Total Solution Provider for Information Security 2016. 06
보안침해대응및보안관제기술동향 인공지능기반위협탐지및예측 침해사고유사도분석, 유사침해자원패턴매칭, 네트워크기반이상징후탐지 / 분석등다양한방식을통한침해사고위협탐지는많으나딥러닝, 머신러닝등인공지능기반위협탐지, 예측기술필요성대두 악성코드게놈프로젝트개별악성코드자동분석및악성코드간유사성분석기술을연구하여악성코드프로파일링및대량의유사악성코드그룹분류기술과학습기반의악성코드분석 / 분류기술들이연구되고있음 사이버블랙박스및 Intelligence 분석프로젝트 네트워크트래픽을수집, 관리및무결성보장기술과 Semantic 기반침해사고원인분석및공격재현기술, 침해공격정보연동및정보공유기술이연구되고있음 침해사고역추적기술다중소스기반의장기간침해사고분석을통한특징추출및연관된공격근원지탐지 / 침해사고원인분석기술과공격자그룹식별및자동역추적기술이연구되고있음 *) 출처 : 2016 년 ICT R&D 전략포럼미래부 /IITP
CONTENTS SINCE 2010
CONTENTS SINCE 2010
사이버공격대응전략전환의필요성 보안시스템들의과도한이벤트 시그니처와탐지룰기반의각종보안시스템들이띄우는수많은보안이벤트들을분석하고판단하는데한계를느끼고계시지않으십니까? 보안전담조직의불편한현실 과도하게발생하는보안경보로보안관리자의보안이벤트중요성인식저하 다양한단위보안도구에서발생하는다량의경보와이벤트에대한연관성파악부재로시스템이어떤위험에노출되어있는지파악이용이하지않음 침입탐지솔루션의최대단점인과도한 false alarm 의발생및로그의발생으로인해보안관리자들이전체단위보안솔루션들을효율적으로관리할수없음 보안도구 / 콘솔의독립적인운영및관리로보안관리자의생산성저하 단위보안툴에서발생하는로그의분산저장으로감사대비책미비 현재보안대책중가장어려운점 (2016, 아이티비즈 ) 26% 보안기술및모니터링인력부족 19% 문제의진짜근본원인해결을위한솔루션미비 18% 임직원의보안인식부족 14% BOYD 등사이버공격접점이늘어나는기업환경 10% 단하나의약점으로도뚫리는보안현실 4
사이버공격대응전략전환의필요성 경계선보안을우회한내부공격 Firewall, ESM, IDS/IPS, WAF 와같은경계선보안의우회공격에성공하여주변시스템으로공격을확장및전이하고있는내부공격들을어떻게탐지하고모니터링하고계십니까? 사이버공격과대응단계 Vectra Sensor Firewall & UTM Web & Email Gateway, Proxies IDS/IPS, URL Filtering Anti-Malware, Anti-Virus 최전방방어에대한과신 최전선의방어선을우회한 - 사이버공격의인지와 - 실시간모니터링등의방안을위한솔루션은? SIEM NBA(Network Behavior Analysis) Networks Forensic, Netflows Log Management 사후에사이버공격인지 여러가지보안시스템을갖추고있지만, - 보안침해사고의 69% 는외부 ( 고객또는기관 ) 에서발견 - 보안침해사고의 31% 는내부에서발견되고있음 (*) 출처 : 2015, www.mandiant.com 5
사이버공격대응전략전환의필요성 지속성공격의탐지와예측필요 단편적공격탐지가아니라지속적이고장기적인형태의공격현황을탐지하고이를시계열적으로분석하여향후공격을예측할수있는시스템을갖추고있습니까? 사이버공격을발견하기까지최대 2,982 일, 평균 205 일소요 미국대형유통할인마트 Target 사 POS 카드결재정보유출해킹 (>1 억천만건 ) 는공격부터데이터유출까지약 5 개월간동안이뤄짐 Attacker Timeline: 2013.09~2014.01 (*) 출처 : 2015, www.mandiant.com (*) 출처 : 2014, USA Committee on Commerce, Science, and Transportation 6
사이버공격대응전략전환의필요성 제한된리소스와증가하는데이터 보안팀의리소스는한정되어있는데, 늘어나는각종보안시스템운영과늘어나는데이터의분석, 새로운기술과기법에대한분석및연구이슈는어떻게해결하고계십니까? 수천만 Raw Event, 수백만보안장비 Event 기업의정보보호예산지출 (2015, 미래부 ) 방화벽로그 웹방화벽로그 IDS/IPS로그 Anti-바이러스로그 Anti-SPAM로그 VPN로그 좀비차단로그 DRM 로그 DLP 로그 암호화장비로그 기업의정보보호예산은 14 년대비 18.6% 증가하였으나, 제품 (51.2%) > 서비스 (37.7%) > 인건비 (11.2%) 순 증액되지않는정보보호인력인건비투자 수천만 Raw Event 수백만보안장비 Correlated Event 수백만보안장비 Event (*) 출처 : 2015 년정보보호실태조사 ( 미래부 ) 7
사이버공격대응전략전환의필요성 알파고와같은머신런닝을활용해서 Cyber Attack 을효율적으로대응할수있을까? 데이터사이언스기법으로수많은공격들을정확하게분석할수있을까? 실시간으로 Cyber Attack 현황을정확하게모니터링하고 TOC 를줄일수있는방안을무엇일까? Supervised Learning 8
CONTENTS SINCE 2010
Vectra 의진화된사이버공격대응전략 1 Machine Learning 과 Data Science 알고리즘기반 전세계 Cyber attack 정보의학습 (Global Supervised Learning Algorithm) 과고객사현장의비정상적행위학습 (Local Unsupervised Learning Algorithm) 과정을지속적으로병행하고, 통합상관분석알고리즘을이용하여고객사를장시간프로파일링함으로써비정상행위들을정확하게탐지하여정보를제공 [ Vectra 의 ML, DS Algorithm ] 정확한 Cyber Attack 탐지를위한 Vectra 의지속적기계학습병행과상관분석을통합한알고리즘 Global Learning Local Learning Integrated Intelligence 전세계사이버공격학습알고리즘 Global Supervised Learning 전세계 Cyber Attack 데이터, 기법, 사례들을분석, 공통특징축출 Vectra Threat Labs(Data Scientists, Cyber Security Experts group) 의알고리즘화 예 ) Random forest Algorithm 등 고객사현황현장학습알고리즘 Local Unsupervised Learning 기업의내부모든 IP 의행위를학습및분석, 정상 / 비정상행위를식별 Vectra 의 ATM(Automated Threat Manage -ment) model 의알고리즘화 예 ) K-means clustering, outlier analysis 등 통합상관분석알고리즘 Integrated Intelligence 장시간의고객사현장학습의프로파일링과탐지알고리즘을바탕으로공격형태를상관분석하여정확한탐지 예 ) Bayesian networks 등 10
Vectra 의진화된사이버공격대응전략 2 인터넷 + 내부네트워크의 Cyber Kill Chain 공격탐지 일반적인 Cyber Attack 의공격단계 ( 기업외부 > 내부공격 > 데이터유출 ) 를 Vectra 는 5 개유형 (Cyber Kill Chain) 으로구분하고유형별탐지알고리즘을적용함으로써, Perimeter Security 를우회하여내부로공격을확대전이하고외부 C&C 서버와통신하며데이터를유출하는모든공격을정확하게탐지함 Internet W N S 외부의접근권한획득 E Router Firewall /IDS/IPS Switch W N S 외부로주요정보유출 E 인터넷 내부네트워크 Vectra Detection W N S E Perimeter 차단우회침투성공후내부공격 11
Vectra 의진화된사이버공격대응전략 3 No Signature, No Rule, No Configuration Vectra 는 Machine Learning 과 Data Science 알고리즘을기반으로고객사네트워크를장시간 Profiling 하여위협을탐지함으로써, Signature 또는 Rule 에의존하는기존 Cyber attack 탐지방식의한계를극복하여고객사의 Cyber Attack 들을정확하게탐지하여모니터링정보를제공함 [ Vectra 의개념아키텍처 ] Vectra Sensor 에서수집된 Packet 은 Vectra Brain 에전송, 장기간 Profiling 하여 Vectra 의탐지알고리즘에의해 Cyber Attack 을자동으로탐지 장기간로컬네트워크를 Profiling (6~9 개월간 ) No Filters No Configurations No Signatures No reputation lists 신종공격기법을정확하게탐지 ( 예 : Duqu 2.0 등 ) 타킷형의장기, 지속공격의전확한탐지 탐지룰셋추가및최적화작업필요없는자동탐지 전문분석가없는기업도최고수준의탐지환경구축 12
Vectra 의진화된사이버공격대응전략 4 시계열분석기능과정확도높은스코어링 Vectra 는모니터링대상에서이뤄지는 Cyber Attack 단계별탐지현황을지속적으로기록관리하여, 현재의단편적인위협상황뿐만아니라그간의모든공격탐지이력과정확도를 Scoring 하여제공함으로써, 현재와향후주요모니터링대상또는조치방법을판단하기위한신뢰성높은의사결정지표를제공함 [ Vectra 가탐지한내부호스트의공격단계별연관화면 ] [ Vectra 의 Tracking the attack progression over time ] Vectra 에서탐지된이호스트는외부에서공격시도 (External Remote Access) 와내부스캔 (Internal Darknet Scan) 및 Peer-to-peer 접속등 Cyber Attack 이단계적으로이뤄지고있는이력을확인할수있음 Vectra 에서탐지된이호스트는 5/20 부터 27 까지 Port Scan 공격이있었고, 의심스러운 HTTP 통신 Malware 업데이트가 6 월 5 일까지이뤄졌으며, 현재는내부포트스캐닝공격이이뤄지고있음 13
Vectra 의진화된사이버공격대응전략 5 네트워크기반의실시간사이버공격탐지 Vectra 는 Brain 역할을하는 X-Series 를 Core Switch 에연결하고각 Workgroup Switch 에 S-Series 의 Sensor 를 Packet Mirroring 으로설치하여, 단일기업형뿐만아니라분산형, 그룹사형, Cloud Network 형등다양한환경에대하여 Cyber Attack 현황을실시간으로모니터링할수있음 [ 기존환경에유연하고간편한 Vectra 의설치구성 ] < Vectra Model > Vectra S Series SPAN SPAN SPAN SPAN Vectra X-Series Vectra X-Series X-Series, S-Series Virtual Sensor Brain/Sensor/Mixed Mode < Vectra Model > Packet Mirroring >1% 의패킷정제 Real-time detection < Vectra Target > 모든 IP Devices 모든 Protocols IoT Device Cloud Computing Network Vectra 의 X-Series, S-Series 의유연한분산구성과간편한설치로실시간모니터링 단일기업형 분산기업형 그룹사구성형 Cloud Network 형 14
Vectra 의진화된사이버공격대응전략 6 직관적이고간결한관리자화면 Vectra 의간결하고직관적인화면구성은관리자가판단해야할신속한의사결정지원을위하여단순한메뉴구성과조치우선순위별 4/4 분면표시, 긴급조치대상호스트, 핵심자산호스트에대한 1 개월또는 24 시간동안의간략한 Cyber Attack 현황및이력표시, 급격하게변화된호스트의공격현황등을제공함 [ Vectra 의 Dashboard 화면 -1 개월간의공격탐지현황 ] [ 관리자의직관화를위한간결한화면 ] Vectra 의데쉬보드는조치의긴급성에따라관리자가직관적으로알수있도록 4/4 분면으로긴급조치의우선순위별호스트현황을표시 조치 2 순위호스트 관심대상호스트 조치 1 순위호스트 조치 3 순위호스트 [ 조치우선순위별 4/4 분면에직관화 ] Vectra 의데쉬보드는조치의긴급성에따라관리자가직관적으로알수있도록 4/4 분면으로긴급조치의우선순위별호스트현황을표시 [ 긴급조치대상호스트의요약표시 ] 한번의클릭으로호스트별 Cyber Attack 현황을손쉽게간략한현황을확인할수있어서, 조치여부판단을위한신속한의사결정을지원 15
Vectra 의진화된사이버공격대응전략 7 기존보안시스템과의유연한연동기능 Vectra 는 SIEM, Sandboxing 형태의 APT, IPS 등과같은기존보안시스템을대체하기보다는활용목적에따라상호보완할수있는보안시스템으로써, Big Data, 악성코드분석, 침해사고역추척등의보안기술동향에따라타보안시스템과유기적으로연동하여목적을달성할수있는다양한연동기술은제공함 [ Syslog 를이용한연동 ] [ RESTFUL API 기반의연동 ] [ Splunk 를이용한연동 ] Vectra 벡트라는표준시스템로그또는 HP ArcSight 의공통이벤트형식 (CEF) 의시스템로그를사용할수있도록간단한 Vectra 설정으로제공함 Vectra 가제공하는 RESTFUL API 는개방형표준 API 로써, Vectra 가탐지한정확한정보를다른보안시스템에서손쉽게이용할수있도록 JSON 형태로제공함 ( 필요시연동개발을지원함 ) Vectra 는 Big Data 분석등을목적으로 Splunk 개발자가 Real-time 으로 Vectra 의탐지정보를연동할수있도록 Vectra App for Splunk 를제공함 ( 필요시연동개발을지원함 ) 16
Vectra 의진화된사이버공격대응전략 1 Machine Learning 과 Data Science 알고리즘기반 2 인터넷 + 내부네트워크의 Cyber Kill Chain 공격탐지 3 No Signature, No Rule, No Configuration 4 시계열분석기능과정확도높은스코어링 5 6 네트워크기반의실시간사이버공격탐지직관적이고간결한관리자화면 7 기존보안시스템과의유연한연동기능 머신런닝과데이터사이언스기반의실시간네트워크 Cyber Attack 탐지및모니터링 17
CONTENTS SINCE 2010
Vectra 가제공하는주요기능및화면 1 Dashboard 최근 1 개월탐지현황과요약정보 대쉬보드는실제로내부네트워크에서진행되고있는공격또는악성행위를일으키는우선적으로조치가필요한호스트를직관적인화면으로제공하며잠재적인위협이될수있는의심스로운호스트들을모니터링 조치 2 순위 조치 1 순위 위협도 내부호스트와연결현황 조치 3 순위 정확도 19
Vectra 가제공하는주요기능및화면 2 Dashboard 24 시간현재현황요약 Vectra 의메인화면은긴급조치해야호스트별현황 (Host Serverity Summary), 핵심정보자산에대한요약정보 (Key Assets) 등을관리자의관점에서간략하게요약한화면을제공함 탐지된호스트요약 주요자산으로등록한호스트에대한이벤트현황리스트 이상행위호스트 Top 5 이벤트종류별누적통계현황 위험도상승호스트 Top 5 20
Vectra 가제공하는주요기능및화면 3 Cyber Attack 이탐지된호스트와내역 Cyber Attack 이탐지된호스트의세부탐지내역을제공함으로써어떤공격들이언제탐지되었고, 서로어떤관계가있는지직관적으로인지할수있도록위협과정확도를기준으로그상세내역을제공함 탐지된 Host 두단계의상관된공격으로탐지되어정확도와위협도높음. 21
Vectra 가제공하는주요기능및화면 4 내부침투를위해스캔을시도한현황 Cyber Attack 의초기단계인정찰단계 (Reconaissance) 를탐지할뿐만아니라내부공격의전형적인형태인여러호스트를대상으로내부스캔공격을시도한시간, 횟수, 패킷의크기등의내역을제공함 22
Vectra 가제공하는주요기능및화면 5 내부침투성공이후타호스트와통신 Vectra 는 Cyber Attack 이탐지된호스트가직접적인공격뿐만아니라권한이뻬앗긴이후다른호스트로공격을내부로확대또는전이하거나 C&C Server 와의통신내역을모두제공함 해당호스트정보 해당호스트위험도 / 정확도 탐지된 Cyber Attack 리스트 타호스트와의공격확대관계내역 통신이이루어졌던호스트정보및내역 23
Vectra 가제공하는주요기능및화면 6 자신을복제하는자동화된공격탐지 내부침투에성공한이후, 공격확대및전이를위해내부의여러타시스템들에게자신의복제를시도한내역들을연관도와시계열분석, 파일사이즈, 사용된서비스포트등을제공함 24
Vectra 가제공하는주요기능및화면 7 C&C 서버업데이트, 해당위협의 PCAP 제공 내부침투에성공한이후, 공격확대및전이를위해내부의여러타시스템들에게자신의복제를시도한내역들을연관도와시계열분석, 파일사이즈, 사용된서비스포트등을제공함 C&C 서버로부터파일업데이트하는행위 해당이벤트에대해 PCAP 파일제공패킷레벨로공격검증 상세정보및조치방안제공 25
Vectra 가제공하는주요기능및화면 Cyber Kill Chain 별탐지알고리즘 (Command & Control) Cyber Kill Chain 항목비고 Command & Control ( 악성행위의시발점인다양한 C&C 공격탐지 ) External Remote Access Hidden DNS Tunnel Hidden HTTP Tunnel Hidden HTTPS Tunnel 외부에서의원격접속으로공격하는행위 감염된내부호스트가외부호스트와일반적인프로토콜을통해은밀하게위장하여통신하는행위 (HTTPS 트래픽의복호화없이데이타사이언스기법으로통신패턴을분석 ( 딜레이, 볼륨, 순서, 비정상요청 / 응답등 ) 하여위협행위탐지 ) C&C Botnet Recon Lateral Exfil Malware Update Peer-To-Peer Pulling Instructions Stealth HTTP Post Suspect Domain Activity Suspicious HTTP 감염된 Malware 의업데이트하는행위 ( 외부로부터인스톨파일다운로드, 다운로드파일체크패턴등 ) 내부호스트가다수의외부 IP 와 P2P 통신을하는행위 외부 IP 나도메인과통신하여명령을받는행위 ( 통신패턴과송수신데이타양분석 ) 외부호스트로식별되지않은다수의 HTTP Post Request 로데이타를보내는행위 의심스러운외부도메인을찾는행위, 자동화된도메인이름생성툴에위한도메인, 존재하지않는도메인이름을빠르게찾는행위등 실제로 Browser 가아닌데 Browser 형태로기형의 User-agent string 정보를송신하는행위 ( 바이너리파일다운 ) Tor Activity Tor( 프락시를통한우회통신등 ) 형태의악성통신. 26
Vectra 가제공하는주요기능및화면 Cyber Kill Chain 별탐지알고리즘 (BotNet Activity) Cyber Kill Chain 항목비고 Botnet Activity ( 감염된 Bot 들의악성행위탐지 ) Abnormal Ad Activity 감염된내부호스트가일반적이지않은다수의 HTTP Redirection 등을통해악성코드가포함되어있을수있는배너및팝업광고를클릭하도록유도하는악성행위 Abnormal Web Activity 외부웹서버에접속하여악성콘텐츠를다운로드하게하는악성행위. C&C Botnet Recon Lateral Exfil Bitcoin Mining 사이버화폐 (Bitcoin) 를수집하는악성행위 Brute-Force Attack 감염된내부호스트가다양한프로토콜로내 / 외부서버비정상적인시도를하거나무차별암호추측공격을하는행위. Outbound DoS 감염된내부호스트가외부로 DoS 공격을하는행위 (SYN Flood, Slowloris) Outbound Scan 감염된내부호스트가외부서비스에연결하기위해 Scan 을하는행위 Outbound Spam 외부로일반적이지않은다량의 Spam 메일을전송하는행위 Relay Communication C&C 통신을감추기위한연계통신행위. 27
Vectra 가제공하는주요기능및화면 Cyber Kill Chain 별탐지알고리즘 (Reconnaissance, Lateral Movement, Exfiltration) Cyber Kill Chain 항목비고 Reconnaissance ( 내부탐색 ) Lateral Movement ( 공격전이및확대 ) Internal Darknet Scan Port Scan Port Sweep Automated Replication Brute-Force Attack 내부확장을하기위해감염된호스트가포함된네트워크및더넓은확장을위해임의의네트워크까지 Scan 하는악성행위 내부확장행위중다수의 IP 를대상으로소수의 Port 만을스캔하는행위 악성코드를내부시스템에확장을시도하는악성행위 ( 같거나유사한 payload 를다수의내부서버에전송 ) 내부확장을위해다양한프로토콜 (RDP, VNC, SSH, HTTP/S, SSL/TLS) 을이용하여계정을탈취하기위한악성행위 (Heartbleed 공격 ( 메모리스크래핑등 )) C&C Botnet Recon Lateral Exfil Exfiltration ( 데이터유출 ) Kerberos Client Activity Kerberos Server Activity Kerberos Identity Activiry Ransomware File Activity SQL Injection Activity Data Smuggler Hidden DNS Tunnel Hidden HTTP Tunnel Hidden HTTPS Tunnel Staged Transfer-Hop1 Staged Transfer-Hop2 Kerberos 를이용하여계정을탈취하기위한악성행위 (Kerberos Client 의의심스로운많은인증및서비스나계정요청시도, Kerberos Server 에다수의 Client 가다수의서비스로많은의심스러운시도 ) SMB 프로토콜을사용하여공유중인폴더에하나혹은그이상의파일에대해같은사이즈또는같은파일명으로 Read/Write 하는행위 SQL Injection 공격행위 내부호스트에서데이터를수집하여외부호스트로유출하는악성행위 DNS/HTTP/HTTPS 등의통신채널을이용하여눈에띄지않게데이터를유출하는행위. 내부호스트에서수집된데이타를다른내부호스트로보내고수신한호스트에서외부로송신하는행우 28
CONTENTS SINCE 2010
Case 별구성방안과레퍼런스 1 단일의기업모니터링구조 기본구성으로써, Core Switch 에 X-Series(Brain) 를설치하고, 탐지대상서브네트워크에 S-Series (Sensor) 를설치하여특정영역의해킹위협을탐지및모니터링을제공 Vectra Brain Firewall Core Switch 네트워크 Packet Mirroring 으로실시간위협정보수집 Vectra Brain Core Switch 를통한내외부트래픽캡춰 & 분석 Vectra Sensor Access Switch 를통한내부트래픽캡춰 & 분석 Vectra Sensor Vectra Sensor Access Switch User Group Cloud Network IOT Device Data Center 30
Case 별구성방안과레퍼런스 2 분산된기업통합모니터링구조 분산된조직의해킹위협을탐지모니터링하기위한구성으로써, 본사에 Core Switch 에 X-Series(Brain) 를구성하고지사등의원격지에는 X-series(Mixed) 또는 S-Series(Sensor) 를구성하여통합모니터링제공 HQ 에자체및원격지모니터링을위한 X-Series 와 S-Series 구성 분산된원격지네트워크에 X-Series 와 S-Series 구성 SPAN SPAN Vectra SPAN SPAN 31
Case 별구성방안과레퍼런스 3 여러그룹계열사모니터링구조 그룹사차원에서그룹지주사에서그룹전체를탐지및모니터링하고, 각계열사는자사만을모니터링하는구성으로다수의 X-Series 들과 S-Series, Virtual Machine 으로구성하여그룹전체를모니터링 지주사계열사 -A Switch Internet X-Series SPAN X-Series Firewall Router S-Series 계열사 -B X-Series Data Center S-Series S-Series 계열사 -C Xl-Series Virtual-Series 32
Case 별구성방안과레퍼런스 Vectra Datasheet 33
Case 별구성방안과레퍼런스 Vectra References [ 산업군별레퍼런스 ] [ 수상경력 ] [ 주요고객사레퍼런스 ] 34
End of Document 서울특별시금천구가산동에이스테크노타워 10 차 601 호 TEL : 02-322-4688 Fax : 02-322-4646 E-mail : info@wikisecurity.net