The Global Leader in Digital Forensics Solution 사이버위협탐지및대응을위한솔루션 EnCase Cybersecurity 정보보안감사, 내부감사, 부정조사, IT 감사 기업정보유출조사, 개인정보검색및추출, 디지털포렌식을위한솔루션 인섹시큐리티 디지털포렌식 악성코드분석및대응 취약점진단및모의해킹 정보보안전문기업
제품요약 P A G E 2
1. 제품요약 P A G E 3 제품명 : EnCase Cybersecurity 제조사 : 가이던스소프트웨어 (Guidance Software) 제품개요 : ( 개인 / 기업 ) 정보유출조사, 보안감사, 침해사고, 디지털포렌식 보안감사, IT 감사 내부감사, 부정조사, 회계비리, 횡령조사 기업정보유출조사, 개인정보유출조사 디지털포렌식, 서버포렌식, 네트워크포렌식 APT 공격, 악성코드탐지및분석등관련침해사고조사 사이버해킹범죄수사
1. 제품요약 [ 계속 ] P A G E 4 제품특징 / 장점 대부분운영체제 (OS) 지원 [ Windows, MAC, AIX, HP-UX, Linux, Solaris 등 ] 가상화운영체제지원 기업정보, 지적자산 (IP) 등중요데이터에대한검색, 추출및삭제기능 개인정보 (PII) 등의중요데이터검색, 추출 [ 강력한개인프라이버시보호기능 ] - 삭제파티션복구, 삭제데이터복구, 은닉데이터탐색및추출기능 - 삭제된개인정보파일탐색기능 - 비할당영역까지개인정보검색및추출기능 기업정보및개인정보유출사전탐지 / 사후조사등각종흔적에대한증거분석및조사 키워드 (Keyword) 및다양한조건식정의및검색수행 멀티시스템원격조사수행, 휘발성정보, 메모리덤프수집및분석 자동화작업수행 [ 스케쥴링및리포팅 ] 기능 필요시에이전트설치및구동, 낮은리소스점유율
1. 제품요약 [ 계속 ] P A G E 5 기대효과 개인정보및기업정보검색 / 추출 개인정보및기업정보유출조사 내부감사, 부정조사, 회계비리, 횡령 컴플라이언스, 정보보안감사, IT 감사, 개인정보보호 / 관리 / 통제 디지털포렌식, 서버포렌식, 네트워크포렌식 신속한침해대응및확산방지 APT 공격및신종 / 변종악성코드탐지및조사
회사소개 P A G E 6
2. 회사소개 P A G E 7 회사명 : Guidance Software 설립 : 1997년 본사위치 : Pasadena, Califonica 주요사업내용 Enterprise Software Business : EnCase Cybersecurity, EnCase ediscovery, EnCase Analytics EnCase Forensic, EnCase Portable, Tableau Kits Professional Services, Customer Service and Technical Support, Training 외 임직원수 : 600 명
2. 회사소개 [ 계속 ] P A G E 8 제조사소개 EnCase는 Common Criteria EAL2, DIACAP, FIPS 140-2에대한인증을받았습니다. 가이던스소프트웨어사는미국내에현재 19개의특허를가지고있으며, 14개의특허신청을해놓았습니다. Department of Defense Information Assurance Certification and Accreditation Process Certified (DIACAP) - EnCase는보안요구사항들을충족시키고국방부네트워크내의작동을인증받음으로써미국방부 (DoD) 로부터 DIACAP 인증을받음. Federal Information Processing Standard (FIPS) 140-2 - 무결성입증 ( 증거의조작여부입증 ) 기능을포함한암호화알고리즘인증 Common Criteria Evaluation Assurance Level (EAL) 2 - CC(Common Criteria) 보안평가완료후 EAL 2 수여
2. 회사소개 [ 계속 ] P A G E 9 제안사소개 인섹시큐리티는 GSI사의국내총판으로서디지털포렌식, 취약점진단및모의해킹, 정보보안분야의대표기업으로성장하기위해설립된회사입니다. 기업정보및개인정보관리 / 통제 / 유출조사, 침해대응분야에포렌식기술을선도적으로적용하고자합니다. 회사명 : 인섹시큐리티 설립 : 2005년 본사위치 : 서울시금천구가산디지털1로 128 사업분야 : 디지털포렌식, 악성코드분석, 취약점진단및모의해킹, 모바일포렌식등의제품판매및교육 주요사업내용 : EnCase 소프트웨어판매 - EnCase Enterprise, EnCase Cybersecurity, EnCase ediscovery, EnCase Analytics - EnCase Forensic, EnCase Portable, EnCase Tableau Kit
P A G E 10 중요정보및악성코드검색 / 탐지 [ 개인정보 기업정보 지적자산 악성코드 ]
3. 중요정보및악성코드검색 / 탐지 P A G E 11 중요정보데이터에대한검색, 추출및삭제 기업정보, 개인정보, 지적자산등중요데이터의유출방지를위해서는어디에중요정보들이산재되어있는가를사전에파악하는것이가장중요합니다. EnCase Cybersecurity는개인정보, 기업정보, 지적자산및각종금융데이터의완벽한가시성을확보하여데이터유출에대한위험을사전에제거할수있도록합니다. EnCase Cybersecurity는정상혹은삭제및은닉된형태의주요데이터를가장효과적이면서포괄적으로검색가능토록해줍니다. 반복되는정보유출사고방지를위한기준제시 EnCase Cybersecurity는악성코드로인한정보유출사고를미연에방지할수있습다. APT 악성코드, 신종 / 변종악성코드를탐지, 분석및차단할수있습니다. EnCase Cybersecurity는반복적인개인정보유출사고를사전에탐지또는방지할수있습니다.
3. 중요정보및악성코드검색 / 탐지 [ 계속 ] P A G E 12 하드디스크및메모리에대한철저한검색및탐지 EnCase Cybersecurity는하드디스크및메모리를완벽하게검색할수있습니다. 삭제파티션, 삭제데이터, 비할당영역에대해서도완벽한검색능력을제공합니다. - 삭제된데이터검색 - 비할당영역검색 - 사용중인데이터에대한분석 주민등록번호, 신용카드번호등개인정보 (PII) 에대한다양한패턴을사전에정의하여주기적인검색이가능하도록합니다. - 일정한패턴을가지기어려운중요한데이터에대해서도다양하고유연한조합을이용한검색이가능합니다. - 소스코드, 보안분류된문서, blueprints 등 - 키워드조합, Data 범위, 사용구문, 해시값, Timeline 등
3. 중요정보및악성코드검색 / 탐지 [ 계속 ] P A G E 13 엔트로피 (Entropy) 를통한수정, 변조등은닉된개인정보및중요데이터검색 원본데이터를변조시킨은닉된파일에대한유사도비교검색기능을제공합니다. Entropy Near Match 기능을통하여악의적으로은닉되어유출이가능한대량의개인정보, 기업중요정보, 지적자산등에대한검색, 탐지및삭제가가능합니다.
3. 중요정보및악성코드검색 / 탐지 [ 계속 ] P A G E 14 신속한조치수행 검색과정에서발견된허가되지않은개인정보, 기업정보, 지적자산등에대하여 신속한조치가가능합니다. - 비인가된단말또는서버등의시스템에서개인정보, 기업정보및지적자산탐지시에즉시삭제조치수행 - 기업내부사용자 PC 에서기타중요정보탐지시실시간조치가능 - P-to-P 파일공유프로그램에대한원격삭제 - 제로데이공격, 신종 / 변종악성코드등에대한탐지및즉각적인원격포렌식기반의침해대응수행
Incident Response 침해대응 P A G E 15
4. Incident Response [ 계속 ] P A G E 16 침해사고에대한분류, 조치, 자동화대응 SIEM, ESM, IDS, IPS 등의시스템에서수많은경고 (Alert) 이벤트들이발생합니다. 하지만이러한경고 (Alert) 이벤트들은공격의범위와어떠한데이터가공격받았는지그리고다음공격대상이무엇인지는알려주지못합니다. EnCase Cybersecurity는이러한경고 (Alert) 이벤트들에대하여신속하고자동화된대응이가능하도록합니다. 기존보안솔루션에서탐지된위협에대한실제적확인 위협의근원지 (source) 와침해내용에대한평가 개인및기업정보유출가능성등우선순위선정및대응 개인정보, 기업정보및중요정보에대한즉각적인 삭제및와이핑 (Wiping) 조치수행
4. Incident Response [ 계속 ] P A G E 17 경고 (Alert) 이벤트에대한신속한대응및조치 [ 획기적인대응시간단축 ] 경고이벤트에대한대응체계로는수일에서수십일의오랜시간이소요됩니다. Encase Cybersecurity 는이러한대응시간을수분또는수십분내로신속한대응이가능합니다. User 가침해의심을전화로신고 Trouble ticket 생성및큐잉 Trouble ticket Event Data 수동리뷰수집을위해 1차보안분석이Site 상에서수행 수집된 Data 로분석수행 해당머신에대해수동으로포헨식분석 수주일또는수개월소요 한머신만분석 중요데이터는이미유출 위반범위파악어려움 SIEM 에사고 Event 발생 잠재적으로영향받은모든머신들에대해포렌식분석자세한 Web 보고서생성 매우빠른대응조치 [ 수초이내 ] 신속한대응조치를통한중요데이터보호 잠재적으로영향받을수있는모든시스템들에대하여분석수행및조치 기업보안정책위반식별
4. Incident Response [ 계속 ] P A G E 18 사용자 PC 및서버시스템등엔드포인트 (Endpoint) 에대한가시성확보 패턴위주의탐지방식또는 Windows 운영체제에한정된솔루션과달리, Encase Cybersecurity는다양한운영체제 (OS) 에대한지원이가능합니다. 사용자 PC 및서버시스템에대한제한없는엔드포인트에대한가시성을확보해줍니다.
Automated Response & Remediation 자동화침해사고대응및조치 P A G E 19
5. 자동화침해사고대응및조치 P A G E 20 원격포렌식 디스크기반의디지털포렌식기술수용, 파티션복구, 삭제데이터복구등디스크증거분석 다중시스템에대한원격네트워크포렌식조사수행 보안정보이벤트관리 (SIEM) 솔루션과연동하여자동화포렌식조사수행 원격포렌식장점 시스템의중단없이분석이가능하여현업업무손실을최소 동시에다수의시스템에대한분석이가능하여분석업무의효율성증대 업무외시간에도스케줄링된분석이가능하여분석시간을절감 침해행위에대한신속한분석가능 SIEM / ESM, FireEye 등타보안솔루션과의연동구성및분석에대한유연성제공 HP ArcSight, Splunk, IBM QRader, RSA envision, FireEye와연동하여자동화침해대응구현
5. 자동화침해사고대응및조치 [ 계속 ] P A G E 21 자동화침해대응기능 HP ArcSight, Splunk, IBM QRader, RSA envision, FireEye 등탐지솔루션과연동구현 SIEM/IDS/IPS/DLP 등 컨넥터 (Connector) EnCase Cybersecurity PERL Python C# Java Web Services API EnCase Cybersecurity Processing & Analysis EnCase Cybersecurity Web Reports Browser
5. 자동화침해사고대응및조치 [ 계속 ] P A G E 22 HP ArchSight 와의연동구성을통한자동화분석프로세스 SIEM (ArchSight 등 ) 과연동화면
5. 자동화침해사고대응및조치 [ 계속 ] P A G E 23 HP ArchSight 와의연동구성을통한자동화분석프로세스 브라우저기반 View 방법 실행중인프로세스이름 오픈포트 프로세스해시값
5. 자동화침해사고대응및조치 [ 계속 ] P A G E 24 HP ArchSight 와의연동구성을통한자동화분석프로세스 다양한 Snapshot View 방법
5. 자동화침해사고대응및조치 [ 계속 ] P A G E 25 HP ArchSight 와의연동구성을통한자동화분석프로세스 Snapshot 결과화면 결과화면에서직접 Remediation 수행
P A G E 26 Cybersecurity 제품소개 It s not if you will be breached it s when
6. Cybersecurity 제품소개 P A G E 27 EnCase Cybersecurity 는사이버해킹범죄조사소프트웨어로서중요정보유출사고위험을줄이고 악성코드및해킹침해사고대응의복잡성, 비용, 시간등을줄이기위해, 스케줄링, 자동화대응조치, 위협레벨 (Threat Level) 분석및엔트로피 (Entropy) 기능들을종합하여설계되었습니다. EnCase Cybersecurity 보안감사 / IT 감사 / 부정거래조사등 개인 / 기업정보유출조사 은닉된위협식별 침해사고대응및복구 다중시스템 / Network 침해조사 System Profiling 및분석 Malware Entropy Near-Match 분석 악성코드및프로세스행위분석 신속한조사및증거수집 삭제 / 은닉데이터복구및탐지 SAFE Examiner Servlet EnCase Enterprise
6. Cybersecurity 제품소개 [ 계속 ] P A G E 28 SAFE [ Secure Authentication For EnCase ] Servlet [ 0n Target Nodes ] Cybersecurity Examiner EnCase Enterprise
6. Cybersecurity 제품소개 P A G E 29 SAFE 사용자계정 (Examiner) 생성, 인증, 접근권한 PKI 인증, 보안로그인을제공 조사자 (Examiner) 와서블릿 (Servlet) 간의통신암호화지원 (128Bit AES 로암호화된테이터스트림사용 ) 타킷 (Target) 시스템에접근할수있는사용자를관제및통제 Servlet 필요시또는지속적으로조사대상컴퓨터또는서버시스템에설치 기존시스템및소프트웨어와충돌없이설치및구동 [ Passive S/W Agent ] 통신포트 (Port) 와프로세스 (Process) 이름등은사용환경에맞게설정가능 조사자 (Examiner) 가인증서버 (SAFE) 를통한인가된명령을내릴때까지시스템에서비활성화상태 [ 다양한운영체제지원 ] - Windows, AIX, OSX, Solaris HPUX, Linux 등 조사자의컴퓨터에설치되어침해대응, 조사수행 조사자 SAFE 인증후권한을부여받은후대상네트워크노드조사, 검색, 탐지및조치 (Remediation) 업무수행 - 데이터보안감사, 내부감사, 부정조사모듈 - System Profiling & analysis module - 엔트로피분석기 [ Entropy Set Analyzer ] - 시스템위협레벨모듈 [ System Threat Level Module ] - 자동화침해대응모듈 [ EnCase Cybersecurity connector ] Cybersecurity Examiner Cybersecurity Examiner 와컴퓨터간가상보안접속 동시연결 (Concurrent Connection) 수는동시에분석할수있는컴퓨터의수량을의미 [ 구입 License 에따라달라짐 ] 복수컴퓨터를논리적 / 물리적차원에서개별적으로분석, 검사, 검색, 탐지, 조치수행 데이터를수집하고확보 EnCase Enterprise