Ⅰ
CounterTack 회사소개 설립연도 : 2011 년 3 월 본사소재지 : 보스톤, 메사츄세츠 연구소소재지 : 캘리포니아, 산타모니카아시아기술지원소재지 : 싱가포르, 로빈슨주요제품군 : Responder-Pro( 메모리포렌식 ), Active-Defense( 침해분석 ), ETP( 단말APT) 경영진 Neal Creighton - CEO (GeoTrust) Jim Bandanza - CRO/COO (RSA /EMC) Alen Capalik - Founder / Chief Architect (Barclay Bank) Michael Davis - CTO (McAfee) Sean Bodmer - Chief Researcher (DoD, Federal Agency) "Tech 10 Security Products: Advanced Threat Protection" ATP Technology (Champions category) 이사회 William J. Fallon - Chairman (US Military s Central Command) Stuart McClure - Cylance CEO (McAfee, Foundstone) Mark Hatfield - Fairhaven Capital
국내침해사고사례 다수의보안사고가엔드포인트의악성코드감염으로발생 2017 랜섬웨어워너크라이 (Wannacry) 공격으로인하여 CGV 광고서버강제암호화변조, 인터넷나비아호스팅 DB서버강제암호화변조 상반기 20여종의신종및변종랜섬웨어등장 이메일첨부파일을통한동작없이사이트접속만으로즉시공격이가능한기법등장
Anti-Virus 제품과 EDR(Endpoint Detection Response) 제품의차이? 변형이많은시그니쳐탐지가아닌공통적인행위를탐지 Anti-Virus Endpoint Detection Response EDR 은 AV 의대안이아닌강화
APT 란무엇이고, 대응방안은?
Ⅱ
ETP - 엔드포인트랜섬웨어및 APT 대응솔루션 알려지지않은악성코드탐지 탐지된의심행위에대한명확한분석과신속한대응 엔드포인트백신을통한방어네트워크보안장비를통한방어보안운영정책을통한방어
ETP 만의차별화된기능 ETP 는스냅샷비교방식이아닌실시간메모리포렌식기법을기반으로하고있습니다 커널영역에위치하여중요정보를보유한장비의시스템성능저하및기존보안솔루션과의충돌우려없이정보를수집합니다 수집된단말로그들은빅데이터분석시스템으로전송되며, 중앙에서분석된결과는 SIEM(CEF & LEEF) 으로의연계가가능합니다 CyBOX(Cyber Observables expression): 사이버운영오브젝트관련표준 IOC(Indicators Of Compromised): 침해지표
ETP 솔루션이제공하는 탐지 분석 조치 예방 의보안사이클 DETECT Stealth collection module 에기반하여악성행위를실시간으로추적 특정조건 (Origin) 에맞는행위발생시자동으로상관이벤트수집 ANALYZE 모든행위를 Source / Action / Target 으로구별하여분석 File, Process, Thread, Registry, Network, Memory 정보확인 수집된정보를기반으로위협요소의가시성확보를통한상세분석 REMEDIATE 악성행위로판별된프로세스에대한차단및엔드포인트격리 악성프로세스의실행파일을네트워크를통해수집 RESIST 도출된 Resistance profile적용으로자동차단 / 격리정책운영 분석된새로운악성행위는탐지조건에추가하여변종에대비 9
ETP 의위협행위분류체계 (TAXONOMY) 엔드포인트의행위이벤트에대한위협조건을 10 가지로카테고리화하였으며, 세분화된탐지조건으로구성 이벤트에대한 Impact score, 웹기반백신 (Virus Total) 과의연동을통한신속한유해성판단이가능 침해정보 (IOC) 는 CybOX 표준을이용하여공유하거나재사용이가능
엔드포인트단악성행위탐지와동시에추적기능이작동 엔드포인트단에서의 초기감염 확산 제어권확보 정보유출 의단계중초기감염단계활동부터탐지가가능 Malicious Content Dropper Site Update Site Control Server Drop Server 1 2 백그라운드로임의의파일설치행위탐지 Dropper 나 Bot Agent 가설치되는이벤트발생시악성행위로간주하여자동으로트래킹진행 Commands & Data 3 MBR 접근시도, 해쉬값변경등의행위탐지 악성코드동작시유해행위에해당되는조건에부합되는경우자동으로트래킹진행 Dropper Bot Agent 위협행위로탐지시연관행위자동추적 Victim Host 1 2 3 Sometimes Deleted 트래킹된이벤트전과정을기록 프로세스이름 PID 및프로세스이미지경로삭제되거나변경된파일및레지스트리정보사용자계정및사용자의 SID 전과정에대한 Relation Graph제공
악성행위에대한단계별시각화기능으로신속한판단및대응이가능 최초실행프로세스
Ⅲ
CASE-1 백신이나오지않았던랜썸웨어를초기에식별하여차단 위협이벤트탐지정책인 ' 랜썸웨어 MBR 덮어쓰기 조건에의해탐지되어분석된랜썸웨어 (NetPetya) 가시성을통한위협요소판단근거 1 rundll32.exe 의한 MBR영역이벤트확인 2 하위프로세스로실행된 cmd.exe를이용, 스케줄러에시스템강제종료및리부팅명령등록 3 c73c.tmp파일을생성하여반복복제
CASE-2 DB 서버를장악하여내부정보를변조한해킹툴적발 DB update 쿼리문이포함된 php code 가실행되어탐지된화면 가시성을통한위협요소판단근거 1 커맨드명령에서진행되는 Update 쿼리문을탐지조건에등록 2 임의로실행된 php.exe에의한 update문실행이벤트기록확인
CASE-3 외부정보유출이의심되는엔드포인트를검색하여차단 검색조건에서 Local Port 및 Remote IP 를지정하여프로세스를조회, 가시성을통한판단및대응 1 이벤트검색 5 프로세스추가검색및대응 2 Remote IP Summary 확인 3 프로세스정보확인 4 프로세스행위추적
Ⅳ
대규모데이터세트분석에적합한 Hadoop 기반의엔진 Big Data Analytics 기술적용 Hadoop 관련전문기술을보유한 Cloudera Big Data 엔진적용 open source 사용으로인한 TCO절감 대규모데이터의수집, 저장및운영에대한검증된플랫폼제공 강력한검색을기능을통한 Enterprise threat correlation 지원 Impala, HUE, HBASE 등의내장된 Query를사용 유연한구축확장성 기본 Cluster 당최대 10,000 개의 Endpoint를수용 데이터노드의추가만으로증가하는엔드포인트운영이가능 다양한네트워크구성에대응할수있는유연한아키텍쳐제공 (Multi-tier Flume configuration, DMZ configuration)
엔드포인트에설치되는센서, 독립망을위한수집서버, 정책설정을위한관리서버로구성 Port : 9090(https) Inbound 7183(https) Inbound Analysis Cluster Region 1 TOR Switch Port : 443(SSL) Inbound Region 2 ETP 관리콘솔 Node 1: Management 1 st NameNode Port : 443/444(SSL) Both Port : 443(SSL) Inbound Port : 443(SSL) Inbound Node 2: 2 nd NameNode Collector Node ETP 수집서버 [ ETP Sensor 설치가능 OS ] SIEM (Security Information and Event Management) Node 3: Data Node Node 4: Data Node Port : 443(SSL) Inbound Region 3 Microsoft Windows Windows Server 2008(R2), 2012(R2) Windows 7/8.1/10 Linux OSX CentOS/RHEL 6.8, 7.0~7.2 ETP 관리서버 HDFS+CLOUDERA 엔드포인트에설치된 ETP Sensor El Capitan Sierra
ETP 는정보수집을위한 Conditions 및 Profiles, 분석을위한 SCIs, Digital DNA 모듈로구성 엔드포인트 관리서버 SIEM SENSOR 구성요소 ETP 서버구성요소 수집조건 (Conditions) File Activity Process Activity Network Activity Registry Activity 위협분류 (SCIs) 행위기반위험분류체계 IOC 추가및편집 (Auto Remediation) Virus Total 실행파일 Hash 질의 실행파일전송 프로파일 (Profiles) 수집조건 (Condition) 집합 에이전트의이벤트수집룰 HashSet/IP Known Good Hash/IP Known Bad Hash/IP (Auto Remediation) Digital DNA 메모리분석을통한위험예측분석
Ⅴ
악성행위들에대한탐지결과및엔드포인트현황의실시간확인 Intelligence (Dashboard) 탐지대상인 Classification, Trace에대한실시간정보확인 엔드포인트의 OS 정보, Behaviors, Events에대한상세정보실시간확인 리포트가공을위한파일추출및컨버팅기능제공 타임라인을기반으로하여특정시간에발생한이벤트추적에용이
조건검색결과에따른다양한연관검색기능제공 Search 분류조건에따른검색및예외필터링설정이가능 Events, Behavios, Profiles 등에다양한검색기능제공 AND 연산자및 TimeLine 필터를통한상관관계분석가능
메모리포렌식기반모듈탑재로악성코드에대한상세분석가능 Search 특정행위에대한상세분석결과확인가능 Process, File, Network, Registry 등행위에대한세부정보제공 세부정보확인을통해악성행위여부판단하여네트워크격리등의조치가능
효율적인수집분석을위한다양한예외처리및정책커스터마이징가능 Library SCIs, Profiles, Conditions 등의수집및분석룰에대한편집이가능 (Cybox 정규표현식사용 ) 이벤트에대한예외처리및심화분석을위한레벨설정이가능 알려진위협에대응하기위한다양한 Profile 및 Condition 기본제공 위협구분에따른자동분류기능제공
Ⅵ
ETP 운영및관제통합서비스제공 고객사엔드포인트환경에대한보안컨설팅및사전조사침해사고분석을위한증거데이터확보신속한악성코드판단및보안정책적용기존보안시스템과연계운영을통한사고대응프로세스강화 28
ETP 운영고객사 2015 년부터금융, 군수, 건설, 통신, IT 분야해외레퍼런스보유 2017 년부터국내레퍼런스보유 국내 금융 군수, 건설 통신, IT