다크트레이스의 위협 시각화 기능 (Darktrace Threat Visualizer)

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2017.04.07 12:10 / 카테고리 : 차세대 위협감지 - 다크트레이스


사이버 공격은 클라우드 최근 고도화되고 있습니다. 클라우드, IoT, AI와 같이 진화된 머신러닝 기법과 정교한 수학 기법을 적용하고 있습니다. 고도화된 사이버 공격에 대응하기 위해서는 시스템, 네트워크 뿐만 아니라 정상적인 사용 패턴과 비정상적인 사용 패턴을 학습해야 합니다. 



다크트레이스 솔루션에 적용된 자율 학습 기술은 이상 행위를 직관적으로 알 수 있도록 가시성을 제공하며, 시스템과 네트워크가 능동적으로 위협에 대응하고 사이버 공격을 할 수 있도록 지원합니다. 



다크트레이스를 한마디로 정의하자면, 차세대 엔터프라이즈 면역 시스템(New Approach - Enterprise Immune System) 입니다. 


네트워크, 사용자, 디바이스의 다양한 행위에 대한 자동학습

위협에 대한 개별요소들의 종합적인 연관상태를 분석하고 학습하여 정상상태와 비정상적인 상태를 식별 한 후 규칙이나 시그니처를 기반으로 한 전통적인 시스템이 탐지하지 못하는 새로운 공격과 보안 위협을 식별하여 보고합니다. 네트워크의 정상적인 상태를 학습하여 위협에 민감하게 반응할 수 있으며, 보안 '면역체계'를 구축할 수 있습니다.


네트워크, 사용자, 디바이스에 대한 수학적 확률 엔진을 통해 '비정상적 행위'를 순환적 확률 추론 가능

베이지안 순환 확률 모형 (RBE), 순차적 몬테카를로 (sMC), LASSO 모델 등을 통해서 고객 네트워크를 사용하는 사용자, 디바이스 및 행위에 대한 수학적 확률을 계산하여 지속적으로 '정상'상태를 확인하고 계산합니다.


다크트레이스의 차세대 엔터프라이즈 면역 시스템은 인체의 면역기능을 응용한

네트워크, 사용자, 디바이스 기반 정상 행위 학습 기반의 건강한 면역체계를 구축할 수 있습니다.





다크트레이스의 도입으로 기존 운용중인 보안 솔루션과의 시너지 효과도 기대할 수 있습니다.



다크트레이스는 SIEM과의 협업을 통해서 가시성 확보를 제공합니다. SIEM의 정책 및 로그 기간의 가시성과 다크트레이스의 사용자, 디바이스, 행위 패킷의 가시성을 조합하여 최고의 방어 효과를 낼 수 있습니다. 







다크트레이스의 장점은 이뿐만이 아닙니다. 바로 이러한 위협을 시각화하여 한눈에 보기 쉽게 표현해주는 위협 시각화 도구 (Darktrace Threat Visualizer) 에 있습니다. 




다크트레이스의 위협 시각화 도구는 다크트레이스의 실시간 3D 위협 알림 인터페이스 입니다. 뿐만 아니라 위협 경고 표시, 위협 가시화 도구 그리고 네트워크의 활동을 전반적으로 모니터링 할 수 있는 3D 그래픽 인터페이스를 제공합니다. 이 시각화 도구는 보안 전문가와 기업 결정권자 들도 쉽게 볼 수 있도록 내용을 시각화 합니다.


아래에 다크트레이스 위협 시각화 데모 영상을 통해서 확인하실 수 있습니다. 



[다크트레이스 3D 위협 시각화 데모 영상 (Darktrace Threat Visualizer)]



최첨단 시각화 기술들을 사용함으로서 위협 시각화 사용자 인터페이스에서는 이상 행위나 이벤트를 분석하여 보안담당자에게 알려줍니다. 이를 통해서 보안 담당자 들은 적극적으로 네트워크 인프라를 구축하고 인프라의 특정 부분을 면밀하게 분석하여 위협요소를 없앨 수 있습니다. 


◈ 전체 네트워크 토폴로지의 3D 시각화 기능

 전반적인 기업 위협 수준을 실시간으로 한눈에 파악 

 지능형 이상 징후 파악 클러스터

 높은 수준의 네트워크 토폴로지 - 특별한 클러스터, 서브넷 및 호스트 이벤트 등

 로그 및 이벤트를 찾을 수 있는 도구 지원

 과거의 데이터를 다시 재생할 수 있는 도구

 장치 및 외부 IPS에 대한 전체적인 행동을 파악하여 간결하게 요약

 보안 분석가 및 기업 결정권자를 위한 설계




다크트레이스 제품 도입 및 구입 문의는 아래의 영업 담당자에게 연락 주시기 바랍니다.



(주) 아이마켓코리아
김 경 일

과장 │ IT 솔루션 영업팀
TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090




Trackbacks 0 / Comments 0

다크트레이스(DarkTrace) VS 다른 보안 솔루션 비교

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2017.04.03 14:27 / 카테고리 : 차세대 위협감지 - 다크트레이스


많은 기업들이 보안 솔루션을 도입하였거나 도입 예정에 있습니다. 하지만 아무리 다양한 보안 솔루션을 도입하더라도 고도화된 보안 위협에 있어서 효과적인 방어는 어렵습니다. 그 이유는 공격 방법은 계속 다양화 되고 있지만, 기존의 룰 기반의 보안 솔루션으로는 한계가 있기 때문입니다.


룰 기반의 보안 솔루션은 아래와 같은 한계점을 가지고 있습니다. 

1. 알려진 모든 공격에 대한 DB가 있어야 합니다.

2. 어제의 공격을 포함한 모든 정보가 업데이트 되어 있어야 합니다.

3. 알려지지 않은 신종 공격에 대한 추측에 의존해야 합니다.

4. 고객사의 업무 흐름을 100% 이해하고 튜닝해야 합니다.

5. 오탐지 비율이 높습니다.

6. 전담 인력이 항상 관리 해야하는 이슈가 있습니다. 



다크트레이스는 머신러닝 기반 기술을 탑재하여 네트워크 이상 징후를 스스로 학습하여 이상 징후를 판단합니다. 기존의 APT 솔루션 및 네트워크 포렌식 등의 솔루션에서는 기존의 이상 징후 데이터에 의존하기에 새로운 패턴이나 데이터에 없는 위협에는 대응할 수 없습니다. 



 

 다크트레이스

 APT 솔루션

 네트워크 포렌식 & 로그 분석 

 위협 영역

 내부 + 외부

 외부

 내부 + 외부 

 위협의 종류

 모든 이상 행위

 악성코드

 알려진 위협

 운영 노력

 낮음

 높음

 높음

 탐지 기반 기술

 자동화된 머신러닝

 가상 샌드박스

 사람의 지식 및 룰

 상세 분석

 딥 패킷 분석

 코드 리버싱

 딥 패킷 분석, SQL

 데이터 흐름 가시성

 3D 기반의 100% 가시성

 없음

 제한적

 실시간 탐지

 실시간

 수분 ~ 수시간

 수시간 ~ 수일

 도입 및 운영 비용

 중

 중

 상


사용자와 디바이스 네트워크 행위를 학습하고 추론하고 시각화 합니다. 이를 다크트레이스 엔터프라이즈 면역 시스템이라고 합니다. 




캠브리지 대학의 연구자들과 함께 고급 베이지언 수학 이론을 머신러닝 분야에 응용하여 다크트레이스에 반영하였습니다. 이를 자동학습기반의 빠른 분류와 예측에 적합한 진일보한 통계이론 입니다. 


[디바이스별 RBE 분석]


[위협의 확률 계산 이론 (RBE) 적용]

 클러스터링

 네트워크 상의 동일한 디바이스들의 행위에 대한 문맥(Context) 분석을 통해서 장상상태에 대한 모델링

 네트워크 구성 모델링

 네트워크를 구성하는 디바이스 들의 연결상태를 통해 디바이스 간의 중요한 연결상태를 모델링하여 숨겨져 있거나 변칙적인 연결관계 대한 통계, 물리학적인 분석 실행

 네트워크 구조 모델링

 네트워크상의 트래픽을 이용한 호스트행위 분석 변수들 간의 관계는 매우 복잡하므로 과대해석을 회피하기 위해 변수의 선택과 예측력 향상을 위한 Lasso 모형 기반의 분석 실행

 위협등급 식별

 "정상 행위" 식별을 위한 디바이스의 네트워크 행위 분석 및 위협등급 산정




다크트레이스는 250가지 이상의 위협 모델을 구축하고 이를 기반으로 위협을 탐지합니다. 이는 경쟁사 32개 모델링에 비해서 압도적으로 많은 숫자입니다. 이를 통해서 더욱 더 정교한 위협 탐지가 가능합니다. 




 탐지분류

위협 

모델 수 

 탐지 위협 분류

 Anomalous Connection

 17

 1GB Outbound,Active RDP Tunnel,Active SSH Tunnel 외 16 개

 Anomalous File

 12

 Incoming RAR File,Masqueraded File Transfer,Outgoing RAR File 외 8개

 Anomalous Server Activity

 15

 Data Transfer - DC to Client,DC External Activity,Domain Controller DynDNS SSL or HTTP 외 6개

 Attack

 2

 Attack and Recon Tools, Exploit Kit, GoNext redirection

 Compliance

 42

 Bitcoin Activity,External SNMP,External Windows Communications 외 18개

 Compromise

 26

 Beaconing to Rare Destination,Connection to Sinkhole,CryptoLocker 외 7개

 Device

 17

 Address Scan,External DNS Domain Pointing at Local IP,New User 외 9개

 Experimental

 66

 Excessive HTTP Errors,Heartbleed SSL Success,International Domain Name 외 9개

 System

 16

 Christmas Tree Attack,CMS Detection,DNS Server Change 외 12개

 Unusual Activity 14 Unusual Activity,Unusual Activity from New Device,Unusual External Activity,Unusual External Connections

 User

 7 Bruteforcing,Kerberos Bruteforce,Multiple New Credentials on Device 외 4개



[다크트레이스 솔루션 모델별 주요 사양]




다크트레이스(DarkTrace) 솔루션에 대한 문의는 아래의 한성아이티엘 담당자 또는 아이마켓코리아 보안 담당자에게 연락 주시면 도입 및 견적 등을 안내해 드립니다.



(주) 아이마켓코리아
김 경 일

과장 │ IT 솔루션 영업팀
TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

AI 기술이 적용된 사이버 공격 방어 솔루션, 다크트레이스 (DarkTrace)

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2017.03.31 12:33 / 카테고리 : 차세대 위협감지 - 다크트레이스


최근, 가장 화두가 되는 기술은 바로 AI, 머신러닝 등으로 표현되고 있는 인공지능 기반 기술입니다. 다양한 산업 분야에서 활용되고 있는 인공지능 기반 기술을 보안솔루션에 도입한 제품이 있습니다. 바로 다크트레이스(DarkTrace) 입니다. 



머신러닝 기반의 '사이버 엔터프라이즈 면역 시스템'이라고 불리우는 다크트레이스는 패턴 학습을 통해 새로운 사이버위협을 감지할 수 있습니다. 능동적인 대응을 위한 새로운 접근 방식으로 모든 네트워크 상황에 대한 지능적인 학습으로 새로운 위협의 발견과 능동적인 대응이 가능합니다.



보안을 위해 내부 정보를 둘러싼 보안 벽을 계속 쌓아올리는 방식의 기존의 보안 방식은 이제는 고도화 되는 보안 위협에 능동적으로 대처할 수 없습니다. 이미 정의된 이상 징후를 기반으로 새로운 공격 방식을 막는 기법은 이제 한계에 봉착하였습니다. 



다크트레이스 엔터프라이즈 면역 시스템의 기반이 되는 머신러닝 접근법과 수학적인 모델링은 네트워크 내에서 자가 학습을 통해 정보를 유연하고 빠르게 자동으로 모델링하고 클러스터링 합니다. 이를 통해서 조사가 바로 착수되어야 하는 비정상적이거나 수상한 영역을 능동적이고 실시간으로 담당자에게 정보를 제공합니다.


네트워크, 사용자, 디바이스에 대한 수학적 확률엔진의 ‘비정상적 행위’ 순환적 확률 추론

베이지안 순환 확률 모형(RBE), 순차적 몬테카를로(sMC), LASSO 모델등을 통해 고객 네트워크를 사용하는 사용자, 디바이스 및 행위에 대한 수학적 확률을 계산하여 지속적으로 ‘정상’상태를 확인하고 계산합니다.


비 지도 학습 기반 머신 러닝 기법

다크트레이스의 머신러닝 엔진은 사람의 개입을 최소화하고 현재 많은 보안 대응 체계가 채택하고 있는 시그니처와 룰기반의 접근 방법을 따르지 않습니다. 


Thought 사고 – 과거의 정보를 학습하여 판단에 필요한 인사이트를 제시합니다. 

Real Time 실시간 – 시스템은 현재시점을 분석합니다. 

Self-Improving 자가개선새롭게 학습되는 정보를 통해 스스로 개선해 나갑니다


 

 비 지도 학습

 (Unsupervised Learning)

 지도 학습

 (Supervised Learning)

 정의

 - 학습시 출력 값에 대한 정보 없이 진행되는 학습

 - 군집화, 밀도 추정, 차원 축소, 특징 추출 등이 필요한 문제에 적합

 - 출력 결과 값을 미리 알려주는 '교사'가 존재하는 학습

 - 주로 인식, 분류, 진단, 예측 등의 문제해결에 적합

 사례

 동물과 관련된 데이터가 입력되면 수집된 데이터로부터 특징을 추출, 군집화, 추정을 통해 서로 다른 종으로 구분하여 분류

 파충류, 포유류 등 종에 대한 분류지표와 기준을 이미 입력시킨 후 컴퓨터로 하여근 어떤 종이 파충류인지 또는 포유류인지 구분


다크트레이스를 간단하게 설명하자면, 인간 면역체계와 같은 면역시스템을 구축하는 것입니다. 진화된 사이버 위협에 대한 면역력을 강화시켜 네트워크 상에 변형적인 이상 징후들을 사전에 방어할 수 있는 시스템을 구축할 수 있습니다. 



면역시스템 내에 동작하는 주도 자기방어 모듈 '안티제나 (Antigena)' 탑재

비즈니스 운영성 저해나 생산성의 저하를 가하지 않고, 특정 위협에 대한 설정된 조치를 수행합니다. 이는 내부 사용자들을 불필요하게 규제하지 않으면서 다크트레이스가 학습한 행동패턴에 대한 가시성을 강화합니다.





◈ 머신러닝과 수학적 기반들

- 다중 수학적 접근을 사용하는 4가지 수학적 엔진

- 위협 분류기에 의한 상관관계 입증

- 적정화된 다중 베이지언 접근 방식


 보완적 테크놀로지

- 시그니처가 필요없는 모니터링과 감지기술 탑재

- 기존 보안 인프라와 접근방식으로 보완한 디자인


 3D로 구현한 시각화 대시보드

- 상호연동 그래픽 3D 인터페이스 디자인

- 전체 네트워크에 대한 실시간 데이터의 관계 및 흐름 제공


 다크트레이스 안티제나 (Antigena)

- 모든 범위의 위협에 대항하여 직접적 예방 접종

- 실시간 방지 / 지연 / 방해 기능 제공 

- 자기 개선

- 위협 확산 전에 차단


고객사 레퍼런스




머신러닝 기술로 자가 학습하여 최적화된 위협 탐지와 관제가 가능다크트레이스(DarkTrace) 솔루션에 대한 문의는 아래의 한성아이티엘 담당자 또는 아이마켓코리아 보안 담당자에게 연락 주시면 도입 및 견적 등을 안내해 드립니다.



(주) 아이마켓코리아
김 경 일

과장 │ IT 솔루션 영업팀
TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090




Trackbacks 0 / Comments 0

머신러닝 기반 차세대 위협감지 보안 솔루션, 다크트레이스 (DarkTrace)

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2017.03.29 18:49 / 카테고리 : 차세대 위협감지 - 다크트레이스



최근 사이버 위협은 시스템 자체가 아닌 시스템 운영자(Admin) 및 사용자를 대상으로 표적화한 APT 공격 등이 유행하고 있습니다. 추가로, 기 구축된 보안 솔루션의 취약점 및 한계점을 이용한 공격 사례가 지속적으로 발생하고 있습니다. 


특히, 많은 기업들이 도입하고 있는 시그니쳐 기반의 보안 솔루션은 데이터베이스 업데이트를 하지 않았거나, 아직 미 확인된 해킹 공격의 경우에는 정상적으로 탐지하고 방어할 수 없습니.  그리고 대형 보안사고의 경우에는 외부에서 내부 침입으로 이루어지기 보다는 내부에서 운영자 등의 악의적인 행위가 포함되어 있는 사례가 많습니다. 그 밖에도 랜섬웨어 공격이 증가하는 등의 내부 확산 가능성이 지속적으로 보고되고 있습니다. 




많이 도입되어 있는 보안 솔루션의 경우에는 외부에서 내부로의 공격 방어에만 초첨을 두고 있으며 시그니쳐 및 룰 기반의 시나리오에 기반한 공격 차단 솔루션입니다. 샌드박스 기반의 APT 솔루션 또한, 파일 사전실행을 통한 '악성코드'의 탐지 자체에만 초점을 두고 있습니다. 


모든 내부 사용자와 네트워크 및 호스트의 비정상적인 이상행위를 빠르게 감지하고 조치할 수 있는 사이버 대응체계가 부족한 것이 현실입니다. 최근, 사이버 위협은 고도화, 자동화, 지능화 되고 있는 것이 특징입니다. 


이에 따라서, 네트워크 인프라에서 발생되는 모든 행위로부터 위협이 식별되고 관리될 필요성이 있습니다. 


고도화된 사이버 위협을 방어하기 위한 방법

네트워크 인프라를 통해서 발생하는 모든 사용자 및 디바이스의 행위에 대해서 머신러닝 기법을 활용하여 실시간으로 자동으로 분석하고 그 이상 여부를 판별할 수 있으며, 현행 보안장비 및 관리체계가 탐지할 수 없는 지능적인 내부 및 외부의 사이버 위협을 감지하고 분석할 수 있는 차세대 위협감지 솔루션의 구축 및 운영



위의 모든 조건을 만족하는 차세대 위협 감지 시스템으로는 다크트레이스(DarkTrace)가 있습니다. 가장 먼저 차별화되는 포인트는 머신러닝 기반이라는 것입니다. 



각 기업마다 시스템의 사용패턴은 다릅니다. 즉, 각 기업마다 일반적으로 통용되는 네트워크 패턴이 있고, 그 일정범위를 벗어나면 이상 징후가 됩니다. 이는 사람이 직접적으로 할 수 없으며, 시그니처와 룰 기반으로 보안솔루션으로 불가능한 작업입니다. 


다크트레이스는 솔루션 도입 후 머신러닝 기법으로 일정시간 동안 해당 네트워크 환경에 대해서 학습을 하게 됩니다. 이후에는 해당 기업 또는 기관의 네트워크 패턴을 분석한 뒤 감시체계에 들어갑니다. 이후에 다크트레이스가 분석한 패턴을 벗어나게 되면 이상 징후로 판단합니다. 



[다크트레이스 위협 탐지 시스템 소개]



제품 개요

비지도 학습기반의 머신러닝 기법을 활용한 이상 징후 탐지 솔루션

 인간의 면역체계와 유사하게 네트워크 트래픽을 통해서 단말, 서버 등 모든 디바이스에 대한 

데이터 흐름을 통해 정상행위를 학습하고 이에 위반하는 비정상적인 이상행위를 판별

 수학적 모델링에 근간하고, 시그니처와 룰에 의존하지 않기에 지속적으로 발생하는 지능적이고 

고도화된 공격에 대처가 가능



[다크트레이스 동작 과정]




주요 기능

◈ 정상 상태의 단말, 서버, 네트워크의 데이터 흐름을 자동으로 학습 및 분류

◈ 비정상 징후 및 행위의 데이터 흐름에 대한 실시간 탐지 및 이벤트 시각화

◈ 데이터 흐름에 대한 3D 기반의 직관적인 분석 화면 제공 및 Playback 재생 지원


 구분

 다크트레이스 

 기존 솔루션 

 탐지/분석 방식

 트래픽 메타데이터를 기반으로 한 머신러닝

 패턴, 시그니처, 룰, 샌드박스 등

 탐지/분석 범위

 모든 비정상적인 이상 행위

(Device, Network, User)

 악성코드 및 알려진 외부로부터의 공격

 솔루션 적용 범위

 네트워크 전 구간 적용 가능

 (망분리 환경 내부망 및 ICS 산업제어망도 적용 가능)

 외부망 및 경계 구간




[다크트레이스의 3D 기반 분석 화면]




도입 기대 효과

◈ 사이버 보안 관제의 고도화

→ 기존 경계 보안 제품에서 탐지가 불가능한 사이버 위협의 대응 및 관제

 사용자, Device, 네트워크의 이상 행위에 대한 실시간 탐지


◈ 네트워크상의 데이터 흐름에 대한 완벽한 가시성 확보

 침해사고 대응 시 플로우 데이터를 통한 이벤트 시각화 및 재연

 DPI 지원을 통한 포렌식 부분 활용 가능 (Payload 분석 제외)


◈ 신규위협의 탐지 및 분석을 위한 SIEM (Security Information & Event Management)의 가용성 강화

 기존 관리 범위에서 벗어나 있던 위협모델의 제시로 SIEM의 상관분석 범위 확대 및 신뢰도 향상

 BYOD, IoT 등 신기술 기반의 이상행위 위협 식별 및 대응 체계 강화


◈ 컴플라이언스를 위한 각종 통제 정책의 유효성 검증

 망분리 환경에서의 각종 통제 정책의 정상 동작 여부 검증

 내부 사용자 및 시스템 운영자의 비정상적인 행위 감시



머신러닝 기술로 자가 학습하여 최적화된 위협 탐지와 관제가 가능다크트레이스(DarkTrace) 솔루션에 대한 문의는 아래의 한성아이티엘 담당자 또는 아이마켓코리아 보안 담당자에게 연락 주시면 도입 및 견적 등을 안내해 드립니다.



(주) 아이마켓코리아
김 경 일

과장 │ IT 솔루션 영업팀
TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

Blog Information

아이마켓코리아

보안솔루션, HSM, 인증보안, DLP 솔루션, 암호화 장비, 기업서버 판매, 보메트릭, 센스톤, 다크트레이스

공지사항

블로그 검색

Calendar

«   2019/09   »
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30          

방문자 통계

  • 전체 : 366,854
  • 오늘 : 12
  • 어제 : 331
(주) 아이마켓코리아
주소 : 서울시 강남구 삼성로 512 삼성동빌딩 16층
대표이사 : 남인봉 | 사업자등록번호 : 104-81-58502
TEL : 02-3708-8254 | Mail : raykim7@imarketkorea.com
Copyright © imarketkorea.Co,Ltd All Rights Reserved.