Embed Size (px)
Citation preview
최신의 위협에 대한 빠른 대응 - TALOS
101000 0110 00 0111000 111010011 101 1100001 110
1100001110001110 1001 1101 1110011 0110011 101000 0110 00
1001 1101 1110011 0110011 101000 0110 00
• 전 세계 160만 개의센서
• 매일 수신되는 100TB의데이터
• 1억 5천만 개 이상 구축된엔드포인트
• 600명 이상의 엔지니어,
기술자, 연구원(260명)
• 35% 전 세계 이메일트래픽 처리
101000 0110 00 0111000 111010011 101 1100001 110
1100001110001110 1001 1101 1110011 0110011
1001 1101 1110011 0110011 101000 0110 00 Cisco®
Cisco Talos
웹
WWW
엔드포인트 디바이스네트워크이메일 IPS3-5분간격의자동업데이트
• 130억 개의 웹 요청
• 24시간x7일x365일 운영
• 매일 4.3억 회의 웹 필터링차단
• 40가지 이상의 언어
• 매일 수신하는 150만 개의악성코드 샘플
• Cisco AMP 커뮤니티
• 비공개/공개 위협 정보 피드
• Talos Security Intelligence
• AMP Threat Grid Intelligence
• Cisco AMP Threat Grid Dynamic Analysis에서매월 생성되는 1천만 개 파일
• Microsoft 및 업계보다 먼저공개
• Snort & ClamAV 오픈소스커뮤니티
• AEGIS™ Program
Cisco Talos 위협인텔리전스
Cloud to Core Coverage web requests a day
16 BILLION
email messages a day
600 BILLIONAMP queries a day
3.4 BILLION
홈페이지 http://www.talosintelligence.com/
*분석 결과로, 2개의 IPS 룰 고객에 배포
Cisco 2017
연례 사이버 보안 보고서
Over 2900
respondents
Conducted over
the summer
of 2016
Study included
13 countries
United States
Brazil
Germany
Italy
United
Kingdom
Australia
China
India
Japan
Mexico
Russia
France
Canada
• 16 billion web requests a day
• 600 billion emails a day
• In aggregate, block almost
20 billion threats per day
• More than 1.5 million
unique malware
samples daily
• 18.5 billion AMP queries
Global 2017 Security Capabilities Benchmark Study
CSOs 49%
SecOps 51%
Large enterprise 12%
Enterprise 38%
Midmarket 50%
이번 조사에 사용된 Cisco 데이터
CloudLock
Telemetry
• 10 million users
under management
• 15 billion user
activities being
tracked
• 222,000 apps
discovered
• 1 billion files
monitored daily
공격 이후 잃게 되는 것들
2017 Security Capabilities Benchmark Study (n=2,912)
22%고객 이탈 응답자
23% 29%매출 감소 응답자
응답자의 42% 는 기회의20% 이상을손실한 경험
응답자의 38% 는 매출의 20% 이상 감소를
경험
기회 손실 응답자
응답자의39%는 20% 이상의 고객이탈 경험
$
디지털 트래픽 증가는 공격대상을 더욱 넓힘글로벌 IP 트래픽 량은 2020까지 3배가 될 전망
82%의 모든 인터넷트래픽은 디지털
디바이스 (특히 비디오트래픽)
66%의 IP 트래픽이 Wi-FI 와모바일 디바이스 사용
연간 글로벌 IP 트래픽
2.3ZB 인터넷 속도
2x
공격자의 행동
공격 프로세스
정찰:대상을 선정하고연구
공격 수단 구축 :침입 도구(Exploit) 와침투 방법을 결합 제작
전달(침투):제작된 사이버무기를이메일과 웹사이트를통해서 전달
설치:단말에 대한접근권한을 갖기 위해악성코드를 설치
87K
PUA and Suspicious
Binaries
50K
Trojan Droppers
(VBS)15K
Phishing (Links)
27K
Trojan Downloaders
(Scripts)
18K
Browser
Redirection-
Downloads
24K
Browser
Redirection (JS)
11K
Facebook Hijacking
14K
Android Trojans
(Iop)
12K
Browser
Redirection
Recon
35K
Scam Links
대상 관찰 및 대기적들은 기회를 관찰하고 엿보 대기 합니다.
클라우드 기반 서비스의 폭발적 증가Third-Party서드파티 클라우드 기반 서비스는 보안을 더욱 힘들게 함
Weaponization
2014
2015
2016
222,0002016년 10월
77,650
5500
58%중간 위험
15%저위험
27%고위험
222,000서드파티
클라우드 기반 서비스
!
클라우드 앱에 연결되는 이슈 고려Pokémon Go
Source: SensorTower
전세계적으로 1억명 사용자에 도달하기 까지의 시간
폭발적인 인기: Pokémon Go 는 기존에전세계적으로 기록한 모바일 게임의기록을 갱신
1 달 (예상치)
4.5 년
7 년
16 년
75 년
YEAR OF
LAUNCH
1878
1879
1900
2004
2016
애드웨어와 맬버타이징 큰폭으로 확장
Delivery
의 기업이 애드웨어 감염
애드웨어
75%맬버타이징
브로커(게이트)를 이용하여빠르게 확산 및 움직임
한쪽 악성서버로 부터 다른쪽으로빠르게 리다이렉션을 전환할 수
있음
쉐도우게이트: 비용대비 효과적인캠페인
스팸이 다시 큰 폭으로 증가이메일을 활용하는 캠페인이 다시 증가세
의 스팸은 악성코드
8~10%
65%의 이메일이 스팸
Delivery
201620132010.5K
1K
1.5K
5K
4.5K
4K
3K
Em
ails
/ S
eco
nd
3.5K
2.5K
2K
Snowshoe여러 개의 IP 어드레스를 사용하여적은 양의 메일을 보내감지를 회피하는 기법
스팸 공격:Snowshoe and Hailstorm
Delivery
Hailstorm짧은 시간에 많은 양의 메일을고속으로 발송 하는 기법으로감지 차단을 회피한다.
취약점 증가세
Delivery
서버 측면에서 이용되는 취약점 (공격의 효율 – 시간/공간)
34% 8% 20%
네트워크(from 501 to 396)
클라이언트(from 2300 to 2106)
서버(from 2332 to 3142)
미들웨어(어플리케이션) 취약점
공격자는 취약점이 있는 서버를 노리고있고, 파일을 통한 감염은 사용자의 클릭을 유도
보안 담당자의 영원한 숙제 Update!
웹 공격 방법: 롱테일 (Long Tail)위험하나, 비교적 쉽게 방어할수 있는 공격
Heuristic Blocks
(Scripts)
Worm
(Allaple)
PUA and
Suspicious
Binaries
(susp)
Trojans
Downloader
(Agent/HTML)
Trojans Downloader
(Agent/JS)
Virus
(Replog)
Trojans
(Locky)
Trojans
(Agent)
Trojans
Downloader
(Agent/VBS)
Backdoor
(Agent/Java)
Heuristic
(CVE-2013-0422)
Installation
TTE(Time To Evolve ): 전개되는 시간공격자와 방어자의 술래잡기
전달 방법
공격자는 웹과 이메일을
통해 전파
파일 타입
공격 사이클이 .zip,
.exe, .js, .doc, .wsf 와
같은 파일타입을
통해서 이뤄짐
빠른 전파
공격자는 빠르게
전파하고 필요없어진
오래된 파일을 빠르게
생성
방어자는 공격자의 실행을 차단하기 위하여TTD 시간을 줄여가야함
탐지하기 까지의 시간 감소
*Cisco AMP Data (Cisco 2016 Annual Cybersecurity Report)
TTD는 2016년10월까지 7.95 시간이 낮아졌고 이 의미는 해커의 운영 영역이 줄어들었음을 의미
6.05 시간2016년10월
2016 년 TTD 는 14 hours
TTE: 전체 파일 해쉬 vs. TTD (Locky)
시간별TTD 중앙값
전체 파일해쉬값의 비율
Nov2015
Jan2016
Apr2016
July2016
Nov.2016
그리고 통계
사고처리 관련 대응
의 보안 전문가들은 보안
인프라들이 가장 최신의
상태라고 믿고 있음
2/3가 넘는 보안전문가가 자사의 보안툴이 매우 효과적이거나최고로 효과적이라고생각하고 있습니다
69%위협 파악
71%정책 강화
71%이상징후
감지
74%위협블럭킹
69%감염 차단 및완화보안도구에 대한 신뢰성
58%
10개중 4개는 ‘보안경고’에 대해조사되지 않는데 왜 그럴까요?
44%조사되지 않는 비율
2016(n=5000)
조사되지 않는 보안경고는 비즈니스 운영에 큰 허점
7%보안알림미 발생
54%의 경고는해결되지 않음
56%조사되는 비율
28%조사되는알림의정상 비율
46%정상알림중치료되는 비율
93%보안알림발생
25%전문인력 부족
(-4%)
보안 강화에 가장 큰 걸림돌비즈니스 제약사항
55%의 기업이 보안벤더6개에서 50 개이상 사용
65% 의 기업이 6개에서 50개이상의 보안 제품 사용
2016 (n=2,850)
2016 (n=2,860)
35%예산
25%각종 인증
28%호환성 이슈
벤더
(-4%)
(+/-0%)
(Change from 2015)
(+3%)
제품
복잡도
1-5 (45%) 6-10 (29%)
11-20 (18%) 21-50 (7%) Over 50 (3%)
1-5 (35%) 6-10 (29%)
11-20 (21%) 21-50 (11%)
Over 50 (6%)
30%재무
보안 침해 사고는 시스템을 마비시키고비즈니스 운영에 큰 영향을 미침
비즈니스 영향
36%운영
26%브랜드평판
26%고객유지
1-8 시간45%의 기업들의시스템이 다운되는 시간
약 11~30% 기업의 41%시스템들이 영향을받는 비율
운영 영향
침해사실 공표응답자중 절반은 침해 사실을 외부에 알리지 않음.
의 조직이 침해 사실을외부에 알리지 않음
어떻게 최근의 침해사실이 외부에 알려졌는가?
50%자발적 발표
31%비 자발적으로
31%보고/감사에 의해
49%
침해를 경험한 이후에 보안 개선
응답자중 38% 가 침해가발생한 후 보안 위협방어를 위해 정책과, 절차 그리고 장비를 대거보완함.
보안 침해 사고 이후 개선 내용 (Top 5)
38% 보안팀을 IT 팀과 분리 함38%
How Much Did the Breach Drive Improvements in Your Security
Threat Defense Policies, Procedures or Technologies?Respondents affected by a security breach (
Not at all
38% 보안 강화 훈련의 인식 증가
37% 위험 분석과 위험 완화에 대한 관심도 집중
37% 보안을 위한 솔루션 도입의 증가
37% 보안 부서원들을 위한 교육 투자 증가
(2016: n=1375 )
(2016: n=1388)
리스크를 최소화하기 위한 지침
비즈니스 우선 고려 사항으로의 보안Leadership must own, evangelize, invest in security.
보안정책에 대한 운영 측정Review security practices, control access points, patch.
방어 정책을 유기적으로 연동Implement architectural approach to security, automate processes to reduce time to react to, stop attacks.
보안의 효과 테스트Validate, improve security practices.
.공격에 대한사전 준비
성공을 위한 주요 포인트
자동화
개방간소화
통합 보안 아키텍쳐는 성공을 위한 운영 비용을 줄여 주고 기존인력의 부담을 덜어주고 더 나은 결과를 제공합니다.
www.cisco.com/go/acr2017
