인간의 면역체계를 사이버 보안에 적용한 다크트레이스

작성자 : DSSa / 날짜 : 2018.03.12 19:23 / 카테고리 : 차세대 위협감지 - 다크트레이스



보안 업계에서 이슈가 되는 부분은 알려지지 않은 공격을 어떻게 막을 것인가? 에 대한 해답을 찾는 것입니다. 기술의 발전으로 이미 발견된 악성코드 및 멀웨어, 랜섬웨어 등은 보안 솔루션으로 쉽게 막을 수 있습니다. 


기존 공격자들은 이러한 상황에서 효과적으로 사이버 공격을 성공시키기 위하여 신종과 변종 악성코드 및 공격기법을 통해서 공격 성공률을 높이고 있습니다. 따라서, 새로운 공격기법과 수단을 효과적으로 예측하고 방어해야 하는 것이 보안 담당자들의 큰 숙제가 되었습니다.


해당 과제를 극복하기 위해서 많은 연구를 거듭한 결과, 인간의 면역체계에서 해답을 찾았습니다. 사람의 신체는 정상상태와 비정상상태를 기억하고 대응한다는 메커니즘에 입각한 보안 접근법입니다. 


이러한 메커니즘을 접목하여 만든 보안 솔루션이 다크트레이스입니다.  다크트레이스는 영국 케임브리지 대학교 출신 수학자들과 머신러닝, 보안 전문가들이 같이 협업해서 만든 솔루션입니다. 다크트레이스의 보안 기술은 수학과 소프트웨어, 인텔리전스 기술을 융합하였습니다. 





다크트레이스(Darktrace) 솔루션은 먼저 건강한 네트워크 상태를 학습시킵니다. 이를 정상상태라고 기계 학습 시킨 후에 정상상태가 아닌 예외상황에서는 비정상임을 감지하고 대응할 수 있게 구성되어 있습니다. 


다크트레이스의 머신러닝 기반 기술은 베이지언 수학과 250가지가 넘는 모델링 설계로 구성되어 정상상태의 기업 네트워크 상태를 끊임 없이 학습하고 비정상상태를 필터링합니다. 




공격은 갈수록 고도화되고 지능적이며 목표의식이 뚜렷해지고 있습니다. 최대한 빠른 시간에 예외 상황을 탐지하고 대응하는 것이 사이버 보안에 있어서 가장 좋은 대응법입니다. 네트워크 상의 행위를 구분하기 위해서 클러스터 군을 통해서 머신 러닝에 기초하여 정상 행위를 벗어나는 것들을 보기 쉽게 직관적으로 보여줍니다. 




다크트레이스의 특이한 점은 패턴화된 분석을 통해서 판단을 확정하는 것이 아니라 확률을 %로 보여 줌으로써 위협인지 아닌지를 판단할 수 있게 도와줍니다. 다크트레이스의 시각적인 대시보드를 통해서 보여준 확률을 통해서 보안 담당자는 대응을 할지 말지 결정할 수 있습니다. 이를 통해서 보안담당자의 판단에 많은 도움을 주게 됩니다.







다크트레이스의 제품군은 2가지로 분류되고 있습니다. 기업용 면역체계(EIS: Enterprise Immune System)와 산업용 면역체계(IIS: Industrial Immune System)로 구분합니다. 


다크트레이스는 지속적으로 높은 매출을 기록하고 있으며 인포시큐리티 글로벌 엑설런스 어워드 (Info Security Global Excellence Awards), 가트너(Gartner)에서 '주목할 만한 보안 기업 (2015년)' 으로 선정되어 우수한 역량을 입증하고 있습니다.


다크트레이스 도입 기대효과 

□ 사이버 보안 관제의 고도화 

- 기존 경계 보안 제품에서 탐지 불가능한 사이버위협 대응 및 관제

- 사용자, Device, 네트워크의 이상행위에 대한 실시간 탐지


□ 네트워크상의 데이터 흐름에 대한 완벽한 가시성 확보

- 침해사고 대응 시 플로우 데이터(Flow Data)를 통한 이벤트 시각화 및 재연

- DPI지원을 통한 포렌식 부문 활용 가능(Payload 분석 제외)


□ 신규위협의 탐지/분석을 위한 SIEM(Security Information & Event Management)의 가용성 강화

- 기존 관리 범위에서 벗어나 있던 위협모델의 제시로 SIEM의 상관분석 범위 확대 및 신뢰도 향상 

- BYOD, IoT 등 신기술 기반의 이상행위 위협식별 및 대응체계 강화


□ 컴플라이언스를 위한 각종 통제 정책의 유효성 검증 

- 망 분리 환경에서의 각종 통제 정책의 정상 동작 여부 검증 

- 내부 사용자 및 시스템 운영자의 비정상적인 행위 감시 


아이마켓코리아 IT 사업부는 IT제품의 Total Solution을 제공하는 국내 최고의 IT전문 유통기업으로 다양한 최신 IT제품의 공급은 물론 컨설팅, 설치, 운영, 유지 등의 기술서비스에서부터 리스-렌탈의 금융서비스까지 고객에게 필요한 IT Total서비스를 제공하고 있습니다. 


또한, 아이마켓코리아의 법인을 거점으로 미국, 중국, 브라질, 동남아, 중동, 유럽 등 세계시장으로 활발히 진출하고 있습니다. 아이마켓코리아는 2016년 12월 기준 매출액은 3조 4,000억 448만을 기록하고 있는 건실한 기업입니다.



우수한 역량을 보유한 전문 MRO 기업, 아이마켓코리아 IT 사업부가 유통하는 다크트레이스 사이버 면역체계 솔루션에 대한 문의는 아래의 담당자에게 연락주시기 바랍니다.



(주) 아이마켓코리아
김 경 일

과장 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090




Trackbacks 0 / Comments 0

SSL 트래픽 증가에 비례하는 보안위협, SSL 가시성 확보가 우선!

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2018.03.02 22:52 / 카테고리 : etc/모니터랩 AISVA





SSL 트래픽 증가에 비례하는 보안위협,

SSL 가시성 확보가 우선!










SSL 트래픽이 점점 증가하고 있는 추세입니다. 구글, 네이버와 같은 주요 포털사이트는 물론, 페이스북, 유투브와 같은 SNS금융사이트 등 세계 트래픽 상위 50개 사이트 중 42개 사이트에서 SSL 트래픽을 사용하고 있는 것으로 나타났습니다. 









SSL 자체가 데이터를 안전하게 전송하기 위해 만들어졌기 때문에 고객정보, 중요보안정보를 취급하는 사이트에서 대부분 SSL 트래픽을 사용하고 있는 것인데요. 현재 전체 웹트래픽 중 70%를 상회하고 있으며, 앞으로도 꾸준히 증가할 것으로 보입니다.









하지만 결코 안심할 수 없습니다. 보안 기술이 발전하는 만큼 공격 방법 또한 날로 지능적으로 진화하고 있기 때문입니다. 실제로 최근 발생한 APT 공격의 80% 이상이 암호화 트래픽으로 진행되었습니다. 


이처럼 더 이상 SSL만으로는 안심할 수 없게 되자 SSL 가시성 확보가 무엇보다 중요해졌습니다. SSL 암·복호화 과정에서 암호화된 위협을 탐지해내면서도 웹서버의 과부하를 막는 SSL 가시성을 확보는 이제 선택이 아닌 필수가 된 것입니다.











보안전문기업 모니터랩에서 개발한 AISVA(APPLICATION INSIGHT SSL VISIBILITY APPLIANCE)은 이러한 문제를 해결해주는 SSL 가시성 장비로, 호화된 트래픽을 복호화하여 위협 요소를 걸러내고, 다시 암호화하여 데이터를 제공합니다. 


특허 받은 Transparent Proxy 기술을 통해 기존 보안장비에 영향을 주지 않고 보안 기능을 하면서도 암호화 트래픽 처리 부하를 줄여준다는 것장비 장애 시 Bypass 기능을 제공한다는 것이 특징입니다. 











또한, 시스템 고도화 또는 추가 증설에 대한 비용증가도 없기 때문에 부담을 덜 수 있으며, 다수의 보안 시스템에 대한 별도의 인증서 관리도 필요 없습니다. 


RSA, ECC 등 다양한 암호화 알고리즘을 지원하는데다 IPS, IDS, WAF, APT, DLP 등 다양한 보안장비와 연동 된다는 것, 그리고 인터페이스별 네트워크 트래픽 및 SSL 트래픽 정보와 인증서 상태 정보에 대한 대시보드 제공, 트래픽 처리에 대한 세션 로그가 제공되기 때문에 수시로 모니터링이 가능하다는 것도 주목할 만한 점입니다. 





[APPLICATION INSIGHT SVA Graphic User Interface]



▶ 모니터링 및 시스템 현황

· 복호화된 트래픽과 SSL 트래픽에 대한 상태 현황을 실시간으로 확인

· CPU, Memory, Disk, 인터페이스 등 시스템 상태


▶환경 설정

· 최고 관리자 및 일반 관리자 설정

· 라이선스 관리 및 프로그램 환경 설정, 백업

· 주요 프로세서 및 시스템 종료

· 보호대상 SSL 서버 관리



무엇보다 내부 사용자 보호(Out-bound Traffic) 및 내부 서버 보호(In-bound Traffic)를 위한 양방향 가시성을 제공하기 때문에 더욱 안심할 수 있습니다.













모니터랩사의 SSL 가시성 장비 AISVA에 대한 구입 문의는 아래의 아이마켓코리아 담당자에게 연락 주시면 상세히 안내 드리겠습니다. 




(주) 아이마켓코리아
김 경 일

과장 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

SSL 가시성 네트워크 스위치 모니터랩 AISVA 브로셔 (SSL VISIBILITY NETWORK SWITCH)

작성자 : DSSa / 날짜 : 2018.02.28 11:39 / 카테고리 : etc/모니터랩 AISVA



모니터랩 AISVA (APPLICATION INSIGHT SSL VISIBILITY APPLIANCE)는 SSL Traffic에 대한 복호화 및 암호화를 제공함으로써 기존 보안 장비에서 암호화된 트래픽에 대해서도 강력한 보안정책이 적용 될 수 있도록 SSL트래픽에 대한 가시성을 제공하는 전용 스위치입니다.


SSL 가시성 장비가 필요한 이유?

  • SSL 트래픽의 지속적인 증가

  • APT 공격에 SSL 트래픽 사용량 증가

  • 보안 장비의 약 20%만이 SSL 복호화 수행

  • 기존 보안 솔루션의 한계점


암호화된 트래픽을 통한 보안 위협 요소 증가

  • SSL 트래픽의 지속적인 증가 : 매년 20%씩 성장

  • 개인정보보호법, PCI-DSS 등 규제 강화에 따른 암호화 대상 확대

  • 다수의 보안 장비에서 암호화된 트래픽에 대한 복호화 미 지원으로 보안 홀 발생

  • 암호화된 트래픽 처리 시 보안 시스템 성능 저하

  • 최근 발생하고 있는 APT 공격의 80% 정도가 암호화 트래픽

  • 암호화 트래픽 처리 성능 향상을 위해 시스템 고도화 또는 증설 시 비용 발생


APPLICATION INSIGHT SVA 도입 효과

  • 기존 보안 장비들의 구성 변경 없이 SSL 암호화 트래픽에 대한 보안 위협 문제점 제거

  • 보안 장비는 암호화 트래픽에 대해서도 평문 트래픽과 동일한 보안정책 적용 가능

  • 다수의 보안 시스템에 대한 별도의 인증서 관리 불필요

  • 시스템 고도화 또는 추가 증설에 대한 비용증가 없음


AISVA 특징

SSL 트래픽 암/복호화 최적화
  • 다양한 암호화 알고리즘 지원
  • SSLv3, TLS1,TLS1.2지원
  • IPS, IDS, F/W 등 다양한 보안장비 연동
  • IPv4, IPv6 망에 대해서도 동일한 가시성 제공
  • 전체 트래픽 및 SSL 트래픽 모니터링 제공
  • 장비 장애 시 bypass 기능
  • 양방향 복호화 가능
  • 실시간 모니터링
  • 다중관리자기능



APPLICATION INSIGHT SVA는 암호화된 트래픽에 대한 가시성을 제공합니다.

  • SSL 기반 트래픽(HTTPS, SMTPS, POP3S 등)에 대한 복호화

  • RSA, ECC 등 다양한 암호화 알고리즘 지원

  • 내부 사용자 보호(Out-bound Traffic) 및 내부 서버 보호 (In-bound Traffic)를 위한 가시성 제공

  • IPS, IDS, WAF, APT, DLP 등 다양한 보안장비 연동

  • IPv4, IPv6 망에 대해서도 동일한 가시성 제공


APPLICATION INSIGHT SVA는 세계 최고 수준의 프록시 기술이 적용된 제품입니다.

  • Transparent Gateway 특허 등록 (특허번호 제 10-0898371호)


APPLICATION INSIGHT SVA는 다양한 구성을 제공합니다.

  • 내부 서버 보호를 위한 구성 (In-bound Traffic Visibility)

  • 내부 사용자 보호를 위한 구성 (Out-bound Traffic Visibility)

  • Inline mode (Active-Inline, Passive-Inline, SSL-Termination)

  • Mirroring mode (Passive-Mirror)

  • Multi-Segment, Bonding


AISVA기능

WEB 기반의 직관적인 사용자 인터페이스 제공

  • 네트워크 트래픽 및 SSL 트래픽에 대한 모니터링(Mbps, CPS, Open connection)
  • 다양한 로그 검색 및 관리 기능 제공
  • SSL 가시성 제공을 위한 보호대상 서비스 및 포트 설정, 인증서 등록 기능
  • 복호화된 트래픽을 전송하기 위한 Passive 포트 설정



APPLICATION INSIGHT SVA Physical Deployment


APPLICATION INSIGHT SVA Logical Deployment


APPLICATION INSIGHT SVA Graphic User Interface


모니터링 및 시스템 현황

  • 복호화된 트래픽과 SSL 트래픽에 대한 상태 현황을 실시간으로 확인

  • CPU, Memory, Disk, 인터페이스 등 시스템 상태


환경 설정

  • 최고 관리자 및 일반 관리자 설정

  • 라이선스 관리 및 프로그램 환경 설정, 백업

  • 주요 프로세서 및 시스템 종료

  • 보호대상 SSL 서버 관리



APPLICATION INSIGHT SVA Feature


Gateway Configuration Mode

  • Proxy Gateway : Transparent Proxy Mode


Physical Configuration Mode

  • In-line Mode : Active-Inline Mirroring Mode : Passive-Inline Multi-Segment, Bonding


다양한 암호화 프로토콜 지원

  • SSL3, TLS1.0, TLS1.1, TLS1.2


다양한 암호 알고리즘 지원

  • RSA, DHE, EDH, Camellia

  • AES, DES, SEED, 3DES, RC4

  • MD5, SHA-1, SHA-2


SSL 트래픽 가시성 제공

  • 표준 SSL(TLS) 암호화 트래픽 복호화

  • F/W, IPS, IDS 등 보안 장비의 종류와 무관하게 가시성 제공


양방향 SSL 트래픽 동시 처리

  • 인증서 등록을 통한 Server side SSL (Inbound) 트래픽 처리

  • 자체 인증서 발급을 통한 Client side SSL (Outbound) 트래픽 처리


유연한 SSL 트래픽 제어

  • SSL 트래픽 자동인지

  • Invalid 인증서 차단

  • Service Port Redirection

  • 지정 도메인에 대한 선별적 복호화


실시간 상태 모니터링

  • 네트워크 및 SSL 트래픽 모니터링

  • SSL 세션에 대한 암복호화 로그

  • 다양한 차트를 통한 트래픽 분석


다중 관리자 기능

  • 최고 관리자와 일반 관리자 기능 분리


서비스 가용성 확보

  • 장비 장애 시 Bypass 기능


편의 기능

  • 아웃바운드용 인증서 자동 발급

  • 프로그램/환경설정 백업 및 복원



APPLICATION INSIGHT SVA Model & Specification




아이마켓코리아에서 공급하는 SSL 가시성 장비인 모니터랩 AISVA에 대한 구입 문의는 아래의 보안 담당자에게 연락 주시면 상세히 안내드립니다.



(주) 아이마켓코리아
김 경 일

과장 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

가상화폐 채굴 악성코드 방어는 머신러닝 솔루션으로!

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2018.02.22 19:39 / 카테고리 : 사일런스 프로텍트



 가상화폐 채굴 악성코드 방어는 머신러닝 솔루션으로! 










최근 가상화폐에 대한 관심이 날로 상승하고 있습니다. 네이버 포털 사이트 기준 '가상화폐' 검색량은 월 250만 여건으로 주식은 50만 여건, 인기 아이돌 그룹 워너원이 월 185만 여건인데 비해 가상화폐의 검색량이 월등히 높다는 것을 알 수 있습니다.


이처럼 가상화폐에 대한 관심이 높아짐에 따라 그 가치가 날로 상승하면서 보안 관련 이슈가 문제되고 있습니다.









가상화폐 채굴을 위한 마이닝 프로그램을 돌리려면 GPU, 즉 그래픽 카드의 성능이 좋아야 하는데 그래픽 카드 값만 해도 이미 몇 배 이상 오른 대다 PC 한~두대 정도로는 채굴이 어렵기 때문에 수백 여대의 PC를 갖추지 못하면 사실상 채굴이 힘든 상황에까지 이르렀습니다.


이처럼 개인이 가상화폐 채굴하는 것이 사실상 불가능해짐에 따라 타인의 PC에 몰래 마이닝 프로그램을 설치하는 등 가상화폐 채굴 악성코드가 기승을 부리게 된 것입니다.









개인 PC는 물론이고 기업의 서버 시스템을 공격하는 등 그 방법도 날로 다양해지고, 피해 규모도 점점 커지고 있습니다.


예를 들어 이전에는 개인 PC의 취약점을 이용해 악성코드를 '설치'하는 형태였다면, 웹사이트에 ‘접속’만 해도 악성코드에 감염될 수 있습니다. 이는 악상 자바스크립트를 이용하는 것으로, 사용자가 별다른 액션을 취하지 않아도 자동으로 감염되어 피해가 발생되는 것입니다.


뿐만 아니라, 취약점에 대한 패치가 발표되기도 전에 감염되는 제로데이 공격의 경우 기업에 치명적인 피해를 입힐 수 있기 때문에 더더욱 주의가 필요합니다.









이러한 보안사고가 발생하는 경우, 과징금 부과는 물론이고 고객 신뢰 하락, 기업 이미지 실추, 매출 하락 등 실질적인 손해로 이어질 수 있습니다.









때문에 이러한 손해가 발생하기 전에 실시간으로 위협을 감지하고, 피해를 막아내는 엔드포인트 솔루션 사일런스프로텍트가 필요합니다.









사일런스프로텍트(Cylance PROTECT)머신러닝 기반 솔루션이기 때문에 별도의 지속적인 업데이트나 행위분석 없이도 기존에 알려진 위협뿐만 아니라 알려지지 않은 위협도 예측 및 분석하여 방어할 수 있습니다. 또한 머신파워를 극대화하여 사람의 개입을 최소화할 수 있으며, 엔드포인트 보안 관리의 효율을 위해 간편하고 직관적인 웹 콘솔로 간단히 SIEM과 연동할 수 있습니다.






[ 사일런스프로텍트의 수학적 알고리즘과 머신러닝 ]

사일런스프로텍트의 수학적 알고리즘과 머신러닝





클라우드 연결을 필요로 했던 기존의 솔루션과 다르게 인터넷 연결 없이도 엔드포인트 보안 위협을 방지합니다. 또한 윈도우, 맥, 리눅스 등 모든 OS를 지원하며  POS, 의료기기 등 IoT 단말에도 확장할 수 있고, 무엇보다 1% 정도의  CPU와 아주 작은 메모리 용량을 사용하기 때문에 엔드포인트 성능에 전혀 부담을 주지 않습니다.






[  사일런스프로텍트 특장점  ]


▶ 알려지지 않은 악성코드 탐지 : 2017년 워너크라이 랜섬웨어, 페티아 랜섬웨어 등

▶ 빠른 처리 속도 : 파일당 평균 분석 시간 0.1초 이하

▶ 최소 리소스 소모 : 메모리량 평균 30MB, CPU량 1% 미만 수준

▶ 안정성 : 현재까지 다른 솔루션 에이전트와 충돌 없었음

▶ 일일 업데이트 불필요 : 매일 업데이트 해야 했던 시그니쳐기반 AV와 달리 연간 평균 2회만으로도 충분, 패치서버 운영 부담 감

 












AI 기반으로 위협이 자동으로 차단되고, 클라우드 베이스의 관리툴로 관리도 매우 간편엔드포인트 보안솔루션 문의는 아래 아이마켓코리아 담당자에게 연락 주시기 바랍니다.






(주) 아이마켓코리아
김 경 일

과장 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

암호화폐 모네로 강제채굴 악성 프로그램, 기업 대상으로 공격

작성자 : DSSa / 날짜 : 2018.02.21 18:26 / 카테고리 : nCipher HSM (Thales-HSM )


암호화폐 모네로를 강제로 채굴하게 하는 악성코드가 발견되었습니다. 국내에서는 피해자가 많이 없지만 영국에서 해당 악성코드에 감염되어 피해를 받은 사례가 많은 것으로 보고 되고 있습니다. 영국의 정보위원회 사무실, 국가 건강 서비스, 학자금 대출 사이트 등 영국에서 영향력 있는 규모의 사이트 및 기관도 해당 악성코드에 감염되어 피해를 입은 것으로 파악되고 있습니다.



영국이 많은 피해를 입은 이유는 웹브라우저에 플러그인으로 설치되는 프로그램인 블라우즈얼라우드를 침해하여 채굴 소프트웨어를 강제로 심는 방식으로 이루어졌기 때문입니다. 현재는 해당 플러그인을 스토어에서 삭제하여 더이상 감염이 되지는 않지만 이전에 설치하였던 고객은 감염되었습니다.


예전과 다르게 최근 사이버 공격은 금전적인 이득을 취하기 위한 행위가 많습니다. 랜섬웨어 사태 이후로 해킹으로 암호화폐를 통해 금전적인 이득을 취할 수 있다는 사실을 인지한 해커들은 다양한 공격 기법을 통해서 해킹을 통해 막대한 수입을 올리고 있습니다.



그 중에서도 멀웨어를 통해서 사용자의 PC를 감염시키고 이를 통해서 채굴하여 돈을 벌 수 있는 해킹 기법은 다른 랜섬웨어와 같은 해킹보다 안전하고 오래지속 시킬 수 있어 최근 인기가 있는 해킹 기법입니다. 특히, 해당 채굴 프로그램은 멀웨어로 인식이 되지 않기 때문에 스텔스 상태로 오래 유지할수록 꾸준한 수입을 올릴 수 있습니다.


단일 네트워크 망으로 구성된 회사와 기관들은 이러한 악성코드에 매우 취약하며, 한번 감염시에 모든 네트워크가 채굴 프로그램에 의해 생산성이 저하되고 산업스파이, 랜섬웨어 등의 공격으로 한 순간에 엄청난 피해를 입을 수 있습니다.


해당 공격은 APT 뿐만 아니라 불특정 다수의 웹사이트, 프로그램 배포를 통해서도 이루어지므로 일반 회사나 기관에서 무심코 내려받은 프로그램과 웹사이트 접속으로 인해서 순식간에 퍼질 수 있습니다. 많은 회사 직원들에게 이러한 사실을 일일히 교육하기도 어려울 뿐더러 주기적으로 전산 담당자가 관리하는 것도 불가능합니다.




또한, 이러한 채굴 프로그램 등은 조용히 활동하는 경우가 많기 때문에 일반 안티바이러스 제품은 바이러스라고 판단할 수 없어 악순환으로 지속됩니다.


다크트레이스 차세대 면역 솔루션은 사람이 아닌 머신러닝(기계학습)에 의하여 정상 상황을 학습한 뒤에 비정상 상황이 인지가 되면 이를 사전에 파악하고 자동으로 최선의 방법으로 조치하는 보안 솔루션입니다. 기존 시그니처 기반, 룰 기반의 안티바이러스나 보안 솔루션은 기존의 데이터와 메커니즘에 의지하기 때문에 새로운 악성코드를 잡아 낼 수 없다는 단점을 가지고 있습니다.



하지만, 다크트레이스는 정상 상황을 미리 학습하고 비정상 패턴을 확인하게 되면 이상이 있다고 판단하기 때문에 기존의 데이터베이스가 없어도, 정해진 룰이 없어도 악성코드를 찾아내고 진단할 수 있습니다. 머신러닝 기반의 보안 솔루션인 다크트레이스는 최근 유행하는 암호화폐 채굴 악성코드를 이런 방식으로 찾아서 잡아낼 수 있다는 장점이 있습니다.


아무리, 암호화폐 채굴 프로그램의 위장 능력이 우수하더라도 네트워크를 통해서 발생되는 이상 데이터 송수신을 숨길 수는 없습니다. 다크트레이스는 이런 점에서 탁월한 능력을 발휘합니다.


마치, 사람의 몸에 이상이 생기면 발생하는 몸의 면역시스템과 같은 매커니즘으로 동작하는 다크트레이스는 이러한 비정상행위 색출에 가장 적합하다고 할 수 있습니다.



최근 사이버 위협은 시스템 자체가 아니라 시스템 운영자 및 사용자를 대상으로 공격이 진행되고 있습니다. 기 구축된 보안제품의 취약점, 한계점을 이용한 공격사례가 다수 발생되고 있습니다.


또한, 대형 보안사고의 경우에는 내부 사용자 혹은 운영자의 악의적인 협조를 동반하며, 지속적으로 고도화된 신규 및 변종 랜섬웨어 공격이 증가하고 있으며 내부 확산 가능성이 큽니다.


기존 사이버보안 대응체계의 한계는 명확합니다.

  • 기 도입된 경계보안 제품들은 외부에서 내부의 공격방어에만 초점을 두고 있으므로 시그니처 및 룰 및 시나리오 기반에 공격을 차단하고 있습니다.

  • 샌드박스 기반의 APT 대응 솔루션도 파일 사전 실행을 통한 악성코드의 탐지 자체에만 초점을 두고 있습니다.

  • 모든 내부 사용자 및 네트워크, 호스트의 비정상적인 이상행위를 감지할 수 있는 사이버 대응체계가 없습니다.

  • 고도화, 자동화, 지능화 된 사이버위협에 대응할 수 있는 네트워크 인프라 이상 행위를 식별하고 관리할 필요가 있습니다.




다크트레이스 VS 기존 보안 솔루션


 구분

 다크트레이스

 기존 솔루션

 탐지/분석 행위

 트래픽 메타데이터를 기반으로 한 머신러닝

 패턴, 시그니처, 룰, 샌드박스 등

 탐지/분석 범위

 모든 비정상적 이상행위

 (Device, Network, User)

 악성코드 및 알려진 외부로부터 공격

 솔루션 적용 범위

 네트워크 전 구간 적용 가능

 (망분리 환경 내부망 및 ICS산업제어망도 적용 가능)

 외부망 및 경계구간



다크트레이스 구성 예시





다크트레이스 솔루션 제품 문의 및 도입 견적 문의는 아래의 아이마켓코리아 담당자에게 연락주시기 바랍니다.




(주) 아이마켓코리아
김 경 일

과장 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

북한, 가상화폐 거래소를 해킹하여 수백억원 탈취

작성자 : DSSa / 날짜 : 2018.02.09 14:05 / 카테고리 : 차세대 위협감지 - 다크트레이스


북한에서 가상화폐 수백억원을 탈취하여 이득을 취하고 있는 것으로 알려져서 큰 파장이 일고 있습니다. 국가정보원에서는 북한이 가상화폐 탈취를 위해서 해킹 공격을 시도하고 있으며, 이미 수백억원의 가상화폐를 탈취하였다고 밝혔습니다.


북한이 가상화폐 거래소를 노리는 수법도 또한 APT 공격의 연장입니다. 가상화폐 거래소는 수시로 신입작원을 채용하고 있습니다. 가상화폐 인사담당자 앞으로 악성코드가 담긴 메일을 발송하여 내부로 침투하는 방법을 택하고 있으며, 거래소를 사칭한 피싱사이트 및 가짜 SNS를 통해서 거래소 이용자들의 계정 정보를 지속적으로 탈취하여 아이디에 있는 가상화폐를 탈취하고 있습니다.


인사담당자를 대상으로 스피어피싱 메일을 통해서 APT 공격을 하는 행위는 예전부터 해커들이 즐겨사용해온 해킹 방법이며 다양한 루트로 들어오며, 헛점이 생기면 그에 대한 피해는 어떻게 나타날 수 있는지 가능성을 충분히 검토하고 체계적으로 대책을 세우는 것이 중요합니다.



북한 업체에서는 지속적으로 사이버 공격을 진행하면서 국내 백신 프로그램들을 무력화 시키는 방법으로 성공률을 높이고 있는 것으로 전해지고 있습니다. 일반 AV(안티바이러스) 제품으로 가상화폐 거래소에 대한 모든 위협을 막을 수 없습니다.


내부 컴플라이언스, 기술적인 보안까지 전부 점검해야 합니다. 취약점을 찾아서 보안 장치를 마련해놓고 이상 징후 모니터링 및 대응 시스템을 구비할 필요가 있습니다. 네트워크로 들어오는 모든 데이터를 감시하고 방어해야 하며, 내부적으로는 일반적인 패턴에서 벗어나는 움직임을 빠르게 잡아야 합니다.


최근, 악성코드는 변종과 신종으로 나날이 발전하고 있습니다. 기존의 시그니처 및 룰 기반의 보안 솔루션으로는 선제 대응이 불가능하며, 안티바이러스 제품으로는 안심할 수 없습니다. 선제 대응을 하기 위해서는 머신러닝을 통해 업데이트 없이도 악성코드를 전부 찾을 수 있어야 하며, 24/7 대응이 가능해야 합니다.



아이마켓코리아에서 유통하는 다크트레이스 차세대 보안 솔루션은 기존의 안티바이러스 제품과 보안 관제 솔루션의 취약점을 전부 보완한 제품입니다. 다크트레이스는 도입하면 초기에 POV를 통해서 해당 기업의 정상적인 흐름과 패턴을 인공지능이 학습합니다. 머신러닝과 고급 수학기법으로 정상 패턴과 비정상 패턴의 확률을 계산합니다.



이를 통해서 항상 정상 패턴의 흐름을 유지하다가 비정상 패턴이 감지되면 다크트레이스는 이를 즉각 담당자에게 보고하고 안티제나 솔루션을 통해서 가장 최적의 방법으로 대응하게 됩니다.


다크트레이스의 자가 학습, 자율 방어

다크트레이스가 잠재적 위협을 확인하게 되는 순간에 안티제나는 미확인 행위들의 심각성 정도에 따라서 다양한 조치를 스스로 진행합니다.


- 특정 위협과 그와 관련돤 행위들의 대한 차단 혹은 지연

- 사용자, 시스템, 또는 장치들의 격리 또는 부분 격리

- 추가적인 조사 또는 추적을 위해서 이메일과 같은 매체에 특정 컨텐츠 표기



이는, 마치 인간의 면역시스템이 바이러스가 들어오면 이를 감지하고 항체를 생성하여 바이러스를 물리치는 것과 같다고 볼 수 있습니다.


다크트레이스 솔루션의 가장 중요한 부분 중 하나는 바로 사람의 개입의 적으며, 대부분을 인공지능이 처리하기 때문에 사람이 실수하여 놓칠 수 있는 리스크를 최소화 하였다는 점입니다.


물론, 다크트레이스 도입을 통해서 인건비를 절감할 수 있으며, 기존 보안 인력외에 새로운 인력을 뽑아 교육하는 문제점도 해결할 수 있습니다. 다크트레이스는 기존의 보안인력들이 운용을 위해서 특수한 지식을 요구하지 않습니다.



다크트레이스의 위협 시각화 도구는 3D를 통해서 데이터와 네트워크의 흐름을 한눈에 보여줄 수 있습니다. 이를 통해서 한눈에 시스템의 이상을 파악하고 대응할 수 있습니다.


다크트레이스의 독특한 기능

- 모든 범위의 위협에 대항하여 직접적인 예방접종 효과

- 실시간 방지/지연/방해 기능을 제공 (Preventing / Slowing / Disrupting)

- 자기개선 (Self-improving)

- 위협확산 사전 차단 기능


가상화폐 거래소와 같은 24/7 서비스가 되어야 하며, 금전적인 거래가 오가기 때문에 최상의 보안을 유지해야 한다면 머신러닝 기반으로 탐지 부터 대응까지 가능한 다크트레이스 솔루션은 필수 입니다.



(주) 아이마켓코리아
김 경 일

과장 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

다크트레이스 인공지능 보안 시스템 도입 사례 - KB생명보험

작성자 : DSSa / 날짜 : 2018.01.19 19:48 / 카테고리 : 차세대 위협감지 - 다크트레이스


사이버 위협은 회사의 자산을 탈취할 뿐만 아니라 개인정보 보안사고로 인한 소송에 휘말려 기업을 큰 위기로 밀어 넣을 수 있습니다. 갈수록 고도화되는 사이버 공격에 대비하여 금융권, 보험 업계에서 다크트레이스 솔루션을 도입하여 긍정적인 효과를 거둔 사례를 소개해 드립니다.


KB생명보험은 다크트레이스 도입을 통해서, 사용자 이상행위를 시각화해 탐지능력을 개선하고 정확한 위협탐지로 보안 업무의 효율화를 이루었습니다.


KB생명보험은 급격하게 변화하는 현대사회의 요구에 맞춘 보험 서비스를 개발하기 위해 노력하였으며, 4차 산업혁명 시대를 대비하기 위한 디지털 트랜스포메이션을 준비하고 있습니다. 그 일환으로 인공지능 기술을 이용하여 디지털 역량을 강화하고 비즈니스 경쟁력을 높일 수 있는 방안을 모색하고 있습니다.




이를, 보안시스템에도 적용하였습니다. 지능적인 사이버 공격에 효과적으로 대응하기 위해서는 인공지능 기반의 새로운 보안 기술이 필요하다고 판단했기 때문입니다. 생명보험사는 고객 서비스 기간이 매우 길기 때문에 IT 복잡도가 매우 높은 편이고, 핀테크와 같은 새로운 서비스 환경 등장에 따른 대응도 필요한 시기였습니다.


이처럼 보안요구 사항이 복잡한 상황에서도 진화하는 공격으로 부터 비즈니스를 효과적으로 보호할 수 있는 기술이 필요했습니다.


다크트레이스 엔터프라이즈 면역시스템은 비지도학습 기법을 사용해 기존에 탐지하지 못했던 위협을 탐지하고 대응할 수 있었습니다. 또한, 보안 이벤트 뿐 아니라 네트워크 장애까지 탐지할 수 있어 네트워크 운영이 전체적으로 개선되는 효과를 누릴 수 있었다고, KB생명보험 정보보호부 책임은 말했습니다.


KB생명보험은 이미 보안정책을 끊임 없이 개선해 온 상태이기 때문에 많은 보안 솔루션이 갖추어진 상태였습니다. 하지만 최근 공격은 기 구축된 보안 솔루션을 우회하는 공격으로 진행되기에 새로운 방어 방법이 필요하였고 한정된 인력으로 운영하기에는 인공지능 기반의 보안 솔루션인 다크트레이스가 유리하다고 판단하였던 것입니다.


KB생명보험은 2016년도 부터 인공지능을 보안에 접목시키는 방안을 검토하였습니다. 기존 보안 시스템이 인지하지 못하는 위협징후를 찾아내기 위해서는 전문가의 통찰력을 자동화하는 인공지능 기술이 효과적이라고 판단하였습니다.



KB생명보험은 인공지능 기반 보안제품을 다양하게 검토하였지만, 그 최적으로는 사람의 개입 없이 스스로 학습하겨 위협을 탐지하고 정확성을 높여나가는 비지도기반 학습 기반 제품인 다크트레이스가 유리하다고 판단하여 도입하였습니다.



다크트레이스는 기존의 알려지지 않고, 경험한 적이 없는 위협도 대응할 수 있는 획기적인 보안 솔루션이였습니다. 과도한 탐지를 방지하여 관리 업무가 증가하지 않도록 해주며, 24시간 265일 중단 없이 분석이 가능하고, 전체 패킷을 분석하고 모든 IP통신장치에 대한 행위분석을 자동화하는 제품입니다.


다크트레이스 엔터프라이즈 면역 시스템은 패킷 전수 조사를 통해 네트워크, 사용자, 디바이스의 다양한 행위를 자동으로 학습하고, 위협에 대한 개별 요소의 종합적인 연관상태를 파악하여 비정상행위를 찾아내는 탐지기법을 가지고 있습니다.


베이지안 순환 확률 모형과 순차적 몬테카를로, LASSO 모델 등을 통해서 네트워크를 사용하는 사용자와 디바이스 및 행위에 대한 수학적인 확률을 계산하고 지속적으로 정상 상태를 확인하며, 위협을 시각화해 한눈에 보기 쉽게 표현해줍니다.




다른 인공지능을 기반으로 한 패킷/로그 행위 분석 솔루션들은 다크트레이스와 다르게 과다하게 이벤트를 발생시키거나 완전한 비지도 학습이 불가능하고 외부 위협 인텔리전스와 연계해야 하는 등 KB생명보험의 요구와 맞지 않았습니다.




다크트레이스 엔터프라이즈 면역시스템은 비지도학습 기법을 사용하여 기존에 탐지하지 못했던 위협을 탐지하고 대응할 수 있었습니다. 또한, 보안 이벤트 뿐 아니라 네트워크 장애까지 탐지할 수 있어 네트워크 운영이 전체적으로 개선되는 효과를 누릴 수 있었습니다.


KB생명보험은 다크트레이스 도입후에 기대했던 것 이상의 효과를 볼 수 있었습니다. 데이터 흐름과 사용자 이상행위를 시각화하여 탐지 능력을 개선할 수 있었으며, 네트워크 통신을 재연하여 위협을 분석할 수 있었습니다. 또한, 시간이 지나면서 불필요한 위협 이벤트가 감소하여 보안 업무를 줄일 수 있었습니다.


도입 초기에는 기존에 탐지되지 않던 위협이 드러나면서 보안 업무가 일시적으로 늘어났습니다. 그러나, 다크트레이스는 실제 위협에 대해서만 대응할 수 있도록 하기 때문에 보안 업무 효율성이 높아졌다고 할 수 있습니다. 단순하고 직관적인 관리 화면을 이용해 위협이 탐지된 시스템의 행위를 정확하게 분석하고 판단하며 처리할 수 있게 도와줍니다.



KB생명보험은 망분리 환경에서 내부망의 보호를 위해서 다크트레이스를 도입했습니다. 도입 후에 다크트레이스에서 생성되는 위협 탐지 보고서를 활용하여 임직원 보안인식 교육을 진행했습니다. 위협의 양상과 이를 발생시키는 보안 위반 행위를 구체적으로 알려줘서 임직원의 보안인식 제고 효과도 누릴 수 있었습니다.


인공지능 기반 보안시스템인 다크트레이스는 보안 정책을 위반한 직원을 처벌하기 위한 것이 아니고, 직원이 인지하지 못한채 공격에 이용당하지 않도록 하는 것이 중요 활용 포인트라고 할 수 있습니다. 인공지능 보안 시스템은 비즈니스 뿐만 아니라 임직원도 보호해주는 시스템이라는 사실을 알려주어 임직원으 보안인식을 개선시키는데도 효과적이라고 KB생명보험 보안 담당자는 평가 했습니다.


보이지 않던 위협을 가시화하여 대응할 수 있게 하는 다크트레이스의 도입효과는 분명합니다. 알지 못했던 위협을 찾아내고 임직원으로 보안 습관을 개선시키며, 보안 수준을 크게 높일 수 있게 되었습니다.


"오랜기간 검증하고 실제 효과를 확인한 만큼 기대 이상의 효과를 누릴 수 있게 되었다. 향후 다크트레이스 인공지능 시스템을 엔드포인트 이벤트까지 연계해 전사 관점의 위협 관리 시스템을 완성해 나갈 것"

- KB생명보험 강진희 책임


또한, 강책임은 "인공지능 기반 보안시스템이 만능은 아니며, 모든 기업이 이 시스템이 적합한 것도 아니다. 변화가 많은 환경에서는 시스템이 정확하게 상태를 학습할 수 없기 때문에 인공지능 시스템 도입효과가 떨어진다. 또한, 비즈니스를 정확하게 이해하고 있지 않으면, 인공지능 시스템이 탐지한 위협에 제대로 대응할 수 없다. 보안 조직의 비즈니스 이해도를 높이는 것도 중요하다" 라고 조언하였습니다.





다크트레이스 솔루션 도입 및 구매 문의는 아이마켓코리아 보안솔루션 담당자에게 연락 주시기 바랍니다.


(주) 아이마켓코리아
김 경 일

과장 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

Blog Information

아이마켓코리아

보안솔루션, HSM, 인증보안, DLP 솔루션, 암호화 장비, 기업서버 판매, 보메트릭

공지사항

블로그 검색

Calendar

«   2019/11   »
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30

방문자 통계

  • 전체 : 378,458
  • 오늘 : 113
  • 어제 : 393
(주) 아이마켓코리아
주소 : 서울시 강남구 삼성로 512 삼성동빌딩 16층
대표이사 : 남인봉 | 사업자등록번호 : 104-81-58502
TEL : 02-3708-8254 | Mail : raykim7@imarketkorea.com
Copyright © imarketkorea.Co,Ltd All Rights Reserved.