new 시만텍 통합사이버보안전략 - cuvix...
Post on 27-Feb-2020
8 Views
Preview:
TRANSCRIPT
New 시만텍통합 사이버 보안 전략
서종렬 상무
시만텍 코리아
1 보안 동향
2 통합 시만텍 보안 전략
3 보안 전략 구현을 위한 핵심 솔루션
Agenda
사용자 정의의곤란
데이터 공격의진화
네트워크 경계선의확장
단계별 공격
사용자정의곤란
지역사무소
본사데이터센터
보안솔루션스택
사용자정의곤란
지역사무소
본사데이터센터
이동사용자
개인용디바이스
보안솔루션스택
개인용디바이스
데이터공격의진화
지역사무소
본사데이터센터
이동사용자
보안솔루션스택
네트워크경계선의확장직접연결로 인해 보호해야할 네트워크가확장됨
지역사무소
본사데이터센터
이동사용자
SSL 암호
IOT 디바이스개인용디바이스
SSL 암호
보안솔루션스택SSL 암호
단계별공격
지역사무소
본사데이터센터
이동사용자
보안솔루션스택SSL 암호
IOT 디바이스개인용디바이스
SSL 암호
SSL 암호
클라우드제너레이션에대한혁신필요: 안전한클라우드 사용보장
지역사무소
본사데이터센터
이동사용자
IOT 디바이스개인용디바이스
엔드 포인트 보안, 메일 보안, DLP 및 웹 사이트 보안, 사용자 인증의 글로벌 선두 주자
엔터프라이즈 분야에서 3 개의 솔루션 영역:• APT 공격 대책• 데이터 보호• 사이버 보안 서비스
세계에서 가장 많은 사용자에게 보안을 제공
– 6700만 사용자
Fortune500기업의 90%와 370,000의조직에서 사용됨
The Global Leader in Cyber Security
웹 보안 및 클라우드 보안의 글로벌 리더
6개의 보안 영역을 통합한 솔루션을 제공• 고급 웹 및 클라우드 보안• APT 공격 대책• 암호화 통신 관리• 사고 대응 법의학• 웹 응용 프로그램 보호• 네트워크 대역폭 제어
Fortune500기업의 70%와 15,000의조직에서 사용됨
Network + Security + Cloud
사이버보안서비스
파일
UR
L
화이트리트
블랙리스트
인증서
머신러닝
1억7천5백만개인/기업사용자엔
드포인트수
9 개의글로벌위협대응센터및
3,000명의연구개발엔지니어
1 조매일신규웹요청수
2 조매일이메일스캐닝
글로벌인텔리젼스의데이터
기반
글로벌 위협 인텔리전스 네트워크
• 4억3천만신규악성코드발견
• 1조악성이메일차단
• 10억 사회공학스캠차단
• 1만 5천+ 클라우드애플리케이션발견및보호
• 1억8천2백만웹공격차단
파일
UR
L
화이트리스트
블랙리스트
인증서
머신러닝
로컬인텔리전스
File
UR
L
Wh
itel
ist
Bla
cklis
t
Cer
tifi
cate
Mac
hin
e Le
arn
ing
온프레미스
클라우드
Data CenterSecurity
EncryptionContent Analysis
Web Protection
Performance
Endpoint Cloud
Cloud Web Protection
VIPIdentity
Cloud DLP CASB
Managed PKI
Messaging
Data Center
Security
Cloud Sandbox
Cyber Security Services
Encryption
Compliance Advanced Threat Protection
Endpoint
EncryptedTraffic
ManagementDLP Security
AnalyticsManagement Malware Analysis
SOC Workbench
타사솔루션연동
SIEM 연동
1000110
1001010
1110101
0010111
1010110
Integrated Cyber Defense플랫폼
시만텍 사이버 보안 전략
19
NGFW/IPS
RealtimeSandboxing
Proxy 아키텍쳐 기반의Realtime 위협 대응
연동 보안 솔루션(N-DLP, Sandbox 등)
ATP: NetworkNetwork ForensicLogging
암호화 트래픽가시성 확보
연동 보안 솔루션(IPS, Sandbox등)
차세대보안 인텔리전스 클라우드 보안 솔루션
차단연동
연계 운영
1차 방어선
유입의차단
Cloud보안
2차방어선
위협 가시성확보
최종방어선
인텔리전트엔드포인트
차세대 지능형엔드 포인트 보안
NextGen FW웹 보안 게이트웨어
탐지/가시성 확보네트워크 포렌직
의심스런 위협탐지IoC hunting사고 대응
CASB(Cloud AccessSecurity Broker)
가시성 확보
연동
연계 운영
Internet
Anti-SpamAnti-VirusATP:EmailURL Filtering
SIEMData Analytics
EDR Solution
Endpoint 보안
시만텍 사이버 보안 전략
차단 탐지 대응 사고조치
피싱
드라이브
바이
다운로드
기타
공격
기법
보안사고
Proxy 아키텍쳐 기반의Realtime 위협 대응 Realtime
Sandboxing 암호화 트래픽가시성 확보
ATP: NetworkNetwork ForensicLogging
차세대 지능형엔드 포인트 보안
SIEM/통합 보안 관제
오늘날의 웹 보안
• 웹을 통해서 수많은 서비스를 제공
• 사용자와 웹서비스 간의 양방향 컨텐츠 증가
• SSL 통신을 사용하는 웹서비스의 지속적 증가 및
악성코드의 유입 증가
• 전통적인 보안장비로는 80포트를 사용하는
웹서비스 제어가 어려움
- Http(s) Tunneling, TCP over http(s)
• 단순히 html뿐아니라 수많은 종류의 파일 전송
• 해커들의 놀이터 (80포트는 항상,어디서나 open)
차세대
방화벽
IDS /
IPS
UTM
URL필터
메일
필터
샌드박스
국가
사이버 범죄자
해커
내부 비리
공격자
알려진 위협
알려진 맬웨어
알려진 파일
알려진 IPs / URLs
기존 공격
신규 악성코드
제로데이 공격
표적 공격
최신 기술
APTs
SSL
SSL시
각화
SSL
웹보안게이트웨이
Context기반의 웹DB
Protocol Detect 기반의 웹정책
AV/AS
네트워크 보안 장비에 보안 분석 방법
Proxy 베이스 구조에서의 분석 플로우
PROXY
• TCP/IP 세션 제어 방식(Proxy기준 사용자/서버 세션 분리)
• HTTP/HTTPS 프로토콜 지원
• L7 사용자 ID 및 콘텐츠 기반
• L7 파일 레벨, 콘텐츠 심층 분석 및제어
Proxy 베이스 구조에서의 분석 플로우
PROXY
• TCP/IP 세션 제어 방식(Proxy기준 사용자/서버 세션 분리)
• HTTP/HTTPS 프로토콜 지원
• L7 사용자 ID 및 콘텐츠 기반
• L7 파일 레벨, 콘텐츠 심층 분석 및제어
프록시 기술을 통한 세부적인 웹 보안 정책
25
Full Proxy Architecture Risk Level 기반의 보안 정책 사용자 응답 속도의 보장
WebPROXY
W W W . W E B S I T E . C O M Correlation
Analysis
UrlInformation
Severity Level
Malware Category
File Hashe Users
HQ / Branch
WAN
• 트래픽 터미네이션 후 세부적인 보안 정책에 의하여 통신하는 웹에 대한 세부 내역확인
• HTTP와 HTTPS에 대한 전문적인 보안기능제공
• RFC 표준 확인을 통한 의심스런 웹세션에대한 원천 차단
• 개방형 연계 정책을 통한 강력한 웹보안정책 유지
• Cache 기능을 통한 사용자 응답 속도 개선• 인터넷 데이터의 내부 cache로 인한 사용자
다운로드 속도 증가
• 타보안솔루션 웹필터와 차별화된 기능제공• 웹 사이트 내용 기반의 분석• 86개 기존 카테고리외에 보안에
특화된 Risk 정보제공• 웹필터 카테고리 정보를 통한 사용자 분석• 악성코드에 대한 선제적 차단
진보된 샌드박스 운영
26
Guide Page
샌드박스Symantec Secure Web Gateway
GIN
1
2
4
3
5
6
7
알려진위협필터링
샌드박스솔루션
샌드박스솔루션
현재 샌드박스 운영 환경
효율적인 샌드박스 운영 환경
리스크 및 운영의 최소화 구현
27
63백만건웹 요청
18천건알려지지 않은위협 분석
3 AlertSOC/CSIRT
!・・・・・・
Pin-Point Approach
사고에대한 응답
알려지지 않은 위협 분석행동 기반 분석 및 대응
컨텐츠 필터링다운로드 컨텐츠에 대한 다층분석웹 보안
실시간 웹 접근 평가 해시값대응
듀얼AV엔진처리
정적 코드분석
샌드박스행동기반위협 분석
12백만건알려진 위협 검사
클라우드 시대의 보안
28
Secure Web Gateway
Symantec CASB (Elastica)
Symantec CDP(Cloud Data Protection)
Symantec WSS(Web Security Service)
Symantec Elastcia
29
Management Center
Agent
클라우드보안을 위한통합 대시보드
Shadow IT에 대한 가시성 악의적인 공격으로부터 보호민감한 데이터의 세분화 된 제어
위협에 신속한 대응 – Security Analytics
30
0101001010011011001010101010101010010101001000010101010001101
DPI
INTERNAL NETWORK
SECURITY ANALYTICSPLATFORM & MALWAR
E ANALYSIS
TAP/SMART TAP
DATAENRICHMENT
INTERNET
GLOBAL INTELLIGENCE NETW
ORK
PE SCANNER
JSUNPACK
EXTERNAL THREAT FEEDS
GEOLOCATION
MORE…
MAA
교정 & 조치사건의재구성 & 증거추출위반사항탐지 & 상황통합
학습을 통한 비정상 행위 탐지
31
패킷 수집비정상 행위
모니터링 Connector머신러닝 엔진
비정상 행위
모니터링 ConnectorGUI
DPI
IOCs Geo
File
Time
모든 트래픽 수집 및 DPI엔진을 통한 메타데이터분류
세션 end time 기준의데이터 정렬 또는 통계정보 생성 후 Prelert엔진에 정보 전달
전달된 정보 기반을 통한비정상 행위 패턴 탐지 및탐지된 결과 전달
사용 어플리케이션/프로토콜, 파일 사이즈,통신 주기 등에 대한 패턴이 평상시와달라지는 경우 실시간으로 해당 내용을GUI 또는 Alert을 통해 Notice 함
엔드포인트 탐지 & 대응 - ATP: Endpoint
32
Correlation
의심스러운이벤트를조사하고완벽한엔드포인트가시성 확보
모든공격징후에대한즉각적인검색및침해지표(IoC)에따른엔드포인트조치
모든위협요소를단한번의 클릭으로수분안에치료
Symantec Endpoint Protection 활용새로운에이전트가필요하지않음
GIN
Sandbox
SEP Manager
Secure Web Gateway
엔드포인트 가시성
33
Insp
+EDR 기능을 통해 SEP에서 발생한 모든이벤트 조사 가능
침투 차단 위협 제거사내침투 격리조치감염 방역
침투 사내 침투 예방접종감염
Symantec Endpoint Protection• 다계층 엔드포인트 방어 기술
Firewall &IntrusionPreventionNetwork
ERASERRemediation
SONARBehaviors
InsightReputation
AntiVirusFiles
Adv MLFiles
ATP: Endpoint visibility
공격
차단
가시성
공격 체인 전반에서 강력한 보호
34
갈수록진화하는신종보안위협이실행되기전에탐지
침투 침입 및 유출감염
안티바이러스네트워크방화벽및침입
차단
애플리케이션및디바이스
제어
행동
모니터링
메모리익스플로잇공격
차단평판분석
첨단머신
러닝에뮬레이터
특허받은 실시간 클라우드 조회 기술로 의심스러운 파일 조사
네트워크방화벽및침입
차단
시스템에침투한악성코드검사및제거
악성 코드가시스템에 확산되어 트래픽을 제어하기 전에 차단
커뮤니티정보를활용하여파일및웹사이트의안전성확인
의심스러운행동을나타내는파일모니터링및차단
널리 사용되는 소프트웨어의 취약점을 공격하는제로데이 익스플로잇 차단
파일, 레지스트리, 디바이스액세스및행동제어, 화이트리스팅, 블랙리스팅등
가상시스템에서맞춤패커를사용하여숨겨진악성코드탐지
악성 코드가시스템에 확산되어 트래픽을 제어하기 전에 차단
다계층 보호로 표적 공격 및 랜섬웨어 위협 차단
머신러닝으로 날개를 단 End-Point 보안
35
훈련된 머신
신규및재훈련
첨단머신러닝
클라이언트에서
첨단 머신 러닝으로 탐지
훈련 알고리즘
교육 훈련 세트
실시간 수집
업데이트빈도를줄여효율성향상
방대한악성코드그룹을
낮은오탐지율로탐지
동일한악성코드군의변종이발생하는
즉시차단
의심스러운 행동 모니터링
36
사람이작성한
행동시그니처
행동정책
잠금
약 1,400가지의파일행동을모니터링하여규명:
누가관련되었는가? 무엇이포함되었는
가? 출처는어디인가? 무엇을했는가?
인공지능기반
분류엔진
지능형 공격에 대처
37
Symantec EDR 콘솔의조직적인대응, EDR 기능은SEP 에이전트에내장되어있음
예방 및 대응
POWER ERASER 호스트무결성 시스템잠금SECURE WEB
GATEWAY 통합EDR 콘솔
(ATP: ENDPOINT)
제거하기 어려운감염도 확실하게해결
API를통해 Secure Web Gateway에서조직적으로대응
애플리케이션제어 기능의 일부- 화이트리스팅및 블랙리스팅으로 강화된엔드포인트 보안
격리, 무단변경탐지, 손상정도평가, 컴플라이언스보장
질의 응답
top related