THE ENTERPRISE IMMUNE SYSTEM 머신러닝기반의사이버면역시스템 다크트레이스코리아윤용관과장 Cyber Security Account Executive
다크트레이스브리핑 Brief History 영국캠브리지에서 2013년 7월설립 2015년 10월한국지사설립 ( 여의도 IFC Two 22F) 유명수학자들과영국 / 미국정보요원들의협업으로시작 머신러닝과수학적알고리듬에서착안 영국캠브리지와미국샌프란시스코에본사위치 NotableAwards 2015 년 Security Global Excellence 어워드에서 올해의보안회사 로선정 (Security Company of the Year) Network Products Guide IT World 어워드에서 2015 년최고의내부위협탐지솔루션선정 Gartner 사의 2015 년 Cool Vendor 선정 세계경제포럼 ( 일명다보스포럼 ) 에서 2015 년의 Technology Pioneer 로선정 2016 년 5 월영국최고의 Queen s Award 수상 2017 년 Info Security Global Excellence Awards 2017 다크트레이스는최초의잘동작하는인공지능기반보안솔루션!
인공지능과머신러닝 인공지능 머신러닝 딥러닝
머신러닝의난제 학습과정 (Modeling) 추론 (Inference) 일반화 (Generalization) 다른데이터 학습데이터 Training Data 머신러닝 입력데이터 모델 결과
비지도학습기반머신러닝 머신러닝엔진은사람의개입을최소화하고현재많은보안대응체계가채 택하고있는시그니처와룰기반의접근방법을따르지않습니다. Thought 사고 과거의정보를학습하여판단에필요한인사이트를제시 Real Time 실시간 시스템은현재시점을분석 Self-Improving 자가개선 새롭게학습되는정보를통해스스로개선 Unsupervised Learning 비지도학습 Supervised Learning 지도학습 정의 학습시출력값에대한정보없이 ( 교사없이 ) 진행되는학습 군집화, 밀도추정, 차원축소, 특징추출등이필요한문제에적합 출력결과값을미리알려주는 교사 (supervised) 가존재하는학습 주로인식, 분류, 진단, 예측등의문제해결에적합 사례 동물과관련된데이터가입력되면수집된데이터로부터특징을추출, 군집 화, 추정을통해서로다른종으로구분하여분류 파충류, 포유류등종에대한분류지표와기준을이미입력시킨후컴퓨터로 하여금어떤종이파충류인지또는포유류인지분류
진화하는위협방어를위한발상의전환이필요 1 방화벽 경계보안영역 I D S /I P S 웹방화벽 / S W G 접근제어 기타 경계보안 내부사용자 / 서버팜 2 3 현재까지의위협방어에대한접근방법의한계 1 경계보안의강화를통한방어체계의한계 많은기업들과기관들이인터넷과인트라넷 / 서버팜의경계구간의강화를통한위협대응을수행하고있지만, 계속적으로진화하는공격의방어와대응에한계가있습니다. 2 행위에대한정상및합법여부정의의어려움 정상및합법적행위여부를정의하기위한많은행위규칙 (Rule) 과위협식별을위한시그니처들로부터벗어난다양한행위들이존재하고있습니다. 3 시스템과기술을뛰어넘는새로운위협의등장악성코드, 봇넷, 사이버범죄등의종착지는사람입니다. 인적요소에의한내부정보탈취, 시스템파괴및다양한위협의발생빈도가지속적으로증가하고있습니다. 급하지않지만매우중요한, 기능적인업무지만의미있는
Why Rules Don t Work? 룰기반의접근방식 대상 PC 가오늘새로운호스트와통신했는가? 대상 PC 가알려진악성사이트에접속했는가? 대상유저가새로운 PC 에서로그인했는가? 대상 PC 가알려진스캐닝방법으로내부통신을했는가? 대상 PC 가내부정보를다운받기위해시도하고실패했는가? 대상 PC 가알려진취약성을이용해다른내부접속을했는가? 대상문서가알려진악성프로그램을포함하고있는가? 룰기반의한계점 알려진모든공격에대한 DB 가있어야함 어제의공격을포함한모든정보가업데이트되어야있어야함 알려지지않은신종공격에대한추측 (Guess) 에의존해야함 고객사의업무흐름을 100% 이해하고튜닝해야함 너무많은오탐이발생함 전담인력이항상관리해야함
알수없는방대한공격벡터 Social Media Protection(SNS) 소셜미디어전자메일은여전히중요한공격백터이고, 소셜미디어를통한 scam 은 70% 이상이수동으로공유가됩니다. Advanced Persistent Threats 지능적지속위협제로데이성공격은 10 번의시도중 9 번은성공할정도로탐지가거의불가능합니다. Mobile Security & Protection 모바일장치보안및보호모바일장치의사용이증가함에따라, 스팸, scam 및위협이이러한장치에맞게조정될것이며 Bootkits 과같은모바일멀웨어는제거하기더욱힘들어질것입니다. Internet of Things 사물간인터넷 (IoT) 사물간인터넷에사용되는허브, 스위치, 라우터들은인터넷연결과저장및처리가가능하며네트워크를공격하기위한수단으로사용됩니다. Insider Threats 내부위협조직원은물론민감한정보에액세스할수있는관리자와같이권한이부여된사용자는조직에가장큰내부위협요소가될수있습니다. 손상된계정자격증명또는누군가의계정이도용된경우또한내부위협이될수있습니다. Critical Infrastructure 주요기반시설공격가장중요한추세로는악성코드를사용하여감시제어데이터수집시스템 (SCADA) 및홈리스관리정보시스템 (HMIS) 등을감염시켜데이터를탈취하는공격등이있습니다.
새로운접근 : 면역시스템 사람은면역체계를통해서정상상태를알고있고, 이를통해서스스로아픈곳을인지합니다.. 정보시스템은?.. 정상적인상태를알고있다면비정상적인행위는쉽게탐지할수있습니다.. 방대한데이터흐름에서정상적인상태를정확이분류할기술은?
진화하는위협방어를위한발상의전환이필요
정상행위자동학습을통한비정상행위탐지 차세대엔터프라이즈면역시스템 네트워크, 사용자, 디바이스의다양한행위에대한자동학습 위협에대한개별요소들의종합적인연관상태를분석하고학습하여정상상태와비정상적인상태를식별한후규칙이나시그니처를기반으로한전통적인시스템이탐지하지못한위협과공격을식별합니다. 시스템은네트워크의정상적인상태를학습하여위협에민감하게반응하고대응할수있는보안 면역체계 를강화할수있습니다. 네트워크, 사용자, 디바이스에대한수학적확률엔진의 비정상적행위 순환적확률추론 베이지안순환확률모형 (RBE), 순차적몬테카를로 (smc), LASSO 모델등을통해고객네트워크를사용하는사용자, 디바이스및행위에대한수학적확률을계산하여지속적으로 정상 상태를확인하고계산합니다. 인체의면역기능을응용한네트워크, 사용자, 디바이스기반정상행위학습기반의건강한면역체계구축
사용자 + 디바이스 + 네트워크행위학습 / 추론 / 시각화
Threat Classification [ 200+ 위협모델링 ] 탐지분류위협모델수탐지위협분류 Unusual Activity 14 Unusual Activity,Unusual Activity from New Device,Unusual External Activity,Unusual External Connections Anomalous Connection 17 1GB Outbound,Active RDP Tunnel,Active SSH Tunnel 외 16 개 Anomalous File 12 Incoming RAR File,Masqueraded File Transfer,Outgoing RAR File 외 8 개 Anomalous Server Activity 15 Data Transfer - DC to Client,DC External Activity,Domain Controller DynDNS SSL or HTTP 외 6 개 User 7 Bruteforcing,Kerberos Bruteforce,Multiple New Credentials on Device 외 4개 Attack 2 Attack and Recon Tools,Exploit Kit,GoNext redirection Compliance 42 Bitcoin Activity,External SNMP,External Windows Communications 외 18개 Compromise 26 Beaconing to Rare Destination,Connection to Sinkhole,CryptoLocker 외 7개 Device 17 Address Scan,External DNS Domain Pointing at Local IP,New User 외 9개 Experimental 66 Excessive HTTP Errors,Heartbleed SSL Success,International Domain Name 외 9개 System 16 Christmas Tree Attack,CMS Detection,DNS Server Change 외 12개
국내전자상거래개인정보유출사태 - 합법적위협 End-point 보안솔루션으로 2. 악성코드실행 PC감염후, msoia.exe파일생성및실파악가능한범위. 2016년 05월 2016년 07월행시그니처가업데이트되어있어야함. 1. 이메일을통하여 우리가족.abcd.scr 파일다운로드 APT 대응솔루션은해당단계만파악가능 / 탐지모드로사용함. A 3. ielowutil.exe 생성및실행하여공격서버와 SSL 통신 ) 2.1. 사용자는정상화면보호기파일로착각 ( 화면보호기우리가족으로바뀜 ) 190.185.124.125 (443) 온두라스 220.132.191.110 (443) 대만 202.137.244.198 (443) 뉴질랜드 B C 6. 1000 만명개인정보유출 5. 개인정보파일 C&C 서버로업로드명령 4. 내부 PC 파일 Search Internal DB Search 8. 30 억비트코인요구 9. 침해 / 정보유출인지및언론보도 7. CommandCode_C7D3D97AE Ielowutil.exe 자가삭제 기존에존재하지않던형태의공격의경우룰 / 시그니처 / 샌드박스기반의보안솔루션으로탐지불가영역 Unusual Server Connection 다크트레이스가상탐지시나리오 Unusual Data Down/Up Load Unusual Data Transfer A 우리가족 멀웨어의 Beaconing 파악 단한번도접속한적없는 PC 가 ( 확률 xx%) 동일그룹내접속이력이없는 IP 에 ( 확률 xx%) 비정상적인시간에 ( 확률 xx%) 비정상적인주기로접속시도 ( 확률 xx%) B Ielowutil.exe 의악성행위파악 평소에접속하지않던 PC 가내부서버에접속평소에다운받지않은용량의데이터를내부서버로부터다운로드서버에서는평소에보내지않던 PC 로데이터전송 C Ielowutil.exe 의업로드파악 평소에접속을맺지않는 IP 로동일그룹내에서접속한적이없는 IP 로평소에보낸적이없던데이터를전송
인공지능형통합보안구축 DMZ/ 서버팜 ( 차세대 ) 방화벽 세상에알려진 ( 정형화된 ) 위협탐지내역 - 방화벽로그 -IDS/IPS 로그 -APT 샌드박스로그 - 서버의로그등 정형화되지않은보안위협의발견 풀패킷저장을통한규제준수및상세네트워크포렌식 사내업무망 ( 차세대 ) 방화벽 IDS/IPS 웹방화벽접근제어 / 기타 B/B SW SIEM IDS/IPS SWG UBA/Sandbox/ 기타 B/B SW 서버 서버 서버 서버 DB Forensic 사용자 사용자 사용자 서버 OA 장치 정형화되지않은보안위협의발견 1 2 Darkrace 의머신러닝을통한기존의경계보안및샌드박스솔루션에서찾지못하는새로운위협발견 인공지능기반포렌식 이상행위탐지전후 Play-back 및 3D 시각화풀패킷저장을위한 Forensic 연동다크트레이스이상행위탐지전후상세패킷조회
다크트레이스어플라이언스 [ Model 별주요 Specification ] 구분 DCIP-S DCIP-M DCIP-X2 폼팩터 1U (Half-Depth) 1U 2U Rack 지원규격 19 inch 19 inch 19 inch 지원가능네트워크 max 300 Mbps max 2 Gbps max 5 Gbps 지원가능디바이스 Up to 1,000 Up to 8,000 Up to 36,000 분당지원가능최대커넥션 전원 2,000 conns. /min 50,000 conns. /min 100,000 conns. /min Single 260W IEC 13C 120/240V Dual 750W IEC 13C 120/240V Dual 750W IEC 13C 120/240V
다크트레이스 vs. 다른보안솔루션 DARKTRACE APT solution Network forensic & Log analysis 위협영역 내부 + 외부 외부 내부 + 외부 위협의종류 모든이상행위 악성코드 알려진위협 탐지기반기술 자동화된머신러닝 가상샌드박스 사람의지식및룰 운영노력 낮음 높음 높음 상세분석딥패킷분석코드리버싱딥패킷분석,SQL 데이터흐름가시성 3D 기반의 100% 가시성없음제한적 실시간탐지실시간수분 ~ 수시간수시간 ~ 수일 도입및운영비용중중상
일반구성도 계층적어플라이언스구조회사의규모및구조에맞는다양한구성가능 Darktrace Unified View Server 대규모의통합된네트워크 view 및분석 Darktrace Master Appliance Probe 들의데이터를취합 / 분석 /view 제공 Darktrace Probe 데이터수집 Darktrace vsensor 가상환경에서의데이터수집 SW
다크트레이스위협탐지사례예시
랜섬웨어공격사례 : web 을통한감염 8월6일최초탐지 100% Rare external endpoint 탐지 100%Rare beaconing score 탐지 adware 설치 8 월 6~15 일자체검증시문제없음 (virus total 등 ) Virus total 등확인가능한웹사이트에서 clean 으로표시 8 월 27 일 Virus total 감염으로재업데이트 약 3 주간의공백확인 zero day 공격공백에대한대비필요 주기적인형태의통신시작
PoV (Proof of Value) 타임라인 Machine Learning 학습기간 1 차 TIR 2 차 TIR 3 차 TIR WEEK 1 WEEK 2 WEEK 3 WEEK 4 Steps [Pre-POV] POV 준비설문작성및다크트레이스코리아전달 [Day 1] 장비입고및설치 (1시간미만 ) [Week 1] 다크트레이스의 Threat Visualizer를통하여네트워크토폴로지및네트워크상의장치들에대한 Full Visibility를 3D 그래픽 UI로확인조직내에일어나고있는네트워크흐름에대한가시성확인 Threat Notification Center ( 위협보고창 ) 의최초접속가능비정상사용자및조직구성원에행위를확인가능조직내사용자계정정보가어떻게사용되고있는지확인 [End of Week 2] 주간 Threat Intelligence Report의초판발행 Threat Notification Center 의모든기능접속가능다크트레이스 UI사용트레이닝제공다른보안장비를우회하여들어오는보안위협에대한확인 [End of Week 3] 주간 TIR 2차발행 [End of Week 4] 주간 TIR 3차 ( 마지막 ) 부발행 POV Q&A미팅장비철수확인서작성장비내 Data Wipeout 장비철수및후속 Meeting 조율 Your Resource 다크트레이스담당영업 (AM) 다크트레이스수석컨설턴트 (CT) 다크트레이스수석컨설턴트 (CT) 위협전담애널리스트 (CA) 다크트레이스수석컨설턴트 (CT) 위협전담애널리스트 (CA) 다크트레이스영업 (AM) 다크트레이스수석컨설턴트 (CT) 다크트레이스 SME
Thank You