머신런닝과데이터사이언스기술기반의wiki.wikisecurity.net/_media/wiki_security_corp:위키시큐리티_vectra제품... · 뱑안시스템들의 과도한이밾트 “The

2010. 05

Total Solution Provider for Information Security

머신런닝과데이터사이언스기술기반의

� 보안침해대응 및 보안관제 기술동향

인공지능 기반 위협탐지 및 예측침해사고 유사도분석, 유사침해자원 패턴매칭, 네트워크 기반 이상징후 탐지/분석 등 다양한 방식을통한 침해사고 위협탐지는 많으나 딥러닝, 머신러닝 등 인공지능기반 위협탐지, 예측기술 필요성 대두

악성코드 게놈프로젝트개별 악성코드 자동분석 및 악성코드 간 유사성분석 기술을 연구하여 악성코드 프로파일링 및 대량의유사 악성코드 그룹 분류기술과 학습기반의 악성코드 분석/분류기술들이 연구 중임

사이버 블랙박스 및 Intelligence분석 프로젝트네트워크 트래픽을 수집, 관리 및 무결성 보장기술과 Semantic기반 침해사고 원인분석 및 공격재현기술, 침해공격 정보연동 및 정보공유기술이 연구 중임

침해사고 역추적 기술다중소스 기반의 장기간 침해사고 분석을 통한 특징추출 및 연관된 공격 근원지 탐지/침해사고원인분석 기술과 공격자 그룹식별 및 자동 역추적 기술이 연구되고 있음

CONTENTS

SINCE

2010

CONTENTS

SINCE

2010

4Copyrights 2016 WIKI Security Co., Ltd. All rights reserved.

시그니처와 탐지룰 기반의 각종 보안시스템들이 띄우는 수많은보안 이벤트들을 분석하고 판단하는데 허덕이며 대부분의업무시간을 보내고 계시지 않으십니까?

현 시점에서 우리가 고민해야 할 것은…

보안시스템들의과도한 이벤트

“The Top 5 Problems with Traditional SIEM”Gartner group’s Report (2015)

� 보안 도구/콘솔의 독립적인 운영 및 관리로보안관리자의 생산성 저하

� 과도하게 발생하는 보안경보로 보안관리자의 보안이벤트 중요성 인식 저하

� 다양한 단위보안 도구에서 발생하는 다량의 경보와이벤트에 대한 연관성 파악 부재로 시스템이 어떤위험에 노출되어 있는지 파악이 용이하지 않음

� 단위보안 툴에서 발생하는 로그의 분산 저장으로감사대비책 미비

� 침입탐지 솔루션의 최대 단점인 과도한 falsealarm의 발생 및 로그의 발생으로 인해 보안관리자들이 전체 단위보안 솔루션들을 효율적으로관리할 수 없음.

보안담당자가 얘기하는 전사적 보안관리의 애로사항


Firewall, ESM, IDS/IPS, WAF 와 같은 경계선 보안을 우회하여내부침투에 성공, 2차 내부 공격들을 탐지 및 모니터링되고계십니까?


경계선 보안을우회한 내부공격

Vectra Sensor

• Firewall & UTM & NG Firewall

• Web & Email Gateway,Proxies

• IDS/IPS, URL Filtering• Malware Sandboxes, Anti-Virus

• SIEM• NBA• Analytics (Networks Forensic, Netflows 등)

• Log Management

해킹의 활동 단계에서는- 해킹에 대한 인지와- 실시간 모니터링등의 방안 부재

공격위협 대응단계

� 여러 가지 보안시스템을 갖추고 있지만,� 보안 침해사고의 69%는 외부기관에 의해 발견� 보안 침해사고의 9%는 고객에 의해 발견되고 있음 (*) 출처: 데이터 보안 침해사고 보고서(Verizon, 2013)


단편적 형태의 공격탐지가 아니라 지속적이고 장기적인 형태의공격도 시계열적으로 공격형태와 이력을 실시간으로 모니터링 및분석하고 계십니까?


지속적, 시계열공격 모니터링

� 진화하는 사이버 공격의 위협은 탐지 전 네트워크내 활동 기간이 평균 229일� 치밀하고 장기적 공격은 탐지가 어려우며, ②와 ③번 단계에서 대응 수준의 심각한 Gap 발생� 직면한 문제들을 극복하고 비지니스 연속성을 담보 할 수 있는 선제적인 대응체계 필요

네트워크 접근 권한 획득

1

N

S

EW

주요 정보 탈취 또는 파괴

3

N

S

EW

침투 성공후 은밀하게조사 및 진지구축

2

N

S

EW침투공격

(Outbound � Inbound)은닉/수집 등

내부 공격확대 활동유출공격

(Inbound � Outbound)

� 임직원과 파트너� 다양한 경로(피싱, 이메일, USB,

BYOD, 노트북)� 소셜 엔지니어링

� 포스스캔 및 취약점 스캔� 멀웨어 베포� 권한상승시도(Local to Supervisor)� 활동진지 구축(숙주 호스트)� 외부 C&C서버 접속, 업데이트

� 지속적 중요 정보자산 스캔� 지속적 중요 정보 데이터 취합� 암호화 등 은익화된 터널링 구성� 지속적 데이터 유출


제한적인 보안팀의 리소스로 늘어나는 각종 포인트형 보안시스템운영과 신규 해킹기법의 분석업무를 수행하기 위해 운영자와분석가를 계속해서 늘려나갈 수 있습니까?


위협탐지를위한 운영부담

Skill

Time Costs

� 늘어나는 포인트 보안시스템들의 운영을 위해숙지해야 하는 Skill은 점점 다양해지고 증가하고있음

� 공격기법은 빠르게 고도화되고 지능화되고 있는데,이를 신속하게 식별하고 탐지해야 하는 부담 가중(예: Anti-Virus의 신규백신 제작은 평균 4시간 소요)

� 상시 보안모니터링을 위한 인력운영의 대부분은초급인력이 야간근무를 수행하지만, 침해사고의대부분은 야간이 발생

� 침해사고 분석을 위해 실전 경험 풍부한 전문분석가를 갖추기에는 고비용 투자 필요

제한된 리소스와 증가하는 보안시스템의 보안팀 부담

CONTENTS

SINCE

2010


네트워크 미러링기법으로 IP가 부여된 Device 와 Application 에대한 내/외부간 공격과 내부간 공격을 실시간으로 위협탐지 및모니터링을 제공

그렇다면, Vectra 가 제공하는 것은…

내/외부, 내부간의실시간 모니터링

User Group Cloud Network

Data Center

IOT Device

Firewall

Core Switch

AccessSwitch

Vectra Brain

Vectra Sensor

Vectra Sensor

� 네트워크 Packet Mirroring으로실시간 위협정보수집

� Vectra BrainCore Switch를 통한 내외부트래픽 캡춰 & 분석

� Vectra SensorAccess Switch를 통한 내부트래픽 캡춰 & 분석

� 모든(약 80%)의 Protocol 지원

� IP가 부여된 모든 Device의위협정보수집

� PC 및 서버, Application� IOT Device� Cloud Computing Network

Vectra(Brain/Mixed/Sensor Mode)


Global 위협정보와 고객사 Local 위협정보를 머신런닝알고리즘과 데이터사이언스 기법을 적용하여 자동화된 실시간위협탐지 및 모니터링 기능을 제공


머신런닝과 데이터사이언스 적용

실시간 공격모니터링 화면Vectra(Global Learning + Local Learning + Integrated Intelligence)

Dashboard

측면확대 공격 현황


Vectra Threat Labs™ 의 Global 위 협 정 보 (SupervisedLearning) 와 고객사 Local 위협정보 (Unsupervised Learning)를 데이터사이언스 기법으로 자동화된 위협탐지 제공


공격단계의시계열 분석

머신런닝 + 데이터사이언스기법 및 알고리즘 적용

Vectra의 시계열 분석 기능으로- 공격 탐지 시간대별 공격이력- 공격유형, 공격전이 및 확대이력등을 제공

Vectra(Machine Learning + Data Science)


ML과 DS기법으로 현재의 공격을 Cyber Kill Chain 단계별로자동분류하고 공격수준을 Scoring 하여 정확도 높은 위협이력과상황 모니터링 기능을 제공


공격단계별위협 스코어링

Vectra(사이버공격의 단계별 특징 및 탐지알고리즘)

사이버공격단계(Cyber Kill Chain)

Vectra의 Threat 과 Certainty Scoring =>우선조치 대상 실시간 모니터링 제공

Vectra Threat Labs 의전세계 해킹, 위협정보와 Local Threat의Integrated Intelligence=> 현 공격상태 정확한 자동분석


Labs 의 Global 위협정보 (Supervised Learning) 와 고객사Local 위협정보 (Unsupervised Learning) 를 데이터사이언스기법으로 자동화된 위협탐지 제공


보안위협 탐지와분석의 TOC절감

Data Scientist Expert Group

Vectra Networks Inc의Vectra Threat Labs ™ 전세계 해킹, 위협정보를 알고리즘화,

Vectra 제품에 적용세계 분석전문가를 별도 비용없이제품에 적용된 알고리즘으로 활용

Cyber Security Expert Group

CONTENTS

SINCE

2010


기 본 구 성 으 로 써 , Core Switch 에 X-Series(Brain) 를 구 성 ,탐지하고자 하는 서브네트워크에 S-Series(Sensor) 를 설치하여 전사위협을 모니터링 및 관리

Vectra 는 어떻게 구성되는가?

CASE-1단일 기업형

User Group Cloud Network

Data Center

IOT Device

Firewall

Core Switch

AccessSwitch

Vectra Brain

Vectra Sensor

Vectra Sensor

� 네트워크 Packet Mirroring으로실시간 위협정보수집

� Vectra BrainCore Switch를 통한 내외부트래픽 캡춰 & 분석

� Vectra SensorAccess Switch를 통한 내부트래픽 캡춰 & 분석



CASE-2분산 기업형

분산된 조직의 해킹위협을 탐지 모니터링하기 위한 구성으로써,본사에 Core Switch 에 X-Series(Brain) 를 구성하고 지사 등의 원격지에는 X-series(Mixed) 또는 S-Series(Sensor) 를 구성

Vectra

SPANSPAN

SPANSPAN

� HQ에자체 및 원격지 모니터링을 위한X-Series와 S-Series구성

� 분산된 원격지 네트워크에X-Series와 S-Series구성



CASE-3그룹사 구조형

그룹사차원에서 그룹지주사에서 그룹전체를 탐지 및 모니터링하고,각 계열사는 자사만을 모니터링하는 구성으로 다수의 X-Series 들과S-Series, Virtual Machine 으로 구성하여 그룹전체를 모니터링

Router

Switch

Firewall

Internet

X-SeriesData Center

SPAN

X-Series

S-SeriesX-Series

Xl-Series

S-Series

S-Series

Virtual-Series

지주사 계열사-A

계열사-B

계열사-C



주요 레퍼런스

트리뷴 미디어 그룹 Barry 대학교 아루바 네트웍스 Good Technology

리버베드 Santa Clara 대학교 Tri-State Generation and Trasmission Association

(에너지)

쌍방울

OOO부대

End of Document

서울특별시 금천구 가산동 에이스테크노타워10차 601호TEL : 02-322-4688 | Fax : 02-322-4646 | E-mail : [email protected]

Documents

머신런닝과데이터사이언스기술기반의wiki.wikisecurity.net/_media/wiki_security_corp:위키시큐리티_vectra제품... · 뱑안시스템들의 과도한이밾트 “The