머신런닝과데이터사이언스기술기반의wiki.wikisecurity.net/_media/wiki_security_corp:위키시큐리티_vectra제품... ·...
TRANSCRIPT
![Page 1: 머신런닝과데이터사이언스기술기반의wiki.wikisecurity.net/_media/wiki_security_corp:위키시큐리티_vectra제품... · 뱑안시스템들의 과도한이밾트 “The](https://reader030.vdocuments.net/reader030/viewer/2022040806/5e47580295fc0a7cd00b492a/html5/thumbnails/1.jpg)
2010. 05
Total Solution Provider for Information Security
머신런닝과데이터사이언스기술기반의
![Page 2: 머신런닝과데이터사이언스기술기반의wiki.wikisecurity.net/_media/wiki_security_corp:위키시큐리티_vectra제품... · 뱑안시스템들의 과도한이밾트 “The](https://reader030.vdocuments.net/reader030/viewer/2022040806/5e47580295fc0a7cd00b492a/html5/thumbnails/2.jpg)
� 보안침해대응 및 보안관제 기술동향
인공지능 기반 위협탐지 및 예측침해사고 유사도분석, 유사침해자원 패턴매칭, 네트워크 기반 이상징후 탐지/분석 등 다양한 방식을통한 침해사고 위협탐지는 많으나 딥러닝, 머신러닝 등 인공지능기반 위협탐지, 예측기술 필요성 대두
악성코드 게놈프로젝트개별 악성코드 자동분석 및 악성코드 간 유사성분석 기술을 연구하여 악성코드 프로파일링 및 대량의유사 악성코드 그룹 분류기술과 학습기반의 악성코드 분석/분류기술들이 연구 중임
사이버 블랙박스 및 Intelligence분석 프로젝트네트워크 트래픽을 수집, 관리 및 무결성 보장기술과 Semantic기반 침해사고 원인분석 및 공격재현기술, 침해공격 정보연동 및 정보공유기술이 연구 중임
침해사고 역추적 기술다중소스 기반의 장기간 침해사고 분석을 통한 특징추출 및 연관된 공격 근원지 탐지/침해사고원인분석 기술과 공격자 그룹식별 및 자동 역추적 기술이 연구되고 있음
![Page 3: 머신런닝과데이터사이언스기술기반의wiki.wikisecurity.net/_media/wiki_security_corp:위키시큐리티_vectra제품... · 뱑안시스템들의 과도한이밾트 “The](https://reader030.vdocuments.net/reader030/viewer/2022040806/5e47580295fc0a7cd00b492a/html5/thumbnails/3.jpg)
CONTENTS
SINCE
2010
![Page 4: 머신런닝과데이터사이언스기술기반의wiki.wikisecurity.net/_media/wiki_security_corp:위키시큐리티_vectra제품... · 뱑안시스템들의 과도한이밾트 “The](https://reader030.vdocuments.net/reader030/viewer/2022040806/5e47580295fc0a7cd00b492a/html5/thumbnails/4.jpg)
CONTENTS
SINCE
2010
![Page 5: 머신런닝과데이터사이언스기술기반의wiki.wikisecurity.net/_media/wiki_security_corp:위키시큐리티_vectra제품... · 뱑안시스템들의 과도한이밾트 “The](https://reader030.vdocuments.net/reader030/viewer/2022040806/5e47580295fc0a7cd00b492a/html5/thumbnails/5.jpg)
4Copyrights 2016 WIKI Security Co., Ltd. All rights reserved.
시그니처와 탐지룰 기반의 각종 보안시스템들이 띄우는 수많은보안 이벤트들을 분석하고 판단하는데 허덕이며 대부분의업무시간을 보내고 계시지 않으십니까?
현 시점에서 우리가 고민해야 할 것은…
보안시스템들의과도한 이벤트
“The Top 5 Problems with Traditional SIEM”Gartner group’s Report (2015)
� 보안 도구/콘솔의 독립적인 운영 및 관리로보안관리자의 생산성 저하
� 과도하게 발생하는 보안경보로 보안관리자의 보안이벤트 중요성 인식 저하
� 다양한 단위보안 도구에서 발생하는 다량의 경보와이벤트에 대한 연관성 파악 부재로 시스템이 어떤위험에 노출되어 있는지 파악이 용이하지 않음
� 단위보안 툴에서 발생하는 로그의 분산 저장으로감사대비책 미비
� 침입탐지 솔루션의 최대 단점인 과도한 falsealarm의 발생 및 로그의 발생으로 인해 보안관리자들이 전체 단위보안 솔루션들을 효율적으로관리할 수 없음.
보안담당자가 얘기하는 전사적 보안관리의 애로사항
![Page 6: 머신런닝과데이터사이언스기술기반의wiki.wikisecurity.net/_media/wiki_security_corp:위키시큐리티_vectra제품... · 뱑안시스템들의 과도한이밾트 “The](https://reader030.vdocuments.net/reader030/viewer/2022040806/5e47580295fc0a7cd00b492a/html5/thumbnails/6.jpg)
5Copyrights 2016 WIKI Security Co., Ltd. All rights reserved.
Firewall, ESM, IDS/IPS, WAF 와 같은 경계선 보안을 우회하여내부침투에 성공, 2차 내부 공격들을 탐지 및 모니터링되고계십니까?
현 시점에서 우리가 고민해야 할 것은…
경계선 보안을우회한 내부공격
Vectra Sensor
• Firewall & UTM & NG Firewall
• Web & Email Gateway,Proxies
• IDS/IPS, URL Filtering• Malware Sandboxes, Anti-Virus
• SIEM• NBA• Analytics (Networks Forensic, Netflows 등)
• Log Management
해킹의 활동 단계에서는- 해킹에 대한 인지와- 실시간 모니터링등의 방안 부재
공격위협 대응단계
� 여러 가지 보안시스템을 갖추고 있지만,� 보안 침해사고의 69%는 외부기관에 의해 발견� 보안 침해사고의 9%는 고객에 의해 발견되고 있음 (*) 출처: 데이터 보안 침해사고 보고서(Verizon, 2013)
![Page 7: 머신런닝과데이터사이언스기술기반의wiki.wikisecurity.net/_media/wiki_security_corp:위키시큐리티_vectra제품... · 뱑안시스템들의 과도한이밾트 “The](https://reader030.vdocuments.net/reader030/viewer/2022040806/5e47580295fc0a7cd00b492a/html5/thumbnails/7.jpg)
6Copyrights 2016 WIKI Security Co., Ltd. All rights reserved.
단편적 형태의 공격탐지가 아니라 지속적이고 장기적인 형태의공격도 시계열적으로 공격형태와 이력을 실시간으로 모니터링 및분석하고 계십니까?
현 시점에서 우리가 고민해야 할 것은…
지속적, 시계열공격 모니터링
� 진화하는 사이버 공격의 위협은 탐지 전 네트워크내 활동 기간이 평균 229일� 치밀하고 장기적 공격은 탐지가 어려우며, ②와 ③번 단계에서 대응 수준의 심각한 Gap 발생� 직면한 문제들을 극복하고 비지니스 연속성을 담보 할 수 있는 선제적인 대응체계 필요
네트워크 접근 권한 획득
1
N
S
EW
주요 정보 탈취 또는 파괴
3
N
S
EW
침투 성공후 은밀하게조사 및 진지구축
2
N
S
EW침투공격
(Outbound � Inbound)은닉/수집 등
내부 공격확대 활동유출공격
(Inbound � Outbound)
� 임직원과 파트너� 다양한 경로(피싱, 이메일, USB,
BYOD, 노트북)� 소셜 엔지니어링
� 포스스캔 및 취약점 스캔� 멀웨어 베포� 권한상승시도(Local to Supervisor)� 활동진지 구축(숙주 호스트)� 외부 C&C서버 접속, 업데이트
� 지속적 중요 정보자산 스캔� 지속적 중요 정보 데이터 취합� 암호화 등 은익화된 터널링 구성� 지속적 데이터 유출
![Page 8: 머신런닝과데이터사이언스기술기반의wiki.wikisecurity.net/_media/wiki_security_corp:위키시큐리티_vectra제품... · 뱑안시스템들의 과도한이밾트 “The](https://reader030.vdocuments.net/reader030/viewer/2022040806/5e47580295fc0a7cd00b492a/html5/thumbnails/8.jpg)
7Copyrights 2016 WIKI Security Co., Ltd. All rights reserved.
제한적인 보안팀의 리소스로 늘어나는 각종 포인트형 보안시스템운영과 신규 해킹기법의 분석업무를 수행하기 위해 운영자와분석가를 계속해서 늘려나갈 수 있습니까?
현 시점에서 우리가 고민해야 할 것은…
위협탐지를위한 운영부담
Skill
Time Costs
� 늘어나는 포인트 보안시스템들의 운영을 위해숙지해야 하는 Skill은 점점 다양해지고 증가하고있음
� 공격기법은 빠르게 고도화되고 지능화되고 있는데,이를 신속하게 식별하고 탐지해야 하는 부담 가중(예: Anti-Virus의 신규백신 제작은 평균 4시간 소요)
� 상시 보안모니터링을 위한 인력운영의 대부분은초급인력이 야간근무를 수행하지만, 침해사고의대부분은 야간이 발생
� 침해사고 분석을 위해 실전 경험 풍부한 전문분석가를 갖추기에는 고비용 투자 필요
제한된 리소스와 증가하는 보안시스템의 보안팀 부담
![Page 9: 머신런닝과데이터사이언스기술기반의wiki.wikisecurity.net/_media/wiki_security_corp:위키시큐리티_vectra제품... · 뱑안시스템들의 과도한이밾트 “The](https://reader030.vdocuments.net/reader030/viewer/2022040806/5e47580295fc0a7cd00b492a/html5/thumbnails/9.jpg)
CONTENTS
SINCE
2010
![Page 10: 머신런닝과데이터사이언스기술기반의wiki.wikisecurity.net/_media/wiki_security_corp:위키시큐리티_vectra제품... · 뱑안시스템들의 과도한이밾트 “The](https://reader030.vdocuments.net/reader030/viewer/2022040806/5e47580295fc0a7cd00b492a/html5/thumbnails/10.jpg)
9Copyrights 2016 WIKI Security Co., Ltd. All rights reserved.
네트워크 미러링기법으로 IP가 부여된 Device 와 Application 에대한 내/외부간 공격과 내부간 공격을 실시간으로 위협탐지 및모니터링을 제공
그렇다면, Vectra 가 제공하는 것은…
내/외부, 내부간의실시간 모니터링
User Group Cloud Network
Data Center
IOT Device
Firewall
Core Switch
AccessSwitch
Vectra Brain
Vectra Sensor
Vectra Sensor
� 네트워크 Packet Mirroring으로실시간 위협정보수집
� Vectra BrainCore Switch를 통한 내외부트래픽 캡춰 & 분석
� Vectra SensorAccess Switch를 통한 내부트래픽 캡춰 & 분석
� 모든(약 80%)의 Protocol 지원
� IP가 부여된 모든 Device의위협정보수집
� PC 및 서버, Application� IOT Device� Cloud Computing Network
Vectra(Brain/Mixed/Sensor Mode)
![Page 11: 머신런닝과데이터사이언스기술기반의wiki.wikisecurity.net/_media/wiki_security_corp:위키시큐리티_vectra제품... · 뱑안시스템들의 과도한이밾트 “The](https://reader030.vdocuments.net/reader030/viewer/2022040806/5e47580295fc0a7cd00b492a/html5/thumbnails/11.jpg)
10Copyrights 2016 WIKI Security Co., Ltd. All rights reserved.
Global 위협정보와 고객사 Local 위협정보를 머신런닝알고리즘과 데이터사이언스 기법을 적용하여 자동화된 실시간위협탐지 및 모니터링 기능을 제공
그렇다면, Vectra 가 제공하는 것은…
머신런닝과 데이터사이언스 적용
실시간 공격모니터링 화면Vectra(Global Learning + Local Learning + Integrated Intelligence)
Dashboard
측면확대 공격 현황
![Page 12: 머신런닝과데이터사이언스기술기반의wiki.wikisecurity.net/_media/wiki_security_corp:위키시큐리티_vectra제품... · 뱑안시스템들의 과도한이밾트 “The](https://reader030.vdocuments.net/reader030/viewer/2022040806/5e47580295fc0a7cd00b492a/html5/thumbnails/12.jpg)
11Copyrights 2016 WIKI Security Co., Ltd. All rights reserved.
Vectra Threat Labs™ 의 Global 위 협 정 보 (SupervisedLearning) 와 고객사 Local 위협정보 (Unsupervised Learning)를 데이터사이언스 기법으로 자동화된 위협탐지 제공
그렇다면, Vectra 가 제공하는 것은…
공격단계의시계열 분석
머신런닝 + 데이터사이언스기법 및 알고리즘 적용
Vectra의 시계열 분석 기능으로- 공격 탐지 시간대별 공격이력- 공격유형, 공격전이 및 확대이력등을 제공
Vectra(Machine Learning + Data Science)
![Page 13: 머신런닝과데이터사이언스기술기반의wiki.wikisecurity.net/_media/wiki_security_corp:위키시큐리티_vectra제품... · 뱑안시스템들의 과도한이밾트 “The](https://reader030.vdocuments.net/reader030/viewer/2022040806/5e47580295fc0a7cd00b492a/html5/thumbnails/13.jpg)
12Copyrights 2016 WIKI Security Co., Ltd. All rights reserved.
ML과 DS기법으로 현재의 공격을 Cyber Kill Chain 단계별로자동분류하고 공격수준을 Scoring 하여 정확도 높은 위협이력과상황 모니터링 기능을 제공
그렇다면, Vectra 가 제공하는 것은…
공격단계별위협 스코어링
Vectra(사이버공격의 단계별 특징 및 탐지알고리즘)
사이버공격단계(Cyber Kill Chain)
Vectra의 Threat 과 Certainty Scoring =>우선조치 대상 실시간 모니터링 제공
Vectra Threat Labs 의전세계 해킹, 위협정보와 Local Threat의Integrated Intelligence=> 현 공격상태 정확한 자동분석
![Page 14: 머신런닝과데이터사이언스기술기반의wiki.wikisecurity.net/_media/wiki_security_corp:위키시큐리티_vectra제품... · 뱑안시스템들의 과도한이밾트 “The](https://reader030.vdocuments.net/reader030/viewer/2022040806/5e47580295fc0a7cd00b492a/html5/thumbnails/14.jpg)
13Copyrights 2016 WIKI Security Co., Ltd. All rights reserved.
Labs 의 Global 위협정보 (Supervised Learning) 와 고객사Local 위협정보 (Unsupervised Learning) 를 데이터사이언스기법으로 자동화된 위협탐지 제공
그렇다면, Vectra 가 제공하는 것은…
보안위협 탐지와분석의 TOC절감
Data Scientist Expert Group
Vectra Networks Inc의Vectra Threat Labs ™ 전세계 해킹, 위협정보를 알고리즘화,
Vectra 제품에 적용세계 분석전문가를 별도 비용없이제품에 적용된 알고리즘으로 활용
Cyber Security Expert Group
![Page 15: 머신런닝과데이터사이언스기술기반의wiki.wikisecurity.net/_media/wiki_security_corp:위키시큐리티_vectra제품... · 뱑안시스템들의 과도한이밾트 “The](https://reader030.vdocuments.net/reader030/viewer/2022040806/5e47580295fc0a7cd00b492a/html5/thumbnails/15.jpg)
CONTENTS
SINCE
2010
![Page 16: 머신런닝과데이터사이언스기술기반의wiki.wikisecurity.net/_media/wiki_security_corp:위키시큐리티_vectra제품... · 뱑안시스템들의 과도한이밾트 “The](https://reader030.vdocuments.net/reader030/viewer/2022040806/5e47580295fc0a7cd00b492a/html5/thumbnails/16.jpg)
15Copyrights 2016 WIKI Security Co., Ltd. All rights reserved.
기 본 구 성 으 로 써 , Core Switch 에 X-Series(Brain) 를 구 성 ,탐지하고자 하는 서브네트워크에 S-Series(Sensor) 를 설치하여 전사위협을 모니터링 및 관리
Vectra 는 어떻게 구성되는가?
CASE-1단일 기업형
User Group Cloud Network
Data Center
IOT Device
Firewall
Core Switch
AccessSwitch
Vectra Brain
Vectra Sensor
Vectra Sensor
� 네트워크 Packet Mirroring으로실시간 위협정보수집
� Vectra BrainCore Switch를 통한 내외부트래픽 캡춰 & 분석
� Vectra SensorAccess Switch를 통한 내부트래픽 캡춰 & 분석
![Page 17: 머신런닝과데이터사이언스기술기반의wiki.wikisecurity.net/_media/wiki_security_corp:위키시큐리티_vectra제품... · 뱑안시스템들의 과도한이밾트 “The](https://reader030.vdocuments.net/reader030/viewer/2022040806/5e47580295fc0a7cd00b492a/html5/thumbnails/17.jpg)
16Copyrights 2016 WIKI Security Co., Ltd. All rights reserved.
Vectra 는 어떻게 구성되는가?
CASE-2분산 기업형
분산된 조직의 해킹위협을 탐지 모니터링하기 위한 구성으로써,본사에 Core Switch 에 X-Series(Brain) 를 구성하고 지사 등의 원격지에는 X-series(Mixed) 또는 S-Series(Sensor) 를 구성
Vectra
SPANSPAN
SPANSPAN
� HQ에자체 및 원격지 모니터링을 위한X-Series와 S-Series구성
� 분산된 원격지 네트워크에X-Series와 S-Series구성
![Page 18: 머신런닝과데이터사이언스기술기반의wiki.wikisecurity.net/_media/wiki_security_corp:위키시큐리티_vectra제품... · 뱑안시스템들의 과도한이밾트 “The](https://reader030.vdocuments.net/reader030/viewer/2022040806/5e47580295fc0a7cd00b492a/html5/thumbnails/18.jpg)
17Copyrights 2016 WIKI Security Co., Ltd. All rights reserved.
Vectra 는 어떻게 구성되는가?
CASE-3그룹사 구조형
그룹사차원에서 그룹지주사에서 그룹전체를 탐지 및 모니터링하고,각 계열사는 자사만을 모니터링하는 구성으로 다수의 X-Series 들과S-Series, Virtual Machine 으로 구성하여 그룹전체를 모니터링
Router
Switch
Firewall
Internet
X-SeriesData Center
SPAN
X-Series
S-SeriesX-Series
Xl-Series
S-Series
S-Series
Virtual-Series
지주사 계열사-A
계열사-B
계열사-C
![Page 19: 머신런닝과데이터사이언스기술기반의wiki.wikisecurity.net/_media/wiki_security_corp:위키시큐리티_vectra제품... · 뱑안시스템들의 과도한이밾트 “The](https://reader030.vdocuments.net/reader030/viewer/2022040806/5e47580295fc0a7cd00b492a/html5/thumbnails/19.jpg)
18Copyrights 2016 WIKI Security Co., Ltd. All rights reserved.
Vectra 는 어떻게 구성되는가?
주요 레퍼런스
트리뷴 미디어 그룹 Barry 대학교 아루바 네트웍스 Good Technology
리버베드 Santa Clara 대학교 Tri-State Generation and Trasmission Association
(에너지)
쌍방울
OOO부대
![Page 20: 머신런닝과데이터사이언스기술기반의wiki.wikisecurity.net/_media/wiki_security_corp:위키시큐리티_vectra제품... · 뱑안시스템들의 과도한이밾트 “The](https://reader030.vdocuments.net/reader030/viewer/2022040806/5e47580295fc0a7cd00b492a/html5/thumbnails/20.jpg)
End of Document
서울특별시 금천구 가산동 에이스테크노타워10차 601호TEL : 02-322-4688 | Fax : 02-322-4646 | E-mail : [email protected]