Vectra Cognito 제품소개 AI based Inside Threat Hunting Solution
제안개요 제품소개 첨부자료
1. 기존기술 Signature 기반백신 I. 제안개요
1. 기존기술 SIEM (Security Information Event Management) I. 제안개요 TI ( 탐지시나리오, 평판정보 ) 제공 X or 부족 악성코드전문가필요 로그수집불가단말 / 시스템은? 수집양 = 가격, Payload 부분 full 탐지 X 임계값조정 / 관리공수 Ex) ( 평소에접속 ) 하지않았던 ( 외부호스트 ) 로 ( 대량 ) 의데이터를전송
1. 기존기술 Sandbox 기반탐지 I. 제안개요 항목 내용 6 5 4 3 2 1 하드웨어탐지 Sandbox 장치디바이스정보인지 S/W 디버거확인및무력화감시디버거여부확인, 일부디버거무력화 Mirroring SW, OS 버전확인 IE, 오피스, OS 등특정버전에서만동작 3 2 1 Sandbox 솔루션 실사용자행위확인 실제사용자행위를확인하고활동 시간차활동 실행후장기간대기후악성행위동작 암호화통신이용우회 SSL 통신으로파일캡처불가 [ 파일유입및캡처원리 ] [ 가상화환경무력화방법 ] 처음보는파일을내부로우선보내고파일을 sandbox 에서실행 오픈하여검사 신종악성코드는한번은내부감염불가항력 다수의우회 / 회피방안존재
1. 기존기술 Sandbox 기반탐지 I. 제안개요 [Cuckoosandbox 포렌식화면 ]
1. 기존대응기술 - 망분리 I. 제안개요 외부망 망연계 솔루션 내부망 내부 인터넷 예외 멀티백신 or Sandbox 기반탐지
2. 주요이슈 내부보안홀 (Hall) I. 제안개요 99 Global 106 유럽, 중동, 아프리카 172 APAC from ZDnet 2018.01.11 By Asha McLean File Process Network Registry From Machine How, what, When To
2. 주요이슈 내부보안홀 (Hall) I. 제안개요 1. 보안업체의시스템이감염됨 2. 보안 SW 자체취약성 3. 신뢰 SW 경로로내부침입가능 (ex- 우리회사 PC 는그파일없어?) From 2016-05-31, 보안뉴스코드서명해킹은북한소행... 실제피해는없어
2. 주요이슈 내부보안홀 (Hall) I. 제안개요
2. 주요이슈 내부보안홀 (Hall) I. 제안개요 사전차단 (Prevention) 사후탐지 (Detection)? North South East West 접근제어리스트, 시그니처, 휴리스틱, 임계값화이트리스트 N-Firewall, IPS, Virus-wall, 백신, DDoS, WAF ( 제한적인 ) 탐지시나리오, 평판정보, Sandbox IDS, SIEM, Sandbox 기반 IDPS?? 접근제어리스트 N-Firewall ( 망보호 ), H-Firewall ( 제한적인 ) 탐지시나리오? SIEM??
3. 보안동향 I. 제안개요 Prevention 에서 Detection 으로 능동형보안아키텍처의구성 (Advanced Security Architecture) 최근의보안은 빠른탐지와빠른대응 에맞춰져이뤄지고있다. 이는 공격은이미당했다 는전제하에이를최대한빠른시간안에발견해내고해결하는것을기본골자로한다는것이다. From 2017.09.19 보안뉴스 - 각광받는기술오케스트레이션, 자동화와어떻게다른가? / 글 : 다리오포르테 (Dario Forte), DFLabs
1. Vectra 社 Cognito - 개요 II. 제품소개 인공지능기반탐지모델 사이버킬체인기반 벤더의머신러닝 ( 지도학습 ), 딥러닝 탐지모델로악성행위탐지 로컬사이트에서머신러닝 ( 비지도학습 ) 탐지모델비정상행위탐지 기존보안솔루션을침투또는우회하는위협탐지, 대응 C&C 접속, 봇넷행위, 내부정찰, 내부확산, 정보유출행위구분 내부네트워크가시성 내부간트래픽감시 암호화트래픽감시 내부호스트악성행위가시성확보 실시간자동상관분석 위협빈도, 양, 기간, 최근성등 우선순위실시간스코어링 관제 Tier-1 수준의분석, 요약
1. Vectra 社 Cognito - 제품개요 II. 제품소개 제품영역 Network IDPS(Intrusion Detection Prevention System) Market Definition/Description As Gartner states in the IDPS Magic Quadrant, The evolution of IDS to using advanced analytics like machine learning is well-suited to the types of telemetry these technologies generate, and proves to add a different way of detecting malicious or unwanted behavior within an environment. The network IDPS market is composed of stand-alone physical and/or virtual appliances that inspect network traffic, either on-premises or in virtualized/public cloud environments. They are often located in the network to inspect traffic that has passed through perimeter security devices, such as firewalls, secure web gateways and secure email gateways. While detection only (i.e., intrusion detection system [IDS]) is still often used, a large number of appliances are still deployed in line to allow for blocking capabilities. They provide detection via several methods for example, signatures, protocol anomaly detection, various methods of analytics, behavioral monitoring and heuristics, advanced threat defense (ATD) integration, and threat intelligence (TI) to uncover unwanted and/or malicious traffic and report or take action on it. Stand-alone IDPSs are most often deployed for the following reasons: When separation of duties means that some networking functions (firewalls) are managed by a different team managing security (i.e., IDPS) Behind the firewall as an additional layer of defense to inspect north-south traffic Behind an application delivery controller (load balancer) to inspect traffic allowed When best-of-breed detection efficacy is required As an IDPS on the internal network in line to provide protection/detection for internal assets As an IDS monitoring the internal network for lateral movement of threats and other compliance mandates When high IDPS throughput and low-latency performance are required To provide network security separation (segmentation) on parts of the internal network where it's easier to deploy IDPS than technology like firewalls To provide additional visibility and detection capabilities in the public or private cloud For network-based intrusion and threat detection using additional methods like advanced analytics (such as user and entity behavior analytics [UEBA]) to detect threats that have bypassed other controls
2. Vectra 社 Cognito 인공지능기술 II. 제품소개 Data Program Computer Output Data Output Computer Program
2. Vectra 社 Cognito 인공지능기술 II. 제품소개 X 1 2 3 4 5 1 Y=2X Computer Data 2 Computer Output Y=2X Y 2 4 6 8 10
2. Vectra 社 Cognito 인공지능기술 II. 제품소개 New Data Output Output Output Output
2. Vectra 社 Cognito 인공지능기술 II. 제품소개
2. Vectra 社 Cognito 인공지능기술 II. 제품소개 ( 개발사에서 ) 분류, 구분 악성인것을알려줌 업무에필요? ( 고객사에서 ) 집단혹은개별의특성, 프로파일링 이례적인것을알려줌튀는행위인것을알려줌 악성인가? ( 해당지식필요 ) 업무에필요한가?
2. Vectra 社 Cognito 인공지능기술 II. 제품소개 구분탐지모델학습알고리즘탐지시나리오 Input Data 지도 ( 글로벌 ) 학습 -Supervised ML 비지도 ( 로컬 ) 학습 -Unsupervised ML 1~2번 / 1달학습된모델업데이트 5 수시로평상시행위학습 4 일종의복잡한수식 3 Random Forest K-means clustering. 2 악성행위 평상행위 보안전문가들계속연구 / 수정 / 추가 1 Global 악성트래픽샘플, 정상트래픽샘플 로컬사이트평상시트래픽 1 Input Data 학습용 data 는악성을구분하기위해 global data 와이례적인것을탐지하기위한고객로컬사이트평상 data 를사용 2 탐지시나리오 C&C 접속, Botnet 행위, 악성코드확산, 정보유출과같은악성행위위주의시나리오와서버접속행위, 외부전송행위등모니터링할만한평상행위시나리오로구분 Vectra 는악성행위위주의시나리오가더많음 3 학습알고리즘 구분, 분류중심의지도학습알고리즘과특성화, 베이스라이닝중심의비지도학습알고리즘사용 딥러닝알고리즘도사용 7 실시간탐지 6 Real-Time Data Stream from Network 4 탐지모델 Packet header 와 payload 전체를보며접속빈도수, data volume, 접속시도지속성, 응답 ( 성공 ) 률등다양한요소들을탐지하는복잡한조건및수식 악성 악성 악성 악성 악성 악성 악성악성악성 이례이례 567 탐지모델 update 는글로벌러닝 ( 벤더러닝 ) 은 1 달에 1~2 번업데이트되며로컬학습은평상시행위를학습하므로수시로업데이트작업을수행한다. 해당탐지모델들로실시간트래픽에서악성과이례적인것을탐지한다. 악성 악성 악성
2. Vectra 社 Cognito 인공지능기술 II. 제품소개 글로벌러닝탐지모델사례 in Vectra Cognito 악성행위를탐지 (1) C&C Suspicious HTTP (1) 글로벌러닝으로 C&C 접속트래픽에서각각의속성별로멀웨어의특징을지속적으로학습함 (2) HTTP user agent, HTTP header, Beaconing, 서버의위치 4 가지요소에서나타나는멀웨어의특징들이발견되는경우 Threat 과 Certainty 가자동분석되어관리및표출됨 (3) Suspicious HTTP 의스코어링 1 Threat 점수는 C&C 서버를찾고접속하려는비코닝 (Beaconing) 행위가 key, 4 가지요소가발견되면될수록점수상향조정 2 Certainty 점수는 HTTP agent 와 HTTP heade 가 key, 여러개의 C&C 접속행위가많을수록점수상향조정 HTTP 헤더구조 (presence, absence, order) 가의심스러움 Comment Field 에 User agent Browser name 이기입되어의심스러움
2. Vectra 社 Cognito 인공지능기술 II. 제품소개 글로벌러닝탐지모델사례 in Vectra Cognito 악성행위를탐지 (2) Bot Cryptocurrency Mining 마이닝프로토콜을구별하는탐지모델을글로벌러닝에의해서정의한후실시간탐지한결과 만약이를비지도학습 ( 이례적인것 ) 에의해서탐지한다면 이례적인포트 4444/tcp 사용 한밤중에인터넷접속을한특이한행동 이례적인 URL 접속 등의이례적인사항들을뽑아내어제공할것입니다. ( 관리자는제공된결과로추가분석필요 ) [ 지도학습에의해정의된탐지모델로탐지된 가상화폐채굴 " 봇넷행위 ]
2. Vectra 社 Cognito 인공지능기술 II. 제품소개 로컬러닝탐지모델사례 in Vectra Cognito 이례적인행위를탐지 (1) Lateral Suspicious Kerberos Client (1) 로컬러닝으로학습된베이스라인과비교하여이례적인 Kerberos 접속행위를탐지한다. 1Threat 점수는접속횟수의편차 (Deviation) 와접속유형의강도 (Strength), 이례적인접속서버 IP, 이례적인로그인접속수또는서비스조회수 2Certainty 점수는베이스라인으로부터편차의강도 감염된 PC 에서계정탈취를위한행위, 계정탈취후의일련의행위를탐지
2. Vectra 社 Cognito 인공지능기술 II. 제품소개 로컬러닝탐지모델사례 in Vectra Cognito 이례적인행위를탐지 (2) Lateral Suspicious Admin 관리용프로토콜은 RDP( 터미널접속 ), SSH, Telnet 등존재 Vectra Cognito 는평소에접속하는관리자접속세션을학습 ( 기억 ) 하고있음 왼쪽사례는어떤사용자가 172.19.53.21 로접속해왔던키보드타입이있었는데어느날평소에보이지않았던 keyboard 와다른타입의값이보였고이런현상은정상적인터미널접속프로그램이아닌임의의프로그램 ( 악성프로그램 ) 이사용자모르게접속한행위로보일수있다는것을알려주는사례 [ 비지도학습에의해정의된탐지모델로탐지된 의심스러운관리자 " 행위 ] 2017.08.25 ~ 2017.09.08 기간동안학습한키보드레이아웃값 : Unknown 3758162962 2017.09.21 15:28 에접속했을때이례적인키보드레이아웃값 : encrypted keyboard - 0 터미널접속관련 packet payload 가인코딩되어있기때문에서버접속후행위가악성인지아닌지어렵습니다. Vectra cognito 는이런경우 Packet 의 payload 의보이는 (visible) 영역또는 packet 들의조합을보고평상시행위를학습 ( 기억 ) 하고있다가이례적인것을탐지하여악성행위를탐지
2. Vectra 社 Cognito 인공지능기술 II. 제품소개 Attacker Behavior models 공격자가반드시해야만하는것들을탐지 (High-fidelity) No-Signature : 알려진공격과알려지지않은공격탐지 Security Research Data Science 기본적인공격자행동을식별, 우선 순위지정및특성화 모델검증 행동을식별하기위한최선의방법 결정 모델개발및조정
2. Vectra 社 Cognito 인공지능기술 II. 제품소개
User to Internet 3. Vectra 社 Cognito - Cyber Kill Chain II. 제품소개 탐지방법 내부 외부통신 Internet 웹서핑 자료검색 C&C 통신 P2P 통신 메일전송 행위탐지를위한요소? 통신시퀀스 호출방법 / 빈도 / 시간 송 / 수신데이터량 C&C 초기감염 Botnet 공격기회탐색 업무관련서버 인증서버 DNS/DHCP 서버 서버접근시도 자료조회 인증과정 파일업 / 다운로드 Internal Recon 내부탐색 Lateral Movement 내부확장 Data Exfiltration 데이터수집 / 유출 User to User PC Mobile Network Printer 공유폴더접근 PC 간통신 프린터출력 해당호스트에서발생하는모든행위 ( 통신 ) 를분석 / 학습한다. 내부 내부통신
4. Vectra 社 Cognito 내부가시성 II. 제품소개
4. Vectra 社 Cognito 내부가시성 II. 제품소개
5. Vectra 社 Cognito 실시간자동상관분석 II. 제품소개 관리자의숫자적인정의값을수정 / 관리할필요없음 ( 중요호스트지정및예외처리로대신 ) 2 차원메트릭스구성으로가장먼저처리해야할것과나중에처리할것을구분 위협발생의반복성과위협들의조합으로활동이없으면점수는 0 으로감소하여기본 UI 에서보이지않음 관리자공수 (workload) 가준다. ( 탐지모델의튜닝공수 )
6. Vectra 社 Cognito - 특장점 II. 제품소개 글로벌러닝 ( 악성구별 ) 로컬러닝 ( 튀는것 ) 과탐이적다 분석시간이줄어든다 1 차정리, 요약된분석화면 관련정보가한눈에 분석시간이줄어든다 비전문가도사용하고분석할수있다 자동실시간상관분석에따른점수관리 탐지모델튜닝 X 관리자공수 (workload) 가준다
8. Vectra 社 Cognito 장비구성 II. 제품소개 구성방안 Internet Campus 본사 Data Center Corp apps front end Web apps front end 관리자 X-Series( 메인 ) S-Series( 센서 ) 지사 지점 80% E/W 가상화서버
9. Vectra 社 Cognito 결론 II. 제품소개 시그니처방식한계 피해인지시간길어짐 사전차단솔루션우회공격증가 내부는무방비 보안전문가부족 빠른조치필요 직관적 UI 빠른분석시간 높은정확도 VECTRA 백신, IPS, Sandbox 기반 APT 대응장비등이있어도여전히침해사고는계속일어났습니다. 사고발견또한늦습니다. 그이유는시그니처방식, 네트워크인입구간의편중보안, 샌드박스탐지방식의맹신등에있습니다. 지능형위협공격은 100% 막을수없습니다. 그리고특정공격단계만보아서도안됩니다. 하이브리드머신러닝기반과통합인털리전스기술을제공하는벡트라는기존탐지방식을보완할수있고기존솔루션과도훌륭하게연동이가능합니다. 벡트라는이미세계적으로유수의고객이사용중에있어기술적우수성이입증된기술과솔루션을제시합니다. 벡트라는화려한 UI 나분석전문가를위한상세한포렌식로그부분에는약합니다. 하지만, 부족한보안전문가인력, 신속한조치가필요한경우에최적화된솔루션입니다. 더구나내부보안에상대적으로취약한부분과조직내에이미감염되어있는호스트들을파악하는문제는이제현실로다가오는필수적인보안조치입니다. 벡트라의기술과보안커버리지영역은이때까지의그어느솔루션과도중복되지않으며독창적이고입증된솔루션입니다. 보안의보호대상은내부에있습니다. 상대적으로보안의사각지대였던내부보안의중요성을인식하시고투자에주저함이없기를바랍니다.
도입사례 1. Ⅲ. 첨부자료 - 팔로알토 NGFW, 시스코소스파이어 IPS, HP 아크사이트 SIEM 외 기존보안인프라 - 비정상트래픽및공격징후를자동탐지 - 선제대응환경구축 - 침투한공격자의내부네트워크활동을탐지하여네트워크가시성확보. 요구사항 - 서버에서 Automated Replication 공격과내부데이터를수집하고있는여러호스트를탐지 - 서버에서 IPS 가탐지하지못한악성도메인 Suspect Domain 을접속하는행위탐지 도입효과
1. 도입사례 Ⅲ. 첨부자료 - 경계보안방어를위한 F/W, IPS/IDS 와엔드포인트보호를위한안티바이러스솔루션외 기존보안인프라 - 경계선방어단계와사후분석단계의 Security Gap 을최소화 - 내부네트워크내에서활동중인위협을탐지하는데소요되는시간단축 - 타겟공격및관련된위협으로인한피해최소화 요구사항 - 기존의수동적이거나시간소모적인위협관리작업완전히자동화, - 실시간위협을식별, 위협우선순위를제공으로조치와관련된의사결정시간단축 - 인력추가투입없이전문보안분석가업무자동수행 도입효과 통합의료정보서비스제공
3. 탐지사례 ( 내부스캐닝, 원격접속 ) Ⅲ. 첨부자료 내부침투후원격접속으로감염된호스트에접속하여내부호스트또는네트워크를분석하는전체스캔, 그리고탐지하기어려운 P2P 통신또는암호통신으로데이터를외부로유출하는공격탐지
3. 탐지사례 ( 데이터유출 ) Ⅲ. 첨부자료 내부에침투된호스트에서데이터가외부로전송되는데이터유출탐지.
3. 탐지사례 ( 데이터유출 ) Ⅲ. 첨부자료 내부두개의호스트에서수집된데이터의외부유출을탐지하였고상세내역제공.
3. 탐지사례 ( 랜섬웨어 ) Ⅲ. 첨부자료 랜섬웨어도다른초기감염 => 감염호스트데이터암호화 => 확장공격 ( 공유폴더검색및접속시도등 ) 의형태로진행됨으로감염된호스트를통해내부네트워크공유폴더등의자료가암호화되기전에탐지
3. 탐지사례 ( 랜섬웨어 - 워너크라이 ) Ⅲ. 첨부자료 출처 - 안랩시큐리티대응센터 (ASEC) 분석팀 1-2,3,4 측면전파 (Lateral Movement) SMB 취약점이용전파 Darknet Scan (share) (outbound) Port sweep (Port 445) Ransomware file activity (encrypting) Automated replication (MS17-010) 1-1 감염 - 특정 URL 접속 감염된 PC 환경이가상이아닌실제인지확인하는과정을위해접속에실패할경우에만다음동작을수행 종합스코어링
3. 연동 Ⅲ. 첨부자료
DEMO, Q&A