Embed Size (px)
Citation preview
머신러닝EPP (Endpoint Protection Platform)중요성과고려사항
권영목 대표
파고네트웍스 (PAGO Networks, Inc.)세일즈엔지니어링 /솔루션아키텍트겸임
2
“춘추전국시대 ”
현재, 엔드포인트보안시장 – 여전히….
3
엔드포인트보안솔루션 –대두되는두개의진영
Prevent Detect & Response
EPP EDR
4
“엔드포인트” 보안기술트렌드 - VS. MALxxPrevent기술
Detect & Response기술
경쟁 ?
공존 ?
잠시생각해
보겠습니다
EPP벤더 EDR벤더경쟁 !시장
벤더측면
EndpointPreventionPlatform
EndpointDetection &Response
5
EPP – 기술출현과정 / 상황(Endpoint Prevention Platform)
Anti-Virus Endpoint ATP
EPP (Endpoint Prevention Platform)
-머신러닝
-딥러닝
- 멀티레이어보안 EPP
- 멀티레이어보안 EPP
-머신러닝 EPP
인공지능(AI, EPP)
확장(EPP의 인수합병 / 자체개발)
- 시그니쳐
- 행위기반
- 휴리스틱
- BAD URL
- 안티익스플로잇
- Cloud 샌드박스
- 평판조회
멀티레이어 보안(기존 AV 기반, EPP)
-머신러닝추가
+ 머신러닝 EPP 합병
+ EDR 개발
+ EDR 합병
+ EDR 개발
6
EDR –기술출현과정 / 상황(Endpoint Detection & Response)
Prevention갈증
“For Un-Known”
위협이
침투했다고
판단 /가정
Dwell Time(체류시간)
최소화
피해최소화
ThreatHunting
(위협헌팅)
7
엔드포인트보안솔루션 –대두되는두개의진영
Prevent Detect & Response
EPP EDR
Detect
Response
Prevent
8
Prevent vs. Detect & Response어디에투자?
엔드포인트보안
우선순위는?
Prevent 비중을높일것인가?
Detect & Response비중을높일것인가
고객의판단에따라 !!!
9
방향성제시
훨씬더높은
Prevention기술적용
Detect&
Response추가
머신러닝EPP시장적용 /증명
Threat Hunting진화
10
질문 -머신러닝 EPP 보안솔루션목적?
랜섬웨어 바이러스 다운로더 드롭퍼
트로얀
웜 봇 리다이렉터
백도어 익스플로잇
전자화폐채굴멀웨어 애드웨어
키젠크랙툴
게임핵툴
툴바
키로거 스크린샷툴
패스워드크랙툴
루트킷
포터블툴
최대한높은방어율달성
Known / Unknwon상관없이
11
질문 -엔드포인트머신러닝학습위치?
네트워크트래픽머신러닝
온-사이트트래픽학습기반
엔드포인트머신러닝유형1
엔드포인트머신러닝유형2
클라우드에모든기반위치
클라우드학습
엔드포인트는엔진만탑재파일클라우드
전송후최종판단
최종판단은엔드포인트에서
12
질문 –엔드포인트머신러닝기술의차이는?
학습한데이터량
멀웨어판별을위해사용하는벡터의수
수학모델은누가
생성하는가?
13
질문 –엔드포인트머신러닝 “멀웨어”판별방식?
Scoring(스코어링)
Predict(예측기반)
14
질문 –스코어는몇점부터차단할것인가?
1점 100점
10점? 50점? 90점?30점?
머신러닝을적용했다면,1점부터차단하는것을권고합니다.
15
먼저,머신러닝관점스코어링이해필요 (케이스 1)
Vs.
Scoring = 15 Scoring = 100
질문 – 1점부터차단하면, False Positive 는어떻게?
16
질문 – 1점부터차단하면, False Positive 는어떻게?
먼저,머신러닝관점스코어링이해필요 (케이스 2)보안 SW
“인증서탈취”코드싸이닝악성코드공격
정상적인보안 SW
Scoring = 50 Scoring = 100
17
질문 –스코어 15점 / 50점은 False Positive?
Prevention Fist Investigation Final Decision
18
머신러닝엔드포인트보안 …
머신러닝기술도입을원하신다면…
스코어링통한
• Prevention First• Investigation• Final Decision
“새로운방식의보안접근법적용필요”
19
질문 –실제프로젝트단계?
1단계 (Default -모니터링정책)
DeploymentFull
Scanning
Classification------
Black / White
20
질문 –실제프로젝트단계?
2단계 (Quarantine –격리정책)
신규/변조파일
모니터링
파일실행모니터링
Prevention Fist Investigation Final Decision
업무영향도체크(1)기업배포파일
사전예외처리프로세스
적용및배포
(2)개인다운로드파일
Prevention First 적용
21
질문 –누가 ?
Prevention Fist Investigation Final Decision
실제스코어링된파일에대한멀웨어분석및판별업무
내부운용인력(또는)
외부제안사/제조사서비스
22
외부매니지드서비스사례 + Cylance머신러닝
서버 서버 서버 PC PC
AWSCylance
고객전용정책관리서버
이동사용자
지점
서버팜 임직원
관리자웹 UI
HTTPS
TLS/SSL
TLS/SSL
TLS/SSL
23
Cylance 머신러닝기반,스코어링및탐지 /격리
PAGO MAMS2 분석팀에의한상세분석및요약서비스 (라벨링서비스) =>최종판별
매니지드서비스개요
24
시스템에 잔존하는보안컨설팅에 사용된
악성툴(공격툴)
탐지 /격리에 성공한랜섬웨어
(Known / Unknown 모두포함)
탐지 /격리에 성공한백도어, 드롭퍼, 트로얀
(Known / Unknwon 모두포함)
탐지 /격리에 성공한루트킷, 다운로더, 웜
(Known / Unknwon 모두포함)
위샘플은기존도입된보안솔루션을모두회피하고,최종적으로엔드포인트에침투성공한멀웨어를
1차로CylancePROTECT가탐지/격리한상태에서, 2차로멀웨어분석팀에서분석결과를요약한화면입니다.
라벨링및최종판별샘플
25
필요시, 추가악성코드분석보고서제출
26
Anti-Malware SOC-as-a-Service 대쉬보드
