네트워크 가시성 및 보안 분석으로 보안 위협에 대한 방어를 강화하는 Cisco Stealthwatch

솔루션개요 네트워크가시성및보안분석으로보안위협에 대한방어를강화하는 Cisco Stealthwatch 이점 내부위협과외부위협을모두탐지할수있도록클라이언트간, 서버간, 클라이언트-서버간트래픽을비롯한모든네트워크상호작용에대한가시성확보 공격을의미할수있는다양한이례적인행동을탐지할수있도록첨단보안분석을실시하고심층적인상황정보확보 기업리스크를감소할수있도록네트워크전반에서위협탐지, 사고대응, 포렌식가속화및개선 네트워크활동에대한감사기록을통해더욱심층적인포렌식조사지원 네트워크전반의가시성을확장하여컴플라이언스, 네트워크분할, 성능모니터링및용량계획간소화 내부네트워크와분산형네트워크에서포괄적인네트워크가시성을찾고있다면, 이제더알아볼필요가없습니다. Cisco Stealthwatch System은정교한행동분석을사용하여데이터를실행가능한인텔리전스로바꿔줍니다. 이제보안을강화하는동시에사고에신속하게대응할수있습니다. 오늘날엔터프라이즈네트워크는그어느때보다도더복잡하고분산되어있습니다. 매주새로운보안당면과제가발생합니다. 지속적으로발전하는위협환경과클라우드컴퓨팅, IoT(Internet of Things) 등과같은트렌드로인해상황은더욱복잡해지고있습니다. 안타깝게도, 점점더많은사용자와디바이스가네트워크에추가되면서네트워크에일어나는일을파악하는것이더욱어려워졌습니다. 또한보이지않는것을보호할수는없습니다. Cisco Stealthwatch 는가장동적이며초대형네트워크에도종합적인내부가시성과보호를제공할수있도록 대량의데이터를수집및분석합니다. 보안운영팀이위협에신속하고효과적으로대응할수있도록확장 네트워크에서모든사용자, 디바이스및트래픽에대한실시간상황을인식하도록도와줍니다. 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public 1/7 페이지

지속적인모니터링및인텔리전스를활용하면다양한공격을탐지할수있습니다. 제로데이악성코드, 내부자위협, APT(Advanced Persistent Threat), DDoS(Distributed Denial-of-Service) 공격및여타공격으로인해네트워크가대혼란에빠지기전에이와관련된행동을탐지할수있습니다. 다른보안모니터링솔루션과달리 StealthWatch에서는네트워크를오고가는트래픽뿐만아니라네트워크악용및내부자위협을파악할수있도록네트워크내에서수평으로이동하는이스트웨스트트래픽 (east west traffic) 도모니터링합니다. 더많은공격, 줄어든가시성 오늘날공격표면은그어느때보다크고복잡합니다. 네트워크는도처에있고기업들은끊임없이새로운기업을인수하고새로운지역으로뻗어나가며지점을열고있습니다. 사용자는장소에구애받지않고각자의스마트디바이스로네트워크에접속할수있습니다. 기업의앱, 서버, 데이터가클라우드에있습니다. 네트워크가계속확장되면네트워크의현재상황을파악하는가시성을확보하기가더욱힘들어집니다. 뿐만아니라공격자는그어느때보다정교하고민첩하며조직화되었으므로가시성을확보하여네트워크에서 의심스러운행동이발생하는위치를파악하는것은공격을방어하는데매우중요합니다. 보안에서는가시성 확보가이해의출발입니다. 더효과적인보안을구현하려면네트워크전반의상황을이해할수있도록가시성을확보하는것이필요합니다. 가시성부재는네트워크진단및컴플라이언스검증능력을제한합니다. 그리고네트워크내외위협으로부터네트워크내부를보호하는데복잡성이가중됩니다. 네트워크에대한가시성은복잡한엔터프라이즈보안에매우중요합니다. 이상행동이발생하는지여부를확인하려면알려지거나알려지지않은트래픽흐름, 애플리케이션, 사용자, 디바이스를확인해야합니다. Cisco Stealthwatch 는네트워크전반에서네트워크가시성, 보안, 대응력을획기적으로향상시킵니다. 보안운영 팀이위협에신속하고효과적으로대응할수있도록확장네트워크, 데이터센터, 클라우드에서모든사용자, 디바이스및트래픽에대한실시간상황을파악하도록도와줍니다. 아키텍처및구성요소 Flow Collector, Flow Sensor, Management Console 은 Cisco Stealthwatch 시스템에서네트워크전반의가시성을 제공하는데필요한핵심요소입니다. 이요소는물리적또는가상어플라이언스의형태로해당라이선스와함께 제공할수있습니다. Flow Collector는네트워크디바이스및메커니즘의텔레메트리를수집합니다. 여기에는 Cisco NBAR(Network Based Application Recognition), NSEL(NetFlow Security Event Logging), NetFlow, syslog 등이포함됩니다. 데이터가수집, 분석, 저장됩니다. 하나이상의컬렉터가필요하며하나의구축에서최대 25개의 Flow Collector를지원할수있습니다. Flow Sensor는디바이스가기본적으로 NetFlow를지원하지않는네트워크영역에서유용합니다. Flow Sensor는비즈니스크리티컬, 피어투피어, 소셜미디어, 모바일애플리케이션으로부터애플리케이션정보및패킷레벨의성능통계를수집합니다. Flow Sensor가수집하는플로우기록에 URL 정보도있습니다. 트래픽데이터를 Flow Sensor에보내면여기서 Flow Collector에보냅니다. 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public 2/7 페이지

Flow Collector의이모든정보는중심점인 Management Console로취합됩니다. 수집된모든데이터를시각적으로나타내는데하나의콘솔만있으면됩니다. " 회사에들어서면지금까지의상황또는현재상황을기본적으로이해하고있음을확신합니다. Stealthwatch가항상함께하니까요. Stealthwatch는우리팀의가장큰자산입니다. 아무도주목하지않을때도 Stealthwatch는눈에띄지않는곳에서항상주시하고있습니다. Phil Agcaoili, CISO, Elavon 지속적인네트워크모니터링규모나업종과는상관없이모든기업에서는네트워크에서일어나는모든것을심층모니터링하면서신속하게해당환경의정상행동기준을정할수있습니다. 이렇게이해한기준으로의심스러운행동을손쉽게식별할수있습니다. 액세스컨트롤과보호를개선하도록중요네트워크자산을식별하고적절하게세분화할수있습니다. 사후포렌식 Cisco Stealthwatch 시스템은실시간위협탐지를개선하는데머무르지않습니다. 사고대응시간을대폭단축하며, 대개트러블슈팅시간을며칠또는몇달에서몇분으로줄여줍니다. 네트워크데이터를몇개월또는몇년동안저장할수있기때문에모든네트워크활동에대한중요한감사흔적을제공하므로, 사고후심층적포렌식조사를수행하는데핵심적인역할을합니다. Cisco Stealthwatch 는네트워크트래픽에대한포괄적인가시성을제공할뿐아니라추가적인보안상황도 제공합니다. 여기에는사용자및디바이스인식, 클라우드가시성, 애플리케이션인식및위협피드데이터가 포함됩니다. Cisco Stealthwatch와기타보안기술의비교 Cisco Stealthwatch에서는기존라우터, 스위치및방화벽을통한플로우 (NetFlow sflow, JFlow 등 ) 와같은네트워크텔레메트리를수집및분석하여네트워크및사용자행동을모니터링합니다. StealthWatch에서는공격을의미할수있는비정상적인행동을자동으로탐지하도록네트워크데이터에대해정교한독점분석을진행합니다. Cisco Stealthwatch는종종 SIEM이나풀패킷캡처와같은여타모니터링솔루션과비교되곤합니다. SIEM 기술은네트워크자산으로부터시스템로그를추적하여시그니처기반툴에서경보및알림을발생시킵니다. 하지만불행히도공격당한시스템에서시작된시스템로그는신뢰할수없으며, 시그니처기반모니터링툴은액세스권한이있는사항만확인할수있기때문에행동변화를놓칠수밖에없습니다. 한편풀패킷캡처는비싼비용과복잡성때문에네트워크의제한적인영역에만구축할수있습니다. 종합적인행동기반모니터링으로이러한정보소스를보완하는것은위험한보안틈새를없애는데매우중요합니다. 또한 Cisco Stealthwatch는 Cisco Security Packet Analyzer와함께사용하면서 Cisco Stealthwatch 알람에서생성되는이례적인트래픽플로우와관련된패킷을캡처하고조사할수도있습니다. 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public 3/7 페이지

Cisco Stealthwatch 는확장성이뛰어나기때문에그기능이경쟁사의보안기술 ( 여타플로우기반모니터링툴 포함 ) 을능가합니다. 단방향플로우기록을중복제거하고결합할수있는능력을갖추고있으므로규모가크고 매우복잡한엔터프라이즈네트워크에서도비용효율적인플로우모니터링과저장이가능합니다. [Stealthwatch로] 저희글로벌엔터프라이즈네트워크전반에서향상된가시성을얻게되었습니다. 실시간에가까운데이터보고및경보기능을통해저희팀은보안사고가발생하자마자신속하게탐지하고대응할수있게되었습니다. Jeff DeLong, 정보보안설계자, Westinghouse Electric Company 구성요소 Cisco Stealthwatch 시스템은맞춤설정할수있으나그핵심구성요소는 Flow Collector, Flow Sensor, Management Console 입니다. 앞서설명한것처럼적합한라이선스와함께물리적또는가상어플라이언스로 제공됩니다. 해당구성요소들은다음과같은방식으로함께작동합니다. Flow Collector는기존인프라의 NetFlow, IPFIX 및기타텔레메트리데이터를사용합니다. 이를통해엔터프라이즈네트워크전반에비용효율적인엔드투엔드가시성이제공됩니다. Management Console은전사에걸친실시간보안및네트워크인텔리전스의연관성을볼수있도록모든 Cisco StealthWatch 제품을관리, 조정하고환경을설정합니다. Flow Sensor는네트워크에서사용중인애플리케이션과프로토콜을식별하기위해 DPI(Deep Packet Inspection) 와행동분석을조합하여사용합니다. 이는또한 NetFlow가지원되지않는네트워크영역에서쓰입니다. UDP Director는여러위치에서핵심적인네트워크및보안정보를수신하는고속, 고성능어플라이언스입니다. 수신한정보를하나의데이터스트림으로 Flow Collector와같은하나이상의대상에전달합니다. Threat Intelligence License는글로벌위협정보를제공합니다. 의심스러운커뮤니케이션을경고할수있도록이벤트의 Concern Index와경보를생성하여이신속하게조사할수있도록합니다. Proxy License는프록시기록을주입하고이를플로우기록에연결합니다. 각플로우의원래사용자, 애플리케이션및 URL 정보를전송하여웹프록시를통과하는네트워크상호작용을모니터링할수있습니다. 엔드포인트솔루션구성요소로는 Endpoint License와 Endpoint Concentrator가있습니다. Endpoint Concentrator는 Cisco AnyConnect Visibility Module로부터 IPFIX 데이터를수집합니다. 모든엔드포인트디바이스에서데이터를수집하여 Endpoint Concentrator를거쳐 Flow Collector에전달하면 Management Console에서분석된엔드포인트데이터에대한가시성을제공합니다. Cloud License 는 Cisco Stealthwatch 시스템에대한가상라이선스애드온입니다. Cloud License 는 네트워크를센서로클라우드까지확장하여, 사용자가 Management Console 내에서가상인스턴스의 플로우를파악할수있도록합니다. 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public 4/7 페이지

Cisco Stealthwatch Learning Network License 는 Cisco IS(Integrated Services Router) 을보안센서로 사용하면서특정브랜치라우터의트래픽플로우에대한심층가시성을확보합니다. 또한머신러닝 기반의행동분석을수행하고패킷을수집하며브랜치레벨에서즉시위협을탐지합니다. 활용사례 모든업계 확장된네트워크를지속적으로모니터링 실시간위협탐지 사고대응및포렌식시간단축 네트워크세그멘테이션간소화 컴플라이언스요건충족 네트워크성능및용량계획개선 유통 보안및성능문제파악을위해수백개의원격시스템모니터링 POS(point-of-sale) 단말기보호 PCI 컴플라이언스유지 의료 환자기록보호 인명구조용의료장비에대한사이버공격차단 HIPAA 컴플라이언스유지 지적재산보호 높은레벨의성능유지 새로운네트워크디바이스를신속한발견하고보호 금융서비스 외부자및내부자위협탐지 고객데이터보호 엄격한컴플라이언스요건충족 중요한금융정보에대한 24시간액세스유지 위협및성능문제발생전에해결방안모색및적용 정부기관 지능형공격이존재하는지네트워크를지속적으로모니터링 기밀정보보호 엄격한보안규제로컴플라이언스유지 내부자위협탐지 교육강화 모바일디바이스보호 P2P 파일공유탐지 민감한정보보호 네트워크악용및오용방지 높은레벨의가용성및성능유지 보안워크플로간소화 컴플라이언스요구사항충족 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public 5/7 페이지

Cisco 를선택해야하는이유 NetFlow를발명한 Cisco는네트워크가시성에플로우데이터를사용하는보안솔루션을제공하는유일한입지를갖추고있습니다. 2000년부터 Lancope는 StealthWatch를사용하여깊이있는네트워크와보안인사이트를확보하는데텔레메트리데이터를처음으로사용하기시작했습니다. StealthWatch는 NetFlow, IPFIX, 기타네트워크텔레메트리데이터유형을수집하고분석하여네트워크를상시가동하는가상센서가되게하고전세계수백개기업의보안상태를개선할수있도록정교한행동분석기법을적용하여다양한공격을신속하게탐지합니다. 이제 Cisco StealthWatch는필적할만한이두가지기술개발노력의최고결과물을선사하고자합니다. 간편하고전문적으로 StealthWatch 구축 공인전문서비스기관과인증파트너들이수년간에걸친 Cisco StealthWatch 제품군의설계, 구축, 관리경험을바탕으로서비스를제공합니다. 외부서비스팀은다양한고객및업계경험을바탕으로기업이구체적인비즈니스요건을충족하고생산성을제고하고위험을감소할수있도록최적화를지원합니다. 이들은오늘날의지능형위협환경의까다로운요구를충족할수있도록전문적인네트워크및보안기술을사용하여 Cisco StealthWatch 시스템을신속하고효과적으로구현합니다. Cisco 전문서비스에는초기설치, 상태확인및튜닝, 호스트그룹자동화, 프록시통합, 시스템교육은물론맞춤형컨설팅과통합서비스가포함됩니다. [StealthWatch] 는내부네트워크가시성을확보할수있도록해주며... 특정트래픽유형이네트워크외부로유출되지않도록보안영역에대한감사를손쉽게실행합니다. Ryan Laus, 네트워크관리자, Central Michigan University Cisco Capital 목표달성을지원하는파이낸싱 Cisco Capital 금융지원솔루션을통해여러분이비즈니스목표를달성하는데필요한기술을도입하고경쟁력을강화할수있습니다. 고객의설비투자부담을줄여드립니다. 성장을가속화하십시오. 투자및 ROI를최적화하십시오. 하드웨어, 소프트웨어, 서비스, 보완적인서드파티장비구입시 Cisco Capital의금융지원솔루션을유연하게활용할수있습니다. 또한예측가능한비용결제가단한번뿐입니다. Cisco Capital은 100여개국가에서이용할수있습니다. 자세히보기. 다음단계 자세한내용은 http://www.cisco.com/go/stealthwatch 를참조하거나현지 Cisco 어카운트담당자에게 문의하십시오. 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public 6/7 페이지