New 시만텍통합 사이버 보안 전략

서종렬 상무

시만텍 코리아

1 보안 동향

2 통합 시만텍 보안 전략

3 보안 전략 구현을 위한 핵심 솔루션

Agenda

사용자 정의의곤란

데이터 공격의진화

네트워크 경계선의확장

단계별 공격

사용자정의곤란

지역사무소

본사데이터센터

보안솔루션스택

사용자정의곤란

지역사무소

본사데이터센터

이동사용자

개인용디바이스

보안솔루션스택

개인용디바이스

데이터공격의진화

지역사무소

본사데이터센터

이동사용자

보안솔루션스택

네트워크경계선의확장직접연결로 인해 보호해야할 네트워크가확장됨

지역사무소

본사데이터센터

이동사용자

SSL 암호

IOT 디바이스개인용디바이스

SSL 암호

보안솔루션스택SSL 암호

단계별공격

지역사무소

본사데이터센터

이동사용자

보안솔루션스택SSL 암호

IOT 디바이스개인용디바이스

SSL 암호

SSL 암호

클라우드제너레이션에대한혁신필요: 안전한클라우드 사용보장

지역사무소

본사데이터센터

이동사용자

IOT 디바이스개인용디바이스

엔드 포인트 보안, 메일 보안, DLP 및 웹 사이트 보안, 사용자 인증의 글로벌 선두 주자

엔터프라이즈 분야에서 3 개의 솔루션 영역:• APT 공격 대책• 데이터 보호• 사이버 보안 서비스

세계에서 가장 많은 사용자에게 보안을 제공

– 6700만 사용자

Fortune500기업의 90%와 370,000의조직에서 사용됨

The Global Leader in Cyber Security

웹 보안 및 클라우드 보안의 글로벌 리더

6개의 보안 영역을 통합한 솔루션을 제공• 고급 웹 및 클라우드 보안• APT 공격 대책• 암호화 통신 관리• 사고 대응 법의학• 웹 응용 프로그램 보호• 네트워크 대역폭 제어

Fortune500기업의 70％와 15,000의조직에서 사용됨

Network + Security + Cloud

사이버보안서비스

파일

UR

L

화이트리트

블랙리스트

인증서

머신러닝

1억7천5백만개인/기업사용자엔

드포인트수

9 개의글로벌위협대응센터및

3,000명의연구개발엔지니어

1 조매일신규웹요청수

2 조매일이메일스캐닝

글로벌인텔리젼스의데이터

기반

글로벌 위협 인텔리전스 네트워크

• 4억3천만신규악성코드발견

• 1조악성이메일차단

• 10억 사회공학스캠차단

• 1만 5천+ 클라우드애플리케이션발견및보호

• 1억8천2백만웹공격차단

파일

UR

L

화이트리스트

블랙리스트

인증서

머신러닝

로컬인텔리전스

File

UR

L

Wh

itel

ist

Bla

cklis

t

Cer

tifi

cate

Mac

hin

e Le

arn

ing

온프레미스

클라우드

Data CenterSecurity

EncryptionContent Analysis

Web Protection

Performance

Endpoint Cloud

Cloud Web Protection

VIPIdentity

Cloud DLP CASB

Managed PKI

Messaging

Data Center

Security

Cloud Sandbox

Cyber Security Services

Encryption

Compliance Advanced Threat Protection

Endpoint

EncryptedTraffic

ManagementDLP Security

AnalyticsManagement Malware Analysis

SOC Workbench

타사솔루션연동

SIEM 연동

1000110

1001010

1110101

0010111

1010110

Integrated Cyber Defense플랫폼

시만텍 사이버 보안 전략

19

NGFW/IPS

RealtimeSandboxing

Proxy 아키텍쳐 기반의Realtime 위협 대응

연동 보안 솔루션(N-DLP, Sandbox 등)

ATP: NetworkNetwork ForensicLogging

암호화 트래픽가시성 확보

연동 보안 솔루션(IPS, Sandbox등)

차세대보안 인텔리전스 클라우드 보안 솔루션

차단연동

연계 운영

1차 방어선

유입의차단

Cloud보안

2차방어선

위협 가시성확보

최종방어선

인텔리전트엔드포인트

차세대 지능형엔드 포인트 보안

NextGen FW웹 보안 게이트웨어

탐지/가시성 확보네트워크 포렌직

의심스런 위협탐지IoC hunting사고 대응

CASB(Cloud AccessSecurity Broker)

가시성 확보

연동

연계 운영

Internet

Anti-SpamAnti-VirusATP:EmailURL Filtering

SIEMData Analytics

EMAIL

EDR Solution

Endpoint 보안

시만텍 사이버 보안 전략

차단 탐지 대응 사고조치

피싱

드라이브

바이

다운로드

기타

공격

기법

보안사고

Proxy 아키텍쳐 기반의Realtime 위협 대응 Realtime

Sandboxing 암호화 트래픽가시성 확보

ATP: NetworkNetwork ForensicLogging

차세대 지능형엔드 포인트 보안

SIEM/통합 보안 관제

오늘날의 웹 보안

• 웹을 통해서 수많은 서비스를 제공

• 사용자와 웹서비스 간의 양방향 컨텐츠 증가

• SSL 통신을 사용하는 웹서비스의 지속적 증가 및

악성코드의 유입 증가

• 전통적인 보안장비로는 80포트를 사용하는

웹서비스 제어가 어려움

- Http(s) Tunneling, TCP over http(s)

• 단순히 html뿐아니라 수많은 종류의 파일 전송

• 해커들의 놀이터 (80포트는 항상,어디서나 open)

차세대

방화벽

IDS /

IPS

UTM

URL필터

메일

필터

샌드박스

국가

사이버 범죄자

해커

내부 비리

공격자

알려진 위협

알려진 맬웨어

알려진 파일

알려진 IPs / URLs

기존 공격

신규 악성코드

제로데이 공격

표적 공격

최신 기술

APTs

SSL

SSL시

각화

SSL

웹보안게이트웨이

Context기반의 웹DB

Protocol Detect 기반의 웹정책

AV/AS

네트워크 보안 장비에 보안 분석 방법

Proxy 베이스 구조에서의 분석 플로우

PROXY

• TCP/IP 세션 제어 방식(Proxy기준 사용자/서버 세션 분리)

• HTTP/HTTPS 프로토콜 지원

• L7 사용자 ID 및 콘텐츠 기반

• L7 파일 레벨, 콘텐츠 심층 분석 및제어

Proxy 베이스 구조에서의 분석 플로우

PROXY

• TCP/IP 세션 제어 방식(Proxy기준 사용자/서버 세션 분리)

• HTTP/HTTPS 프로토콜 지원

• L7 사용자 ID 및 콘텐츠 기반

• L7 파일 레벨, 콘텐츠 심층 분석 및제어

프록시 기술을 통한 세부적인 웹 보안 정책

25

Full Proxy Architecture Risk Level 기반의 보안 정책 사용자 응답 속도의 보장

WebPROXY

W W W . W E B S I T E . C O M Correlation

Analysis

UrlInformation

Severity Level

Malware Category

File Hashe Users

HQ / Branch

WAN

• 트래픽 터미네이션 후 세부적인 보안 정책에 의하여 통신하는 웹에 대한 세부 내역확인

• HTTP와 HTTPS에 대한 전문적인 보안기능제공

• RFC 표준 확인을 통한 의심스런 웹세션에대한 원천 차단

• 개방형 연계 정책을 통한 강력한 웹보안정책 유지

• Cache 기능을 통한 사용자 응답 속도 개선• 인터넷 데이터의 내부 cache로 인한 사용자

다운로드 속도 증가

• 타보안솔루션 웹필터와 차별화된 기능제공• 웹 사이트 내용 기반의 분석• 86개 기존 카테고리외에 보안에

특화된 Risk 정보제공• 웹필터 카테고리 정보를 통한 사용자 분석• 악성코드에 대한 선제적 차단

진보된 샌드박스 운영

26

Guide Page

샌드박스Symantec Secure Web Gateway

GIN

1

2

4

3

5

6

7

알려진위협필터링

샌드박스솔루션

샌드박스솔루션

현재 샌드박스 운영 환경

효율적인 샌드박스 운영 환경

리스크 및 운영의 최소화 구현

27

63백만건웹 요청

18천건알려지지 않은위협 분석

3 AlertSOC/CSIRT

!・・・・・・

Pin-Point Approach

사고에대한 응답

알려지지 않은 위협 분석행동 기반 분석 및 대응

컨텐츠 필터링다운로드 컨텐츠에 대한 다층분석웹 보안

실시간 웹 접근 평가 해시값대응

듀얼AV엔진처리

정적 코드분석

샌드박스행동기반위협 분석

12백만건알려진 위협 검사

클라우드 시대의 보안

28

Secure Web Gateway

Symantec CASB (Elastica)

Symantec CDP(Cloud Data Protection)

Symantec WSS(Web Security Service)

Symantec Elastcia

29

Management Center

Agent

클라우드보안을 위한통합 대시보드

Shadow IT에 대한 가시성 악의적인 공격으로부터 보호민감한 데이터의 세분화 된 제어

위협에 신속한 대응 – Security Analytics

30

0101001010011011001010101010101010010101001000010101010001101

DPI

INTERNAL NETWORK

SECURITY ANALYTICSPLATFORM & MALWAR

E ANALYSIS

TAP/SMART TAP

DATAENRICHMENT

INTERNET

GLOBAL INTELLIGENCE NETW

ORK

PE SCANNER

JSUNPACK

EXTERNAL THREAT FEEDS

GEOLOCATION

MORE…

MAA

교정 & 조치사건의재구성 & 증거추출위반사항탐지 & 상황통합

학습을 통한 비정상 행위 탐지

31

패킷 수집비정상 행위

모니터링 Connector머신러닝 엔진

비정상 행위

모니터링 ConnectorGUI

DPI

IOCs Geo

File

Time

모든 트래픽 수집 및 DPI엔진을 통한 메타데이터분류

세션 end time 기준의데이터 정렬 또는 통계정보 생성 후 Prelert엔진에 정보 전달

전달된 정보 기반을 통한비정상 행위 패턴 탐지 및탐지된 결과 전달

사용 어플리케이션/프로토콜, 파일 사이즈,통신 주기 등에 대한 패턴이 평상시와달라지는 경우 실시간으로 해당 내용을GUI 또는 Alert을 통해 Notice 함

엔드포인트 탐지 & 대응 - ATP: Endpoint

32

Correlation

의심스러운이벤트를조사하고완벽한엔드포인트가시성 확보

모든공격징후에대한즉각적인검색및침해지표(IoC)에따른엔드포인트조치

모든위협요소를단한번의 클릭으로수분안에치료

Symantec Endpoint Protection 활용새로운에이전트가필요하지않음

GIN

Sandbox

SEP Manager

Secure Web Gateway

엔드포인트 가시성

33

Insp

+EDR 기능을 통해 SEP에서 발생한 모든이벤트 조사 가능

침투 차단 위협 제거사내침투 격리조치감염 방역

침투 사내 침투 예방접종감염

Symantec Endpoint Protection• 다계층 엔드포인트 방어 기술

Firewall &IntrusionPreventionNetwork

ERASERRemediation

SONARBehaviors

InsightReputation

AntiVirusFiles

Adv MLFiles

ATP: Endpoint visibility

공격

차단

가시성

공격 체인 전반에서 강력한 보호

34

갈수록진화하는신종보안위협이실행되기전에탐지

침투 침입 및 유출감염

안티바이러스네트워크방화벽및침입

차단

애플리케이션및디바이스

제어

행동

모니터링

메모리익스플로잇공격

차단평판분석

첨단머신

러닝에뮬레이터

특허받은 실시간 클라우드 조회 기술로 의심스러운 파일 조사

네트워크방화벽및침입

차단

시스템에침투한악성코드검사및제거

악성 코드가시스템에 확산되어 트래픽을 제어하기 전에 차단

커뮤니티정보를활용하여파일및웹사이트의안전성확인

의심스러운행동을나타내는파일모니터링및차단

널리 사용되는 소프트웨어의 취약점을 공격하는제로데이 익스플로잇 차단

파일, 레지스트리, 디바이스액세스및행동제어, 화이트리스팅, 블랙리스팅등

가상시스템에서맞춤패커를사용하여숨겨진악성코드탐지

악성 코드가시스템에 확산되어 트래픽을 제어하기 전에 차단

다계층 보호로 표적 공격 및 랜섬웨어 위협 차단

머신러닝으로 날개를 단 End-Point 보안

35

훈련된 머신

신규및재훈련

첨단머신러닝

클라이언트에서

첨단 머신 러닝으로 탐지

훈련 알고리즘

교육 훈련 세트

실시간 수집

업데이트빈도를줄여효율성향상

방대한악성코드그룹을

낮은오탐지율로탐지

동일한악성코드군의변종이발생하는

즉시차단

의심스러운 행동 모니터링

36

사람이작성한

행동시그니처

행동정책

잠금

약 1,400가지의파일행동을모니터링하여규명:

누가관련되었는가? 무엇이포함되었는

가? 출처는어디인가? 무엇을했는가?

인공지능기반

분류엔진

지능형 공격에 대처

37

Symantec EDR 콘솔의조직적인대응, EDR 기능은SEP 에이전트에내장되어있음

예방 및 대응

POWER ERASER 호스트무결성 시스템잠금SECURE WEB

GATEWAY 통합EDR 콘솔

(ATP: ENDPOINT)

제거하기 어려운감염도 확실하게해결

API를통해 Secure Web Gateway에서조직적으로대응

애플리케이션제어 기능의 일부- 화이트리스팅및 블랙리스팅으로 강화된엔드포인트 보안

격리, 무단변경탐지, 손상정도평가, 컴플라이언스보장

질의 응답