지능화공격대응솔루션 FireEye APT 위협대응을위한 FireEye 솔루션소개 1
기업보안기술의발전현황 기업의보안대응기술은공격기술의발전에따라지속적으로발전을이루었습니다. 네트워크보안중심의방화벽 /IPS/ 웹게이트웨이 / 접근통제 / 접근차단등의솔루션에이어서버시스템 / 사용자 PC 의보안대응, 그리고운영의효율성을위한보안관제를위한통합솔루션등의기술발전으로점차적으로보안의가시성을확보하고선제적대응을위해발전하고있습니다. 네트워크보안 서비스 / 사용자보안 주요정보보안 통합정보보안 차세대방화벽 웹프록시 웹방화벽 정보유출차단 로그분석솔루션 차세대 IPS Next Level DDoS 차단 무선 IPS Next Level 네트워크차단 Next Level Next Level 지능화공격대응방안 스팸차단 서버보안솔루션취약점진단 DB 보안 네트워크망분리 안티바이러스 엔드포인트보안 매체제어 PC 암호화 2
보안기술적용기업의사고사례 높은수준의보안투자기업들의지능화공격의피해사례는지속적으로증가하고있으며, 이러한기업들은모두망분리 (Airgap) 를포함한현존하는거의모든보안솔루션을도입하고전문관제운영서비스를받고있는상황이었습니다. 기존의보안기술로는대응이불가능한지능화된공격이증가하고있습니다. - 금융 - 피해규모 7 천 6 백만명거래정보 - 보안투자 : $500M - 네트워크보안 / 컨텐츠보안 / 망분리 / 전용선등 - 금융 - 피해규모 40 만명거래정보 - 네트워크보안 / 컨텐츠보안 / 망분리 / 전용선등 - 금융 - 피해규모 270 만명거래정보 - 네트워크보안 / 컨텐츠보안 / 망분리 / 전용선등 - 유통 - 피해규모영화컨텐츠측정불가 - 네트워크보안 / 컨텐츠보안 / 망분리 / 전용선등 - 유통 - 피해규모 1 억명신용카드정보 - 네트워크보안 / 컨텐츠보안 / 망분리 / 전용선등 - 유통 - 피해규모 5 천 6 백만명거래정보 - 네트워크보안 / 컨텐츠보안 / 망분리 / 전용선등 - 유통 - 피해규모 4 천만명거래정보 - 네트워크보안 / 컨텐츠보안 / 망분리 / 전용선등 - 금융 - 피해규모 100 만불규모손해배상 - 네트워크보안 / 컨텐츠보안 / 망분리 / 전용선등 - 금융 - 피해규모 200 만불규모피해 - 네트워크보안 / 컨텐츠보안 / 망분리 / 전용선등 - 통신 - 피해규모 2500 만불규모벌금 - 보안투자 : $500M - 네트워크보안 / 컨텐츠보안 / 망분리 / 전용선등 - 의료 - 피해규모 8 천만명의료보험정보 - 보안투자 : $500M - 네트워크보안 / 컨텐츠보안 / 망분리 / 전용선등 - 공공 - 피해규모 2 천 1 백만명개인정보 - 네트워크보안 / 컨텐츠보안 / 망분리 / 전용선등 - 공공 - 피해규모 80 만대직원 PC 정보 - 네트워크보안 / 컨텐츠보안 / 망분리 / 전용선등 3
제로데이공격 / 알려지지않은공격의위험성 알려지지않은제로데이공격은이전에어떠한기업, 어떠한보안솔루션에서도탐지되지않은새로운공격전략에의한지능화된공격으로어떠한방법으로든탐지된정보를바탕으로위협에대응하는기존의많은보안솔루션에서는대응이불가능합니다. 기존의보안솔루션패턴매팅탐지모델 제로데이공격탐지불가 알려진공격패턴에의해탐지 패턴 ( 시그니처 ) 알려진공격 내부자감염 시스템감염확산 정보은닉 / 유출 시스템파괴 추가공격시도 4
지능화공격대응기술 FireEye 가상화머신 MVX(Multi-Vector Virtual Execution) 5
FireEye MVX - 지능화된위협대응을위한가상화동적행위분석 APT 공격은기존의공격과다르게웹과이메일을통해 Exploit Dropper Callback 의단계별공격을수행하며, 최초 Exploit 단계에는 Zero-day 취약점을사용하여 Zero-day 공격, 즉, unknown 공격을수행합니다. 현재 unknown 공격을식별하기위한기술로는가상머신에의한동적행위분석이가장뛰어나며유일합니다. APT 위협 (Advanced Persistance Threat) Unknown 공격 ( 알려지지않은최초공격 ) 동적행위분석 ( 사용자 PC 를대신해가상으로감염행위발생 ) Attacker APT(Advanced Persistence Threat) Life Cycle 1) Exploit : 이메일및웹을통한 Watering hole/spearphishing 공격 Exploit Server 2) Dropper : Exploit 을통한 Malware( 공격도구 ) 다운로드 User Callback Server 3) Callback : 감염된사용자 PC 통제를위해준비된 C&C 서버와통신을통한정보침해행위 APT 공격분석 ( 5 0 0, 0 0 0 O B J E C T S / H O U R ) Network Email Mobile Files Exploit 악성행위분석 MVX Engine Malware Download Callback Lateral Transfer Exfiltration 6
FireEye MVX(Multi-Vector Virtual Execution) 보안을위해디자인된가상머신상용VM과달리하드닝된하이퍼바이저시그니처를사용하지않은분석알려진공격과알려지지않은공격탐지파일중심이아닌익스플로잇기반악성여부탐지여러단계의위협에대한탐지뛰어난분석성능장비운영효율성제공 7
Multi-Flow/Multi-Vector 분석의중요성 JS to check condition Encoded malware Load shell code JS to load & decode file JS to perform 0-day exploit These objects or files, individually, are NOT malicious But when they all arrive and execute at the end host, they create and install malware CnC Server 8
FireEye 웹트래픽분석방식 Compromise 4. Callback request B,com A.com Exploit 2. http request 1. A.com 3. Response Exploit code 5. Response encrypt malware B.com malware 3. Response Exploit code 4. Callback request B.com 5. Response encrypt malware Incident 1. A.com 2. http request 3. Response Exploit code 4. Callback request B.com 5. Response encrypt malware MVX 가상머신에서 Incident 가저장한패킷을기준으로재현하며사용자 PC 의변화검증 웹트래픽캡쳐엔진 정적분석엔진 Bottracker BLAT ( 휴리스틱 / 클라우드조회등 ) 동적분석엔진 Jabe ( 사용자환경변화 / OS change) 동적분석엔진 BEAD / BALE ( 사용자환경변화 / OS change) 9
FireEye Malware Protection System Architecture 기존보안솔루션 보유한시그니처와일치하는경우차단 - Known 보유한시그니처에없는경우판단불가 - Unknown MVX Engine Win7 base (32/64bit) WinXP SP2 MVX Engine Win7 SP1 (32/64bit) WinXP base MVX Engine WinXP SP3 트래픽및오브젝트를가상머신에서사용자대신실제실행시켜서그변화의내용을보고악성여부판단 - Known / Unknown 관계없음 10
지능화공격대응기술 APT 전용솔루션 Market Guide for Network Sandboxing Market Definition Network-based sandboxing is a proven technique for detecting malware and targeted attacks. 네트워크기반샌드박스는악성코드및타겟공격탐지를위한검증된기술입니다. 11
보안회사들의기술방향 국내외대부분의보안솔루션기업이지능화공격에대응하기위해기존의보안솔루션에가상화기술을더하여 APT 전용솔루션을출시하였습니다. 가상화기술을통한행위분석만이알려지지않은제로데이공격에대응할수있는솔루션임을말해주고있으며, 가상화기술의우수성이 APT 솔루션의핵심이라고말할수있습니다. 기반기술샌드박스백신웹프록시 IPS 백신 NGFW 백신백신 가상화종류도입시기 자체 VM 2004/01 상용 VM 2011/04 상용 VM 2013/11 상용 VM 2014/05 상용 VM 2013/03 상용 VM 2011/11 상용 VM 2014/05 상용 VM 2012/02 FireEye Internal Report and Google search 12
가상머신선택기준 현존하는 APT 방어솔루션은모두가상시뮬레이션분석기법을채택하여제품출시 가상시뮬레이션의핵심인하이퍼바이저에대한기술력차이, 대부분이 Vmware, VirtualBox 와같은상용 하이퍼바이저를 embedded 하는형태임 하이퍼바이저목적 자체하이퍼바이저사용시 악성코드를탐지하기위해설계된자체하이퍼바이저 상용하이퍼바이저사용시 Vmware나 VirtualBOX와같은상용하이퍼바이저는악성코드탐지목적이아닌가상화기능이주요목적임 가상머신자체취약점보완 자체기술력으로빠른대응 취약점에대한대응이느림 가상머신성능향상 고도화된 Anti-VM 기법 자체기술력으로빠른성능향상 Anti-VM 기법무력화 하이퍼바이저성능향상고려시도입한가상벤더의존성이강함. Anti-VM기법이포함된악성코드분석불가 13
FIREEYE 솔루션소개제품소개 14
지능화공격대응방안 APT 전용솔루션및네트워크포랜식구축 기존시그니처기반의보안솔루션이제공하지못하는알려지지않은제로데이공격에대응하기위해서사용자의웹 / 이메일 / 파일공유의접점에대한행위분석기반 APT 전용솔루션의도입이필요합니다. 이메일 APT 솔루션 : 사내메일시스템을통해유입되는스피어피싱공격에대한대응방안으로이메일의첨부파일 /URL 링크등에대한전수검사를통한공격대응 해외망사용자 Internet 가상화영역 망연계구간 APT 솔루션 : 인터넷망과업무망간파일공유를위한전송시백신기반이아닌행위기반의악성여부검사를통해알려지지않은공격에대응 웹트래픽 APT 솔루션 : 인터넷망 PC 에대한원천적감염차단으로예상할수없는위협에대응이가능하며, 해외망및지점사용자웹트래픽을통한제로데이공격에대응 이메일서버 이메일 APT 방화벽 웹트래픽 APT 인터넷망 PC 망연계솔루션 망연계구간 APT 업무망서버 BB SW 업무망 PC FireEye 통합관리솔루션 : 동적위협인텔리전스의실시간공유와각 MPS 의통합관리 통합관리솔루션 15
FireEye NX Series 개요 FireEye NX Series : 워터링홀과같은웹을통한사용자대상 APT 공격탐지및대응 네트워크트래픽을분석하여의심스러운트래픽에대한트래픽플로우분석수행 단순한바이너리추출에의한악성여부검사기능이아닌사용자네트워크사용현황을기준으로분석수행 FireEye NX Appliance 알려지지않은취약점을통한 Exploit 탐지가능 워터링홀, Drive-by-download 공격탐지가능 탐지된이벤트에대한즉각적인차단설정가능 실행파일및비실행파일 ( 오피스문서, 한글, PDF, 압축파일등 ) 을통한공격에대하여완벽하게분석이가능 탐지된위협이벤트와 네트워크포렌식솔루션 의연동으로이벤트전 / 후간의추가적인위협에대한분석또는심화분석가능 APT Watering hole 공격 16
FireEye NX Series 분석방식 1 2 3 4 모든패킷수집 알려진위협에대한탐지 / 차단 정적분석 - Heuristic - 3 rd AV - YARA - AV-Suite - File Match DTI 동적분석 - 가상실행환경분석 MVX Engine Win7 SP1 (32bit) 익스플로잇탐지 실행파일분석 OS/Apps 조합분석 최초감염 URL 분석 MVX Engine Win7 SP1 (64bit) Zero Day 멜웨어프로파일 MVX Engine WinXP SP3 추가 URL 분석 C&C 프로토콜분석 OS 변조리포트 5 데이터유출 & C&C 통신방지 Port 0 65k Outbound Call back 엔진 17
FireEye NX Series 구성방안 FireEye NX Series 구성방안 : SPAN/TAP 또는 InLine 구성가능 SPAN/TAP 모드 In-Line 모드 : 사용자 IP 가확인되는네트워크스위치에서의미러링이나 TAP 장비를통한미러링을통하여네트워크트래픽을분석하여탐지 / 차단 Internet : 네트워크 IPS 와같이사용자 IP 가확인되는구간에서상하단장비와 In-Line 으로구성하여트래픽을확인하고처리하는구성방식 Internet Administrator Alerts SSH HTTPS Firewall Proxy, Gateway, IPS/IDS Administrator Alerts SSH HTTPS Firewall Proxy, Gateway, IPS/IDS NX SPAN/TAP NX Desktops/Laptops Desktops/Laptops 18
FireEye EX Series 개요 FireEye EX Series : 스피어피싱을통한 APT 대응 정상적인메일로위장한악성메일의분석 / 차단을수행 일반문서파일과같은비실행파일로작성된악성파일및 감염된사이트로의접속을유도하는 URL 링크등에대하여 직접적인분석을통해악성여부확인 FireEye EX Appliance 스피어피싱메일의높은위험성으로수신되는모든메일에대한전수검사를수행하며, 이를위하여최고의가상화분석성능을확보함 ( 단일장비 160개 VM) 탐지된메일에대한즉각적인차단 / 격리설정가능 실행파일및비실행파일 ( 오피스문서, 한글, PDF, 압축파일등 ) 을 통한공격에대하여완벽하게분석이가능 APT Spear-Phishing 공격 기존스팸차단솔루션필터링이후분석을통해효율성확보 19
FireEye EX Series 분석방식 20
FireEye EX Series 구성방안 FireEye EX Series 구성방안 : SPAN/TAP, Bcc 또는 MTA(Inline) 구성가능 MTA(Inline) 모드 : 이메일은 SMTP프로토콜을사용하여논리적인라인구성이가능하며, 스팸메일장비와이메일서버사이에구성하여분석 / 격리 / 전달의기능수행 Quarantine Administrator Alerts SSH HTTPS EX Firewall Internet AntiSpam Gateway or M TA SPAN/TAP, Bcc 모드 : 이메일서버앞단에서 Network 를통해미러링을받아분석하거나스팸메일장비에서 Bcc 모드로메일을전달받아그내용을분석하는방식으로구성 Quarantine Administrator Alerts EX SSH HTTPS Bcc Firewall Internet AntiSpam Gateway or M TA Users M ail Servers (Exchange, etc.) Users M ail Servers (Exchange, etc.) BCC 모드 21
FireEye FX Series 개요 FireEye FX Series : 파일공유서버를통한위협내부확산대응 내부에서운영중인파일서버를대상으로지속적인악성파일여부를분석하여파일서버의무결성확보 파일서버의형식으로운영되는시스템패치관리서버및외부웹서비스와연동되는파일시스템등에대해서악성여부를지속적으로점검하도록운영가능 FireEye FX Appliance 네트워크를사용하지않은 USB/ 외부저장장치를통한 내부시스템감염확산방지가능 탐지된이벤트에대한즉각적인격리 / 삭제설정가능 실행파일및비실행파일 ( 오피스문서, 한글, PDF, 압축파일등 ) 을 통한공격에대하여완벽하게분석이가능 APT File Server 공격 22
FireEye FX Series 구성방안 FireEye FX Series 구성방안 : 파일공유서버에연동하여분석후악성파일격리 파일공유서버스캔 됨 : 파일이공유되는공유시스템에접근가능한위치에설치되어사용자가해당공유시스템에접근하여공유된파일을사용하는것과같이 FireEye FX도공유시스템의파일을분석 : CIFS / NFS방식으로분석대상폴더에접근 : 분석후악성파일은격리폴더에구분하여저장 내부모든 파일공유시스템에문서가다운로드 파일공유시스템 File Scans 악성파일! 정상파일! Quarantine folder FX Analyzed by File M PS to be free of malware Internet Egress Router Firewall Core Switch Users 23
FireEye FX Series 구성방안 FireEye FX Series 구성방안 : 망연계시스템과연동하여분석후악성파일격리 Internet 인터넷라우터 방화벽 인터넷망 FX( 망연계구간 APT 솔루션 ) 내부망 업무용서버팜 3 스위치 스위치 자료교환서버 자료교환서버 망연계 24
FIREEYE 레퍼런스및구축사례국내외다양한산업군별레퍼런스 25
FireEye 국내도입현황 Aerospace 3 Entertainment /Media 7 E-Commerce 16 Construction / Energy 19 173 45,000 1,000,000 Financial 47 Govn t 21 고객사국내센서수이메일계정수 Healthcare 3 Hi-Tech 5 Manufacturing 10 Education 12 Transportation 4 Telecom SP 6 Service 13 Retail 7 26
FireEye 국내레퍼런스 일반기업금융권공공기관교육 / 의료기관포털 / 인터넷 27
FireEye 해외및삼성관련레퍼런스 삼성그룹전계열사이메일 (mysingle) 보안을위한 FireEye EX 구성운영중 삼성전자반도체사업장 FireEye NX 구성운영중 28
FireEye 시장점유율 2013 IDC Report Network Security Sandbox Market Analysis in FROST & SULLIVAN 2015 29
FIREEYE 도입효과국내외다양한산업군별레퍼런스 30
FireEye 도입효과 에너지기업 : 도입후외부공격위협으로부터 99.2% 감소효과 기업명 : S 그룹 40 만명이상의임직원대상이메일보안솔루션도입 기존스팸차단솔루션에서탐지못했던악성메일이하루 100 여건씩발견됨 협력사직원을가장한이메일상당수탐지 임원을대상으로한공격비율이높음 특정기업군대상의 APT 해커그룹의공격도발견됨 악성이메일을모두차단하여, 보안성이대폭강화됨 효과 : 보안사고유출시요구되는기업이미지개선을위한마케팅비용등절감 인터넷기업 : 신속한탐지및대응으로, 운영인력 3 배충원효과 31
SECURITY REIMAGINED WITH FIREEYE 감사합니다. 32