CounterTack ETP 제품 소개

Similar documents
CounterTack Sentinel 5 소개 자료


지능형위협대응솔루션 차별적인위협가시성제공 네트워크와엔드포인트레벨의유기적대응 탐지 분석 모니터링 대응 제품개요 AhnLab MDS(Malware Defense System) 는차별적인위협가시성기반의지능형위협 (APT, Advanced Persistent Threat) 대

MOVE TO THE LEFT OF THE KILL CHAIN AND STOP THE BAD GUYS MOVE TO THE RIGHT

Secure Programming Lecture1 : Introduction

PowerPoint 프레젠테이션

김기남_ATDC2016_160620_[키노트].key

vm-웨어-01장


5th-KOR-SANGFOR NGAF(CC)

Æí¶÷4-¼Ö·ç¼Çc03ÖÁ¾š

UDP Flooding Attack 공격과 방어

내지무인화_

Slide 1

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 fo

공개 SW 기술지원센터

PowerPoint 프레젠테이션

< FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>

ESET Mail Security for Microsoft Exchange Server


PowerPoint 프레젠테이션

침입방지솔루션도입검토보고서

Open Cloud Engine Open Source Big Data Platform Flamingo Project Open Cloud Engine Flamingo Project Leader 김병곤

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

ìœ€íŁ´IP( _0219).xlsx

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론

*2008년1월호진짜

Cloud Friendly System Architecture

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

..,. Job Flow,. PC,.., (Drag & Drop),.,. PC,, Windows PC Mac,.,.,. NAS(Network Attached Storage),,,., Amazon Web Services*.,, (redundancy), SSL.,. * A

인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷

[Brochure] KOR_TunA

침해사고 대응을 위한 EnCase Cybersecurity 제품소개서

PowerPoint 프레젠테이션

vm-웨어-앞부속

Backup Exec

F1-1(수정).ppt

CONTENTS Volume 테마 즐겨찾기 빅데이터의 현주소 진일보하는 공개 기술, 빅데이터 새 시대를 열다 12 테마 활동 빅데이터 플랫폼 기술의 현황 빅데이터, 하둡 품고 병렬처리 가속화 16 테마 더하기 국내 빅데이터 산 학 연 관

Copyright 2012, Oracle and/or its affiliates. All rights reserved.,.,,,,,,,,,,,,.,...,. U.S. GOVERNMENT END USERS. Oracle programs, including any oper

Web Application Hosting in the AWS Cloud Contents 개요 가용성과 확장성이 높은 웹 호스팅은 복잡하고 비용이 많이 드는 사업이 될 수 있습니다. 전통적인 웹 확장 아키텍처는 높은 수준의 안정성을 보장하기 위해 복잡한 솔루션으로 구현

목차 개요 3 섹션 1: 해결 과제 4 APT(지능형 지속 위협): 이전과 다른 위협 섹션 2: 기회 7 심층 방어 섹션 3: 이점 14 위험 감소 섹션 4: 결론 14 섹션 5: 참조 자료 15 섹션 6: 저자 소개 16 2

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for

PowerPoint 프레젠테이션

TGDPX white paper

À̵¿·Îº¿ÀÇ ÀÎÅͳݱâ¹Ý ¿ø°ÝÁ¦¾î½Ã ½Ã°£Áö¿¬¿¡_.hwp

네트워크 안정성을 지켜줄 최고의 기술과 성능 TrusGuard는 국내 최초의 통합보안솔루션으로서 지난 5년간 약 4천여 고객 사이트에 구축 운영되면서 기술의 안정성과 성능면에서 철저한 시장 검증을 거쳤습니다. 또한 TrusGuard는 단독 기능 또는 복합 기능 구동 시

*****

PowerPoint Presentation

품질검증분야 Stack 통합 Test 결과보고서 [ The Bug Genie ]

VMware vsphere

슬라이드 1

<41736D6C6F D20B9AEBCADBEE7BDC42E687770>

PCServerMgmt7

1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정 및 모니터링 등의 기능을 제공하여 관리대상 클라이언트 시스템에 설치된 V3

4? [The Fourth Industrial Revolution] IT :,,,. : (AI), ,, 2, 4 3, : 4 3.

McAfee Security Virtual Appliance 5.6 설치 안내서

U.Tu System Application DW Service AGENDA 1. 개요 4. 솔루션 모음 1.1. 제안의 배경 및 목적 4.1. 고객정의 DW구축에 필요한 메타정보 생성 1.2. 제품 개요 4.2. 사전 변경 관리 1.3. 제품 특장점 4.3. 부품화형

< FC1A4BAB8B9FDC7D D325FC3D6C1BEBABB2E687770>

PowerPoint 프레젠테이션



RVC Robot Vaccum Cleaner

SMB_ICMP_UDP(huichang).PDF

SEOUL, KOREA

1 전통 소프트웨어 가. ERP 시장 ERP 업계, 클라우드 기반 서비스로 새로운 활력 모색 - SAP-LGCNS : SAP HANA 클라우드(SAP HEC)를 통해 국내 사례 확보 및 아태 지역 진 출 추진 - 영림원 : 아시아 클라우드 ERP 시장 공략 추진 - 더

목 차 Ⅰ. 일반사항 1 Ⅱ. 특기사항 3 Ⅲ. 물품내역 및 세부규격 8 Ⅳ. 주의사항

TTA Journal No.157_서체변경.indd

슬라이드 0

RHEV 2.2 인증서 만료 확인 및 갱신

PowerPoint 프레젠테이션

, 2). 3),. II , 2 5. (game client software) (game server software). (character). (level up),,,, (item). (End User License Agreement, EULA.)

SANsymphony-V

[Brochure] KOR_LENA WAS_

제20회_해킹방지워크샵_(이재석)

요 약 문 1. 제목 : 개인정보 오남용 유출 2차 피해 최소화 방안 2. 연구의 배경 개인정보란 살아 있는 개인에 관한 정보로서 개인을 알아볼 수 있는 정보로 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다.

ODS-FM1

디지털포렌식학회 논문양식

PowerPoint Presentation

ORANGE FOR ORACLE V4.0 INSTALLATION GUIDE (Online Upgrade) ORANGE CONFIGURATION ADMIN O

歯CRM개괄_허순영.PDF

Microsoft Word - SKINFOSEC-CHR-026- Mass SQL Injection 탐지 우회분석 보고서.doc

solution map_....

<4D F736F F F696E74202D C61645FB3EDB8AEC7D5BCBA20B9D720C5F8BBE7BFEBB9FD2E BC8A3C8AF20B8F0B5E55D>

Assign an IP Address and Access the Video Stream - Installation Guide

슬라이드 1

PowerPoint 프레젠테이션

<4D F736F F D2033BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>



기존보안솔루션의한계 최근발생하는타깃공격과위협은각종은닉기법과사회공학적공격을이용해기존보안솔루션을우회하는특징이있습니다. 그래서기존보안솔루션만으로는이렇게고도화된최신공격을대응하기에는한계가있습니다. 알려지지않은악성코드탐지불가 파일기반분석이필요한악성코드탐지불가 허용된주소를통한악성코

Microsoft PowerPoint - Kaspersky Linux Server 제안서.pptx

Model Investor MANDO Portal Site People Customer BIS Supplier C R M PLM ERP MES HRIS S C M KMS Web -Based

cam_IG.book

<%DOC NAME%> (User Manual)

e- 11 (Source: IMT strategy 1999 'PERMISSION ' ) The World Best Knowledge Providers Network

SOLUTION BRIEF 차세대 빅데이터 기반 통합로그관리시스템으자, SIEM 솔루션으로 데이터를 수집/분석/검색 및 추가하고, 효율적인 보안 운영을 실시합니다. 대용량 데이터를 수집하고 처리하는 능력은 사이버 보안에 있어서 통찰력을 제공하는 가장 중요하고, 기초적인

Contents I. 칼라스 네트워크 플레이어란 1. Pc-Fi를 넘어서 발전한 차세대 음악 플레이어 칼라스 네트워크 플레이어의 장점 3. 시스템 기본 구성

Snort Install Manual Ad2m VMware libnet tar.gz DebianOS libpcap tar.gz Putty snort tar.gz WinSCP snort rules 1. 첫번째로네트워크설정 1) ifconf

Transcription:

CounterTack 회사소개 설립연도 : 2011 년 3 월 본사소재지 : 보스톤, 메사츄세츠 연구소소재지 : 캘리포니아, 산타모니카아시아기술지원소재지 : 싱가포르, 로빈슨주요제품군 : Responder-Pro( 메모리포렌식 ), Active-Defense( 침해분석 ), ETP( 단말APT) 경영진 Neal Creighton - CEO (GeoTrust) Jim Bandanza - CRO/COO (RSA /EMC) Alen Capalik - Founder / Chief Architect (Barclay Bank) Michael Davis - CTO (McAfee) Sean Bodmer - Chief Researcher (DoD, Federal Agency) "Tech 10 Security Products: Advanced Threat Protection" ATP Technology (Champions category) 이사회 William J. Fallon - Chairman (US Military s Central Command) Stuart McClure - Cylance CEO (McAfee, Foundstone) Mark Hatfield - Fairhaven Capital

국내침해사고사례 다수의보안사고가엔드포인트의악성코드감염으로발생 2017 랜섬웨어워너크라이 (Wannacry) 공격으로인하여 CGV 광고서버강제암호화변조, 인터넷나비아호스팅 DB서버강제암호화변조 상반기 20여종의신종및변종랜섬웨어등장 이메일첨부파일을통한동작없이사이트접속만으로즉시공격이가능한기법등장

Anti-Virus 제품과 EDR(Endpoint Detection Response) 제품의차이? 변형이많은시그니쳐탐지가아닌공통적인행위를탐지 Anti-Virus Endpoint Detection Response EDR 은 AV 의대안이아닌강화

APT 란무엇이고, 대응방안은?

ETP - 엔드포인트랜섬웨어및 APT 대응솔루션 알려지지않은악성코드탐지 탐지된의심행위에대한명확한분석과신속한대응 엔드포인트백신을통한방어네트워크보안장비를통한방어보안운영정책을통한방어

ETP 만의차별화된기능 ETP 는스냅샷비교방식이아닌실시간메모리포렌식기법을기반으로하고있습니다 커널영역에위치하여중요정보를보유한장비의시스템성능저하및기존보안솔루션과의충돌우려없이정보를수집합니다 수집된단말로그들은빅데이터분석시스템으로전송되며, 중앙에서분석된결과는 SIEM(CEF & LEEF) 으로의연계가가능합니다 CyBOX(Cyber Observables expression): 사이버운영오브젝트관련표준 IOC(Indicators Of Compromised): 침해지표

ETP 솔루션이제공하는 탐지 분석 조치 예방 의보안사이클 DETECT Stealth collection module 에기반하여악성행위를실시간으로추적 특정조건 (Origin) 에맞는행위발생시자동으로상관이벤트수집 ANALYZE 모든행위를 Source / Action / Target 으로구별하여분석 File, Process, Thread, Registry, Network, Memory 정보확인 수집된정보를기반으로위협요소의가시성확보를통한상세분석 REMEDIATE 악성행위로판별된프로세스에대한차단및엔드포인트격리 악성프로세스의실행파일을네트워크를통해수집 RESIST 도출된 Resistance profile적용으로자동차단 / 격리정책운영 분석된새로운악성행위는탐지조건에추가하여변종에대비 9

ETP 의위협행위분류체계 (TAXONOMY) 엔드포인트의행위이벤트에대한위협조건을 10 가지로카테고리화하였으며, 세분화된탐지조건으로구성 이벤트에대한 Impact score, 웹기반백신 (Virus Total) 과의연동을통한신속한유해성판단이가능 침해정보 (IOC) 는 CybOX 표준을이용하여공유하거나재사용이가능

엔드포인트단악성행위탐지와동시에추적기능이작동 엔드포인트단에서의 초기감염 확산 제어권확보 정보유출 의단계중초기감염단계활동부터탐지가가능 Malicious Content Dropper Site Update Site Control Server Drop Server 1 2 백그라운드로임의의파일설치행위탐지 Dropper 나 Bot Agent 가설치되는이벤트발생시악성행위로간주하여자동으로트래킹진행 Commands & Data 3 MBR 접근시도, 해쉬값변경등의행위탐지 악성코드동작시유해행위에해당되는조건에부합되는경우자동으로트래킹진행 Dropper Bot Agent 위협행위로탐지시연관행위자동추적 Victim Host 1 2 3 Sometimes Deleted 트래킹된이벤트전과정을기록 프로세스이름 PID 및프로세스이미지경로삭제되거나변경된파일및레지스트리정보사용자계정및사용자의 SID 전과정에대한 Relation Graph제공

악성행위에대한단계별시각화기능으로신속한판단및대응이가능 최초실행프로세스

CASE-1 백신이나오지않았던랜썸웨어를초기에식별하여차단 위협이벤트탐지정책인 ' 랜썸웨어 MBR 덮어쓰기 조건에의해탐지되어분석된랜썸웨어 (NetPetya) 가시성을통한위협요소판단근거 1 rundll32.exe 의한 MBR영역이벤트확인 2 하위프로세스로실행된 cmd.exe를이용, 스케줄러에시스템강제종료및리부팅명령등록 3 c73c.tmp파일을생성하여반복복제

CASE-2 DB 서버를장악하여내부정보를변조한해킹툴적발 DB update 쿼리문이포함된 php code 가실행되어탐지된화면 가시성을통한위협요소판단근거 1 커맨드명령에서진행되는 Update 쿼리문을탐지조건에등록 2 임의로실행된 php.exe에의한 update문실행이벤트기록확인

CASE-3 외부정보유출이의심되는엔드포인트를검색하여차단 검색조건에서 Local Port 및 Remote IP 를지정하여프로세스를조회, 가시성을통한판단및대응 1 이벤트검색 5 프로세스추가검색및대응 2 Remote IP Summary 확인 3 프로세스정보확인 4 프로세스행위추적

대규모데이터세트분석에적합한 Hadoop 기반의엔진 Big Data Analytics 기술적용 Hadoop 관련전문기술을보유한 Cloudera Big Data 엔진적용 open source 사용으로인한 TCO절감 대규모데이터의수집, 저장및운영에대한검증된플랫폼제공 강력한검색을기능을통한 Enterprise threat correlation 지원 Impala, HUE, HBASE 등의내장된 Query를사용 유연한구축확장성 기본 Cluster 당최대 10,000 개의 Endpoint를수용 데이터노드의추가만으로증가하는엔드포인트운영이가능 다양한네트워크구성에대응할수있는유연한아키텍쳐제공 (Multi-tier Flume configuration, DMZ configuration)

엔드포인트에설치되는센서, 독립망을위한수집서버, 정책설정을위한관리서버로구성 Port : 9090(https) Inbound 7183(https) Inbound Analysis Cluster Region 1 TOR Switch Port : 443(SSL) Inbound Region 2 ETP 관리콘솔 Node 1: Management 1 st NameNode Port : 443/444(SSL) Both Port : 443(SSL) Inbound Port : 443(SSL) Inbound Node 2: 2 nd NameNode Collector Node ETP 수집서버 [ ETP Sensor 설치가능 OS ] SIEM (Security Information and Event Management) Node 3: Data Node Node 4: Data Node Port : 443(SSL) Inbound Region 3 Microsoft Windows Windows Server 2008(R2), 2012(R2) Windows 7/8.1/10 Linux OSX CentOS/RHEL 6.8, 7.0~7.2 ETP 관리서버 HDFS+CLOUDERA 엔드포인트에설치된 ETP Sensor El Capitan Sierra

ETP 는정보수집을위한 Conditions 및 Profiles, 분석을위한 SCIs, Digital DNA 모듈로구성 엔드포인트 관리서버 SIEM SENSOR 구성요소 ETP 서버구성요소 수집조건 (Conditions) File Activity Process Activity Network Activity Registry Activity 위협분류 (SCIs) 행위기반위험분류체계 IOC 추가및편집 (Auto Remediation) Virus Total 실행파일 Hash 질의 실행파일전송 프로파일 (Profiles) 수집조건 (Condition) 집합 에이전트의이벤트수집룰 HashSet/IP Known Good Hash/IP Known Bad Hash/IP (Auto Remediation) Digital DNA 메모리분석을통한위험예측분석

악성행위들에대한탐지결과및엔드포인트현황의실시간확인 Intelligence (Dashboard) 탐지대상인 Classification, Trace에대한실시간정보확인 엔드포인트의 OS 정보, Behaviors, Events에대한상세정보실시간확인 리포트가공을위한파일추출및컨버팅기능제공 타임라인을기반으로하여특정시간에발생한이벤트추적에용이

조건검색결과에따른다양한연관검색기능제공 Search 분류조건에따른검색및예외필터링설정이가능 Events, Behavios, Profiles 등에다양한검색기능제공 AND 연산자및 TimeLine 필터를통한상관관계분석가능

메모리포렌식기반모듈탑재로악성코드에대한상세분석가능 Search 특정행위에대한상세분석결과확인가능 Process, File, Network, Registry 등행위에대한세부정보제공 세부정보확인을통해악성행위여부판단하여네트워크격리등의조치가능

효율적인수집분석을위한다양한예외처리및정책커스터마이징가능 Library SCIs, Profiles, Conditions 등의수집및분석룰에대한편집이가능 (Cybox 정규표현식사용 ) 이벤트에대한예외처리및심화분석을위한레벨설정이가능 알려진위협에대응하기위한다양한 Profile 및 Condition 기본제공 위협구분에따른자동분류기능제공

ETP 운영및관제통합서비스제공 고객사엔드포인트환경에대한보안컨설팅및사전조사침해사고분석을위한증거데이터확보신속한악성코드판단및보안정책적용기존보안시스템과연계운영을통한사고대응프로세스강화 28

ETP 운영고객사 2015 년부터금융, 군수, 건설, 통신, IT 분야해외레퍼런스보유 2017 년부터국내레퍼런스보유 국내 금융 군수, 건설 통신, IT