The Enterprise Immune System 머신러닝기반사이버면역시스템 Quarry Systems dhyoon@quarry.kr
업계의관심과뜨거운고객반응 최근 (2016 년 7 월 14 일 ) 삼성의투자발표 다크트레이스투자유치연혁 [2015 년 3 월 ] 18M USD (200 억원 ) Invoke Capital, Hoxton Ventures [2015 년 6 월 ] 22M USD (240 억원 ) Summit Partners (Leading) [2016 년 7 월 ] 65M USD (720 억원 ) KKR (Leading) [2016 년 7 월 ] Samsung Ventures 다크트레이스시장평가기업가치 : 4,500 억원다크트레이스총투자유지금액 : 1,500 억원 + 다크트레이스인적투자 : 한달평균 20 명 ( 최근 1 년 ) 다크트레이스한국지사 : 설립 9 개월, 직원 5 명 (8 월 )
다크트레이스브리핑 Brief History 영국캠브리지에서 2013 년 7 월설립 2015 년 9 월한국지사설립 ( 여의도 IFC Two 22F) 유명수학자들과영국 / 미국정보요원들의협업으로시작 머신러닝과수학적알고리듬에서착안 영국캠브리지와미국샌프란시스코에본사위치 전세계 1,500 개이상의고객확보 (2016 년 7 월기준 ) 전세계 22 개국지사보유 Notable Awards 2015 년 Security Global Excellence 어워드에서 올해의보안회사 로선정 (Security Company of the Year) Network Products Guide IT World 어워드에서 2015 년최고의내부위협탐지솔루션선정 Gartner 사의 2015 년 Cool Vendor 선정 세계경제포럼 ( 일명다보스포럼 ) 에서 2015 년의 Technology Pioneer 로선정 2016 년 5 월영국최고의 Queen s Award 수상 다크트레이스는 게임체인저 이다! -Virgin Trains ( 영국철도회사 )-
다크트레이스경영진 니콜이건, 대표이사 25 년관련산업경험 ; 전 Autonomy 마케팅대표임원. 고성장소프트웨어산업전문가. Nicole Eagan, CEO 25 years experience in technology; former CMO of Autonomy. Expert in high-growth software businesses 잭스톡데일, 최고기술책임자대용량데이터환경에서의베이지언수학모델적용전문가. 전 Autonomy 의기술이사. Blinkx 의연구개발수장. Jack Stockdale, Global CTO Specialist in application of Bayesian mathematics to large-scale data environments. Former Technical Director at Autonomy and head of R&D at Blinkx 데이브팔머, 기술이사사이버보안전문가. 전직영국정부기관 ; MI5 및 GCHQ 에서의 10 년의관련경력 Dave Palmer, Director of Technology Cyber defense expert with 10 years' experience in the UK government intelligence community - MI5 and GCHQ 마이크린치박사 ( 영국기사작위보유 ) 신기술탐험가, Autonomy 와 Invoke 벤처케피탈창립자. 영국정부소속공식기술자문위원 Dr Mike Lynch OBE Renowned technology entrepreneur, founder of Autonomy and Invoke Capital, technology advisor to UK government 앨런웨이드전직 CIA ( 미국중앙정보국 ) 최고정보책임자. 35 년간의미연방근무경험뒤에국립정보서비스훈장수상 Alan Wade Former CIO of the CIA; Recipient of National Intelligence Distinguished Service Medal after 35-year federal service career 로버트웹롤스로이스회장, 전직브리티시항공회장. 1988 년부터왕립카운슬멤버. 런던주식거래소사외이사 Robert Webb QC GC of Rolls-Royce, former GC of British Airways. Queen s Counsel from 1988. Non-exec director of the London Stock Exchange
다크트레이스 Principles 완벽한방어란있을수없습니다. It is impossible to fully secure your enterprise network 고도화된위협은항상새로운방법을찾아냅니다. Sophisticated threats will always find a way in 내부위협도외부위협과동일한수준으로중요시되어야합니다. Insider threat is as important as external 담당자가 24/7 시그니처와룰을업데이트할수는없습니다. It is impossible to keep rules & signatures up to date 24/7
Why Rules Don t Work? 룰기반의접근방식 대상 PC 가오늘새로운호스트와통신했는가? 대상 PC 가알려진악성사이트에접속했는가? 대상유저가새로운 PC 에서로그인했는가? 대상 PC 가알려진스캐닝방법으로내부통신을했는가? 대상 PC 가내부정보를다운받기위해시도하고실패했는가? 대상 PC 가알려진취약성을이용해다른내부접속을했는가? 대상문서가알려진악성프로그램을포함하고있는가? 룰기반의한계점 알려진모든공격에대한 DB 가있어야함 어제의공격을포함한모든정보가업데이트되어야있어야함 알려지지않은신종공격에대한추측 (Guess) 에의존해야함 고객사의업무흐름을 100% 이해하고튜닝해야함 너무많은오탐이발생함 전담인력이항상관리해야함
진화하는위협방어를위한발상의전환이필요 1 방화벽 경계보안영역 I D S / I P S 웹방화벽 / S W G 접근제어 기타 경계보안 내부사용자 / 서버팜 2 현재까지의위협방어에대한접근방법의한계 1 경계보안의강화를통한방어체계의한계 많은기업들과기관들이인터넷과인트라넷 / 서버팜의경계구간의강화를통한위협대응을수행하고있지만, 계속적으로진화하는공격의방어와대응에한계가있습니다. 2 행위에대한정상및합법여부정의의어려움 정상및합법적행위여부를정의하기위한많은행위규칙 (Rule) 과위협식별을위한시그니처들로부터벗어난다양한행위들이존재하고있습니다. 3 3 시스템과기술을뛰어넘는새로운위협의등장 악성코드, 봇넷, 사이버범죄등의종착지는사람입니다. 인적요소에의한내부정보탈취, 시스템파괴및다양한위협의발생빈도가지속적으로증가하고있습니다. Rule, Signature, Sandbox 등알려지고공유된인텔리전스기반을보완할새로운접근방법필요
Unknown Unknowns: 무엇을모르는지조차모른다. 정책과시그니처, 룰을기반으로한심층방어체계는새로운공격과위협이발생할경우방어수단의확보시까지발견하기어렵 고시간이많이소요될수밖에없습니다. 이상행위를발견하고대응할수있는보다폭넓은가시성의확보가필요합니다. 출처 : 2013 Data Breach Investigation Report by Verizon 몇초몇분몇시간몇일몇주몇달몇년 침해시작 10% 75% 12% 2% 0% 1% 1% 데이터탈취 8% 38% 14% 25% 8% 8% 0% 침해발견 0% 0% 2% 13% 29% 54% 2% 방어및복구 0% 1% 9% 32% 38% 17% 4% 보안사고의약 60% 는 수시간내에발생 그러나 보안사고의약 54% 는수 개월이상미발견
새로운접근 : 면역시스템 사람은면역체계를통해서정상상태를알고있고, 이를통해서스스로아픈곳을인지합니다.. 정보시스템은?.. 정상적인상태를알고있다면비정상적인행위는쉽게탐지할수있습니다.. 방대한데이터흐름에서정상적인상태를정확이분류할기술은?
다크트레이스컨셉 : 정상행위자동학습을통한비정상행위탐지 차세대엔터프라이즈면역시스템 New Approach Enterprise Immune System 네트워크, 사용자, 디바이스의다양한행위에대한자동학습 위협에대한개별요소들의종합적인연관상태를분석하고학습하여정상상태와비정상적인상태를식별한후규칙이나시그니처를기반으로한전통적인시스템이탐지하지못한위협과공격을식별합니다. 시스템은네트워크의정상적인상태를학습하여위협에민감하게반응하고대응할수있는보안 면역체계 를강화할수있습니다. 네트워크, 사용자, 디바이스에대한수학적확률엔진의 비정상적행위 순환적확률추론 베이지안순환확률모형 (RBE), 순차적몬테카를로 (smc), LASSO 모델등을통해고객네트워크를사용하는사용자, 디바이스및행위에대한수학적확률을계산하여지속적으로 정상 상태를확인하고계산합니다. 인체의면역기능을응용한네트워크, 사용자, 디바이스기반정상행위학습기반의건강한면역체계구축
국내전자상거래개인정보유출사태와기존솔루션의한계점 End-point보안솔루션으로 2. 악성코드실행 PC감염후, 파악가능한범위. msoia.exe파일생성및시그니처가업데이트 2016년 05월실행되어있어야함. 2016년 07월 1. 이메일을통하여 우리가족.abcd.scr 파일다운로드 APT 대응솔루션은해당단계만파악가능 / 탐지모드로사용함. A 3. ielowutil.exe 생성및실행하여공격서버와 SSL 통신 ) 2.1. 사용자는정상화면보호기파일로착각 ( 화면보호기우리가족으로바뀜 ) 190.185.124.125 (443) 온두라스 220.132.191.110 (443) 대만 202.137.244.198 (443) 뉴질랜드 B C 6. 1000 만명개인정보유출 5. 개인정보파일 C&C 서버로업로드명령 4. 내부 PC 파일 Search Internal DB Search 8. 30 억비트코인요구 7. CommandCode_C7D3D97AE Ielowutil.exe 자가삭제 9. 침해 / 정보유출인지및언론보도 기존에존재하지않던형태의공격의경우룰 / 시그니처 / 샌드박스기반의보안솔루션으로탐지불가영역 Unusual Server Connection 다크트레이스가상탐지시나리오 Unusual Data Down/Up Load Unusual Data Transfer A 우리가족 멀웨어의 Beaconing 파악 단한번도접속한적없는 PC 가 ( 확률 xx%) 동일그룹내접속이력이없는 IP 에 ( 확률 xx%) 비정상적인시간에 ( 확률 xx%) 비정상적인주기로접속시도 ( 확률 xx%) B Ielowutil.exe 의악성행위파악 평소에접속하지않던 PC 가내부서버에접속평소에다운받지않은용량의데이터를내부서버로부터다운로드서버에서는평소에보내지않던 PC 로데이터전송 C Ielowutil.exe 의업로드파악 평소에접속을맺지않는 IP 로동일그룹내에서접속한적이없는 IP 로평소에보낸적이없던데이터를전송
SIEM 을이용한내부위협관제활용방안 SIEM 에서내부의심 PC 탐지 ~5 min 백신검사, Anti Malware 검사 : 이상없음 ~2Day 침해사고대응인력을통한수동분석악성코드확인 ~3Day SIEM 을통한내부의심호스트탐지대응시근거 ( 언제어떤 URL 로접속, 어떤파일다운로드등 ) 부족으로인해관제대응이어려움
인공지능 (AI)> 머신러닝 > 딥러닝 > 비지도학습 비지도학습 (Unsupervised Learning) 기반머신러닝 다크트레이스의머신러닝엔진은사람의개입을최소화하고현재많은보안대응체계가채택하고있는시그니처와룰기반의접근방법을따르지않습니다 Thought 사고 과거의정보를학습하여판단에필요한인사이트를제시합니다. Real Time 실시간 시스템은현재시점을분석합니다. Self-Improving 자가개선 새롭게학습되는정보를통해스스로개선해나갑니다 Unsupervised Learning 비지도학습 Supervised Learning 지도학습 정의 학습시출력값에대한정보없이 ( 교사없이 ) 진행되는학습 군집화, 밀도추정, 차원축소, 특징추출등이필요한문제에적합 출력결과값을미리알려주는 교사 (supervised) 가존재하는학습 주로인식, 분류, 진단, 예측등의문제해결에적합 사례 동물과관련된데이터가입력되면수집된데이터로부터특징을추출, 군집화, 추정을통해서로다른종으로구분하여분류 파충류, 포유류등종에대한분류지표와기준을이미입력시킨후컴 퓨터로하여금어떤종이파충류인지또는포유류인지분류
위협의확률계산이론 : Recursive Baysian Estimation (RBE) 영국캠브리지대학이 18 세기부터고급베이지언수학에대한연구를선도하였습니다. 베이지언이론은머신러닝분야중에서도다양한변수가존재하는, 비지도학습에사용됩니다. 이는자동학습기반의빠른분류와예측에적합한진일보한통계이론입니다. 디바이스별 RBE 분석 다크트레이스는캠브리지대학의연구자들과함께혁신적인머신러닝기반보안솔루션을개발하였습니다. new new data 디바이스 #A 디바이스 #B 디바이스 #C 클러스터링 Clustering 네트워크구성모델링 Network Topology 네트워크구조모델링위협등급식별 Network Structure Ranking Threat data 클러스터링네트워크구성모델링네트워크구조모델링위협등급식별 네트워크상의동일한디바이스들의행위에대한문맥 (Context) 분석을통해정상상태에대한모델링 네트워크를구성하는디바이스들의연결상태를통해디바이스간의중요한연결상태를모델링하여숨겨져있거나변칙적인연결관계에대한통계, 물리학적분석실행 네트워크상의트래픽을이용한호스트의행위분석에필요한변수들간의관계는매우복잡하므로과대해석을회피하기위해변수의선택과예측력향상을위한 Lasso 모형기반의분석실행 정상행위 식별을위한디바이스의네트워크행위분석및위협등급산정
다크트레이스솔루션아키텍처 [ 사용자 + 디바이스 + 네트워크행위학습 / 추론 / 시각화 ] 다크트레이스엔터프라이즈면역시스템 데이터캡쳐및통합실시간전체트래픽수집 순환베이지안추정비지도기반수학적탐지 위협시각화 3D 토폴로지기반네트워크투시 연동
Threat Classification [ 250+ 위협모델링 ( 경쟁사 : 32 modeling)] 탐지분류위협모델수탐지위협분류 Anomalous Connection 17 1GB Outbound,Active RDP Tunnel,Active SSH Tunnel 외 16 개 Anomalous File 12 Incoming RAR File,Masqueraded File Transfer,Outgoing RAR File 외 8 개 Anomalous Server Activity 15 Data Transfer - DC to Client,DC External Activity,Domain Controller DynDNS SSL or HTTP 외 6 개 Attack 2 Attack and Recon Tools,Exploit Kit,GoNext redirection Compliance 42 Bitcoin Activity,External SNMP,External Windows Communications 외 18 개 Compromise 26 Beaconing to Rare Destination,Connection to Sinkhole,CryptoLocker 외 7 개 Device 17 Address Scan,External DNS Domain Pointing at Local IP,New User 외 9 개 Experimental 66 Excessive HTTP Errors,Heartbleed SSL Success,International Domain Name 외 9 개 System 16 Christmas Tree Attack,CMS Detection,DNS Server Change 외 12 개 Unusual Activity 14 Unusual Activity,Unusual Activity from New Device,Unusual External Activity,Unusual External Connections User 7 Bruteforcing,Kerberos Bruteforce,Multiple New Credentials on Device 외 4 개
다크트레이스 vs. 다른보안솔루션 DARKTRACE APT solution Network forensic & Log analysis 위협영역내부 + 외부외부내부 + 외부 위협의종류모든이상행위악성코드알려진위협 운영노력낮음높음높음 탐지기반기술자동화된머신러닝가상샌드박스사람의지식및룰 상세분석딥패킷분석코드리버싱딥패킷분석,SQL 데이터흐름가시성 3D 기반의 100% 가시성없슴제한적 실시간탐지실시간수분 ~ 수시간수시간 ~ 수일 도입및운영비용중중상
기존운용중인보안솔루션과의시너지
SIEM 과의협업을통한가시성확보제공 SIEM: 정책 / 로그기반가시성 + 다크트레이스 : 사용자 / 디바이스 / 행위 Full Packet 가시성 정책 / 시그니처 / 임계치 정책 / 시그니처 / 임계치이외의네트워크이상행위 URI 기반관리 DB 화되지않은접속이력이없던 URI 접속행위 동적행위분석 신종 / 변종 / 진화된악성코드행위 안티바이러스 신종 / 변종바이러스 / 멀웨어 / 랜섬웨어의행위
일반구성도 계층적어플라이언스구조 회사의규모및구조에맞는다양한구성가능 Darktrace Unified View Server 대규모의통합된네트워크 view 및분석 Darktrace Master Appliance Probe 들의데이터를취합 / 분석 /view 제공 Darktrace Probe 데이터수집 Darktrace vsensor 가상환경에서의데이터수집 SW
다크트레이스어플라이언스 [ Model 별주요 Specification ] 구분 DCIP-S DCIP-M DCIP-X2 폼팩터 1U (Half-Depth) 1U 2U Rack 지원규격 19 inch 19 inch 19 inch 지원가능네트워크 max 300 Mbps max 2 Gbps max 5 Gbps 지원가능디바이스 Up to 1,000 Up to 8,000 Up to 36,000 분당지원가능최대커넥션 전원 2,000 conns. /min 50,000 conns. /min 100,000 conns. /min Single 260W IEC 13C 120/240V Dual 750W IEC 13C 120/240V Dual 750W IEC 13C 120/240V
다크트레이스고객사예시 (2016 년 06 월기준 )
다크트레이스 EIS 솔루션결론 Enterprise Immune System Can Do 1 No Rules / No Signatures To Manage 사전설정룰이나시그니처가필요없는 24/7 기업네트워크의이상행위탐지및분석 2 보안위협자동탐지및 3D 기반의실시간시각화솔루션 3 네트워크가시성 100% 네트워크상의모든사용자, 단말, 장비분석클라우드환경 East-West VM 위협모니터링 4 실시간분석및과겨데이터재생플레이백 (Playback) 350+ 메트릭으로메타데이터화된트래픽패킷 1 년보관 Full 패킷 2 주 + 보관 (Up to models) 5 Darktrace vsensor 로 Cloud 보안가시성확보