Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
www.cloudsec.com | #cloudsec
Cross-Generation Detection &
Response
윤명익부장 Trend Micro
Copyright 2018 Trend Micro Inc.3
지난 5년간보안침해사고약 67% 증가
Source: Accenture 2019 Cost of Cybercrime Study
침해여부를확인하는평균기간이
197 일로증가
Source: Verizon 2018 Data Breach Investigations Report
침해에대응하고조치하는데에
소요되는기간 69일소요
Source: Verizon 2018 Data Breach Investigations Report
사이버범죄에대해기업이지출한
비용 2018년평균 1,300만달러
Source: Accenture 2019 Cost of Cybercrime Study
갈수록어려워지는사이버공격대응
P
0 1 2 3 4 5 6 7 8 9 10
months
#cloudsec
-
200,000,000
400,000,000
600,000,000
800,000,000
1,000,000,000
1,200,000,000
2016 2017 2018 2019
다시증가하는랜섬웨어
Source:Trend Micro Research, June 2019
1월 ~ 4월
2019 전체예상
#cloudsec
실행전탐지를회피하는파일리스위협
#cloudsec
급상승하는파일리스위협
Source:Trend Micro Research, July 2019
25가지이상+의개별보안제품을전체 50% 이상의엔터프라이즈조직에서
사용
10,000건이상의보안경고를전체 IT 보안전문가
55% 이상이매일수신
가시성은중요하지만어렵다
Unknown 위협을식별하기가어려울정도로방대해진위협경고의수
Source: 1. SC Media Survey, 2018, 2. ESG, OCT 2017
위험상태에대한제한된이해로가시성정보는단순히축적만을반복
#cloudsec
2백 90만명의보안인력부족 - 2018
*(ISC)2, Oct 2018
자원과기술이제한적일수밖에없는조직
#cloudsec
SOC/IR 팀에미치는영향
• 보안경고과부하
• 상관관계파악의어려움
• 단편적인조사
• 탐지하기에는너무많음
• 부정확한분석
• 부적절한대응
• 팀전체과부하
#cloudsec
Decision Time
0 ms s mins hours days weeks
가상패칭 + 익스플로잇탐지: 지난 1년간 8.7조
시그너처/변종: 1.9조
웹평판: 9억 6천만
샌드박스분석: 3백 80만
실행전머신러닝: 1천 1백만
동작기반탐지 / 런타임머신러닝: 3억 4백만
Source: Trend Micro Smart Protection Network, June 2018 to May 2019.
고급기술은초기보호를통해얻을수있는것만을식별하며, 최초몇개의샘플만을구분 (이후에는방지기술이적응).
EDR
#cloudsec
엔드포인트활동기록
탐지
원격측정
메타데이터
위협탐지
포함된위협요소
위협조사위협헌팅(Query for IOA)
근본원인분석
IOC 스위핑
자동화된상관관계및탐지
Endpoint Detection & Response (EDR): EDR은필수!!
EDR: Detection
#cloudsec
Detection: 샌드박스연동
샌드박스분석결과를대입하여영향도조사– 의심파일
– IP주소
– URL
– 도메인
RCA를통한위협체인분석
Unknown 파일자동삭제
Unknown 주소자동차단
Trend Micro Deep Discovery(네트워크 APT, 이메일 APT)
샌드박스분석결과
Root Cause Analysis(RCA)
#cloudsec
Detection: 사용자지정기준 & IOC 이용스위핑
검색조건및입력값 호스트, IP주소
사용자계정
파일명
파일경로
해시정보
레지스트리
명령어
C&C콜백이벤트
OpenIOC 파일활용
OpenIOC 디스크조사
Yara 메모리조사
#cloudsec
Detection: 최초감염근원파악
발생당시미탐지- 최초감염근원
쿼리한의심정보(파일, 탐지명, C&C주소, URL 등)
Root Cause Analysis 진행
영향도조사진행
EDR: Analysis
#cloudsec
Analysis: 근본원인분석(RCA)“How did this happen?”
• Root cause analysis for simple or full “kill chain”
• Enhanced by Trend intelligence
• Red (known bad)• Orange (suspicious)• Black (known good)
#cloudsec
Analysis: 근본원인분석(RCA)
위협체인
의심파일
C&C콜백대상
최초관측객체
대상엔드포인트
EDR: Response
#cloudsec
Response: 의심프로세스종료
RCA 분석결과를통한의심파일프로세스강제종료
#cloudsec
Response: 의심객체공유• 다른
엔드포인트에의심객체정보를공유
• 의심파일로탐지되어동일파일실행차단
• 동일 URL, 도메인, IP주소인경우접속차단
#cloudsec
Response: 위험엔드포인트격리
대상엔드포인트를네트워크로부터격리
위험엔드포인트를네트워크로부터격리
EDR 중앙관리서버간에만통신가능(향후격리해제가능)
#cloudsec
Trend Micro Deep Discovery(네트워크 APT, 이메일 APT)
분석
Root Cause Analysis영향도조사
위협내포엔드포인트추적Patient Zero ID(최초감염근원)
위협체인분석의심파일연관객체프로세스인젝트
…..
탐지 대응
샌드박스분석결과의심객체
Custom Intelligence사용자정의의심객체
Yara RuleOpen IOC
운영센터대시보드위협탐지객체
Attack Discovery EngineADE 탐지결과
의심객체정보공유의심파일실행차단의심주소접속차단
의심파일강제종료
위험엔드포인트격리
EDR 워크플로우
EDR – Demo
Powershell 악성행위탐지
#cloudsec
EDR - Powershell 탐지 Demo
EPP? EDR?
#cloudsec
Endpoint Protection Platform
장치제어
애플리케이션제어
머신러닝
IOA 동작기반분석
변종랜섬웨어차단
C&C 차단
가상패치
파일평판웹평판
EDR
샌드박스연동
MDR 서비스
백신및위협대응통합
에이전트격리/ 파일격리
#cloudsec
Which one is more important?
EPP or EDR?
#cloudsec
EPP없이 EDR만사용한다면?EPP with Proven 99+% Detection Rate
Only few threats left for EDR investigation
Web & File ReputationExploit PreventionApplication ControlVariant Protection
Pre-execution Machine Learning
Behavioral AnalysisRuntime Machine Learning
Custom Sandbox Analysis
Vendors with less effective EPP Detection Rate
A large number of threats left for EDR investigation
Limited Prevention techniques
EDR… Next?
#cloudsec
Endpoints Servers & Workloads
그러나, EDR의초점은엔드포인트에만국한
Endpoint Detection & Response (EDR): 첫걸음으로서의좋은선택
#cloudsec
Endpoints Servers & Workloads
IoT/OT
쉽게볼수없거나관리할수없는엔드포인트가있다?
EDR 에이전트는모든타입의엔드포인트에서사용할수는없다
#cloudsec
서버워크로드는엔드포인트가아니다
Endpoints
Serverless Containers
Servers & Workloads
새로운클라우드모델에엔드포인트보안으로표시되지않는워크로드가있음
IoT/OT
#cloudsec
전자메일은주요위협경로
Endpoints Servers & Workloads
대부분의경우에전자메일은위협의주요원인1순위이며,위협의범위와영향을결정하는데중요한비중을차지
#cloudsec
Endpoints Servers & Workloads
위협이확산되는동안에네트워크에서는비정상적인징후를표시
Network
더많은것을보길원한다면?
#cloudsec
EDR은필수, 그러나충분하지는않다
Endpoints Servers & Workloads
필요조건:엔드포인트이상의
“Detection and Response”
Serverless ContainersIoT
Network
#cloudsec
Today각영역별로데이터를수집하고분석하므로위협으로인식하지않음
OT
Network
Cloud
Endpoints
Servers
#cloudsec
Today
OT
Network
Cloud
Endpoints
Servers
A+B+C=D
Needed 보안계층간상관관계및분석
#cloudsec
Today
OT
Network
Cloud
Endpoints
Servers
Needed 보안계층간상관관계및분석
A+B+C=D
#cloudsec
Today
OT
Network
Cloud
Endpoints
Servers
Needed 보안계층간상관관계및분석
높은우선순위, 상황에맞는실행가능한경고
www.cloudsec.com | #cloudsec
THANK YOU
Trend Micro