머신러닝 기반 차세대 위협감지 보안 솔루션, 다크트레이스 (DarkTrace)

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2017.03.29 18:49 / 카테고리 : 차세대 위협감지 - 다크트레이스



최근 사이버 위협은 시스템 자체가 아닌 시스템 운영자(Admin) 및 사용자를 대상으로 표적화한 APT 공격 등이 유행하고 있습니다. 추가로, 기 구축된 보안 솔루션의 취약점 및 한계점을 이용한 공격 사례가 지속적으로 발생하고 있습니다. 


특히, 많은 기업들이 도입하고 있는 시그니쳐 기반의 보안 솔루션은 데이터베이스 업데이트를 하지 않았거나, 아직 미 확인된 해킹 공격의 경우에는 정상적으로 탐지하고 방어할 수 없습니.  그리고 대형 보안사고의 경우에는 외부에서 내부 침입으로 이루어지기 보다는 내부에서 운영자 등의 악의적인 행위가 포함되어 있는 사례가 많습니다. 그 밖에도 랜섬웨어 공격이 증가하는 등의 내부 확산 가능성이 지속적으로 보고되고 있습니다. 




많이 도입되어 있는 보안 솔루션의 경우에는 외부에서 내부로의 공격 방어에만 초첨을 두고 있으며 시그니쳐 및 룰 기반의 시나리오에 기반한 공격 차단 솔루션입니다. 샌드박스 기반의 APT 솔루션 또한, 파일 사전실행을 통한 '악성코드'의 탐지 자체에만 초점을 두고 있습니다. 


모든 내부 사용자와 네트워크 및 호스트의 비정상적인 이상행위를 빠르게 감지하고 조치할 수 있는 사이버 대응체계가 부족한 것이 현실입니다. 최근, 사이버 위협은 고도화, 자동화, 지능화 되고 있는 것이 특징입니다. 


이에 따라서, 네트워크 인프라에서 발생되는 모든 행위로부터 위협이 식별되고 관리될 필요성이 있습니다. 


고도화된 사이버 위협을 방어하기 위한 방법

네트워크 인프라를 통해서 발생하는 모든 사용자 및 디바이스의 행위에 대해서 머신러닝 기법을 활용하여 실시간으로 자동으로 분석하고 그 이상 여부를 판별할 수 있으며, 현행 보안장비 및 관리체계가 탐지할 수 없는 지능적인 내부 및 외부의 사이버 위협을 감지하고 분석할 수 있는 차세대 위협감지 솔루션의 구축 및 운영



위의 모든 조건을 만족하는 차세대 위협 감지 시스템으로는 다크트레이스(DarkTrace)가 있습니다. 가장 먼저 차별화되는 포인트는 머신러닝 기반이라는 것입니다. 



각 기업마다 시스템의 사용패턴은 다릅니다. 즉, 각 기업마다 일반적으로 통용되는 네트워크 패턴이 있고, 그 일정범위를 벗어나면 이상 징후가 됩니다. 이는 사람이 직접적으로 할 수 없으며, 시그니처와 룰 기반으로 보안솔루션으로 불가능한 작업입니다. 


다크트레이스는 솔루션 도입 후 머신러닝 기법으로 일정시간 동안 해당 네트워크 환경에 대해서 학습을 하게 됩니다. 이후에는 해당 기업 또는 기관의 네트워크 패턴을 분석한 뒤 감시체계에 들어갑니다. 이후에 다크트레이스가 분석한 패턴을 벗어나게 되면 이상 징후로 판단합니다. 



[다크트레이스 위협 탐지 시스템 소개]



제품 개요

비지도 학습기반의 머신러닝 기법을 활용한 이상 징후 탐지 솔루션

 인간의 면역체계와 유사하게 네트워크 트래픽을 통해서 단말, 서버 등 모든 디바이스에 대한 

데이터 흐름을 통해 정상행위를 학습하고 이에 위반하는 비정상적인 이상행위를 판별

 수학적 모델링에 근간하고, 시그니처와 룰에 의존하지 않기에 지속적으로 발생하는 지능적이고 

고도화된 공격에 대처가 가능



[다크트레이스 동작 과정]




주요 기능

◈ 정상 상태의 단말, 서버, 네트워크의 데이터 흐름을 자동으로 학습 및 분류

◈ 비정상 징후 및 행위의 데이터 흐름에 대한 실시간 탐지 및 이벤트 시각화

◈ 데이터 흐름에 대한 3D 기반의 직관적인 분석 화면 제공 및 Playback 재생 지원


 구분

 다크트레이스 

 기존 솔루션 

 탐지/분석 방식

 트래픽 메타데이터를 기반으로 한 머신러닝

 패턴, 시그니처, 룰, 샌드박스 등

 탐지/분석 범위

 모든 비정상적인 이상 행위

(Device, Network, User)

 악성코드 및 알려진 외부로부터의 공격

 솔루션 적용 범위

 네트워크 전 구간 적용 가능

 (망분리 환경 내부망 및 ICS 산업제어망도 적용 가능)

 외부망 및 경계 구간




[다크트레이스의 3D 기반 분석 화면]




도입 기대 효과

◈ 사이버 보안 관제의 고도화

→ 기존 경계 보안 제품에서 탐지가 불가능한 사이버 위협의 대응 및 관제

 사용자, Device, 네트워크의 이상 행위에 대한 실시간 탐지


◈ 네트워크상의 데이터 흐름에 대한 완벽한 가시성 확보

 침해사고 대응 시 플로우 데이터를 통한 이벤트 시각화 및 재연

 DPI 지원을 통한 포렌식 부분 활용 가능 (Payload 분석 제외)


◈ 신규위협의 탐지 및 분석을 위한 SIEM (Security Information & Event Management)의 가용성 강화

 기존 관리 범위에서 벗어나 있던 위협모델의 제시로 SIEM의 상관분석 범위 확대 및 신뢰도 향상

 BYOD, IoT 등 신기술 기반의 이상행위 위협 식별 및 대응 체계 강화


◈ 컴플라이언스를 위한 각종 통제 정책의 유효성 검증

 망분리 환경에서의 각종 통제 정책의 정상 동작 여부 검증

 내부 사용자 및 시스템 운영자의 비정상적인 행위 감시



머신러닝 기술로 자가 학습하여 최적화된 위협 탐지와 관제가 가능다크트레이스(DarkTrace) 솔루션에 대한 문의는 아래의 한성아이티엘 담당자 또는 아이마켓코리아 보안 담당자에게 연락 주시면 도입 및 견적 등을 안내해 드립니다.



(주) 아이마켓코리아
김 경 일

과장 │ IT 솔루션 영업팀
TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

Blog Information

아이마켓코리아

보안솔루션, HSM, 인증보안, DLP 솔루션, 암호화 장비, 기업서버 판매, 보메트릭

공지사항

블로그 검색

Calendar

«   2019/11   »
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30

방문자 통계

  • 전체 : 378,458
  • 오늘 : 113
  • 어제 : 393
(주) 아이마켓코리아
주소 : 서울시 강남구 삼성로 512 삼성동빌딩 16층
대표이사 : 남인봉 | 사업자등록번호 : 104-81-58502
TEL : 02-3708-8254 | Mail : raykim7@imarketkorea.com
Copyright © imarketkorea.Co,Ltd All Rights Reserved.