사이버 위협과 데이터 보호 전략concert.or.kr/2016forecast/program/3_A.pdf정보 보앆의 기존 모델은 정적방어(예 : 침 탐지 시스템과 바이러스 백싞

Copyright © 2016 Forcepoint. All rights reserved. | 1

사이버 위협과 데이터 보호 전략 포스포인트 코리아 이상혁 지사장


목차

글로벌 보앆 동향

포스포인트 회사 소개

사이버 지능형 위협 – 7단계 킬 체인

포스포인트의 방어 전략

포스포인트 제품 전략


콘텐츠 상황인식 상관관계

NEW COMPANY, UNIQUELY FORMED TO

OFFER A NEW APPROACH TO SECURITY

CONTENT CONTEXT CORRELATION

실시갂 사전 예방의 필수조건


데이터

네트워크

모바일

사무실

다양한 장소

파트너 및 공급망

고객

클라우드 앱

회사 서버

웹 사이트

이메일

엔드포인트 미디어

클라우드, 사무실 그리고 이동 중 언제 어디에서나

현대 비즈니스의 성공 여부는 다양한 유형의 사용자의 앆전한 데이터 사용

사용자


도전 과제에 대한 최적의 해결방앆

문제 솔루션 요구사항

진화하는

비즈니스 환경

저장 위치 또는 통신 방법과 상관없이 데이터 보호로 관심 이동

LAN에서 엔드 포인트, 모바일과 클라우드까지 지원하는

끊임없는 보호

증가하는 위협

환경

지능형 위협 인텔리전스 인식

실시간 분석

포괄적인 보안 접근 방법

내부자 위협의 인식

복잡성 & 단편화

최소의 더 많은 대응 가능한 경고

보다 빠르고 정확한 의사 결정을위한 분석

통합관리로 운영 및 관리의 최소화

엔드 포인트에 설치 최소화


“사이버 침투 후 체류 시간”(DWELL TIME)을 줄여

도난과 손실을 최소화

최초 감염

침입 해결

도난 유출

탐지 및 개선

정상 회복:

•탐지

•결정

•무력화

이러한 도전 새로욲 위협 요소에 대응하는 새로욲 접근 방식이 필요

시작 지점

방어

외부 공격

내부자 위협


목차







업계 선도 업체

콘텐츠 보앆 및 DLP 클라우드 / 사내 / 하이브리드

사이버 방어의 개척자

금융 리소스 위협 요소 탐지에 대한 깊은 이해

네트워킹 혁싞 기업

고급 회피 방지 규모에 맞는 보앆

보앆을 위한 새로욲 접근 방식을 제공하는

고유하게 구성된 새로욲 회사


본사, 텍사스 주 오스틴

엔지니어링과 운영

클라우드 데이터 센터

영업과 지원

155개국

20,000 이상의 고객

44개 사무소

2,200명 이상의 직원

2,000여 파트너사

380개 특허와 특허 애플리케이션

20개의 데이터 센터

평균 CSAT 8.7-9.0

아메리카 유럽, 중동, 아프리카 아시아 태평양

연중 무휴 지원

24X7 고객 지원을 위한 글로벌 조직


목차







정찰 무기화 전달 취약점 공격

설치 C&C 실행

Intrusion Kill Chain(침입 킬 체인)

Source: Lockheed Martin

정보 보앆의 기존 모델은 정적방어(예 : 침입 탐지 시스템과 바이러스 백싞 소프트웨어)에 의존하고 공격자가 끊임없이 변화하는 기술과 발견되지 않은 소프트웨어 취약점을 보유한 방어자를 통해 타고난 장점을 갖고 있다고 가정한다. 2011 년 록히드 마틴 (Lockheed Martin) 컴퓨터 사고 대응팀 직원은 이러한 기존의 방어가 정교한 ＂지능형 지속 위협(APT)”으로부터 조직을 보호하기에 충분하지 않다는 것을 설명하는 백서를 발표했다.


7단계 지능형 위협 생명주기


공격 유형별 사용 단계

워터링 홀 공격

공격신용카드/현금카드 사기

랜섬웨어 공격

스피어피싱 공격

뉴스 특보/인기

동영상/사진 등

검색엔진 포이즈닝

공격

내부자 위협

1 2 3 4 5 6 7


목차







© 2015 Websense, Inc. Page 15


전 세계에서 가장 대규모의 정보 보호 인텔리전스 네트워크

THREATSEEKER® 인텔리전스 클라우드

매일 50억개의 웹과 이메일 콘텐츠 분석

9억개 이상의 엔드 포인트 (155개 이상의 국가)

고객에게 초당 3.2건의 업데이트 제공

© 2015 Websense, Inc.



멀웨어 방지

평판 분석

행위 기반

샌드박싱

스팸/피싱 방지

실시간 데이터

분류

실시간

콘텐츠 분류

실시간

보안 분류

URL

분류

새로운 위협과 개발 동향을

식별하는 보안 예지력

10,000 가지 이상의 분석

방법으로 심층 조사 지원

다수의 탐지 방법을 사용하여

실시간 “판결”

차세대 지능형 엔진(ADVANCED CLASSIFICATION ENGINE™)

Copyright © 2016 Forcepoint. All rights reserved.

ACE Mapping: Torrentlocker의 귀환

Date: 15 March 2016 Audience: Public Threat Type: Ransomware Blog: https://blogs.forcepoint.com/security-labs/torrentlocker-back-and-targets-sweden-italy

https://blogs.forcepoint.com/security-labs/torrentlocker-back-and-targets-sweden-italy















2 단계 – 유인

차단


3 단계 – 리다이렉트

분석 후 차단


4 단계 – 취약점 공격

해당사항 없음

소셜 엔지니어링 기법으로 전달되는 페이로드는 사용자가 악성 파일을 다운로드받게 합니다.


5 단계 – 드로퍼 파일 Dropper file on Yandex: Threat Protection Cloud report:

분석 후 차단


What Would Happen Without Protection?


6 단계 – 콜홈

분석 후 차단


차단 요약

콘텐츠 이메일

보앆 솔루션(AP-

EMAIL)에서

악의적인

이메일(본문의

링크 또는

첨부파일 모두)을

사전에

차단하였습니다.

Locky 페이로드는 악성 매크로에 의해 직접 호출되는 웹 사이트에 호스팅되어 있습니다. 리다이렉트 없음

취약점 공격 단계는 이 공격에 적용되지 않습니다. 페이로드는 사용자가 직접 MS 워드 첨부 파일을 실행하도록 전달됩니다.

샊드박스에서 악의적인 Locky 페이로드를 식별하였습니다. Anit-Malware 엔짂에 해당 인텔리전스를 수용하여 추가적인 심층 분석 정보를 솔루션에 추가하였습니다.

Forcepoint는 Locky 랜섬웨어가 사용하는 도메인 생성 알고리즘(DGA)의 리버스 엔지니어링을 하였습니다. 알고리즘은 매일 새로욲 URL 조합을 생성합니다.

포스포인트는 위협 생명 주기에 걸쳐서(2단계부터 6단계까지) 다양한 지점에서 보호를 제공합니다.


목차







통합 플랫폼


글로벌 보앆 인텔리전스

차세대 분석방법

클라우드 우선 기업에서 위협 생명 주기의 관리를 욲영할 수 있는

포트폴리오와 생태계 접근 방법을 통해 내부와 외부의 보앆 위협으로부터 고객

보호

도전 과제

짂화화는 비즈니스 환경

더욱 위험해져 가는 위협 정세

복잡성 & 단편화

2

3

4 5

Office 365의 데이터 보앆

클라우드의 웹/이메일 보앆

허가된 앱에서 데이터 검색

위험한, 허가되지 않은 앱의 사용량 보고

클라우드 앱 서버 팜에 대한 위협 차단

1

2

3

4

5

1

기업이 앆전한 클라우드로 전환 지원

Office 365를 위한 데이터와 이메일 보앆

클라우드의 웹/이메일 보앆

허가된 앱에서 데이터 검색

위험한, 허가되지 않은 앱의 사용량 보고

클라우드 앱 서버 팜에 대한 위협 차단

TRITON 4D 플랫폼은 클라우드에 보앆을 적용할 수 있도록 함께 작동하는 풍부한 기능을 제공

AP-WEB Cloud

AP-EMAIL Cloud

AP-ENDPOINT

AP-DATA Azure

AP-DATA Discover

Threat Protection Cloud

Threat Protection for Linux

RiskVision (powered by

Skyfence)

데이터 중심 콘텐츠 인지

내부자 위협에 대한 포스포인트의 해답

사기/범죄

유출

우발적

TRITON AP-DATA

(DLP)

TRITON AP-DATA

(DLP)

SUREVIEW INSIDER THREAT (사용자 행위 분석)

관리의 연속성 보장

데이터 보호 (DLP)

사용자 행위 (UEBA) + 완벽한 데이터 보호

DEFEND (방어)

DETECT (탐지)

DECIDE (결정)

DEFEAT (무력화)

애플리케이션 일반

애플리케이션 (AIM, ICQ, Yahoo,

Sametime)

클립보드 이메일 파일 키보드 로그온 프린터 프로세스 시스템 정보 비디오 웹 웹 URL 웹메일

(Gmail, Yahoo,

Outlook)

Sureview insider threat – 아키텍처


일반적인 사용자 행위의 기준 수립 잠재적인 이상 행위자 식별 사용자 기반의 행동 모델

DLP : 데이터 모니터링과 보호 데이터 분류 IT 인프라 전반에서 데이터 유출 통제 사고 기반의 행동 모델 장소에 상관없이 지적 재산과 개인 정보의 모니터링과 보호

Insider Threat : 행위 기반의 감사

Insider Threat : 사고 중심의 조사

AP-DATA를 포함한 다수의 데이터 출처에서 포괄적인 시간대별 정보 수집

사용자 활동의 모든 상세 정보와 이해 그리고 완벽한 상황 정보

사용자 행위의 비디오 재생 내부자 위협의 탐지와 억제

INSIDER THREAT + AP-DATA


Sureview insider threat – 비정상 행위의 비디오 재생

https://www.youtube.com/watch?v=v_qOzm068_Y

https://www.youtube.com/watch?v=v_qOzm068_Y

SUREVIEW ANALYTICS – 상황정보와 상관 관계 중심의 보앆 가시성 제공

36

Context is King!

SureView® Analytics : 사이버 위협, 사기, 범죄 행위와 대 테러행위에 대한 탐지와 응답 속도를 높일 수 있는 시각적 분석 방법과 통합 검색 지원 플랫폼

사이버 위협과 데이터 보호 : 포스포인트의 방어 영역

Forensic SIEM UEBA

Email APT Web APT

Data Loss Prevention Insider Threat Protection

Email Security Web Filtering

(업무/비업무 제어)

Web Security

(HTTP/HTTPS)

Firewall IPS Antivirus

포스포인트 통합 플랫폼 비전 THREATSEEKER 인텔리전스 클라우드

콘텐츠 보앆

클라우드 보앆

네트워크 보앆

TRITON 4D 플랫폼

ACE SECURITY SERVICES

통합 관리

API

내부자 위협 데이터 보호

사용자 데이터

네트워크

“SUMMIT”

지능형 분석 더 빠른 의사 결정

• 기업의 클라우드 우선 정책 지원

• 공유 보앆 서비스의 활용 지원

• 지능형 분석으로 더 빠르고 더 나은 의사 결정 지원

• 다른 보앆 제품과 상호 욲용

• 단일 관리 콘솔에서 통합 보앆 관리와 보고 지원

Worldwide Sales Conference 2016, Proprietary & Confidential | 41

Documents

사이버 위협과 데이터 보호 전략concert.or.kr/2016forecast/program/3_A.pdf정보 보앆의 기존 모델은 정적방어(예 : 침 탐지 시스템과 바이러스 백싞