DNS 에보안을더한, 시스코엄브렐라 (Umbrella) 정관진부장 (kwanjung@cisco.com) GSSO APJ - Consulting Security Engineer December, 2017
일하는방식의변화 Internet 중요인프라자원 Amazon, Rackspace, Windows Azure, etc. 비즈니스앱 Salesforce, Office 365, G Suite, etc. Critical infrastructure Business apps 70-90% 의회사는각자여러악성코드를경험함 시그니처기반의도구, 위협인텔리전스대응, 그리고제한된시큐리티집행만으로는공격전에막을수없음 로밍노트북 Workplace desktops 지사 시큐리티전문인력의부족 필요한다양한툴과자원을현재의보안전담인력만으로는감당할수없음
보안을위한새로운시대 보안에대해근본적으로다른방식으로접근하는엄브렐라에서는위협을예측한후발생하기전에차단합니다.
DNS 레이어시큐리티 악성코드 C2 콜백피싱 네트워크및엔드포인트 1 차방어선 모두 DNS 에서시작 NGFW NetFlow 프록시샌드박스 AV AV 네트워크및엔드포인트엔드포인트라우터 /UTM AV AV AV 파일실행및 IP 연결이전 모든디바이스에서사용 모든포트에사용가능 HQ 지점 / 지사 로밍
DNS 만약 DNS 가전화번호부가가득한도서관이라면. Domain registrar 전화번호부에레코드를기재 Authoritative DNS 전화번호부주인및발행인 Recursive DNS 전화번호부에서개별이름을찾거나기억
DNS vs Umbrella 무엇이다른가? Recursive DNS Any device Authoritative DNS root com. domain.com. Malware C2 Callbacks Phishing DNS 에보안을더하다 208.67.222.222
주요인터넷관문의 Umbrella 데이터센터 25 전세계데이터센터
신뢰성을위한애니캐스트 IP 라우팅 YVR 208.67.222.222 DFW 208.67.222.222 100% 2006 년이후로의운영시간 어떤이유로인해다운이되면자동적으로가장빠른위치로경로가변경
얼마나빠르게 DNS 를처리하는가? North America Europe / EMEA Asia / APAC Latin America Africa Umbrella 18 44 65 154 102 Google 27 36 56 70 21 Neustar 20 35 83 134 94 Dyn 26 39 85 118 165 Level3 30 41 201 141 166 Comodo 43 52 215 126 138 SafeDNS 55 94 241 180 217 OpenNIC 48 147 247 154 267 FreeDNS 136 53 316 247 212 밀리세컨드기준으로표시 Source: MSFT Office 365 Researcher, ThousandEyes Blog Post, May 2015
Umbrella Overview 1,000 억 850 만 12,000 160+ 매일요청받는 DNS 건수 매일사용자 엔터프라이즈고객 전세계국가
어느곳에서나모든행동에대한가시성과보호 Umbrella HQ IoT Mobile Branch Roaming ON-NETWORK OFF-NETWORK 지사를포함모든오피스 네트워크상의모든디바이스 외부사용노트북 모든포트및프로토콜 모든포트와프로토콜
인터넷사용에보안을더하다 엄브렐라가제공해주는것 : 안전한인터넷접속 사용자가악성코드에감염되는것을차단 위험한도메인에대한프록시기반의검사 안전한요청 요청차단
도메인으로위협을차단하다 하드코드된 IP 패스트플럭스 (Fast Flux) 도메인 GEN 알고리듬 @23.4.24.1 @23.4.34.55 @44.6.11.8 @23.4.24.1 @129.3.6.3 @67.44.21.1 @34.4.2.110 bad.com? @34.4.2.110 @12.3.2.1 @8.2.130.3 bad.com? baa.ru? bid.cn
C&C(Command and control:c2) 차단 91% C2 가 DNS 레이어단계에서차단되는비율 SWG Cloud or on-prem 15% C2 가웹포트 80 & 443 을우회하는비율 감염된디바이스
손쉬운위협차단전략 목적지목적지이동또는차단페이지 안전원래목적지로이동 차단목적지경로수정 보안적제어 DNS 와 IP 차단 의심스러운도메인은프록시를통해추가조사 SSL 해독가능 인텔리전트프록시세부적인위협검사 인터넷트래픽내부또는외부네트워크
악성코드가어느순간나타나지는않습니다. 인텔리전스를통해공격발생전들여다볼수있다면? 준비. 테스트. 공격. 반복. Ransomware Web server Malware Web server www www Email delivery Domain/IP Malvertising Domain/IP 첫번째공격 두번째공격
위협도메인에대해더깊게들여다보다 DNS 와 IP 레이어 도메인요청 IP 응답 (DNS-layer) or 접속 (IP-layer) Umbrella / Talos and partner feeds Custom domain lists Custom IP lists ( 향후 ) PREDICTIVE UPDATES 엄브렐라통계 & 머신러닝모델 ALLOW, BLOCK, PROXY INTERNET-WIDE TELEMETRY HTTP/S 레이어 URL 요청 파일해쉬 WBRS / Talos + partner feeds 사용자 URL 목록 AV AMP ALLOW OR BLOCK
공격이일어나기전또는진행중에위협차단 웹그리고이메일기반의감염 Malvertising / exploit kit Phishing / web link Watering hole compromise Command and control 콜백 Malicious payload drop Encryption keys Updated instructions 데이터유출및랜섬웨어암호화차단
공격발생전인텔리젼스데이터를통한공격사전인지 데이터 시스코탈로스의악성도메인 IP, URL 정보 Umbrella DNS 데이터 매일 1,000 억건의요청 보안연구원 업계의유명한분석가 자동으로도메인을분류하고도메인스코어및 IP 를판단할수있는보안모델개발 모델 초당발생하는실시간이벤트에대해서지속적으로다양한모델적용을통한분석 알려져있지않은악성코드, 랜섬웨어와같은위협에대한자동탐지
보안통계모델 매초당수백만의데이터확인 초당 2 백만개이상의실시간데이터 데이터에근거한추론 동시발생모델 (Co-occurrence) 지역위치모델 시큐어랭크모델연관되어있는정보 IP 사용모델을통한예측 Passive DNS 정보와 WHOIS 상관관계 110 억개이상의과거데이터 패턴정보활용 스파이크랭크 (Spike Rank) 모델 Natural Language 처리등급모델 실시간도메인생성알고리즘 (DGA) 탐지
발견 3 백만 + 매일새로발견되는도메인이름 판단 60,000+ 매일의심스러운목적지 차단 7 백만 + DNS Resolving 을통한악의적인목적지 엄브렐라는매일새로운위협을탐지 독자적기술을사용하여드러난위협을최신기술로분석
SECURITY ACTIVITY 빠르게주요보안이벤트타입에대해서판단 파일기반의엔진또는목적지기반형태기준으로이벤트그룹화
REAL-TIME ACTIVITY SEARCH 원하는내용으로 DNS, 프록시, IP 로그정보필터확인
네트워크또는디바이스단위로허용, 차단그리고프록시된정보확인 IDENTITY REPORTS 빠르게위협시점을파악하고클라이언트보호 네트워크또는디바이스별 Top 활용및카테고리
악성도메인에대한로컬 vs. 글로벌트랜드 DESTINATION REPORTS 빠르게차단된범위에대해파악 악성활동이많은 Top 장비에대해서확인
전체및새롭게확인된클라우드서비스 CLOUD SERVICES REPORT 효과적으로쉐도우 IT 에대해대응 분류된클라우드앱및요청된개수
간단한검색 POLICY 어떤대상이엄브렐라보호대상인지정의 그룹자체를클릭하면세부적으로각개별로선택할수있음
POLICY 도메인, URL 에대해서목적지리스트를운영
몇분만에적용하는엄브렐라 208.67.222.222 단지 DNS 주소를엄브렐라로바꾸는것만으로쉽게사용 DNS Any device DNS 또는 DHCP 서버에서변경 기업내부디바이스또는무선 AP 에서설정 Any owner
DHCP 게이트웨이를통한네트워크디바이스보호 208.67.222.222 인터넷게이트웨이 엄브렐라보안정책다음 IP 에대해보안적용 67.215.87.11 Network egress IP 67.215.87.11 DNS server 208.67.222.222 Default YOUR NETWORK
DNS 서버를통한네트워크디바이스보호 208.67.222.222 엄브렐라보안정책다음 IP 에대해보안적용 67.215.87.11 인터넷게이트웨이 Network egress IP 67.215.87.11 DNS server 10.1.1.1 내부 DNS 서버 서버 IP 10.1.1.1 외부 DNS resolution 설정 208.67.222.222 컴퓨터 IP 10.1.1.3 YOUR NETWORK
엄브렐라 Virtual Appliance 를통한내부네트워크보호 내부 DNS 서버 Server IP 10.1.1.1 208.67.222.222 엄브렐라보안정책다음 IP 에대해보안적용 10.1.1.3 인터넷게이트웨이 Network egress IP 67.215.87.11 DNS server 10.1.1.1 데이터를암호화하여전달 Umbrella VA Appliance IP 10.1.1.2 DNS server 10.1.1.1 Internal domains office.acme.com 컴퓨터 IP 10.1.1.3 YOUR NETWORK
Investigate: 알려져있지않은위협을찾다 Key points 도메인, IP 그리고악성코드에대한인텔리전스데이터 domains, IPs, ASNs, file hashes API 실시간 DNS 요청그래프및다른상황정보 통계기반모델에근거한상관관계 악성도메인또는 IP 발견및예측 Console SIEM, TIP 글로벌인텔리전스와시큐리티데이터를통한데이터가치증대
조사가필요한도메인, IP, 파일해쉬값등을넣어서조회 ( 또는정규표현식기반 ) 해당도메인에대한기본판단정보 Umbrella Investigate 조사가필요한데이터조회
WHOIS 레코드데이터 공격자인프라와연결된정보를들여다보다 누가이도메인을등록했는가 연락정보 언제 / 어디서등록 만기일자 히스토리데이터 다른악성도메인과의연관관계
해쉬값으로쉽게조회가능 한눈에쉽게해당파일의위협유무를확인할수있는위협스코어제공 악성파일분석데이터
랜섬웨어추적사례 : 공격자인프라와매핑? Domain IP Association? Network IP Association? IP Sample Association? IP Domain Association? IP Network Association? WHOIS Association *.7asel7[.]top LOCKY AUG 17 Umbrella -26 DAYS SEP 12
*.7asel7[.]top LOCKY 185.101.218.206 Domain IP Association 91.223.89.201 IP Domain Association IP Sample Association IP Network Association AS 197569 1,000+ DGA 도메인 ccerberhhyed5frqa[.]8211fr[.]top CERBER 600+ 샌드박스 ThreatGrid 파일 SHA256:0c9c328eb66672e f1b84475258b4999d6df008
도메인이등록된같은날위협탐지 DGA jbrktqnxklmuf[.]info LOCKY JUL 14 Umbrella -7 DAYS JUL 21 Network Domain Association 도메인이등록되기전위협탐지 DGA mhrbuvcvhjakbisd[.]xyz LOCKY JUL 18-4 DAYS -26 JUL DAYS 22 AUG 21 Umbrella 도메인등록
Umbrella 사용 글로벌 고객 TECH FINANCE MEDIA LEGAL HIGHER ED ENERGY RETAIL HEALTHCARE ENGR ING MFG
보안을적용하기위한가장쉬운방법 1 Umbrella 가입 2 DNS 주소변경 Umbrella 몇분안에차단을바로시작 3 끝
누구나따라할수있는 DNS 보안설정 - 1 네트워크를직접등록하는경우 엄브렐라적용범위 에이전트를설치하여사용하는경우
누구나따라할수있는 DNS 보안설정 - 2 엄브렐라를통해보호받을대상정의 보안설정정의 카테고리설정정의