SEOUL, KOREA

SEOUL, KOREA

EDR 이필수인지금, 무엇을고민해야할까? 부성현수석컨설턴트

EDR, 이젠선택이아닌필수

아직도고민중이신가요 이미오래전부터 EDR 은우리에게이야기하고있었습니다. 자신의가치에대해 Gartner Endpoint Threat Detection & Response 4 0000% 1111 2014 2222 3333 4444 555 2013 2015 2016 2017 1,011 2018 가치 346 사이버위협방어는실패했다 빨리대응하라 238 RSA2015-16 Gartner Endpoint Detection & Response 502 RSA2017 위협인텔리전스를활용한 EDR RSA2018 EDR AI EPP 5,871 2025

아직도고민중이신가요 국내에출시된 EDR 솔루션이상당합니다. 어떤이는 EDR 춘추전국시대라고도하는데 RSA2015 2004 2007 2011 2012 2015 2017 2018 Tripwire BeyondTrust Dtex Systems LogRhythm Nuix Secdo 이노티움 Verint Check Point Endgame Malwarebytes Nyotron SecureWorks 이스트시큐리티 Ziften Cyberbit Fidelis McAfee Panda SentinelOne 큐브피아 ZoneFox Cynet F-Secure Triumfant Promisec Sophos 하우리 Infocyte Digital Guardian Invincea Nexthink RedCanary TrendMicro 5

EDR 도입고려사항은 상당수의 EDR 솔루션이마켓에진입이어려웠던상황을보자면.. 엔드포인트보안전문제품회사가 EDR도잘만들까? 제대로된기능구현이아닌메뉴만구현되어있지않은가? EDR에핵심인 IR침해사고경험과사이버위협인텔리전스가충분한가? EDR을통해위험인지와전사보안에대한가시성을확보할수있을까? PC 내다양한솔루션과의융합이잘되는가? 솔루션간충돌이나예외사항에대해대응이가능한가? 국내환경에맞는구축경험이있는가? 안그래도설치되어있는솔루션이많은데단일에이전트로커버가능한가? 우리는클라우드에민감한데 On-Premise 형태로설치가능한가? 6

파이어아이엔드포인트솔루션

머신러닝 MG 파이어아이엔드포인트솔루션에도머신러닝이있다는데.. Malware Guard 는지도형 (Supervised) 학습기반의머신러닝기술을통해알려지지않은신종공격을탐지하고격리조치하는엔진입니다. 일반적인데이터기반으로학습된머신러닝의학습결과는질낮은결과가도출되며, 많은오탐이발생합니다. 이런문제점을해결한것이지도형 (Supervised) 학습법입니다. 학습단계 적용단계 데이터소스 300M Binaries VirusTotal ReversingLabs ThreatMatrix Satori FireEye 머신러닝지도형학습 Labeling the Data 고품질결과도출 & 오탐률최소화 데이터세트 Classification FireEye DTI 업데이트 FireEye HX HX 4502 머신러닝기반멀웨어가드엔진 제로데이및신종공격탐지 변종랜섬웨어탐지 HX Agent 에이전트 8

머신러닝 MG 탐지율 파이어아이엔드포인트솔루션이 AV-Comparatives 내부평가를거쳐선정하는 Business Product Award 를받음 PROTECTION RATE 1H 2018 87.8% PROTECTION RATE Q3 2018 99.3% FALSE POSITIVES 1H 2018 0% FALSE POSITIVES Q3 2018 0% 9

위협인텔리전스리더 사이버위협최전선에서얻은풍부한경험기반의위협인텔리전스그리고이분야의리더로인정 Machine 15,000 센서 56 30+ The Forrester New Wave TM External Threat Intelligence Service 국가 X0,000,000 Human 22 국가 170+ MVX/Hour 2018년 9월 / 리더로선정분석가 / 리서처 언어 Campaign 7 글로벌 SOC 99M+ 수집이벤트 21M+ 인텔검증된경고 33,700+ 인시던트처리 Mandiant 13+ 경험 200+ 포춘 500 고객 26 전문가 10

차세대백신, 머신러닝, 익스플로잇가드그리고인텔리전스 ONE 에이전트로 APT 공격라이프사이클을모두이해할수있는커버리지.. 11

제대로평가된파이어아이엔드포인트솔루션 파이어아이엔드포인트솔루션이 1 위가된이유는매년 20 만시간이상의침해조사로부터수집된통찰과 Intelligence 를기반으로개발되었기때문입니다. 1 위 1 위 MITRE 는독립적인비영리조직 EDR 탐지및대응솔루션평가프레임워크기반으로평가수행 개별적인공격단계 136 개및 56 가지 ATT&CK 공격기술평가 1 위 12

국내엔드포인트전문업체와의파트너쉽 국내엔드포인트보안솔루션기술경험이풍부한에스지에이솔루션즈의최고의서포트 엔드포인트보안솔루션개발및공급 HX 기술지원콜센터운영 POC 지원 TAC 지원서비스 HX 교육지원 국내환경에맞는 QA 지원 HX TOOL 지원 13

인텔리전스를활용한 HX 헌팅

사용된기법 실제해커그룹에서사용된공격시나리오 공격자는회의실이나커피숍에서목표로한 CXO 옆에앉아커피를마십니다. CXO 가커피주문을받으러가거나화장실에간사이 Rubber Ducky 를 CXO 노트북에연결합니다.( 약 5-10 초걸림 ) 페이로드는 cmd.exe 를 sethc.exe 로스왑하고 RDP 를활성화합니다. 15

사용된기법 실제해커그룹에서사용된공격시나리오 이후공격자는 Wi-Fi 를통해 RDP 리스닝상태인호스트를찾습니다. RDP 세션을통해로그인화면이나오면 Shift Key 를 5 번칩니다. Initial Recon 16

파이어아이 EDR 을통해실체를밝혀보자 SETHC 방법론에대한의심행위탐지 HX ALERT? Initial Recon 17

파이어아이 EDR 을통해실체를밝혀보자 SETHC 이벤트와연관된 INTELLIGENCE HX ALERT INTELL? Initial Compromise 18

파이어아이 EDR 을통해실체를밝혀보자 계정탈취형 Mimikatz 방법론에대한의심행위탐지 HX ALERT INTELL Mimikatz? Establish Foothold 19

파이어아이 EDR 을통해실체를밝혀보자 Mimikatz 이벤트와연관된 INTELLIGENCE HX ALERT INTELL Mimikatz INTELL? Establish Foothold 20

파이어아이 EDR 을통해실체를밝혀보자 Powershell 운영도구에대한의심행위탐지 HX ALERT INTELL Mimikatz INTELL Power? shell Establish Foothold 21

파이어아이 EDR 을통해실체를밝혀보자 Powershell 을통한 Mimikatz 이며연관된외부 C2 서버확인 HX ALERT INTELL Mimikatz INTELL Power? shell Passw ord Dump Establish Foothold 22

파이어아이 EDR 을통해실체를밝혀보자 Fake 계정생성을하는공격자의행위확인 HX ALERT INTELL Mimikatz INTELL Fake Admin Account Power? shell Passw ord Dump Escalate Privileges 23

파이어아이 EDR 을통해실체를밝혀보자 Ninja 계정을통해 Lateral Movement 시도를하는공격자의행위확인 HX ALERT INTELL Mimikatz INTELL Fake Admin Account Power? shell Ninja s Password Passw ord Dump Lateral Movement 24

파이어아이 EDR 을통해실체를밝혀보자 Ninja 계정을통해 Lateral Movement 시도를하는공격자의행위확인 HX ALERT INTELL Mimikatz INTELL Fake Admin Account Power? shell Ninja s Password Passw ord Dump Event Log Cleared Lateral Movement 25

파이어아이 EDR 을통해실체를밝혀보자 중요정보를암호화된압축파일로아카이빙하는단계확인 HX ALERT INTELL Mimikatz INTELL Fake Admin Account Power? shell Ninja s Password Passw ord Dump Event Log Cleared DATA Theft Complete Mission 26

파이어아이 EDR 을통해실체를밝혀보자 암호화된압축파일을외부 FTP 서버로유출하는단계확인 HX ALERT INTELL Mimikatz INTELL Fake Admin Account Power? shell Ninja s Password Passw ord Dump Event Log Cleared DATA Theft DATA Exfil Complete Mission 27

파이어아이 EDR 을통해실체를밝혀보자 헌팅!! servicedesk Fake User 를사용하는호스트전수검사 HX ALERT INTELL Mimikatz INTELL Fake Admin Account Power? shell Ninja s Password Passw ord Dump Event Log Cleared DATA Theft DATA Exfil More Victims Complete Mission 28

파이어아이 EDR 을통해실체를밝혀보자 헌팅!! Windows Events 4728 ( 글로벌그룹에추가된유저 ) 전수검사또는 Windows Events 4732 (Security-enabled 로컬그룹에추가된유저 ) 전수검사 HX ALERT INTELL Mimikatz INTELL Fake Admin Account Power? shell Ninja s Password Passw ord Dump Event Log Cleared DATA Theft DATA Exfil More Victims 29

파이어아이 EDR 을통해실체를밝혀보자 헌팅!! 원격접속에대해확인 Windows Events 4624 ( 로그온에성공한계정 ) and Logon Type 3 (logon from network) or 10 (logon using Terminal Services or Remote Desktop) HX ALERT INTELL Mimikatz INTELL Fake Admin Account Power? shell Ninja s Password Passw ord Dump Event Log Cleared DATA Theft DATA Exfil More Victims 30

파이어아이 EDR 을통해실체를밝혀보자 헌팅!! 증거인멸확인 Windows Events 1102 and event log type Security HX ALERT INTELL Mimikatz INTELL Fake Admin Account Power? shell Ninja s Password Passw ord Dump Event Log Cleared DATA Theft DATA Exfil More Victims 31

파이어아이 EDR 을통해실체를밝혀보자 + INTELLIGENCE =? 32

HX 와 INTELLIGENCE 를통한대응방안 기업의적대국인이란발공격그룹확인 이들의공격최근 TTP 한국中정상적인기업을대상으로특정서비스로공격진행중임을등록함을확인확인된데이터로전수검사시행 33 기업의산업군과일치함을확인

아직도고민중이신가요?

EDR 을어떤방식으로평가를하면좋을까 평가방식이상당히중요하다솔루션지원체계 / 레퍼런스를통해안정성이통과가되면이제어떤방식으로평가를하면좋을지를고민하자단편적인샘플테스트가아닌실제 APT 라이프사이클을통한복합적인테스트방식 즉, 인텔리전스한테스트방식 이필요하며, 고민하는솔루션이어떠한커버리지가있는지직접눈으로확인을해보자 35

MITRE ATT&CK 평가방식을참고해보자 MITRE는 ATT&CCK에서선별한 56개의공격기법으로 136개의개별공격단계를구성하였으며, 참조한공격그룹은중국의 APT3 임. ATT&CK Matrix 36

발표를마치며 항공전략 공세 방어 해양전략 대륙전략 37

발표를마치며 침해사실에대한빠른인지그리고대응반드시필요 이제는선택이아닌필수로써적극적인관심과투자필요 인텔리전스한 EDR 그리고인텔리전스한평가방식 38

39 감사합니다