머신러닝 기반 산업 인프라 위협 감지 솔루션 - 다크트레이스 (DarkTrace)

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2017.05.26 14:41 / 카테고리 : 차세대 위협감지 - 다크트레이스



산업 인프라는 특히 공격당하면 크게 위험한 기반 시설이 많습니다. 또한 해커들에 있어서 가장 중요한 공격 대상이기도 합니다. 하나의 국가를 마비시킬 수도 있기 때문입니다. 


하지만, 산업 기반 시설 보안에는 완벽한 방어는 있을 수 없으며, 고도화된 위협은 항상 새로운 방법을 찾아냅니다. 그리고 내부자에 의한 위협도 외부 공격과 같은 수준으로 감시되고 보호되어야 하며, 사람은 24/7 시그니처와 룰을 항상 업데이트 할 수 없는 이슈가 있습니다. 



왜 ICS / SCADA 등의 산업 기반 시스템 보안이 필요할까요?

1. 산업 네트워크 망은 애드혹형태로 구성되어 왔습니다.

   - 산업 기반 시설의 증설에 따라서 기존의 경계보안 영역안에 새로운 종류의 장치가 보안성에 대한 검증 없이 도입되었습니다.

2. 사이버 보안은 반영되어 있지 않으며, 네트워크 재구성은 현실적으로 어렵습니다.

3. 산업제어소프트웨어는 패치가 되지 않아 안전하지 않은 OS 환경에 운영됩니다.

4. 산업기반 시설이 국내 여러곳에 물리적으로 떨어진 여러 지역에 존재할 경우 보안 리스크는 더 클 수 있습니다.

5. 산업기반 시설은 외부 사용자/원격 근무자를 위하여 점차 외부로 연결되는 추세입니다.



최근 동향과 같이 산업 기반 시설이 외부 네트워크에 연결될 수록 방화벽을 비롯한 전통적인 경계보안 솔루션은 현존하는 사이버 테러의 위협으로부터 산업 기반 시설을 안전하게 지킬 수 없습니다.





ICS/SCADA 망의 침해사고 사례

1. 독일 대형 제철소 

2014년, 독일의 한 대형제철소는 기존의 발견되지 않은 장기간에 걸친 사이버공격으로 인해 용광로가 통제불능에 빠져 가동 정지


2. 하벡스와 에너제틱 베어 악성코드

에너제틱 베어 (Energetic Bear)는 2014년 광범위하게 퍼진 공격 기법으로 산업 제어망을 공격대상으로 하였습니다. 주 사용된 멀웨어는 하벡스(Havex Remote Trojan) 


3. 스턱스넷 (Stuxnet) 공격 - 우크라이나 핵발전소

2010년에 언론에 조명된 ICS/SCADA 침해사고 관련 가장 유명한 사건입니다. 우크라이나 네이턴즈 핵 발전소에서 발생한 사고로, 총 4개의 Malware가 사용되었고, 그 중 2개의 Malware는 아주 교묘한 방법으로 핵 발전소 산업제어망으로 침투 성공 후 발전 설비의 제어 신호를 스니핑하여 변조.



진화하는 위협 방어를 위한 발상의 전환이 필요합니다. 존의 룰, 시그니처, 샌드박스 등의 알려지고 공유된 방법을 보완할 새로운 접근방법이 필요합니다.


1. 경계보안의 강화를 통한 방어체계의 한계

   - 많은 기업들과 기관들이 인터넷과 인트라넷/서버팜의 경계구간의 강화를 통한 위협 대응을 수행하고 

     있지만, 계속적으로 진화하는 공격의 방어와 대응에 한계가 있습니다.

2. 행위에 대한 정상 및 합법여부 정의의 어려움

   - 정상 및 합법적 행위여부를 정의하기 위한 많은 행위규칙(Rule)과 위협식별을 위한 시그니처들로부터 

      벗어난 다양한 행위들이 존재하고 있습니다.

3. 시스템과 기술을 뛰어 넘는 새로운 위협의 등장

   - 악성코드, 봇넷, 사이버범죄 등의 종착지는 사람입니다. 인적 요소에 의한 내부정보 탈취, 시스템파괴 및 

     다양한 위협의 발생빈도가 지속적으로 증가하고 있습니다. 



정책과 시그니처, 룰을 기반으로 한 심층방어체계는 새로운 공격와 위협이 발생할 경우에 방어수단의 확보시까지 발견하기 어렵고 시간이 많이 소요될 수 밖에 없습니다. 이상행위를 발견하고 대응할 수 있는 보다 폭 넓은 가시성의 확보가 필요합니다. 


정상적인 시스템 상태를 알고 있다면 비정상적인 행위는 쉽게 탐지할 수 있습니다. 다크트레이스는 정상적인 시스템 상태를 머신러닝 기법으로 숙지하고 비정상적인 패턴이 발견되면 이상 징후를 탐지하고 진단합니다.



다크트레이스(DarkTrace) - 차세대 산업 인프라 면역시스템



◈ 네트워크, 사용자, 디바이스의 다양한 행위에 대한 자동학습

    - 위협에 대한 개별요소등의 종합적인 연관상태를 분석하고 학습하여 정상적인 상태와 비정상적인 상태를 식별하고, 규칙이나 시그니처를 기반으로 한 전통적인 시스템이 탐지하지 못한 위협과 공격을 식별합니다. 시스템은 네트워크의 정상적인 상태를 학습하여 위협에 민감하게 반응하고 대응할 수 있는 보안 면역체계를 강화할 수 있습니다.

◈ 네트워크, 사용자, 디바이스에 대한 수학적 확률엔진의 비정상적 행위를 순환적으로 확률 추론

   - 베이지언 순환 확률 모델, 순차적 몬테카를로, LASSO 모델 등을 통해서 고객 네트워크를 사용하는 사용자와 디바이스 및 행위에 대해서 수학적 확률을 계산하여 지속적으로 정상 상태를 확인하고 계산합니다. 


인체의 면역기능을 이용하여 네트워크, 사용자, 디바이스 간 정상행위학습기반의 건강한 면역체계 구축





우크라이나 핵 발전소 침해사례 모식도 및 다크트레이스 가상 탐지 시나리오



다크트레이스가 ICS/SCADA 망 침투 이전 시점을 파악할때는 아래와 같이 동작합니다.

단 한번도 접속한적 없는 PC의 확률, 비정상적인 유저 브라우저의 확률, 비 정상적인 시간에 일어날 확률, 비정상적인 주기로 접속시도하는 확률 계산


그 이후, ICS/SCADA 망 침투 이후 시점에는 아래와 같이 동작합니다.

단 한번도 접속하지 않은 Control 서버의 확률, 비정상적인 트래픽 발생 확률,  비정상적인 시간에 일어나는 확률, 이전에 없는 주기로 통신하는 확률을 계산


위와 같이, 다크트레이스 솔루션은 사용자, 디바이스, 네트워크 행위를 학습하고 추론하고 시각화합니다.



머신러닝 기법을 통해서 인프라의 정상적인 패턴을 학습하고 이상징후 패턴을 분석하여 시각화하는 차세대 위협탐지 솔루션인 다크트레이스(DarkTrace) 관련 문의는 아래 담당자에게 연락주시기 바랍니다.



(주) 아이마켓코리아
김 경 일

과장 │ IT 솔루션 영업팀
TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090




Trackbacks 0 / Comments 0

Blog Information

아이마켓코리아

보안솔루션, HSM, 인증보안, DLP 솔루션, 암호화 장비, 기업서버 판매, 보메트릭

공지사항

블로그 검색

Calendar

«   2019/11   »
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30

방문자 통계

  • 전체 : 378,458
  • 오늘 : 113
  • 어제 : 393
(주) 아이마켓코리아
주소 : 서울시 강남구 삼성로 512 삼성동빌딩 16층
대표이사 : 남인봉 | 사업자등록번호 : 104-81-58502
TEL : 02-3708-8254 | Mail : raykim7@imarketkorea.com
Copyright © imarketkorea.Co,Ltd All Rights Reserved.