Total Solution Provider for Information Security 머신런닝과데이터사이언스기술기반의 2010. 05
보안침해대응및보안관제기술동향 인공지능기반위협탐지및예측 침해사고유사도분석, 유사침해자원패턴매칭, 네트워크기반이상징후탐지 / 분석등다양한방식을통한침해사고위협탐지는많으나딥러닝, 머신러닝등인공지능기반위협탐지, 예측기술필요성대두 악성코드게놈프로젝트 개별악성코드자동분석및악성코드간유사성분석기술을연구하여악성코드프로파일링및대량의유사악성코드그룹분류기술과학습기반의악성코드분석 / 분류기술들이연구중임 사이버블랙박스및 Intelligence 분석프로젝트 네트워크트래픽을수집, 관리및무결성보장기술과 Semantic 기반침해사고원인분석및공격재현기술, 침해공격정보연동및정보공유기술이연구중임 침해사고역추적기술 다중소스기반의장기간침해사고분석을통한특징추출및연관된공격근원지탐지 / 침해사고원인분석기술과공격자그룹식별및자동역추적기술이연구되고있음
CONTENTS SINCE 2010
CONTENTS SINCE 2010
현시점에서우리가고민해야할것은 보안시스템들의과도한이벤트 시그니처와탐지룰기반의각종보안시스템들이띄우는수많은보안이벤트들을분석하고판단하는데허덕이며대부분의업무시간을보내고계시지않으십니까? 보안담당자가얘기하는전사적보안관리의애로사항 The Top 5 Problems with Traditional SIEM Gartner group s Report (2015) 보안도구 / 콘솔의독립적인운영및관리로보안관리자의생산성저하 과도하게발생하는보안경보로보안관리자의보안이벤트중요성인식저하 다양한단위보안도구에서발생하는다량의경보와이벤트에대한연관성파악부재로시스템이어떤위험에노출되어있는지파악이용이하지않음 단위보안툴에서발생하는로그의분산저장으로감사대비책미비 침입탐지솔루션의최대단점인과도한 false alarm 의발생및로그의발생으로인해보안관리자들이전체단위보안솔루션들을효율적으로관리할수없음. 4
현시점에서우리가고민해야할것은 경계선보안을우회한내부공격 Firewall, ESM, IDS/IPS, WAF 와같은경계선보안을우회하여내부침투에성공, 2 차내부공격들을탐지및모니터링되고계십니까? 공격위협대응단계 Vectra Sensor Firewall & UTM & NG Firewall Web & Email Gateway, Proxies IDS/IPS, URL Filtering Malware Sandboxes, Anti-Virus 해킹의활동단계에서는 - 해킹에대한인지와 - 실시간모니터링등의방안부재 SIEM NBA Analytics (Networks Forensic, Netflows 등 ) Log Management 여러가지보안시스템을갖추고있지만, 보안침해사고의 69% 는외부기관에의해발견 보안침해사고의 9% 는고객에의해발견되고있음 (*) 출처 : 데이터보안침해사고보고서 (Verizon, 2013) 5
현시점에서우리가고민해야할것은 지속적, 시계열공격모니터링 단편적형태의공격탐지가아니라지속적이고장기적인형태의공격도시계열적으로공격형태와이력을실시간으로모니터링및분석하고계십니까? 진화하는사이버공격의위협은탐지전네트워크내활동기간이평균 229 일 치밀하고장기적공격은탐지가어려우며, 2 와 3 번단계에서대응수준의심각한 Gap 발생 직면한문제들을극복하고비지니스연속성을담보할수있는선제적인대응체계필요 1 네트워크접근권한획득 임직원과파트너 다양한경로 ( 피싱, 이메일, USB, BYOD, 노트북 ) 소셜엔지니어링 W N S E 침투공격 (Outbound Inbound) 2 침투성공후은밀하게조사및진지구축 포스스캔및취약점스캔 멀웨어베포 권한상승시도 (Local to Supervisor) 활동진지구축 ( 숙주호스트 ) 외부 C&C서버접속, 업데이트 W N S E 은닉 / 수집등내부공격확대활동 W 3 주요정보탈취또는파괴 지속적중요정보자산스캔 지속적중요정보데이터취합 암호화등은익화된터널링구성 지속적데이터유출 N S E 유출공격 (Inbound Outbound) 6
현시점에서우리가고민해야할것은 위협탐지를위한운영부담 제한적인보안팀의리소스로늘어나는각종포인트형보안시스템운영과신규해킹기법의분석업무를수행하기위해운영자와분석가를계속해서늘려나갈수있습니까? 제한된리소스와증가하는보안시스템의보안팀부담 Time Skill Costs 늘어나는포인트보안시스템들의운영을위해숙지해야하는 Skill 은점점다양해지고증가하고있음 공격기법은빠르게고도화되고지능화되고있는데, 이를신속하게식별하고탐지해야하는부담가중 ( 예 : Anti-Virus 의신규백신제작은평균 4 시간소요 ) 상시보안모니터링을위한인력운영의대부분은초급인력이야간근무를수행하지만, 침해사고의대부분은야간이발생 침해사고분석을위해실전경험풍부한전문분석가를갖추기에는고비용투자필요 7
CONTENTS SINCE 2010
그렇다면, Vectra 가제공하는것은 내 / 외부, 내부간의실시간모니터링 네트워크미러링기법으로 IP 가부여된 Device 와 Application 에대한내 / 외부간공격과내부간공격을실시간으로위협탐지및모니터링을제공 Vectra(Brain/Mixed/Sensor Mode) Vectra Brain Vectra Sensor Firewall Core Switch Vectra Sensor Access Switch 네트워크 Packet Mirroring 으로실시간위협정보수집 Vectra Brain Core Switch 를통한내외부트래픽캡춰 & 분석 Vectra Sensor Access Switch 를통한내부트래픽캡춰 & 분석 모든 ( 약 80%) 의 Protocol 지원 User Group Cloud Network Data Center IOT Device IP 가부여된모든 Device 의위협정보수집 PC 및서버, Application IOT Device Cloud Computing Network 9
그렇다면, Vectra 가제공하는것은 머신런닝과데이터사이언스적용 Global 위협정보와고객사 Local 위협정보를머신런닝알고리즘과데이터사이언스기법을적용하여자동화된실시간위협탐지및모니터링기능을제공 Vectra(Global Learning + Local Learning + Integrated Intelligence) 실시간공격모니터링화면 Dashboard 측면확대공격현황 10
그렇다면, Vectra 가제공하는것은 공격단계의시계열분석 Vectra Threat Labs 의 Global 위협정보 (Supervised Learning) 와고객사 Local 위협정보 (Unsupervised Learning) 를데이터사이언스기법으로자동화된위협탐지제공 Vectra(Machine Learning + Data Science) Vectra 의시계열분석기능으로 - 공격탐지시간대별공격이력 - 공격유형, 공격전이및확대이력등을제공 머신런닝 + 데이터사이언스기법및알고리즘적용 11
그렇다면, Vectra 가제공하는것은 공격단계별위협스코어링 ML 과 DS 기법으로현재의공격을 Cyber Kill Chain 단계별로자동분류하고공격수준을 Scoring 하여정확도높은위협이력과상황모니터링기능을제공 Vectra( 사이버공격의단계별특징및탐지알고리즘 ) Vectra 의 Threat 과 Certainty Scoring => 우선조치대상실시간모니터링제공 Vectra Threat Labs 의전세계해킹, 위협정보와 Local Threat 의 Integrated Intelligence => 현공격상태정확한자동분석 사이버공격단계 (Cyber Kill Chain) 12
그렇다면, Vectra 가제공하는것은 보안위협탐지와분석의 TOC 절감 Labs 의 Global 위협정보 (Supervised Learning) 와고객사 Local 위협정보 (Unsupervised Learning) 를데이터사이언스기법으로자동화된위협탐지제공 Data Scientist Expert Group Vectra Networks Inc 의 Vectra Threat Labs 전세계해킹, 위협정보를알고리즘화, Cyber Security Expert Group Vectra 제품에적용세계분석전문가를별도비용없이제품에적용된알고리즘으로활용 13
CONTENTS SINCE 2010
Vectra 는어떻게구성되는가? CASE-1 단일기업형 기본구성으로써, Core Switch 에 X-Series(Brain) 를구성, 탐지하고자하는서브네트워크에 S-Series(Sensor) 를설치하여전사위협을모니터링및관리 Vectra Brain Firewall Core Switch 네트워크 Packet Mirroring 으로실시간위협정보수집 Vectra Brain Core Switch 를통한내외부트래픽캡춰 & 분석 Vectra Sensor Access Switch 를통한내부트래픽캡춰 & 분석 Vectra Sensor Vectra Sensor Access Switch User Group Cloud Network IOT Device Data Center 15
Vectra 는어떻게구성되는가? CASE-2 분산기업형 분산된조직의해킹위협을탐지모니터링하기위한구성으로써, 본사에 Core Switch 에 X-Series(Brain) 를구성하고지사등의원격지에는 X-series(Mixed) 또는 S-Series(Sensor) 를구성 HQ 에자체및원격지모니터링을위한 X-Series 와 S-Series 구성 분산된원격지네트워크에 X-Series 와 S-Series 구성 SPAN SPAN Vectra SPAN SPAN 16
Vectra 는어떻게구성되는가? CASE-3 그룹사구조형 그룹사차원에서그룹지주사에서그룹전체를탐지및모니터링하고, 각계열사는자사만을모니터링하는구성으로다수의 X-Series 들과 S-Series, Virtual Machine 으로구성하여그룹전체를모니터링 지주사계열사 -A Switch Internet X-Series SPAN X-Series Firewall Router S-Series 계열사 -B X-Series Data Center S-Series S-Series 계열사 -C Xl-Series Virtual-Series 17
Vectra 는어떻게구성되는가? 주요레퍼런스 트리뷴미디어그룹 Barry 대학교아루바네트웍스 Good Technology 쌍방울 리버베드 Santa Clara 대학교 Tri-State Generation and Trasmission Association ( 에너지 ) OOO 부대 18
End of Document 서울특별시금천구가산동에이스테크노타워 10 차 601 호 TEL : 02-322-4688 Fax : 02-322-4646 E-mail : info@wikisecurity.net