1 IBMSecuritySummit2017

BigData 분석을 통한Fraud Investigation 및Cyber Threat Hunting

April 18, 2017윤영훈 팀장 / Security SW Tech Leader

2 IBMSecuritySummit2017

확대되는 보안조직의 역할

Threat Intelligence Team

Threat Hunting Team Fraud Investigation Insider Threat Detection

Advanced Link Analysis

Non Obvious Pattern Detection Real Time Actionable insight

빅 데이터 분석

3 IBMSecuritySummit2017

Who is i2 Intelligence?

• 군사 정보, 카운터 테러 융합 분석, 오픈소스 인텔리전스

• 범죄 수사, 카운터 캥, 증거 제시, 인텔리전스

• 사기 수사, 내부자 위협, 거래 추적,

• 사건 대응, 캠페인 추적, 위협 분류, Threat Hunting

• Those detective shows with the string walls…we do that, digitally

• 26년 전 부터, i2는 군대 및 법 집행을위한 디지털 조사를 시작함.

• 데스크톱 소프트웨어로 시작하여클라이언트 / 서버 옵션으로 발전

• 4,000개 이상의 고객사, 전세계적으로 국가 보안 기관의80 %가 사용하는, 인텔리전스의골드 표준

History Core Use Cases Hottest Trend

IBM CONFIDENTIAL INTERNAL USE

NationalSecurity

LawEnforcement

CyberFraud

Threat Hunting

• 숨어있는 위협 파악자동화된 장비가 탐지하지 못한네트워크에서 어떻게 위협을 발견할 수 있을까?

• 패턴 인식유의미한 네트워크 데이터 발견을위해서 위협에 대한 가설을 어떻게적용할 수 있을까?

• 위협 캠페인 추적위협 캠페인을 추적하고 식별하여궁극적으로 어떻게 공격 경로를예측할 수 있을까?

4 IBMSecuritySummit2017

What is i2 Intelligence?

Data

Inge

stio

n

Structured

Semi-Structured

Unstructured

Entity, Link, Property (ELP) Format

5 IBMSecuritySummit2017 © 2016 IBM CorporationIBM General Use

National Security

Defense 경찰

Counter

Private Sector Government• 전세계 1200 개 이상의 military

및 defense 조직에서 사용

• 전세계 80% national security agencies 에서 사용

• NATO 회원국 28개 중 25개defense force 에서 사용

• 국제 안보 지원국(ISAF)의 50개중 35개 국가에서 사용

• 대테러 작전

• 방첩 활동

• 정보 분석

• 국경 안보

• 사이버 범죄

• 방첩 활동

• 정보 분석

• 표적 분석 및 방어

• 평화 유지군

• 부대 방호

• 생활 패턴 분석

• 인간 지형 매핑

• Terrorism

• 주요 범죄 수사

• 지역 경비

• 공공 질서

• 주요 이벤트 관리

• SecurityInvestigations

• 산업 관리 범죄및 내부 감사

• 사이버 범죄

• 위험 관리

• 자금 세탁

• 사기 및 기밀 유출

• 산업 관리 범죄및 내부 감사

• 보안 조사

• 자금 세탁

• 사기

IBM i2 Intelligence Analysis Experience전세계 사법기관 및 기업에서 20년 이상 조사 및 분석을 위해 사용된 도구로, 미 FBI 및 CIA 등 현재미국내 주요사법기관과 선진 수사기관 외에 약 4500여개 이상의 고객이 분석 업무를 위해 사용하고있습니다.

6 IBMSecuritySummit2017

Four Main Pain Points in Cyber Security Today

Hidden Threats Hiding in Network

How do I find the signals in the noise?

Where Should Analysts Look

How to find a needle in a stack of needles?

Lack of Actionable Intelligence

How do leaders make decisions?

Too Much Data, Too Many Sources

How do I put the picture together?

$35 MILLION- SONY

$162 MILLION- TARGET

1,400 PEOPLE- ISIS HIT LIST

14 MONTHS- OBY CLEANUP

IMPACT

CAPABILITY GAP

You MUST find the threats faster than 200 days!

You MUST tip your analysts to inspect the most critical issues!

You MUST translate technical data into decision making for leaders!

You MUST standardize and provide context around data!

7 IBMSecuritySummit2017

Threat Hunting

• 2008년부터 국가 안보국 (NSA)에서위협 행위자를 찾기 위해서 시작

• 분석가와 함께 위협 요소를 사전에발견하는 것에 중점을 둠

• 지난 3 년간 Threat Hunting 솔루션의 성장

• 조사기업 중 62%*는 '17년 Threat Hunting에 더 많은 돈을 지출 할 예정임

• 88%*의 조직이 Threat Hunting 역량이 개선되어야 한다고 말함

YourNetwork

Drawbridge“Firewall”

Gate Guard“IDS/IPS”

Archer“SIEM”

Roaming Sentry“Hunt”

Discovers the adversaries that sneak through the gate

*2016 SANS Survey of ~500 orgs

“HUNT:Detectthingsyoudon’tknowyouneedtodetectyet”

– HSBCThreatHuntingTeamLead

8 IBMSecuritySummit2017

Advanced Cyber SecurityCombine machine learning and human analysis to hunt the attacker

Security Intelligence Threat ResearchCyber AnalysisIBM Security QRadar® IBM Enterprise Insight Analysis IBM X-Force®

Feedback

Produce Enrich AnalyzeVisualize

Machine Intelligence Human Analysis Threat Analytics

9 IBMSecuritySummit2017

i2 threat hunting for QRadar app - Concept of Operation

Triage AnalysisBlock and Tackle

QRadar i2 Analyst’s Notebook

분석가는 통합 된 "i2 버튼"으로 특정 오펜스를

선택

i2 ANB에 전달된오펜스 및 연결된

데이터

QRadar Plugin

QRadar API를 통해데이터를 i2 ANB로가져올 수 있습니다.

Offense CorrelationHunt Investigations

Cyber Analyst

Tom with QRadar App

Tier 3 or “Hunt” Analyst:

§위협 사전 분석

§추세 파악, 이상행위 파악

§SIEM 또는 분석 툴활용

Value of i2 threat hunting for QRadar app:

§조사의 효율성을 크게 높여줌

§공격과 관련된 연관 정보를 자동으로 수집하여 표시

§QRadar와의 신속/용이한 통합으로 효과성 증대

10 IBMSecuritySummit2017

Employee Sensitive Data Theft Example

(1) - DLP Alert from SOC

(2) – Badge RecordsPhysical Security

(3) – Social Media Search

(4) – HR Records

(6) – Legal Team

(5) – Print Logs

EIA

11 IBMSecuritySummit2017

The Evolution of the SOC

TraditionalSOC

NextGenerationSOCwithThreatHunting

InSummary• ThreatHunting은차세대 SOC의 다음단계입니다.• 다차원데이터를 통해 비정규활동을확대해서 표시• 내부 및 외부 위협 공유를 통해 서로 협력• 데이터 분석을 통한 ThreatHunting역량 발전

MapRelationshipsAcrossVastAmountsofMultiDimensionalData

12 IBMSecuritySummit2017

CPPGroup Plc : 사기 청구 예방을 통한 고객 서비스 품질 유지

“i2 제품을 이용한 후더 많은 사기를 적발할 수 있었고,

사기 행각을 중단시킬 수 있는유용한 Intelligence를얻을 수 있었습니다.”

§위치 : 영국 요크

§대상 : 사기방지

§고객 : CPPGroup, Plc§사용된 i2 제품 :Analyst’s Notebook,

iBase

– Raphael Lawson, 책임자, 사기 조사팀

§상황 :-CPP의 사기 조사팀에 사기를 적발하고 중단 및 방지하는 임무가주어졌습니다. -수백만 개의 고객 레코드의 데이터 지점을 교차참조하고 결과를시각화 할 수 있어야 합니다.

§ i2 솔루션 :-사기 적발과 사기 행각 중단을 위해 iBase 및 Analyst’s Notebook을선택함으로써 다음이 실현되었습니다.ú사기 적발 능력이 대폭향상되었습니다. ú iBase에서 반복되는 청구서 제출을 인식하고 사소한 사항을 변경하는악성 명단을 작성했습니다.

ú3개월 안에 1500명을 식별해 내어 사기 청구에 연관시킬 수있었습니다.

§결과 :-배포한지 5개월 안에 사기 적발 건수가 50% 증가했습니다. -사기 행각의 중단으로 CPP와 고객은 £150,000의 절약 효과를얻었습니다.

13 IBMSecuritySummit2017

관동 경비국의 이동통신 사기 사건 적발을 지원하는 i2

“i2는 범죄 조사 작업에서 사건 정보를바탕으로 핵심적인 증거와 실마리를 찾는

중요한 역할을 합니다.”

§위치 : 중국 광동 지방

§산업 : 공공 안전

§고객 : 관동 경비국

§사용된 i2 제품 : Analyst’sNotebook

– Mr. Wan Wan Intelligence 조사 책임자, 관동 경비국

• 상황 :• 중국의 이동통신 및 은행 분야가 급속히 발전하는 가운데,

이동통신 및 은행 관련 첨단 기술을 이용하는 범죄자 증가.

• 기대 효과:• 시각화분석 기반으로 데이터간 상관관계의 빠른 파악• 데이터 간 네트워크 분석을 통해 연결 관계 도출• 정보 시각화를 통해 사건 재구성 및 연관성 파악 수행

• 결과 :• IP 주소, 송금 계좌 등 사건과 관련된 실마리를 이용하여

42명의 범죄자를 체포하고 자동차 몇 대를 압류하는 동시에 1000개 이상의 은행 카드 및 현금을 되찾아 사건 분석작업의 효율성 향상

14 IBMSecuritySummit2017

소셜네트워크/타임라인 분석을 통한 조사/분석의 효과성 입증

“i2를 이용하여 2주 이상 걸렸던사건을 단 2일 이내로 분석할 수

있었으며 i2 소셜 네트워크분석이나 타임라인 분석, 패턴

분석등을 통해 드러나지 않았던배후 인물이나 협력자들을 쉽게

찾아낼 수 있었습니다.

§위치 : 한국

§산업 : 공공 안전

• 상황 :• 지능적인 범죄가 증가하고 있으나전통적인방식의 조사 업

무는신속성이떨어지고핵심적인 증거와실마리를 찾기가어려움.

• i2솔루션 :• 정보 시각화를 통해 사건 재구성 및연관성파악수행• 소셜네트워크 분석을 통해 범죄자 및 조직의숨어 있는배후

인물파악• 타임라인 분석 및패턴분석을 통해 범죄의 전체적인흐름파악용이

• 결과 :• 기존대비 10배이상의신속한 조사 업무를 수행함으로써업

무효율성향상• 범죄자의숨겨진배후조직을밝혀냄으로써검거율향상 및

다른수사관과의 정보의교류를 통한 협업 가능

15 IBMSecuritySummit2017

UsecasesforIBMi2IntelligenceAnalysis

§ Multinational financial services and credit card corporation– IBM i2를 사내 Case 관리 시스템과 함께 사용하여 IBM i2 솔루션에 인텔리전스 데이터를

수집하고 신용 카드 도용 / 사기 패턴을 찾고 시각화를 구축하여 고위 경영진 및 법 집행기관에 제공함.

§ Multinational securities, investments and retail banking corporation– 공개 기록 검색 서비스를 비롯하여 다양한 소스에서 IBM i2 솔루션으로 데이터를 가져 와서쿼리 및 데이터 마이닝을 수행하여 통합함. IBM i2는 사람들의 자금 흐름과 관계가 있는 법집행 기관에 결과를 제시하는 데 사용함. IBM i2 도구는 재무적 조사와 관련하여 활용함.

§ National bank– 사기 및 자금세탁방지 부서에서 IBM i2 솔루션 사용. 많은 양의 문서, 계좌 명세서, 개인 및

비즈니스 기록, 대출 기록 및 계정을 수집하고 IBM i2를 사용하여 사람 및 활동에 대한 관계를파악. 기업 보안부서는 IBM i2를 다양한 당사자와 복잡한 사례에 사용하여 다른 회사와의 자금흐름을 보여줍니다. IBM i2를 사용하기 전에는 수작업으로 며칠이 걸리던 것이 수시간으로분석 시간을 단축.

16 IBMSecuritySummit2017

UsecasesforIBMi2IntelligenceAnalysis

§ National bank– 국가에서 가장 큰 모기지 사기에서 공모 증거를 조사하고 제공하기 위해서 IBM i2 솔루션을활용했습니다. 이 은행은 14 개의 상호 연결된 그룹이 운영하는 정교한 구매자 사기의대상이었으며 약 7 천만 달러의 가짜 모기지를 창출했습니다

§ National Bank– 한 은행은 은행 및 POS 장치에서 도난당한 데이터가 사용되는 해킹된 기계로 인한 지속적인

ATM 사기를 경험했습니다. 해킹 된 ATM / ABM 및 POS에 대한 모든 데이터를 IBM i2 솔루션으로 가져 왔습니다. 한 달 동안의 "도난당한"사건의 수를 기반으로 사기 빈도에 대한매개 변수를 설정하고 도난당한 데이터가 사용 된 장치의 은행 및 위치와 비교했습니다. 사기성 이용에 대한 경향을 수립하고 사기범을 파악할 가능성이 있는 시간 / 장소에 대해 법집행 기관에 통보했습니다.

17 IBMSecuritySummit2017

주요 고객의 피드백

“i2를 사용하여 보험금 청구건을 3 시간 이내에 사기라고 주장 할 수 있었습니다. 이는 i2 제품을 사용하지 않고는 수개월이 걸렸을 것입니다..”

“사기 조사팀은 i2 소프트웨어를 사용한 지 5 개월 만에 사기 탐지율을 약 50 % 증가시켰으며회사와 고객 모두에게 약 235,000 달러 (15 만 파운드)의 비용을 절감했습니다. …”

“i2 제품을 사용할 때, 우리는 훨씬 더 유용한 인텔리전스를 통해서 더 많은 사기를 탐지 할 수있었을 뿐만 아니라 더 중요한 것은 그러한 사기를 중단시킬 수 있었습니다.”

18 IBMSecuritySummit2017

i2 솔루션의 주요 활용 분야

IBM’s i2 Enterprise Insight Analysis for Enterprise Intelligence

PrimaryUse Cases

Cyber Analysis • Cyber Analyst는 분석 플랫폼 및 내부와 외부 정보 피드를 활용하여 조직을대상으로 하는 위협에 대해 보다 깊은 분석과 이해를 할 수 있습니다.

Insider Threat• 조사 및 모니터링을 통한 내부 위협 검색• 악의적 / 이상 행위 탐지• 링크 분석

Stakeholder Protection • 잠재적인 위협의 유효성 및 능력을 모니터링 / 식별함으로써 임직원, 파트너 및고객이 피해를 입지 않도록 합니다.

System Abuse Detection

• 불법적인 목적을 위해 기업/조직의 시스템을 손상시킨 위협자를 식별식별하십시오. 송금, 지불일 대출 신청서,공급망 위조, 변조.

Watch Lists • 연결해서는 안되는 엔티티또는 Identity에 대한 신속한 파악

1

2

3

4

5

ibm.com/security

securityintelligence.com

xforce.ibmcloud.com

@ibmsecurity

youtube/user/ibmsecuritysolutions

©CopyrightIBMCorporation2016.Allrightsreserved.Theinformationcontainedinthesematerialsisprovidedforinformationalpurposesonly,andisprovidedASISwithoutwarranty ofanykind,expressorimplied.IBMshallnotberesponsibleforanydamagesarisingoutoftheuseof,orotherwiserelatedto,thesematerials.Nothingcontainedinthesematerialsisintended to,norshallhavetheeffectof,creatinganywarrantiesorrepresentationsfromIBMoritssuppliersorlicensors,oralteringthetermsandconditionsoftheapplicablelicenseagreementgoverningtheuseofIBMsoftware.ReferencesinthesematerialstoIBMproducts,programs,orservicesdonotimplythattheywillbeavailableinallcountriesinwhichIBMoperates.Productreleasedatesand/orcapabilitiesreferencedinthesematerialsmaychangeatanytimeatIBM’ssolediscretionbasedonmarketopportunitiesorotherfactors,andarenotintendedtobeacommitmenttofutureproductorfeatureavailabilityinanyway.IBM,theIBMlogo,andotherIBMproductsandservicesaretrademarksoftheInternationalBusinessMachinesCorporation,intheUnited States,othercountriesorboth.Othercompany,product,orservicenamesmaybetrademarksorservicemarksofothers.

StatementofGoodSecurityPractices:ITsystemsecurityinvolvesprotectingsystemsandinformationthroughprevention,detectionandresponsetoimproperaccessfromwithinandoutsideyourenterprise.Improperaccesscanresultininformationbeingaltered,destroyed,misappropriatedormisusedorcanresultindamagetoormisuseofyoursystems,includingforuseinattacksonothers.NoITsystemorproductshouldbeconsideredcompletelysecureandnosingleproduct,serviceorsecuritymeasurecanbecompletelyeffectiveinpreventingimproperuseoraccess.IBMsystems,productsandservicesaredesignedtobe partofalawful,comprehensivesecurityapproach,whichwillnecessarilyinvolveadditionaloperationalprocedures,andmayrequireothersystems,productsorservicestobemosteffective.

IBMDOESNOTWARRANTTHATANYSYSTEMS,PRODUCTSORSERVICESAREIMMUNEFROM,ORWILLMAKEYOURENTERPRISEIMMUNEFROM,THEMALICIOUSORILLEGALCONDUCTOFANYPARTY.

FOLLOWUSON:

THANKYOU