CounterTack Sentinel 5 Real-Time Enterprise Threat Detection, Analysis and Response 2015 년
Agenda Endpoint 위협탐지, 분석및대응솔루션의필요성 Sentinel 소개 Sentinel 의주요기능 Sentinel 의구성요소 Sentinel 의특장점 Sentinel 사용사례 CounterTack 소개
전형적인 Target 공격의진행과정 초기감염 확산 제어권확보 정보유출 의단계를거침 다양한수단과방법을통해지속적인공격이전개됨 공격전과정의가시성과상황인식을위한정보를확보하는것이중요함 Malicious Content Dropper Site Update Site Control Server Drop Server Dropper Commands & Data Bot Agent Victim Host Sometimes Deleted 1
Endpoint 위협탐지, 분석및대응솔루션의필요성 가장취약한정보자산은엔드포인트와서버 - 공격의기본경로 내부시스템에서발생하는위협에대한가시성확보가필요함 Source : 2013 Data Breach Investigations Report - Verizon 2
Endpoint 위협탐지, 분석및대응솔루션의필요성 공격은단시간에발생하지만, 침해사고의발견에는많은시간이소요된다. 진행중인공격의빠른탐지와자동화된분석이필요함 ( 예 : grr) Source : 2013 Data Breach Investigations Report - Verizon 3
타겟공격에대한탐지및대응의문제점 기업내부엔드포인트에대한가시성확보를통해위협에즉각적인대응필요 Network Tools: They Miss Attacks SECURITY Firewalls Web Filtering Virtual Sandbox IPS Visibility Across the Enterprise Enterprise Network Hybrid Cloud Environment Global, Mobile Workforce 4
타겟공격에대한기존보안시스템의한계 네트워크 Sandbox Sandbox 우회, 회피기법의발전 다양한 OS, Application 지원미흡 암호화된공격시탐지어려움 악성코드유입후내부시스템간전이및확산시탐지어려움 서비스 (Protocol) 별제품도입필요 공격전 / 후침해사고대응 / 분석을위한데이터를확보하기어려움 엔드포인트 Anti-Virus 악성코드샘플수집 분석 엔진업데이트 후탐지가능 변종과 customized 된코드를탐지하기어려움 공격과정중무력화시도 ( 실시간감시 off) 에대한방어책미비 공격의전과정을모니터링할수없음 공격전 / 후침해사고대응 / 분석을위한데이터를확보하기어려움 5
[ Backup slide ] ETDR Tools 설명 가트너는최근증가하고있는고도화된공격에대해대규모환경에서의침해사고대응과즉각적인포렌식에도움을줄수 엔트포인트에서의위협에대한탐지와대응 역량있는솔루션의필요성과운영사례에대한보고서발행 ETDR Tools을제공하는전문업체로 CounterTack 을소개하고, 커널레벨에서실시간데이터수집의장점과대규모환경지원등의특징을언급함 ETDR Tool Name Explained Name Endpoint Threat Detection Response Function Laptops, desktops server but not the network infrastructure All badness (threat), not just malware Detect compromise, malware, traces of incidents Help investigators during alert triage, threat investigation and incident response 6
CounterTack Technology Sentinel 의주요구성요소및특징 Kernel Module Analysis Cluster 엔드포인트 (OS) 에설치 공격자는발견할수없음 Tamper-resistant, anti-evasion 시스템의모든행위모니터링 실시간데이터수집및전송 검증된 Big Data 기술적용 수집된위협에대한자동분석 행위분석에기반한탐지 기업내위협의상관관계분석 증거자료의안전한관리및보존 Management Console 다양한데이터뷰제공 강력한검색기능제공 Dashboard options: Intelligence Endpoints Behaviors Search Knowledge Library 위협에대한자동분류 다양한탐지 profiles 제공 사용자정의 Basic condition CyBOX, IOC 호환및지원 7
Sentinel 소개 엔드포인트위협탐지, 분석및대응플랫폼 다양한위협에대한즉각적인분석 / 대응과 Big Data 기술이접목된최신보안솔루션 Stealth Kernel Module Automated Intelligence Better Response Big Data Analytics OS Kernel 레벨에 엔드포인트로부터 Impact score 에 검증된 Big Data 위치 전달된공격정보의 따른우선처리 기술적용을통한 시스템의영향 분석자동화 이벤트판별 데이터관리 없이실시간으로 자동화된위협 File Interaction 확장된검색기능 공격정보를전송 분류및경고생성 Process Interaction 제공 다양한 OS 지원 알려지지않은 Registry Interaction 기본 Cluster 로 (64-bit 포함 ) 공격탐지및분석 Disk Interaction 15,000 PC 관리 가상화환경지원 확장된위협탐지 Host Isolation 네트워크환경에 방법제공 Enterprise Threat 따른유연한구성 Correlation 8
CounterTack Approach 탐지 분석 치료 ( 교정 ) 예방 의전체사이클에대응할수있는새로운기능을제공 DETECT Stealth collection module 을통한악성행위를실시간으로탐지 ANALYZE 수집된다양한정보를기반으로위협에대한상세분석및검색지원 REMEDIATE 공격으로인해발생할수있는부정적인영향을차단 File, Process Interaction, Host Isolation, Disk Interaction, etc. RESIST 자동으로생성된 Resistance profile 에의한공격방지기능제공 ( 예정 ) 9
Sentinel 주요기능 Intelligence (Dashboard) 기업전체의엔드포인트에대한위협레벨및 KM 운영현황표시 Classification, Key event, Trace, Basic event 에대한실시간통계 10
Sentinel 주요기능 Search ( 검색 ) Endpoint 로수집된데이터를다양한인자를사용할수있는검색기능제공 Endpoint (OS, Group), 특정행위, 이벤트및 Object 에대한검색지원 11
Sentinel 주요기능 Search ( 계속 ) 특정 OS 가설치된엔드포인트검색 Computer Name, Status, IP Address, Profile, Behaviors, Threat Level 표시 12
Sentinel 주요기능 Search ( 계속 ) 엔드포인트기본정보표시 (OS, Patch level, Profile, IP Address, Group 등 ) 선택한엔드포인트에서탐지된주요이벤트표시 (Trace) 13
Sentinel 주요기능 Search ( 계속 ) 행위 (Behaviors) 검색 Origin condition 을통해 trigger 된행위에대한검색 1 2 14
Sentinel 주요기능 Behaviors 특정행위에발생된엔드포인트정보표시 특정행위에대한상세분석결과표시 (Source / Action / Target) 1 2 15
Sentinel 주요기능 Behaviors ( 계속 ) Processes / Files / Registries / Network 탐지된행위중 Files (Created) 에대한정보표시 1 2 16
Sentinel 주요기능 Behaviors ( 계속 ) Processes / Files / Registries / Network 탐지된행위중 Registries (Overwritten) 에대한정보표시 1 2 17
Sentinel 주요기능 Behaviors ( 계속 ) Processes / Files / Registries / Network 탐지된행위중 Network (Incoming / Outgoing) 에대한정보표시 18
Sentinel 주요기능 Knowledge Library SCIs, Profiles, Conditions, Key Event 등의 Library 관리화면 Library 수정및편집기능제공 ( 향후 UI 를통한관리기능제공 ) 19
Sentinel 주요기능 Settings ( 환경설정 ) Default Profile, Smart Group, Kernel Module, Symbol 관리기능 다양한조건을통한엔드포인트그룹핑기능제공 20
Sentinel 의특장점 Kernel Module 자동화된분석기능 표준에근거한확장된위협분석 Big Data 기술적용 구축시확장성제공 22
Sentinel 의특장점 Kernel Module 커널레벨에서시스템내행위를실시간으로캡쳐 ( 특허기술 ) Remediation ( 치료 ) 기능도커널레벨에서구현 암호화된공격, Shell code 공격캡쳐 시스템의성능과기존어플리케이션에영향을최소화 공격과정에서무력화시도에대한원천대응 다양한 OS 지원 23
Sentinel 의특장점 자동화된분석기능 (Automated Intelligence) 특정조건 (Origin) 에맞는행위발생시자동으로행위수집및분석시작 모든행위를 Source / Action / Target으로구별하여분석하고, File, Process (Thread), Registry, Network Communication의세부정보제공 사전에정의된주요이벤트는 Key Event로분류하여표시 SCI (Stateful Compromise Indicator) 에의한위협의분류제공 - Dark Seoul - Zeus - Trojan, Boot-kit - Crimeware family, etc. 24
Sentinel 의특장점 표준에근거한확장된위협분석기능 MITRE에개발된 CybOX와 Open IOC (Indicator of Compromise) 지원 CybOX - 운영영역에서관찰되는이벤트의특성을표현하는기술표준 보안제품간의 위협정보 를공유하거나재사용할수있는방법으로, 다양한기관또는산업군내의 위협정보 를확인하고, 분석할수있다. 14. 2Q STIX, TAXII 지원예정 CybOX : Cyber Observable expression IOC : Indicator of Compromise STIX : Structured Threat Information TAXII : Threat Information Change 25
Sentinel 의특장점 Big Data Analytics 기술적용 Hadoop 관련전문기술을보유한 Cloudera Big Data 엔진적용 다양한 open source 사용으로인한유지보수및기술지원문제해결 대규모데이터의수집, 저장및운영에대한검증된플랫폼제공 강력한검색을기능을통한 Enterprise threat correlation 지원 Impala, HUE, HBASE 등의내장된 Query를사용하여, 다양한분석을제공 26
Sentinel 의특장점 구축시확장성제공 기본 Cluster 당최대 15,000 개의 Endpoint를수용할수있음 최대 50,000 개의 Endpoint를단일뷰에서관리가가능함 데이터노드의확장을통해증가하는엔드포인트를관리할수있음 다양한네트워크구성에대응할수있는유연한아키텍쳐제공 (Multi-tier Flume configuration, DMZ configuration) 27
Sentinel 시스템구성도 Kernel Module / Analysis Cluster / Management Console (Web browser) Endpoint Analysis Cluster TOR Switch Sentinel Console Node 1: Management Region 1 Node 2: Master Node 3: Data Node Region 2 SIEM Node n: Data Node Region 3 Kernel Module 28
Kernel Module Specification 다양한 Operating systems 지원 Windows XP SP3 Windows 7 SP 1 (32-bit, 64-bit) Windows Server 2008 R2 SP1 Windows Server 2003, Linux 지원예정 Virtual environments 지원 VMWare ESXi Microsoft Hyper-V Citrix Xen Unattended installation 지원 29
Endpoint Analysis Cluster Hardware Specification Layer 3 1/10 Gigabit Ethernet Switch 노드간네트워킹용도 (Health check, Replication) 48 Gigabit Ethernet ports 10 Gigabit uplink ports SuperServer F627R3-RTB+ (4U Rack Mount) 기본 4개의노드로구성 Intel Xeon 2600 Series (6Core) * 2EA 64GB 1TB Disk * 8EA Gigabit Ethernet NIC * 2EA 30
Management Console Specification Sentinel Console HTTPS 지원, 별도의관리소프트웨어나 Database 필요없음 Web Browser 접속 - Microsoft Internet Explorer 10, 11 / Google Chrome 31
Sentinel 다양한적용사례 (Use case) 침해사고예방및사고대응프로세스강화 침해대응을위한특정데이터와조건에대한검색과조사 침해사고분석을위한증거데이터확보 기존보안시스템과연계운영을통한사고대응프로세스강화 알려지지않은악성행위탐지 시스템내의악성행위 (malicious activities) 에대한실시간탐지 악성행위에대한분류및검증 보호해야하는주요데이터의접근 (access) 에대한모니터링 기업내의엔드포인트에대한가시성확보및타겟공격에대한적극적인대응 33
CounterTack 회사개요 설립연도 : 2004년 본사소재지 : Waltham, MA USA Innovation Center : Santa Monica, CA USA Management Neal Creighton - CEO (GeoTrust) Alen Capalik - Founder / Chief Architect (Barclay Bank) Michael Daivs - CTO (McAfee) Sean Bodmer - Chief Researcher (DoD, Federal Agency) Board William J. Fallon - Chairman (US Military s Central Command) Stuart McClure - Cylance CEO (McAfee, Foundstone) Mark Hatfield - Fairhaven Capital 34
CounterTack 회사개요 Product & Services Event Horizon 3.2 (Next-Generation Honeynet) Scout 4 (Tactical System Monitoring) Sentinel 5 Patent Deep System Inspection : US Patent No.11,488,743; AU Patent No. 2008242296 VC Backed Fairhaven Capital Partners Goldman Sachs SIEMENS Venture Capital Millennium Technology Value Partners 35
주요고객사 글로벌금융, 군수 (Defense), 통신, IT 등의다양한레퍼런스보유 대부분최초제품도입후 Sentinel 의대규모환경지원에따라전사적용예정 36
Partners Technology Partners Solution Partners 37
[ Backup slide ] 차세대엔드포인트보안솔루션점검항목 엔드포인트에설치되는소프트웨어의자체보호기능제공여부 엔드포인트의부하최소화, 기존보안시스템과의호환여부 다양한 64-bit OS, 가상화환경에대한지원여부 알려지지않은위협발생시실시간탐지여부 암호화된공격과내부확산의탐지여부 자동적인공격의분류및유형탐지 Enterprise Threat Correlation 기능지원여부 식별된위협에대한효과적인대응방법제공여부 3 rd Party 보안솔루션과의통합및연계지원여부 대규모의네트워크환경지원및확장성제공여부 38
O w n E v e r y E n d p o i n t. 14