PowerPoint Presentation - PDF 무료 다운로드

The Enterprise Immune System 머신러닝기반의 UBA(User Behavior Analysis) 솔루션 Darktrace Korea

Darktrace Background 영국캠브리지에서 2013년 7월설립 유명수학자들과영국 / 미국정보요원들의협업으로시작 머신러닝 (machine learning) 과수학적알고리듬에서착안 영국캠브리지와미국샌프란시스코에본사위치 전세계 100개이상의고객확보 (2015년 10월기준 ) 17 곳의글로벌오피스 (2015년 10월기준 ) 2015 년 Security Global Excellence 어워드에서 올해의보안회사 로선정 (Security Company of the Year) Network Products Guide IT World 어워드에서 2015 년최고의내부위협탐지솔루션선정 Gartner 사의 2015 년 Cool Vendor 선정 세계경제포럼 ( 일명다보스포럼 ) 에서 2015 년의 Technology Pioneer 로선정 다크트레이스는 게임체인저 이다! Virgin Trains ( 영국철도회사 )

Darktrace 경영진 Nicole Eagan, CEO 25 경력의 ICT 전문경영인, Peregrine, Quest, Verity, 그리고 Autonomy 등등에서 CMO 역임 Jonathan Evans 경 (Lord), KCB ( 기사작위 ) 전 MI5 사무총장, 영국에서 33 년간보안전문가로활동, 현재 HSBC 비상임이사로도활동중 Jasper Graham, SVP, Cyber Technologies and Analytics ( 분석 ) 15 년경력의미국정부기관의사이버방어전문가. 전미국국가안정보장국기술담당이사 (NSA) Jack Stockdale, CTO 빅데이타환경에서의베이지언수학이론의적용전문가. 전 Autonomy 기술이사및 Blinkx 의연구센터장역임 Dr. Mike Lynch, OBE ( 기사작위 ) Autonomy 와 Invoke Capital 의공동창립자, 영국정부의기술자문위원 Robert Webb, QC ( 영국왕실법정변호사 ) 현롤스로이스사무총장, 전영국항공사무총장, 1988 년부터영국왕실법정변호사에선임. 현재런던주식시장의비상임이사로도활동중

Darktrace 가바라보는보안위협의현재 완벽한방어시스템은 현실적으로 불가능합니다 고도화된위협은항상 새로운방법을찾아 냅니다 내부위협도외부위협과동일한수준으로중요시되어야합니다 24*7 기반으로보안정책과시그니처를최신의상태로유지하는것은현실적으로불가능합니다

가장큰위협은내부에 악성코드에감염된내부사용자. 사용자실수. 악의적행동. 시스템오류... Rule 로탐지되기어려운다양한이상행위들. 그렇다면어떻게이상행위들을빠르고정확히탐지할수있을까요?

새로운접근 면역시스템 사람은면역체계를통해서정상상태를알고있고, 이를통해서스스로아픈곳을인지합니다.. 정보시스템은?.. 정상적인상태를알고있다면비정상적인행위는쉽게탐지할수있습니다.. 방대한데이터흐름에서정상적인상태를정확이분류할기술은?

면역시스템의바탕 머신러닝 " 모바일다음은머신러닝의시대 - 에릭슈미츠 한국 MS, 머신러닝출시... 클라우드서비스 ' 애저 ' 에탑재 머신러닝알파고이세돌 9 단에도전장 " 영화아이언맨에등장하는인공지능을올해개발하는것이목표 " - 마크주커버그 IBM, 보안인텔리전스 SIEM 에 머신러닝왓슨 적용 시만텍, DLP 보안관제시스템 IoT 보안에머신러닝활용

베이지안이론 영국캠브리지대학이 18 세기부터고급베이지언수학에대한연구를선도하였습니다 베이지안이론은머신러닝분야중에서도다양한변수가존재하는, 비지도학습에사용됩니다 이는자동학습기반의빠른분류와예측에적합한진일보한통계이론입니다 Darktrace 는캠브리지대학의수학자들과함께혁신적인머신러닝기반보안솔루션을개발하였습니다

머신러닝과이상행위탐지 사용자행위를학습 다양한변수를적용하여이상행위를탐지 탐지된이상행위를알려진위협과고유한위협으로분류 모든과정은자동화된머신러닝을통하여이루어집니다 300차원이상의변수분류로이루어져정확한탐지와분류가가능합니다 Known APT, 사용자계정위반등알려진위협은실시간으로즉시표시되며, 고유한위협은모델편집기를이용하여회사만의고유한위협모델명으로모니터링할수있습니다.

Darktrace 아키텍쳐

보안시스템과의유기적보완관계 Darktrace Immune system 을이용한이상행위탐지시스템은각종보안시스템과상호보완적관계에있습니다 특히, 탐지된이상데이터흐름에다운로드된파일이있을시 APT(sandbox) 솔루션과협업은좋은시너지를기대할수있습니다

Darktrace vs other solutions DARKTRACE APT solution Network forensic & Log analysis 위협영역내부 + 외부외부내부 + 외부 위협의종류모든이상행위악성코드알려진위협 운영노력낮음높음높음 탐지기반기술자동화된머신러닝가상샌드박스사람의지식및룰 상세분석딥패킷분석코드리버싱딥패킷분석,SQL 데이터흐름가시성 3D 기반의 100% 가시성없슴제한적 실시간탐지실시간수분 ~ 수시간수시간 ~ 수일 도입및운영비용 70 80 100

탐지및분석을위한세가지방법 User Interface Display, Logs, Graphs Advanced Search Metadata Analysis PCAP Analysis Deep Packet Inspection

탐지및분석을위한세가지방법 User Interface Display, Logs, Graphs Advanced Search Metadata Analysis PCAP Analysis Deep Packet Inspection conn source IP source port dest IP dest port http method host URI user agent files identified hash filename size UID

탐지및분석을위한세가지방법 User Interface Display, Logs, Graphs Advanced Search Metadata Analysis PCAP Analysis Deep Packet Inspection

모델에디터와필터 Model editor 학습된결과를기반으로조직에맞는다양한침해모델을생성 Filter combinations 다양한조합과표현식으로조직특성을반영한탐지가능

Darktrace 를통한탐지의예시들 What Darktrace Finds : Examples Remote access attack linked to dangerous malware Anomalous data transfer Domain Generation Algorithm Malicious web drive-by Suspicious Java download Infection with ransomware Bitcoin mining Use of Tor anonymizing network Unauthorized use of administrator credentials Peer-to-peer connections with the Far East Illegitimate access to database server Fast travel indicating password compromise Anomalous internal file transfers Use of virtual Cyrillic keyboard Connections to website linked to Advanced Persistent Threats Attempted connections to non-existent domain names Port-scanning for internal company resources Suspicious file download using XOR obfuscation Risk from bring-your-own-device (BYOD) policies Illegitimate access to database server

Darktrace 만의고유한위협보고서 Executive Summary 경영진을위한핵심리포트 Incident Summary 관리자를위한요약리포트 Incident Details 실무진을위한상세리포트.

유연한구성을위한제품라인업 계층적어플라이언스구조 회사의규모및구조에맞는 1tier 3tier 구성가능 Darktrace Unified view server 대규모의통합된네트워크 view 및분석 Darktrace Master appliance Probe 들의데이터를취합 / 분석 /view 제공 Darktrace Probe 데이터수집 Darktrace vsensor cloud virtual switch data capture

손쉬운설치 손쉬운설치 : 약 1 시간소요최적의공간활용 : 1U 2U Layer 3 SPAN / VLAN mirror Passive Network Data Layer 2 SPAN Network Tap

머신러닝기반의 UBA Darktrace 를요약하면 No rules or signatures 보안위협자동탐지및 3D 기반의시각화 네트워크상의모든사용자, 단말, 장비에대한분석 네트워크트래픽의가시성 100% 확보 실시간분석및과거데이터재생기능 (Playback) Darktrace vsensor 로 cloud 보안가시성확보

고객사례 British Telecom 산업군 통신사업자 고객의어려움 전세계에분산되어있는대형네트웍관리의어려움 순식간에변화하는고도화된사이버위협의증가 복잡한네트웍데이타를분석해서기존에알려지지않았던위협을찾을수있는솔루션을필요로했음 다크트레이스도입후혜택 실시간으로전체네트웍의능동적가시성확보 알려지지않았던새로운공격이심각한피해를일으키기전에감지될수있다라는확신확보 다크트레이스의자율머신러닝과베이지언수학을 BT 에서기존에사용하고있던보안솔루션과통합하여전반적인보안프레임워크를한단계고도화시킴 내부위협방어 다크트레이스의머신러닝과베이지언수학은비정상적인행위를발견하는데아주강력하며이러한기술은우리가향후사이버보안서비스를제공함에있어서아주중요한요소가될것입니다. Mark Hughes, BT 보안담당, 사장

고객사례 - Drax 산업군 자원 / 공공사업, 영국의전기사업자 고객의어려움 Drax 는국가안보와직결되는국가기반시설의주요전기시설을관리하면서 회사내부네트웍과동시에공장시설에대한방어체계가필요한상황 내부위협에대한위험성제기 지능형공격 (advanced threats) 에대한방어체계에대한고민 다크트레이스도입후혜택 기존보안솔루션을통과한위협을감지하기시작함. 공장시설을관리하기위해서다크트레이스의산업제어시스템전용솔루션설치 (Industrial Immune System) 변형감지와네트웍모니터링을중단없이제공 실시간으로위협을분석함으로써그피해를최소화할수있는기능제공 다크트레이스의기술은우리시스템의운영에방해가능성있는위협을감지해주었습니다. Martin Sloan, 안전 / 보안담당

고객사례 버진트레인 산업군 운송고객의어려움 버진그룹사차원에서사이버위협을최고우선순위로선정 많은협력사들이내부망에접속하는경우가증가하는상황 기차안에서도무선을 (Wifi) 통한인터넷접속서비스제공 높은수준의고객경험을제공하면서도위험을줄여야하는상황 다크트레이스의사이버보안플랫폼은현재우리네트웍에서무슨일이일어나고있는지를실시간으로저희에게통합가시성을통해서확보해주었습니다. Louis Kangurs IT 네트웍담당매니저, 버진트레인 다크트레이스도입후혜택 사용자, 디바이스, 네트웍의기본치설정가능 SIEM 솔루션과는다르게종합적이면서실시간의가시성을제공 보안관련투자를정확하게평가하게도와주며네트웍자원활용을극대화시켜줌 고객의확신성과신뢰성증가

고객사례 SEGA 게임 산업군 게임 고객의어려움 지능형지속공격 (APT) 방어의어려움 광범위한소셜미디어외다수의정보공유사이트의사용증가 핵심지적재산권 ( 게임관련 ), 고객정보, 기업평판관리의어려움 다크트레이스도입후혜택 적응형모니터링 활발한디지털환경에대한이해도증가 세가의복잡한네트웍에서감지하기어려웠던이상행위를표면으로드러나게했음. 사이버위험이크게감소 보다안정적인환경을고객과고객의 IT 자원에게제공가능 다크트레이스는우리의보안수준에대해서그누구보다도높은신뢰성을제공했고궁극적으로는우리의직원, 고객, 그리고중요정보에대해서높은수준의안정된업무환경을제공했습니다. 세가

Darktrace 고객사 (2015.10 기준 )

Q&A Darktrace Korea 서현석한국대표 010-5347-8829 hyunsuk.seo@darktrace.com) 서울시중구을지로 5 길 26 센터원빌딩서관 27 층 전화 : 02 6030-8830 홈페이지 : www.frentree.com