 실행되고있는공격의목록을 확인하고빠르고적절하게대응. 공격유형근본원인감염된단말정보공격단계 ( 위험도 ) Complete Endpoint Protection - 22

23 Cybereason EDR 주요기능 Malop 세부내용확인 분석 / 탐지결과자동그래픽화 각각의세부항목을클릭하여상세한 정보를드릴다운형태로조회및확인. 한번의클릭으로바로대응조치지원근본원인을확인영향을받는기기와사용자정보확인관련된악성통신분석 사용된악성도구파악 공격타임라인 Complete Endpoint Protection - 23

24 Cybereason EDR 주요기능 대응및조치 개별또는복수의엔드포인트에한번클릭으로대응 프로세스중지 (Kill Process) 파일격리 (Quarantine Process) 레지스트리삭제 (Remove Registry) 프로세스실행방지 (Prevention) 네트워크에서엔드포인트를격리 ( 통신허용예외지원 ) Complete Endpoint Protection - 24

25 Cybereason EDR 주요기능 상세분석 분석조건을선택또는쿼리작성, 자주사용하는쿼리저장기능 Cybereason 이제공하는다양한조건중에원하는조건선택을통한상세내용조회. 조건을수동으로입력하고조회도가능또한 RestAPI 제공으로쿼리작성후웹호출을통하여결과회신기능지원. Complete Endpoint Protection - 25

26 Cybereason NGAV 차세대안티바이러스 Complete Endpoint Protection - 26

알려지지않은악성코드, 알려진악성코드, 랜섬웨어, PowerShell(Fileless) 악성코드등기업

엔드포인트에서의방어를고려할때매우많은종류의위협이있다는 것을깨닫고모든유형의악성코드를탐지할수있는솔루션을 검토해야합니다.

27 Cybereason NGAV - 탁월한차세대안티바이러스 기존에알려진악성코드및알려지지않은새로운악성코드등을미연에방지하고운영자의분석작업에효율성을제공. 알려지지않은악성코드, 알려진악성코드, 랜섬웨어, PowerShell(Fileless) 악성코드등기업 조직에매우많은종류의위협이있지만, 지금까지그들모두에대응할수있는안티바이러스솔루션은존재하지않았습니다. 엔드포인트에서의방어를고려할때매우많은종류의위협이있다는 것을깨닫고모든유형의악성코드를탐지할수있는솔루션을 검토해야합니다. Cybereason 의차세대안티바이러스 (NGAV) 는모든유형의악성 코드에대해대응할수있는안티바이러스솔루션을 EDR 과단일 에이전트 ( 센서 ) 에서제공합니다. Complete Endpoint Protection - 27

Cybereason NGAV 4 가지주요특징 인공지능 (AI) 에의한알려지지않은악성프로그램방지 머신러닝알고리즘 (AI) 을통해바이러스정의파일 (

알려지지않은 Malware: 인공지능 ( 머신러닝 ) 랜섬웨어방지 행동분석을통하여파일이암호화되기전에알수없는랜섬웨어, Fileless 랜섬웨어,

알려진 Malware: 바이러스정의파일 NGAV 주요기능 랜섬웨어 : 행동분석 악성 PowerShell 스크립트 (Fileless) 방지

28 Cybereason NGAV 4 가지주요특징 인공지능 (AI) 에의한알려지지않은악성프로그램방지 머신러닝알고리즘 (AI) 을통해바이러스정의파일 ( 시그니쳐 ) 에서감지할수없는 알려지지않은악성코드를최고의탐지률과가장낮은오탐률로감지 / 차단. 알려지지않은 Malware: 인공지능 ( 머신러닝 ) 랜섬웨어방지 행동분석을통하여파일이암호화되기전에알수없는랜섬웨어, Fileless 랜섬웨어, MBR 기반랜섬웨어를탐지 차단. 알려진 Malware: 바이러스정의파일 NGAV 주요기능 랜섬웨어 : 행동분석 악성 PowerShell 스크립트 (Fileless) 방지 Powershell 등 OS의정규도구를사용하는 Fileless 악성코드에의한공격을사전에탐지 / 차단. 알려진악성코드의효율적인검색 Fileless 위협 : 행동분석 이미알려진악성코드는기존의바이러스정의파일 ( 시그니쳐 ) 을이용하여 효율적으로탐지 / 차단. Complete Endpoint Protection - 28

29 Cybereason NGAV 악성코드의실제행동방지 보안담당자의작업부담을 줄여주는자동탐지및조치 Need your attention 이영역은 NGAV가탐지했지만자동으로치료 / 예방할수없는 Malware를보여줍니다. 추가분석 (Investigation) 을통하여조치기능지원. Completed 이영역에는 NGAV 가치료또는예방했거나완료로 표시한 Malware 목록이표시됩니다. Complete Endpoint Protection - 29

30 Cybereason NGAV 기능선택및엔드포인트현황 다양한조건검색으로 손쉬운운영 센서인스톨후필요한 기능선택사용 직관적인엔드포인트 센서현황 Complete Endpoint Protection - 30

31 Cybereason NGAV 랜섬웨어방지 알려진랜섬웨어및알려지지않은랜섬웨어를두가지방법으로감지 행동분석을통한감지 Cybereason 연구소에서 30,000건의이상의사례를분석하여 42개의랜섬웨어군으로분류된행동을특정하여감지. - 지속적인업그레이드 Deception( 미끼 ) 기법에의한감지 단말기에미끼파일을숨겨놓고그미끼 파일이암호화된것을트리거하여감지. 네트워크를통하여피해확대 이전에알려지지않은 랜섬웨어도감지및중지 알려지거나알려지지않은랜섬웨어감지 Complete Endpoint Protection - 31

Cybereason NGAV Fileless 악성코드방지 최근 Fileless 악성코드공격이증가하고 SANS 2017 Threat Landscape Survey 에따르면, 기업의 3 분의 1 은 Fileless 악성공격에직면하고있다는결과도나와있습니다.

Fileless Malware 가스캔할대상바이너리가없고기본적으로신뢰할수있는정규도구를악용하고있기때문에감지하고방지하는것이특히어렵습니다. Cybereason Fileless 악성코드방지기능의작동원리는?

32 Cybereason NGAV Fileless 악성코드방지 최근 Fileless 악성코드공격이증가하고 SANS 2017 Threat Landscape Survey 에따르면, 기업의 3 분의 1 은 Fileless 악성공격에직면하고있다는결과도나와있습니다. 기존의악성코드에의한공격과는달리, 이러한악의적인작업은공격자가대상컴퓨터에소프트웨어를설치할필요가없습니다. 대신 Windows 에내장되어있는일반응용프로그램및 IT 도구, 특히 PowerShell 을악용하고있습니다. Fileless Malware 가스캔할대상바이너리가없고기본적으로신뢰할수있는정규도구를악용하고있기때문에감지하고방지하는것이특히어렵습니다. Cybereason Fileless 악성코드방지기능의작동원리는? 단순히스크립트나명령줄을보는것이아니라 Powershell 엔진에서실행되는코드에의해수행되는모든작업을보기위해프로세스수준의행동뿐만아니라더깊은코드수준의행동을분석할수있습니다. Fileless 악성코드방지기능의특징 모든종류의난독스크립트탐지 (Mimicat등) 모든버전 PowerShell 지원 ( 버전 2 포함 ) 명령줄대화스크립트, System.Management.Automation.dll 로드등모든방법의호출방법에대응 Complete Endpoint Protection - 32

33 Cybereason NGAV Fileless 악성코드방지 - 상세 Complete Endpoint Protection - 33

34 - 제품구성 - Cybereason Platform Architecture Complete Endpoint Protection

35 Cybereason Platform Architecture 상세구성 Sensor 설치된호스트에서분석을위한로그수집후 Detection Server 에게전송. Registration Server (Option) 고객사전용 Cloud 또는 On-Promise 공용 Cloud Registration Server Sensor 를 Detection Server 에할당. Detection Server 위협 (Malops & Malwares) 탐지및조치. Sensor Update Server Update Server 보안패치및업데이트. Detection Servers Global Threat Intel Server Private Threat Intel Server 악성파일, IP, 도메인등의평판제공 User Interface Global Threat Intel Server WebApp Server 위협정보확인및관리를위한웹인터페이스 WebApp Server Private Threat Intel Server Complete Endpoint Protection - 35

Cybereason Sensor Architecture 상세구성 Kernel 영역 Sensor User 영역 Anti-Malware Driver Anti-Malware Service EDR File Access from Disk 새파일이생성되거나프로세스가디스크의파일에액세스하려고하면 Anti-

Execution Prevention Driver Detection Logic Update Anti-Malware Engine On Access Scan Execution Prevention Service Sensor Services 파일, 프로세스및기타보안관련이벤트등에대한데이터를수집.

36 Cybereason Sensor Architecture 상세구성 Kernel 영역 Sensor User 영역 Anti-Malware Driver Anti-Malware Service EDR File Access from Disk 새파일이생성되거나프로세스가디스크의파일에액세스하려고하면 Anti- Malware Engine 을호출하여 On Access Scan 을시작! Execution Prevention Driver Detection Logic Update Anti-Malware Engine On Access Scan Execution Prevention Service Sensor Services 파일, 프로세스및기타보안관련이벤트등에대한데이터를수집. 이데이터를분석및탐지를위해 Detection Server 로전송. Anti-Malware Service 에서생성된탐지 / 분석정보를받아서 Detection Server 로전송. Detection Server 디스크에서파일을실행하면실행방지드라이버가파일을안전하게열수있는지여부를결정하는 Execution Prevention Service 를호출! Artificial Intelligence Scanner Application Control Scanner Anti-Ransomware Service Complete Endpoint Protection - 36

37 Cybereason Sensor 지원운영체제 Windows Mac Linux Windows XP SP3 (limited support) Windows Vista (limited support) Windows 7 SP1 Windows 8 Windows 8.1 Windows 10 Windows Server 2003 (limited support) Windows Server 2008 (limited support) Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 OS X Yosemite (10.10) OS X El Capitan (10.11) OS X Sierra (10.12) OS High Sierra (10.13) CentOS 6 and 7 Red Hat Enterprise Linux 6 and 7 Oracle Linux 6 and 7 Ubuntu 14 LTS and 16 LTS Amazon Linux AMI Amazon Linux AMI Amazon Linux AMI Amazon Linux AMI Amazon Linux AMI Complete Endpoint Protection - 37

38 Cybereason Sensor OS 별대응및조치기능 기능 Windows XP SP3 Server 2003 Windows Vista Server 2008 Windows 7 SP1 8, 8.1, 10 Server 2008 R2 Server 2012 Server 2012 R2 Server 2016 Mac Linux 레지스트리삭제 Remove Registry 프로세스중지 Kill Process 파일 / 프로세스격리 Quarantine Process Autorun 삭제 Delete Autorun 실행방지 Prevent Execution 호스트격리 Isolate Machine Suspend / unsuspend Ransomware Malware Alert 관리 Complete Endpoint Protection - 38

Cybereason Sensor 설치요구사양및리소스사용량 No NGAV NGAV Enabled ( Windows only ) 항목 요구사양 항목 요구사양 CPU Dual Core 2Ghz core i3 이상 CPU Dual Core 2Ghz core i3 이상 Memory 1GB 이상 Memory 2GB 이상 Disk 150 MB 이상 Disk 1.

39 Cybereason Sensor 설치요구사양및리소스사용량 No NGAV NGAV Enabled ( Windows only ) 항목 요구사양 항목 요구사양 CPU Dual Core 2Ghz core i3 이상 CPU Dual Core 2Ghz core i3 이상 Memory 1GB 이상 Memory 2GB 이상 Disk 150 MB 이상 Disk 1.5 GB 이상 Network Connection Ethernet 또는 Wi-Fi Network Connection Ethernet 또는 Wi-Fi Network 사용량 5% 이하의 CPU 사용률! 호스트당 5M ~ 10M data No Crashes! No user impact! 엔드포인트수 네트워크사용량 (Mbps) Mbps Mbps 10K 23 Mbps 50K 114 Mbps 100K 229 Mbps Complete Endpoint Protection - 39

40 제품비교 대상제품대상솔루션의기능 Cybereason 의비교우위 Cabonblack ( 카본블랙 ) Crowdstrike ( 크라우드스트라이크 ) 전체적인 Endpoint 보안솔루션을제공. 모듈별에이전트와별도의관리콘솔필요 - 관리포인트증가. 숙련된분석가가수동으로관련공격요소를수집. Crowdstrike 분석팀과사이버공격을탐지하고차단하는문제를해결하는서비스중심조직. 단일에이전트에서모든기능을제공. 위협을자동으로탐지하고전체공격내용을시각화. 자동화되고확장가능한기술로위협을신속하게탐지하고예방 할수있는기술주도조직. Cylance ( 사일런스 ) NGAV 만제공. 탐지및대응기능 (EDR) 은제공안함. NGAV 와탐지및대응 (EDR) 을포함한포괄적인솔루션을제공. FireEye ( 파이어아이 ) 데이터를수집후이를알려진공격지수 (IOC) 와비교하여탐지하는방식에중점. 행동분석을통해고급위협을탐지하는데중점. 알려지지않은위협및알려진위협까지자동탐지. SentinelOne ( 센티널원 ) NGAV 및일부 EDR 기능을제공. Endpoint 간의상관관계분석은제공하지않음 Endpoint 자체의위협뿐만 Endpoint 간의상관관계까지분석. Tanium ( 테니움 ) 검색기반의분석 / 결과를제공하는데중점. 숙련된분석가필요. 고급위협자동탐지및대응의자동화에중점. 위협관련데이터의가시성및연결성도고려. Complete Endpoint Protection - 40

41 Q & A Thank you! Complete Endpoint Protection

5th-KOR-SANGFOR NGAF(CC)

5th-KOR-SANGFOR NGAF(CC) NGAF Firewall Platform 새로운 세상, 새로운 IT, 새로운 보안 SANGFOR 보안 개념 SAN GFO NGF W+ R NG AF WAF WAF 2010년대 IT산업이 급속하게 발전함에 따라 모든 애플리케이션과 서비스, 그리고 기기들은 BYOD, 사물인터넷(IoT), 클라우드 등과 같은 새로운 기술로 인터넷을 통해 연결되고 있습니다. 이는