산업기술 탈취 방지를 위한 다크트레이스와 사일런스프로텍트 보안솔루션

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2018.07.31 18:48 / 카테고리 : 차세대 위협감지 - 다크트레이스


 산업기술 탈취 방지를 위한 

 다크트레이스와 사일런스프로텍트 보안솔루션 






6월 27일경, 지난 3월 삼성 러시아 서비스센터 해킹 공격과 유사한 스피어피싱 메일이 발견되어 세간을 들썩하게 하는 사건이 발생하였습니다. 보안뉴스에 따르면 “이메일은 GrupoSim(Bluehost 제공 업체)의 웹 메일을 통해 삼성 이탈리아 서비스 센터로 전송됐으며, 스피어피싱 메일 본문은 이탈리어 언어로 돼 있으며, ‘QRS not authorized.xlsx’ 악성 엑셀 파일이 첨부돼 있다”고 보도하였습니다. 


이 사건에 대해 극동대학교 박원형 교수는 전형적인 타깃 공격 유형인 APT공격으로 산업기술을 탈취하고자 시작된 공격이라고 예상하였습니다. 

 






보안뉴스에서 보도한 해당 관계자의 분석에 따르면 공격자는 삼성 이탈리아 서비스 센터에 침투해 2018년 4월 초부터 7월까지 원격 감시하며, 삼성 메일을 따로 필터링을 감행했으며, 발송된 삼성 메일을 정교하게 수정해 악성코드를 심어 4월 2일 재발송해 공격했다는 것이다. 이외에도 발견된 악성코드에는 음성녹음부터 백도어, 키로그 등 다양한 악성기능이 있으며, 공격자는 분석 가독성을 떨어트리기 위해 정상 시스템 프로세스와 유사한 이름인 svhost.exe 파일로 만들었다고 밝혔습니다. 


이러한 다양한 방식으로 산업기술을 노리는 APT(Advance Persistent Threat)공격이 전세계에서 지속적으로 발생하고 있으며, 잇따르는 손실 피해 또한 상당할 것으로 예상되어 세간의 관심이 집중되고있습니다.







기존의 보안 솔루션의 경우 스피어피싱과 같은 지능화된 공격에는 속수무책으로 당하게 됩니다. 기존의 보안 솔루션의 경우 Sand Box 기반의 APT 대응 솔루션이 파일 사전실행을 통한 ‘악성코드’의 탐지 자체에만 초점을 두고 있어 신종, 변종, 지능화 공격에는 취약합니다. 또한 시그니처 및 룰, 시나리오를 기반으로 공격을 방어하기 때문에 지능화된 공격에는 속수무책입니다. 

 

특히 모든 사용자, 네트워크, 호스트의 ‘비정상적인 이상행위’를 감지할 사이버 대응체계의 부재한 것이 가장 취약합니다. 


아이마켓코리아에서는 비지도학습기반의 머신러닝 기법을 활용한 이상행위 탐지 솔루션인 다크트레이스머신러닝 기술에 기반한 차세대 엔드포인트 보안 솔루션의 선두주인 사일런스(Cylance)프로텍트 보안솔루션을 제공합니다.


다크트레이스와 사일런스는 다양한 신종, 변종 악성코드 및 지능화 공격으로부터 기존의 시그니처 기반의 보안이 아닌 머신러닝 기반의 탐지/관제 솔루션을 통해 안전하게 보호합니다.







쉽게 말해 머신러닝 기반 악성코드 탐지 솔루션은 수집된 악성코드의 특성을 파악하여 머신러닝 알고리즘을 적용하여 학습합니다. 이렇게 학습된 데이터를 기반으로 전혀 새로운 형태의 악성코드 분류 및 탐지가 가능합니다. 기존에 알려지지 않은 신종, 변종 악성코드를 정확히 탐지해 낼 수 있으며, 기존의 시그니처 기반, 휴리스틱 기반, 샌드박스 기반, 평판조회 등을 기반으로 하는 AV 솔루션과 비교하였을때, 훨씬 높은 탐지 성능을 보입니다.







다크트레이스는 네트워크 인프라를 통해 발생하는 모든 사용자 및 Device의 행위 등의 모든 범위를 실시간으로 자동분석하고 그 이상여부를 판별하고, 기존의 보안 솔루션이 탐지할 수 없는 지능적인 내부/외부의 사이버 위협을 감지하고 분석하는 차세대 위협감지 솔루션입니다.


다크트레이스의 특장점으로는 

 

 - 정상 상태의 단말, 서버, 네트워크의 데이터 흐름을 자동으로 학습 및 분류 가능

 - 비정상 징후 및 행위의 데이터 흐름에 대한 실시간 탐지 및 이벤트 시각화 제공

 - 데이터 흐름에 대한 3D 기반의 직관적인 분석 화면 제공 및 Playback(재생) 지원 가능



구분

다크트레이스

기존 솔루션

탐지/분석 방식

트래픽 메타데이터를
기반으로 한 머신러닝 

Pattern, Signature, Rule, Sandbox 등 

탐지/분석 범위

 모든 비정상적 이상행위

(Device, Network, User)

악성코드 및 알려진 

외부로부터의 공격 

솔루션 적용 범위

 네트워크 전 구간 적용가능

(망분리 환경 내부 망 및
ICS산업제어망도 적용가능)

외부 망 및 경계구간 











사일런스 프로텍트는 헤더정보, 서명, 각종 스트링, 임포트, 섹션 권한, 패커, 컴파일러 등에 이르기까지 700만개 이상의 파일 특징(feature)을 0.1초 이내에 종합하여 소위 “파일의 DNA”를 분석해 그 의도를 정확히 파악하고 악성여부를 판단하는 솔루션입니다.


사일런스 프로텍트의 특장점으로는 


 - 악성코드 실행전 차단 (Malware Execution Control)

 - 메모리 공격 실시간 제어 (Memory Protection)

 - 스크립트/익스플로잇 실시간 제어 (Script Control)

 - 앱 제어 (Application Control)

 - 디바이스 제어 (Device Control)



악성코드 실행전 차단

 - 프로세스 신규 생성 또는 라이브러리 로딩시 해당 파일을 검사하여 악성일 경우 실행전 차단

 - 기존, 신종, 변종 악성코드(랜섬웨어 포함)의 실시간 사전 차단

메모리 공격 실시간 제어

 - 익스플로잇 방지 (스택피벗, 코드덮어쓰기, 램스크래핑, 힙스프레이 등)

 - 코드 인젝션 방지 (메모리 원격할당, 매핑 등)

 - 권한 상승 방지 (LASS 읽기, 제로할당 등)

스크립트/익스플로잇
실시간 제어

 - 악성 PowerShell 스크립트, 엑티브 스크립트 차단

 - MS Office 문서내 악성 VBA 매크로 차단

 - File-less 기반의 공격탐지 및 차단

앱 제어

 - 실행 가능한 앱 리스트 관리 

 - 앱 변경 제어 

디바이스 제어

 - USB 저장장치 이용 로깅 및 통제

 - 외부 저장장치를 통한 정보유출 방지







머신러닝 기반의 보안솔루션을 도입하게 되면, 우선 사이버 보안 관제의 고도화가 이루어지며, 네트워크상의 데이터 흐름에 대한 완벽한 가시성이 확보됩니다. 또한 신규위협의 탐지/분석을 위한 SIEM(Security Information & Event Management)의 가용성이 강화됩니다. 


망 분리 환경에서의 각종 통제 정책의 정상 동작 여부 검증이 가능하며, 내부 사용자 및 시스템 운영자의 비정상적인 행위 감시 수 있습니다.


또한 비정상적인 접근을 제어하고, 탐지할 수 있는 가시성확보를 위해 다크트레이스는 보안위협 자동 탐지 및 3D 기반의 실시간 시각화 및 네트워크 가시성을 제공합니다. 뿐만 아니라 실시간 분석 및 과거 데이터 재생 플레이백을 제공합니다.

 







사일런스는 Cylance 관리 콘솔을 통해 시각화 하여 보여 줍니다. 수집된 각종 위협 정보와 차단정보 및 사고분석 정보를 제공하여 전문적인 지식을 가진 보안 분석가가 아니더라도 위협을 직관적으로 인지하고 분석할 수 있게 도와줍니다.







지능화된 신종,변종 악성코드, 랜섬웨어 등의 사이버 위협을 방어할 수 있는 머신러닝 기반의 보안솔루션 다크트레이스와 사일런스프로텍트에 대한 자세한 사항은 아래 아이마켓코리아 담당자에게 문의 주시기 바랍니다.



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

Blog Information

아이마켓코리아

보안솔루션, HSM, 인증보안, DLP 솔루션, 암호화 장비, 기업서버 판매, 보메트릭

공지사항

블로그 검색

Calendar

«   2019/11   »
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30

방문자 통계

  • 전체 : 378,367
  • 오늘 : 22
  • 어제 : 393
(주) 아이마켓코리아
주소 : 서울시 강남구 삼성로 512 삼성동빌딩 16층
대표이사 : 남인봉 | 사업자등록번호 : 104-81-58502
TEL : 02-3708-8254 | Mail : raykim7@imarketkorea.com
Copyright © imarketkorea.Co,Ltd All Rights Reserved.