구글 크롬 제로데이(zeroday) 취약점, 다크트레이스로 탐지 / 방어

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019.03.30 18:50 / 카테고리 : 차세대 위협감지 - 다크트레이스



구글에서 올해 3월 초에 패치한 웹브라우저 크롬에서 제로데이(Zeroday) 취약점이 발견되어 사이버 공격자에 의해서 악용이 되고 있습니다. 악성코드의 이름은 CVE-2019-5786으로 높은 위험성을 가지고 있습니다. 이는 대중적으로 많이 사용되고 있는 API에서 발생되기에 위험성이 높습니다.


웹 앱들이 컴퓨터에 저장된 파일을 읽을 수 있는 웹브라우저용 API인 파일리더에서 발견된 UaF 취약점입니다. 구글에서는 해당 취약점에 대한 익스플로잇이 이미 존재하고 있고 해커들이 이미 악용하고 있다고 공식적으로 발표하였으며, 크롬 브라우저는 최대한 빠르게 최신 버전으로 업데이트 할 것을 권고하였습니다. 



해당 취약점을 성공적으로 익스플로잇하면, 공격자가 임의코드를 브라우저 컨텍스트 안에서 실행할 수 있게 되며, 애플리케이션의 권한에 따라서 달라지는 점이 있지만, 공격자가 프로그램 설치, 데이터 Read & Write 권한, Admin 계정의 생성까지도 가능합니다. 


엣지스폿(EdgeSpot)이라는 익스플로잇 탐지 서비스는 크롬의 제로데이 취약점을 익스플로잇 하기 위한 PDF 파일들이 사이버 공간에서 돌아다니고 있다는 것을 발견하였습니다. PDF 문서 파일의 뷰어 프로그램 또는 API 에서 발견된 취약점이기 때문에 Adobe Reader를 제공하는 Adobe에서도 관련 보안패치를 진행하기도 하였습니다. 

최근에는, 보안에 취약한 윈도우즈 익스플로러(Windows Explorer) 대신에 확장성도 뛰어나고 반응형 웹에 강력한 성능을 보이는 구글 크롬(Google Chrome) 브라우저를 기업에서도 많이 사용하고 있습니다.


뛰어난 보안성을 자랑한다고 보였던 구글 크롬 브라우저에서도 익스플로잇, 제로데이 취약점이 나왔으며, 기업에서 자주 사용하는 PDF Reader 기능을 통해서 데이터가 탈취 당하거나, 파일 접근, 권한 탈취 등의 문제가 생기고 있습니다.

이렇게 새롭게 변조되는 악성코드과 공격 기법은 갈수록 다양해지며, 공격 루트도 웹브라우저 플러그인 등으로 가변적입니다. 기업에서는 실시간으로 감시하고 즉각적인 대응이 가능한 머신러닝, 인공지능 기반 보안 솔루션을 통해서 24/7 대응이 가능하여야 합니다. 


기존의 AV, 시그니처 기반의 보안 솔루션은 현재까지 위협 방어에 대한 접근 방법의 한계성을 드러냅니다. 아이마켓코리아에서 공급하는 다크트레이스 솔루션은 기존 방식의 AV(안티바이러스)에서는 탐지가 불가능한 변종/신종 영역까지 탐지가 가능합니다. 



기존 방식의 위협 방어에 대한 문제점


1. 경계 보안의 강화를 통한 방어 체계의 한계성

많은 기업들과 기관들이 인터넷과 인트라넷, 서버팜의 경계구간의 강화를 통한 위협 대응을 수행하고 있지만, 계속 진화하는 공격 기법에 대응하기가 어렵습니다.


2. 행위의 대한 정상 및 합법여부 정의의 어려움

정상 행위 여부를 규정하기 Rule과 Signature부터 벗어난 다양한 행위들이 존재하고 있습니다.


3. 시스템과 기술을 뛰어 넘는 새로운 위협의 등장

악성코드 및 봇넷, 사이버 범죄 등의 종착지는 사람입니다. 인적 요소에 의한 내부정보탈취, 시스템 파괴 및 다양한 위협의 발생빈도가 지속적으로 증가하고 있습니다. 



Rule, Signature, SandBox 등 알려지고 공유된 인텔리전스 기반을 보완할 새로운 접근방법이 필요합니다.


정책과 시그니처 룰을 기반으로 한 기존의 심층방어체계에는 한계가 있습니다. 새로운 공격과 위협에 대해서 방어수단 확보까지의 시간이 많이 걸리며, 이때 피해가 급증하게 됩니다. 







다크트레이스(DarkTrace)란?

다크트레이스는 차세대 엔터프라이즈 면역 시스템(DarkTrace – Enterprise Immune System)으로 정상 행위 자동 학습을 통해서 비정상 행위를 탐지합니다. 



▣ 네트워크, 사용자, 디바이스의 다양한 행위에 대한 자동학습

위협에 대한 개별요소 들의 종합적인 연관상태를 분석하고 학습하여 정상상태와 비정상적인 상태를 식별한 후 규칙이나 시그니처를 기반으로 한 전통적인 시스템이 탐지못한 영역을 식별합니다.


▣ 네트워크, 사용자, 디바이스에 대한 수학적 확률 엔진을 기반으로 비정상적인 행위를 순환적으로 확률 추론

베이지안 순환 확률 모형, 순차적 몬테카를로, LASSO 모델 등을 통해서 고객 네트워크를 사용하는 사용자, 디바이스 및 행위에 대한 수학적 확률을 계산하여 지속적으로 정상 상태를 확인하고 계산합니다. 



다크트레이스 면역 시스템은 인체의 면역기능을 응용한 네트워크, 사용자, 디바이스 기반 정상행위 학습기반의 건강한 면역체계 구축하는 보안 솔루션입니다.






다크트레이스는 비지도 학습 기반(Unsupervised Learning)의 머신러닝 기법을 채택하고 있습니다. 이는, 사람의 개입을 최소화하고 기존 보안 솔루션의 한계점으로 대두되고 있는 시그니처와 룰 기반의 접근 방법의 한계점을 뛰어 넘는 방식으로 탐지합니다. 


1. 사고 - 과거의 정보를 학습하여 판단에 필요한 인사이트를 제시 합니다.

2. 실시간 - 시스템의 현재의 시점을 분석합니다.

3. 자가 개선 - 새롭게 학습되는 정보를 통해서 스스로 개선해 나갑니다. 



지도 학습 VS 지도 학습


 구분

 Unsupervised Learning 비지도학습

 Supervised Learning 지도학습

 정의1. 학습 시 출력 값에 대한 정보 없이(교사 없이) 진행되는 학습
2. 군집화, 밀도 추정, 차원축소, 특징 추출 등이 필요한 문제에 적합

1. 출력 결과 값을 미리 알려주는 교사(supervised)가 존재하는 학습

2. 주로 인식, 분류, 진단, 예측 등의 문제 해결에 적합

 사례

동물과 관련된 데이터가 입력되면 수집된 데이터로부터 특징을 추출, 군집화, 추정을 통해 서로 다른 종으로 구분하여 분류

 파충류, 포유류 등 종에 대한 분류지표와 기준을 이미 입력시킨 후 컴퓨터로 하여금 어떤 종이 파충류인지 또는 포유류인지 분류



다크트레이스 솔루션은 사용자, 디바이스, 네트워크 행위에 대해서 학습, 추론, 시각화를 할 수 있는 종합 면역체계 입니다.




다크트레이스 VS 다른 보안 솔루션


구분
DARKTRACE
APT solution
Network forensic &
Log analysis
위협 영역내부+외부외부내부+외부
위협의 종류모든 이상 행위악성코드알려진 위협
운영 노력낮음높음높음
탐지 기반 기술자동화된 머신러닝가상 샌드박스사람의 지식 및 룰
상세 분석딥 패킷 분석코드 리버싱딥 패킷 분석,SQL
데이터 흐름 가시성3D기반의 100% 가시성없슴제한적
실시간 탐지실시간수분 ~ 수시간수시간 ~ 수일
도입 및 운영 비용





매일 급변하는 보안취약점을 방어하기 위한 인공지능, 머신러닝 기반 엔드포인트 보안 솔루션인 다크트레이스에 대한 도입 / 견적 문의는 아래의 아이마켓코리아 담당자에게 연락주시기 바랍니다.


(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

Blog Information

아이마켓코리아

보안솔루션, HSM, 인증보안, DLP 솔루션, 암호화 장비, 기업서버 판매, 보메트릭, 센스톤, 다크트레이스

공지사항

블로그 검색

Calendar

«   2019/09   »
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30          

방문자 통계

  • 전체 : 365,822
  • 오늘 : 9
  • 어제 : 315
(주) 아이마켓코리아
주소 : 서울시 강남구 삼성로 512 삼성동빌딩 16층
대표이사 : 남인봉 | 사업자등록번호 : 104-81-58502
TEL : 02-3708-8254 | Mail : raykim7@imarketkorea.com
Copyright © imarketkorea.Co,Ltd All Rights Reserved.