Cross-Generation Detection & Response 2-6.pdf · 2019-08-30 · EPP with Proven 99+% Detection Rate Only few threats left for EDR investigation Web & File Reputation Exploit Prevention

www.cloudsec.com | #cloudsec

Cross-Generation Detection &

Response

윤명익부장 Trend Micro

[email protected]

Copyright 2018 Trend Micro Inc.3

지난 5년간보안침해사고약 67% 증가

Source: Accenture 2019 Cost of Cybercrime Study

침해여부를확인하는평균기간이

197 일로증가

Source: Verizon 2018 Data Breach Investigations Report

침해에대응하고조치하는데에

소요되는기간 69일소요

Source: Verizon 2018 Data Breach Investigations Report

사이버범죄에대해기업이지출한

비용 2018년평균 1,300만달러

Source: Accenture 2019 Cost of Cybercrime Study

갈수록어려워지는사이버공격대응

P

0 1 2 3 4 5 6 7 8 9 10

months

#cloudsec

-

200,000,000

400,000,000

600,000,000

800,000,000

1,000,000,000

1,200,000,000

2016 2017 2018 2019

다시증가하는랜섬웨어

Source:Trend Micro Research, June 2019

1월 ~ 4월

2019 전체예상

#cloudsec

실행전탐지를회피하는파일리스위협

#cloudsec

급상승하는파일리스위협

Source:Trend Micro Research, July 2019

25가지이상+의개별보안제품을전체 50% 이상의엔터프라이즈조직에서

사용

10,000건이상의보안경고를전체 IT 보안전문가

55% 이상이매일수신

가시성은중요하지만어렵다

Unknown 위협을식별하기가어려울정도로방대해진위협경고의수

Source: 1. SC Media Survey, 2018, 2. ESG, OCT 2017

위험상태에대한제한된이해로가시성정보는단순히축적만을반복

#cloudsec

2백 90만명의보안인력부족 - 2018

*(ISC)2, Oct 2018

자원과기술이제한적일수밖에없는조직

#cloudsec

SOC/IR 팀에미치는영향

• 보안경고과부하

• 상관관계파악의어려움

• 단편적인조사

• 탐지하기에는너무많음

• 부정확한분석

• 부적절한대응

• 팀전체과부하

#cloudsec

Decision Time

0 ms s mins hours days weeks

가상패칭 + 익스플로잇탐지: 지난 1년간 8.7조

시그너처/변종: 1.9조

웹평판: 9억 6천만

샌드박스분석: 3백 80만

실행전머신러닝: 1천 1백만

동작기반탐지 / 런타임머신러닝: 3억 4백만

Source: Trend Micro Smart Protection Network, June 2018 to May 2019.

고급기술은초기보호를통해얻을수있는것만을식별하며, 최초몇개의샘플만을구분 (이후에는방지기술이적응).

EDR

#cloudsec

엔드포인트활동기록

탐지

원격측정

메타데이터

위협탐지

포함된위협요소

위협조사위협헌팅(Query for IOA)

근본원인분석

IOC 스위핑

자동화된상관관계및탐지

Endpoint Detection & Response (EDR): EDR은필수!!

EDR: Detection

#cloudsec

Detection: 샌드박스연동

샌드박스분석결과를대입하여영향도조사– 의심파일

– IP주소

– URL

– 도메인

RCA를통한위협체인분석

Unknown 파일자동삭제

Unknown 주소자동차단

Trend Micro Deep Discovery(네트워크 APT, 이메일 APT)

샌드박스분석결과

Root Cause Analysis(RCA)

#cloudsec

Detection: 사용자지정기준 & IOC 이용스위핑

검색조건및입력값 호스트, IP주소

사용자계정

파일명

파일경로

해시정보

레지스트리

명령어

C&C콜백이벤트

OpenIOC 파일활용

OpenIOC 디스크조사

Yara 메모리조사

#cloudsec

Detection: 최초감염근원파악

발생당시미탐지- 최초감염근원

쿼리한의심정보(파일, 탐지명, C&C주소, URL 등)

Root Cause Analysis 진행

영향도조사진행

EDR: Analysis

#cloudsec

Analysis: 근본원인분석(RCA)“How did this happen?”

• Root cause analysis for simple or full “kill chain”

• Enhanced by Trend intelligence

• Red (known bad)• Orange (suspicious)• Black (known good)

#cloudsec

Analysis: 근본원인분석(RCA)

위협체인

의심파일

C&C콜백대상

최초관측객체

대상엔드포인트

EDR: Response

#cloudsec

Response: 의심프로세스종료

RCA 분석결과를통한의심파일프로세스강제종료

#cloudsec

Response: 의심객체공유• 다른

엔드포인트에의심객체정보를공유

• 의심파일로탐지되어동일파일실행차단

• 동일 URL, 도메인, IP주소인경우접속차단

#cloudsec

Response: 위험엔드포인트격리

대상엔드포인트를네트워크로부터격리

위험엔드포인트를네트워크로부터격리

EDR 중앙관리서버간에만통신가능(향후격리해제가능)

#cloudsec

Trend Micro Deep Discovery(네트워크 APT, 이메일 APT)

분석

Root Cause Analysis영향도조사

위협내포엔드포인트추적Patient Zero ID(최초감염근원)

위협체인분석의심파일연관객체프로세스인젝트

…..

탐지 대응

샌드박스분석결과의심객체

Custom Intelligence사용자정의의심객체

Yara RuleOpen IOC

운영센터대시보드위협탐지객체

Attack Discovery EngineADE 탐지결과

의심객체정보공유의심파일실행차단의심주소접속차단

의심파일강제종료

위험엔드포인트격리

EDR 워크플로우

EDR – Demo

Powershell 악성행위탐지

#cloudsec

EDR - Powershell 탐지 Demo

EPP? EDR?

#cloudsec

Endpoint Protection Platform

장치제어

애플리케이션제어

머신러닝

IOA 동작기반분석

변종랜섬웨어차단

C&C 차단

가상패치

파일평판웹평판

EDR

샌드박스연동

MDR 서비스

백신및위협대응통합

에이전트격리/ 파일격리

#cloudsec

Which one is more important?

EPP or EDR?

#cloudsec

EPP없이 EDR만사용한다면?EPP with Proven 99+% Detection Rate

Only few threats left for EDR investigation

Web & File ReputationExploit PreventionApplication ControlVariant Protection

Pre-execution Machine Learning

Behavioral AnalysisRuntime Machine Learning

Custom Sandbox Analysis

Vendors with less effective EPP Detection Rate

A large number of threats left for EDR investigation

Limited Prevention techniques

EDR… Next?

#cloudsec

Endpoints Servers & Workloads

그러나, EDR의초점은엔드포인트에만국한

Endpoint Detection & Response (EDR): 첫걸음으로서의좋은선택

#cloudsec


IoT/OT

쉽게볼수없거나관리할수없는엔드포인트가있다?

EDR 에이전트는모든타입의엔드포인트에서사용할수는없다

#cloudsec

서버워크로드는엔드포인트가아니다

Endpoints

Serverless Containers

Servers & Workloads

새로운클라우드모델에엔드포인트보안으로표시되지않는워크로드가있음

IoT/OT

#cloudsec

전자메일은주요위협경로


대부분의경우에전자메일은위협의주요원인1순위이며,위협의범위와영향을결정하는데중요한비중을차지

Email

#cloudsec


Email

위협이확산되는동안에네트워크에서는비정상적인징후를표시

Network

더많은것을보길원한다면?

#cloudsec

EDR은필수, 그러나충분하지는않다


Email

필요조건:엔드포인트이상의

“Detection and Response”

Serverless ContainersIoT

Network

#cloudsec

Today각영역별로데이터를수집하고분석하므로위협으로인식하지않음

OT

Network

Cloud

Email

Endpoints

Servers

#cloudsec

Today

OT

Network

Cloud

Email

Endpoints

Servers

A+B+C=D

Needed 보안계층간상관관계및분석

#cloudsec

Today

OT

Network

Cloud

Email

Endpoints

Servers


A+B+C=D

#cloudsec

Today

OT

Network

Cloud

Email

Endpoints

Servers


높은우선순위, 상황에맞는실행가능한경고

www.cloudsec.com | #cloudsec

THANK YOU

Trend Micro

Documents

Cross-Generation Detection & Response 2-6.pdf · 2019-08-30 · EPP with Proven 99+% Detection Rate Only few threats left for EDR investigation Web & File Reputation Exploit Prevention