구글 크롬 제로데이(zeroday) 취약점, 다크트레이스로 탐지 / 방어

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019.03.30 18:50 / 카테고리 : 차세대 위협감지 - 다크트레이스



구글에서 올해 3월 초에 패치한 웹브라우저 크롬에서 제로데이(Zeroday) 취약점이 발견되어 사이버 공격자에 의해서 악용이 되고 있습니다. 악성코드의 이름은 CVE-2019-5786으로 높은 위험성을 가지고 있습니다. 이는 대중적으로 많이 사용되고 있는 API에서 발생되기에 위험성이 높습니다.


웹 앱들이 컴퓨터에 저장된 파일을 읽을 수 있는 웹브라우저용 API인 파일리더에서 발견된 UaF 취약점입니다. 구글에서는 해당 취약점에 대한 익스플로잇이 이미 존재하고 있고 해커들이 이미 악용하고 있다고 공식적으로 발표하였으며, 크롬 브라우저는 최대한 빠르게 최신 버전으로 업데이트 할 것을 권고하였습니다. 



해당 취약점을 성공적으로 익스플로잇하면, 공격자가 임의코드를 브라우저 컨텍스트 안에서 실행할 수 있게 되며, 애플리케이션의 권한에 따라서 달라지는 점이 있지만, 공격자가 프로그램 설치, 데이터 Read & Write 권한, Admin 계정의 생성까지도 가능합니다. 


엣지스폿(EdgeSpot)이라는 익스플로잇 탐지 서비스는 크롬의 제로데이 취약점을 익스플로잇 하기 위한 PDF 파일들이 사이버 공간에서 돌아다니고 있다는 것을 발견하였습니다. PDF 문서 파일의 뷰어 프로그램 또는 API 에서 발견된 취약점이기 때문에 Adobe Reader를 제공하는 Adobe에서도 관련 보안패치를 진행하기도 하였습니다. 

최근에는, 보안에 취약한 윈도우즈 익스플로러(Windows Explorer) 대신에 확장성도 뛰어나고 반응형 웹에 강력한 성능을 보이는 구글 크롬(Google Chrome) 브라우저를 기업에서도 많이 사용하고 있습니다.


뛰어난 보안성을 자랑한다고 보였던 구글 크롬 브라우저에서도 익스플로잇, 제로데이 취약점이 나왔으며, 기업에서 자주 사용하는 PDF Reader 기능을 통해서 데이터가 탈취 당하거나, 파일 접근, 권한 탈취 등의 문제가 생기고 있습니다.

이렇게 새롭게 변조되는 악성코드과 공격 기법은 갈수록 다양해지며, 공격 루트도 웹브라우저 플러그인 등으로 가변적입니다. 기업에서는 실시간으로 감시하고 즉각적인 대응이 가능한 머신러닝, 인공지능 기반 보안 솔루션을 통해서 24/7 대응이 가능하여야 합니다. 


기존의 AV, 시그니처 기반의 보안 솔루션은 현재까지 위협 방어에 대한 접근 방법의 한계성을 드러냅니다. 아이마켓코리아에서 공급하는 다크트레이스 솔루션은 기존 방식의 AV(안티바이러스)에서는 탐지가 불가능한 변종/신종 영역까지 탐지가 가능합니다. 



기존 방식의 위협 방어에 대한 문제점


1. 경계 보안의 강화를 통한 방어 체계의 한계성

많은 기업들과 기관들이 인터넷과 인트라넷, 서버팜의 경계구간의 강화를 통한 위협 대응을 수행하고 있지만, 계속 진화하는 공격 기법에 대응하기가 어렵습니다.


2. 행위의 대한 정상 및 합법여부 정의의 어려움

정상 행위 여부를 규정하기 Rule과 Signature부터 벗어난 다양한 행위들이 존재하고 있습니다.


3. 시스템과 기술을 뛰어 넘는 새로운 위협의 등장

악성코드 및 봇넷, 사이버 범죄 등의 종착지는 사람입니다. 인적 요소에 의한 내부정보탈취, 시스템 파괴 및 다양한 위협의 발생빈도가 지속적으로 증가하고 있습니다. 



Rule, Signature, SandBox 등 알려지고 공유된 인텔리전스 기반을 보완할 새로운 접근방법이 필요합니다.


정책과 시그니처 룰을 기반으로 한 기존의 심층방어체계에는 한계가 있습니다. 새로운 공격과 위협에 대해서 방어수단 확보까지의 시간이 많이 걸리며, 이때 피해가 급증하게 됩니다. 







다크트레이스(DarkTrace)란?

다크트레이스는 차세대 엔터프라이즈 면역 시스템(DarkTrace – Enterprise Immune System)으로 정상 행위 자동 학습을 통해서 비정상 행위를 탐지합니다. 



▣ 네트워크, 사용자, 디바이스의 다양한 행위에 대한 자동학습

위협에 대한 개별요소 들의 종합적인 연관상태를 분석하고 학습하여 정상상태와 비정상적인 상태를 식별한 후 규칙이나 시그니처를 기반으로 한 전통적인 시스템이 탐지못한 영역을 식별합니다.


▣ 네트워크, 사용자, 디바이스에 대한 수학적 확률 엔진을 기반으로 비정상적인 행위를 순환적으로 확률 추론

베이지안 순환 확률 모형, 순차적 몬테카를로, LASSO 모델 등을 통해서 고객 네트워크를 사용하는 사용자, 디바이스 및 행위에 대한 수학적 확률을 계산하여 지속적으로 정상 상태를 확인하고 계산합니다. 



다크트레이스 면역 시스템은 인체의 면역기능을 응용한 네트워크, 사용자, 디바이스 기반 정상행위 학습기반의 건강한 면역체계 구축하는 보안 솔루션입니다.






다크트레이스는 비지도 학습 기반(Unsupervised Learning)의 머신러닝 기법을 채택하고 있습니다. 이는, 사람의 개입을 최소화하고 기존 보안 솔루션의 한계점으로 대두되고 있는 시그니처와 룰 기반의 접근 방법의 한계점을 뛰어 넘는 방식으로 탐지합니다. 


1. 사고 - 과거의 정보를 학습하여 판단에 필요한 인사이트를 제시 합니다.

2. 실시간 - 시스템의 현재의 시점을 분석합니다.

3. 자가 개선 - 새롭게 학습되는 정보를 통해서 스스로 개선해 나갑니다. 



지도 학습 VS 지도 학습


 구분

 Unsupervised Learning 비지도학습

 Supervised Learning 지도학습

 정의1. 학습 시 출력 값에 대한 정보 없이(교사 없이) 진행되는 학습
2. 군집화, 밀도 추정, 차원축소, 특징 추출 등이 필요한 문제에 적합

1. 출력 결과 값을 미리 알려주는 교사(supervised)가 존재하는 학습

2. 주로 인식, 분류, 진단, 예측 등의 문제 해결에 적합

 사례

동물과 관련된 데이터가 입력되면 수집된 데이터로부터 특징을 추출, 군집화, 추정을 통해 서로 다른 종으로 구분하여 분류

 파충류, 포유류 등 종에 대한 분류지표와 기준을 이미 입력시킨 후 컴퓨터로 하여금 어떤 종이 파충류인지 또는 포유류인지 분류



다크트레이스 솔루션은 사용자, 디바이스, 네트워크 행위에 대해서 학습, 추론, 시각화를 할 수 있는 종합 면역체계 입니다.




다크트레이스 VS 다른 보안 솔루션


구분
DARKTRACE
APT solution
Network forensic &
Log analysis
위협 영역내부+외부외부내부+외부
위협의 종류모든 이상 행위악성코드알려진 위협
운영 노력낮음높음높음
탐지 기반 기술자동화된 머신러닝가상 샌드박스사람의 지식 및 룰
상세 분석딥 패킷 분석코드 리버싱딥 패킷 분석,SQL
데이터 흐름 가시성3D기반의 100% 가시성없슴제한적
실시간 탐지실시간수분 ~ 수시간수시간 ~ 수일
도입 및 운영 비용





매일 급변하는 보안취약점을 방어하기 위한 인공지능, 머신러닝 기반 엔드포인트 보안 솔루션인 다크트레이스에 대한 도입 / 견적 문의는 아래의 아이마켓코리아 담당자에게 연락주시기 바랍니다.


(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

사이버 위협 탐지 다크트레이스(DarkTrace) 특장점, 활용 사례 소개

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019.02.26 20:30 / 카테고리 : 차세대 위협감지 - 다크트레이스


다크트레이스(Darktrace) 소개

다크트레이스는 실시간 위협 탐지 및 자율 대응이 가능한 머신러닝, 인공지능 기반의 사이버 위협 탐지 차단 보안 솔루션입니다.



머신 러닝 및 AI, 수학적 모델링 기법을 기반으로 실시간 위협을 탐지하기에 규칙이나 사용자 인증이 필요없습니다.




인간의 면역 체계는 놀랍도록 복잡하며, 끊임없이 돌연변이를 일으키는 바이러스 DNA와 같은 새로운 형태의 위협에 지속적으로 대응합니다. 신체의 정상 상태를 학습하고 정상 패턴에 맞지 않는 이상 요소를 식별해 무력화합니다. 


Darktrace는 이와 동일한 원리를 엔터프라이즈 및 산업용 환경에 적용합니다. 머신러닝과 AI 알고리즘을 기반으로 한 Enterprise Immune System 기술은 네트워크 상의 모든 디바이스 및 사용자 고유의 '행위 패턴'을 반복적으로 파악하고, 다른 방식으로는 탐지하기 어려운 새로운 위협을 식별하기 위해 이러한 세부 정보의 상관성을 분석합니다. 


인간의 면역 체계와 마찬가지로 Enterprise Immune System은 위협이나 활동 패턴의 잠재적 위협 가능성을 파악하기 위해 이를 사전에 경험할 필요가 없습니다. 사전 지식이나 사용자 인증 없이 자동으로 동작하며, 네트워크 내에서 탐지하기 어려운 은밀한 공격을 실시간으로 탐지하고 차단합니다.









Darktrace Threat Visualizer

Threat Visualizer는 Darktrace의 실시간 3D 위협 알림 인터페이스입니다. Threat Visualizer는 위협 알림을 표시하고 네트워크의 일상적인 활동에 대한 개요를 시각적으로 제공합니다. 이는 사용하기 쉬울 뿐만 아니라, 보안 전문가와 회사 경영진 모두가 이용할 수 있습니다. 




Darktrace Threat Visualizer Demo Video



Threat Visualizer 사용자 인터페이스(UI)는 최첨단 시각화 기술을 이용해 분석팀에 중요 사고 및 위협을 자동으로 알려, 분석팀이 사전대응적으로 인프라의 특정 영역을 조사할 수 있도록 합니다.


  • 전체 네트워크 구성을 3D로 시각화 

  • 엔터프라이즈 위협 수준에 대한 실시간 글로벌 개요

  • 이상 징후를 지능적으로 클러스터링

  • 전체 스펙트럼 보기 – 상위 네트워크 구성, 특정 클러스터, 서브넷 및 호스트 이벤트

  • 검색 가능한 로그 및 이벤트

  • 과거 데이터 재생

  • 디바이스 및 외부 IP의 전반적인 행위에 대한 간략한 요약 정보

  • 경영진 및 보안 분석 팀을 위한 설계


100% 가시성 

시각화 기술은 경영진에게 회사 네트워크의 전체적인 개요를 제공하여, 기술 전문가와 경영진의 효율적인 커뮤니케이션을 통한 의사 결정이 가능합니다. 


경영진은 네트워크 환경에 대한 인식과 이해도를 높이고 경영상의 의사결정 능력을 개선해, 보안 문제를 수월하게 감독할 수 있습니다.




Darktrace의 특징 - 인공지능 및 머신러닝

인공지능(AI) 및 머신 러닝은 사이버 보안 업계에 막대한 가능성을 제시하고 있습니다. 오늘날 새로운 머신 러닝 방식은 처리할 수 있는 컴퓨팅 기반 분석의 양이 광범위하기 때문에, 위협 탐지의 정확성을 대폭 개선하고 네트워크 가시성을 향상시킬 수 있습니다. 또한 새로운 자율 대응의 시대를 예고합니다. 즉 컴퓨터 시스템은 실시간으로 위협을 차단하는 방식과 시점을 효율적으로 파악할 수 있습니다. 



Darktrace는 처음부터 과거 공격과 관련된 데이터로 미래에 일어날 공격을 예측할 수 있다는 가정을 받아들이지 않았습니다. 그 대신 Darktrace의 사이버 AI 플랫폼은 자율 학습 (Unsupervised) 방식의 머신 러닝을 사용해 확장 가능한 네트워크 데이터를 분석하고, 확인된 증거를 바탕으로 확률에 기반해 수십 억 번의 계산을 수행합니다. 이는 과거 위협에 대한 지식에 의존하는 대신, 데이터를 독립적으로 분류하고 눈에 띄는 패턴을 탐지합니다. 


Darktrace가 자랑하는 세계 최고의 사이버 AI는 전세계 수 천 개 조직이 모든 종류의 위협을 식별하고 이에 대응할 수 있도록 하며, '정상' 행위에서 벗어나 주의가 필요한 비정상 상태를 강조합니다. 이는 오늘날 기업에서 사용되는 것 중 가장 정확하고 확장성이 뛰어나며 가장 잘 입증된 인공지능 플랫폼으로 꼽히고 있습니다.



Darktrace의 특징 - 세계적 수준의 전문가 : 영국 케임브리지 대학 출신의 머신 러닝 전문가

Darktrace의 소프트웨어 엔지니어 전문가는 수학 및 머신 러닝 분야의 전문 지식을 보유하고 있습니다. Darktrace 전문가들은 베이지언 순환 확률(RBE) 모형을 선구적으로 활용해, 뛰어난 Enterprise Immune System 기술과 사이버 위협을 식별하는 확률적 접근 방식의 기초를 마련했습니다. 


베이지언 수학 모형은 대량의 대규모 데이터 세트에서 추출된 의미와, 더 많은 정보가 관찰되는 경우에 업데이트 되어야 하는 특정 이벤트에 대한 확률을 고려합니다. RBE 모형을 활용하면 슈퍼 컴퓨터 없이도 이러한 접근 방식을 적용할 수 있습니다. 


영국 케임브리지의 Darktrace 연구개발 팀은 지속적으로 사이버 보안 소프트웨어 엔지니어링 및 AI 분야의 가능성을 확장하는 새로운 혁신을 만들어가고 있습니다.








다크트레이스 활용 사례



Darktrace는 IoT 해킹에서 범죄 활동, 내부자 위협 또는 잠재적 취약점에 이르기까지, 다양한 실시간 위협과 보안 침해 및 취약점을 탐지할 수 있습니다. 


1. 랜섬웨어 탐지 사례

2016년에 일어난 랜섬웨어 공격은 6억 3,800만 건에 달했습니다. 이는 2015년의 4백만 건에 비해 167배 증가한 수치로, 대부분의 공격이 기존 보안 메커니즘을 우회할 수 있는 피싱 공격이었습니다. 서비스형 랜섬웨어(RaaS)의 부상으로 진입 장벽이 낮아지면서, 그 어느 때보다도 공격자들이 손쉽게 액세스하고 랜섬웨어를 배포할 수 있게 되었습니다. 


악성코드는 일단 엔터프라이즈 내에 들어오면 데이터를 암호화하고 다른 디바이스나 공유 드라이브로 확산될 방법을 찾습니다. 공격이 확산되는 속도가 빠르고 그로 인해 유발될 수 있는 피해 또한 심각하기 때문에 공격자는 랜섬웨어를 매력적인 선택지로 여기게 됩니다. 


Darktrace의 Enterprise Immune System은 각 업계 전반에서 새로운 랜섬웨어 공격을 탐지하고 차단할 수 있다는 사실이 입증되었습니다. Enterprise Immune System은 머신 러닝과 AI 알고리즘을 사용해 랜섬웨어와 관련한 다양한 이상징후를 식별할 수 있으며, 취약 지표를 고려해 전반적인 위협 수준을 명시적으로 나타낼 수 있습니다. 


예를 들어, Darktrace가 워너크라이(WannaCry) 악성코드를 식별할 수 있었던 것은 디바이스가 파일 액세스 후 암호화를 시도하면서 위험에 노출된 다른 디바이스를 내부에서 검사하는 행위가 매우 비정상적이었기 때문입니다. 


Darktrace는 랜섬웨어를 탐지하자마자, 내부 네트워크 내의 의심스러운 연결을 강제로 삭제하고 확산을 막아 실시간으로 대응했습니다. Darktrace Antigena의 완전 자율 대응 솔루션을 활용하면 보안 팀은 데이터 도난 또는 암호화 전에 필요한 조치를 취할 수 있는 골든 타임을 확보할 수 있습니다.



2. 클라우드 서버에 대한 외부 공격

Darktrace는 실수로 인터넷에 노출된 클라우드 인프라 내 서버에 대한 무차별 공격을 탐지했습니다. 클라우드와 물리적 네트워크 세그먼트 간 연결은 공격이 성공했을 경우 네트워크 전체의 보안이 침해될 수 있었다는 것을 뜻했습니다. 


그러한 활동으로 중대한 보안 위험이 초래됐을 뿐 아니라, 지속적인 연결 시도가 수없이 이루어지면서 서버에 영향을 주는 서비스 거부(DoS)가 발생할 수도 있었습니다.


Darktrace가 발견한 사항

  • 4주에 걸쳐 8천 번이 넘는 액세스 시도가 100가지 이상의 소스 주소에서 관찰 되었습니다. 
  • 이러한 주소는 단일 사용자 이름을 사용해 조직적으로 클라우드 기반 RDP 서버 액세스를 시도하고 있었습니다. 사용자 이름은 바로 “hello”였습니다. 
  • 그러한 활동은 서버에서 송수신되는 트래픽의 대부분에 해당했습니다.



3. 표적이 된 생체 인식 스캐너

다국적 제조업체에서 공격자는 생체 인식 스캐너의 보안을 침해하기 위해 알려진 취약점을 공격했습니다. 스캐너는 장비 및 산업용 플랜트에 대한 액세스를 제한하는 데 사용되었기 때문입니다. 공격자는 디바이스에 저장된 지문 데이터를 변경하기 시작했습니다. 


위협이 탐지되지 않았더라면 공격자는 자신의 지문 데이터를 데이터베이스에 추가해 산업용 플랜트에 물리적으로 액세스할 수 있었을 것입니다. 일반적인 악성코드 차단 및 사용자 인증 솔루션은 눈에 잘 띄지 않아 보안 침해로 이어지는 활동을 탐지하지 못했습니다.


Darktrace가 발견한 사항

  • Darktrace가 설치된 후 외부 컴퓨터의 의심스러운 텔넷(Telnet) 연결을 탐지했습니다.
  • 외부 컴퓨터는 기본 자격 증명을 사용해 스캐너에 액세스했고 CPU 정보 검색을 위한 루트(root) 권한을 사용했습니다. 
  • 이후 공격자는 다른 내부 시스템에 도달하기 위해 우회를 시도했습니다.
  • 추가 조사를 통해 텔넷 포트 23에서 스캐너의 가용성이 IP 데이터베이스 Shodan.io에 기록됐다는 사실이 밝혀졌습니다.



4. 보안에 취약 한 화상 회의 시스템

한 글로벌 스포츠 기업이 세계 각지에 연이어 새로운 사무소를 열고, 일상 업무를 위한 팀 간 의사소통을 원활히 하기 위해 화상 회의 장비를 도입 했습니다. 조직의 '행위 패턴'을 학습하면서 Darktrace는 네트워크 상의 한 특정 디바이스, 즉 중역 회의실에 설치된 화상 회의 시스템에서 이상 행위를 탐지했습니다. 


공격자가 무단 원격 액세스를 악용해 조직 외부로 오디오 데이터를 전송하기 시작했던 것입니다. 공격자는 비공개 회의실의 오디오 스트림을 수집해 민감한 기업 정보를 구축하기 시작했습니다. 공격자는 들키지 않고 내부에서 이동해 POS 디바이스를 찾아 추가 피해를 유발할 수도 있었습니다.


Darktrace가 발견한 사항

  • 그러한 디바이스 중 하나는 텔넷을 통해 외부로 연결하는 유일한 내부 디바이스였습니다. 
  • 비정상적으로 많은 양의 정보가 6대의 등록되지 않은 외부 컴퓨터로 업로드 되었습니다. 
  • 백도어 트로이목마가 Darktrace 설치 전에 디바이스에 업로드 되었던 것입니다. 
  • 해당 디바이스는 FTP, 텔넷 및 HTTP를 통해 의심스러운 외부 서버에 연결되었습니다.



5. 비정상적인 프라이빗 클라우드 데이터 전송

불만을 품은 직원이 퇴사 전날 Dropbox에 대량의 고객 데이터를 업로드해 훔치려 했습니다. Dropbox는 이 회사에서 널리 사용되는 앱이었기 때문에 해당 직원은 그러한 활동이 눈에 띄지 않을 거라 생각했던 것으로 보입니다. 


기존 툴은 그러한 행위를 위협적이라 인식하지 않았지만, Darktrace의 자가 학습 방식은 정상 범위에서 조금만 벗어나도 이를 정확히 탐지할 수 있었습니다. 그 결과 해당 직원이 정보를 훔치기 전 비정상적인 전송이 일어난 것을 확인했습니다.


Darktrace가 발견한 사항

  • 회사 서버에서 평소보다 훨씬 많은 17GB의 데이터를 Dropbox에 업로드했습니다.
  • 사무실 내 Dropbox 연결은 흔히 있는 일이었지만 문제가 된 서버에서는 없던 일이었습니다.
  • 해당 데이터 내에는 회사 고객의 지리적 위치 정보가 포함되어 있었습니다.




인공지능 기반 보안솔루션인 다크트레이스(Darktrace) 제품에 대한 문의나 견적은 아래의 아이마켓코리아 담당자에게 연락주시기 바랍니다.



(주) 아이마켓코리아
김 경 일

과장 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

[다크트레이스] 진화하는 갠드크랩 랜섬웨어, 인공지능 보안 솔루션으로 방어

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019.02.25 19:00 / 카테고리 : 차세대 위협감지 - 다크트레이스


갠드크랩(GandCrab) 랜섬웨어는 지난해부터 현재까지 전 세계의 PC 사용자들을 가장 많이 괴롭혀온 악성코드입니다. 진화를 많이 거치고 있는 랜섬웨어이기에, 대응이 쉽지 않고 피해도 큰 것이 특징입니다. 


갠드크랩 랜섬웨어는 공개키 방식으로 파일을 암호화는 특징이 있으며 주로 스팸메일과 익스플로잇 킷을 통해서 전파되었습니다. 파일 확장자는 [.crab]을 가지고 있습니다. 


버전 업그레이드를 통해서 꾸준히 진화하는 갠드트랩 랜섬웨어를 알아보고 대처할 수 있는 보안 솔루션에 대한 소개를 하겠습니다.


GandCrab v1

2018년 1월에 러시아 해킹 커뮤니티에서 발견되었습니다. 



GandCrab v2

2018년 3월에는 발견되었으며. 일부 내용이 변경되었지만 전체적인 동작과정은 거의 동일하였습니다. 이후에 4월에는 v2.1이 등장하였으며, 저작권 관련한 경고 문구를 삽입하여 실행을 유도하는 방법으로 사용되었습니다. 


또한, APT 기법에도 많이 활용되어 입사지원서로 위장하거나 웹사이트에 기생하는 방식으로 배포되는 등의 다양한 변종이 등장하였습니다. 


GandCrab v3

2018년 5월에는 버전 3이 등장하였으며, 이동식디스크를 통해서 유포되어 좀비PC를 양산하고 암호화폐인 Monero를 강제로 채굴하게 하는 등의 경제적 이득을 취하는 형태로 변형되었습니다. 


또한, 피고 소환장 통지서, 저작권 관련 위반 경고 관련 내용으로 위장하여 많은 클릭을 이끌어 내어 감염사례도 폭증하였습니다. 


GandCrab v4

2018년 7월에는 확장자가 [.krab]으로 변경된 변종이 등장하였으며, 암호화 알고리즘도 Salsa20으로 변경되었습니다. 이것도 입사지원서나 특정 웹사이트에 기생하는 형식, 그리고, 공정거래위원회를 사칭한 APT 공격의 형태로도 배포가 되었습니다.


GandCrab v5

2018년 9월에는 랜덤 확장자와 HTML 랜섬노트를 사용하는 버전 5가 발견되었습니다. 확장자도 5자리의 랜덤한 확장자로 변경되었으며, 안내문도 한글로 이루어져 있다는 특징이 있습니다. 


10월에는 5.05 버전으로 업데이트되어 기존의 복호화 툴로도 복구가 완전히 불가능한 신종변종이 등장하였습니다. 한 백신업체가 5버전 복호화 툴을 개발하였지만 바로 복호화가 불가능한 버전이 나온 것입니다. 



이외에도 5버전 부터 변종이 등장하면서 기존 백신, 복호화 툴로는 막을 수 없는 상황에 이르렀습니다.


이렇게 랜섬웨어와 같이 기업에 막대한 피해를 입히는 악성코드들은 지속적으로 버전업이 되거나 변종이 계속적으로 나오게 됩니다. 기존의 시그니처, 룰 기반으로 안티바이러스나 랜섬웨어 솔루션으로는 피해사례가 발생한 후에나 조치가 가능합니다.


사이버 보안에 있어서 최고의 대응은 바로 사전예방입니다. 기존에 없던 악성코드나 변종은 새로운 방식의 방법으로 접근해야 합니다. 


엔드포인트 및 네트워크 등의 지속적인 감시를 통해서 24시간 인공지능이 감시하고 분석하고 분류하는 방식의 머신러닝 기법을 통해서 안전한 방어가 가능합니다.  



Enterprise Immune System DarkTrace(기업 면역 체계 다크트레이스)

다크트레이스는 실시간으로 사어버 위협을 탐지 하고 차단할 수 있는 인공지능 기반의 머신러닝 보안 솔루션입니다. 실시간 위협 탐지 및 대응이 가능하며 머신러닝 및 AI를 기반으로 설계되었기 때문에 규직이나 사용자 인증이 필요 없습니다.




다크트레이스의 Enterprise Immune System은 사이버 보안을 위한 세계 최고의 인공지능형 머신 러닝 기술입니다. 이 새로운 기술은 정교한 사이버 위협이 퍼져 있는 보안 취약의 시대에 맞도록, 인간 면역 체계의 자가 학습 인텔리전스를 응용하여 자체적인 보안 기술을 근본적으로 변화시켰습니다.


인간의 면역 체계는 놀랍도록 복잡하며, 끊임없이 돌연변이를 일으키는 바이러스 DNA와 같은 새로운 형태의 위협에 지속적으로 대응합니다. 신체의 정상 상태를 학습하고 정상 패턴에 맞지 않는 이상 요소를 식별해 무력화합니다. 



Darktrace는 이와 동일한 원리를 엔터프라이즈 및 산업용 환경에 적용합니다. 머신 러닝과 AI 알고리즘을 기반으로 한 Enterprise Immune System 기술은 네트워크 상의 모든 디바이스 및 사용자 고유의 '행위 패턴'을 반복적으로 파악하고, 다른 방식으로는 탐지하기 어려운 새로운 위협을 식별하기 위해 이러한 세부 정보의 상관성을 분석합니다. 


인간의 면역 체계와 마찬가지로 Enterprise Immune System은 위협이나 활동 패턴의 잠재적 위협 가능성을 파악하기 위해 이를 사전에 경험할 필요가 없습니다. 사전 지식이나 사용자 인증 없이 자동으로 동작하며, 네트워크 내에서 탐지하기 어려운 은밀한 공격을 실시간으로 탐지하고 차단합니다.




다크트레이스는 다양한 시스템과의 통합이 가능하며, 예방과 대응이 가능합니다.



인공지능 및 머신 러닝을 통해서 조직의 기본 구조를 자동으로 파악합니다.

인공지능(AI) 및 머신 러닝은 사이버 보안 업계에 막대한 가능성을 제시하고 있습니다. 오늘날 새로운 머신 러닝 방식은 처리할 수 있는 컴퓨팅 기반 분석의 양이 광범위하기 때문에, 위협 탐지의 정확성을 대폭 개선하고 네트워크 가시성을 향상시킬 수 있습니다. 또한, 새로운 자율 대응의 시대를 예고합니다. 즉 컴퓨터 시스템은 실시간으로 위협을 차단하는 방식과 시점을 효율적으로 파악할 수 있습니다. 


Darktrace는 처음부터 과거 공격과 관련된 데이터로 미래에 일어날 공격을 예측할 수 있다는 가정을 받아들이지 않았습니다. 그 대신 Darktrace의 사이버 AI 플랫폼은 자율 학습 (Unsupervised) 방식의 머신 러닝을 사용해 확장 가능한 네트워크 데이터를 분석하고, 확인된 증거를 바탕으로 확률에 기반해 수십 억 번의 계산을 수행합니다. 이는 과거 위협에 대한 지식에 의존하는 대신, 데이터를 독립적으로 분류하고 눈에 띄는 패턴을 탐지합니다. 


Darktrace가 자랑하는 세계 최고의 사이버 AI는 전세계 수 천 개 조직이 모든 종류의 위협을 식별하고 이에 대응할 수 있도록 하며, '정상' 행위에서 벗어나 주의가 필요한 비정상 상태를 강조합니다. 이는 오늘날 기업에서 사용되는 것 중 가장 정확하고 확장성이 뛰어나며 가장 잘 입증된 인공지능 플랫폼으로 꼽히고 있습니다.



왜 다크트레이스(DarkTrace) 인가요?

날로 정교해지는 사이버 공격은 이제 기존 보안 솔루션으로 탐지하고 분석하는데 한계가 있습니다. 또한, 방대한 네트워크의 흐름 속에서 무엇을 보아야 하는지에 대한 어려움이 존재합니다. 다크트레이스는 머신러닝 기반의 이상행위 탐지 솔루션으로 이러한 고민을 해결해 드립니다.


다크트레이스 사이버 인텔리전스 플랫폼


다크트레이스의 주요 기능 소개

  • 대상 네트워크 환경에 대한 자동 분석 및 350가지의 학습 기준 추출

  • 스스로 머신러닝을 통해서 정상행위 모델을 수립하고 지속적으로 발전

  • 유기적인 이상행위 감지 및 250개 이상의 위협으로 자동 분류합니다.

  • 통신내역의 시계열 분석을 통해서, 보안사고 원인을 파악하고 대응하고 지원합니다.


다크트레이스 도입 효과

  • 악성으로 의심되는 행위를 자동 추출함으로서 효과적인 분석 수행 가능

  • 시그니처 기반의 보안솔루션에서 탐지불가한 이상행위에 대한 탐지가 가능

  • 머신러닝 엔진으로 자동 학습을 통한 탐지율 자동 향상

  • 다양한 네트워크 트래픽에서 의심스러운 분석대상 실시간 탐지로, 악성코드, APT 위협 대응 강화


다크트레이스 탐지 효과

  • 수상한 웹사이트에 접속 및 파일 다운로드 감시 및 차단

  • 기업용 랜섬웨어의 내부 확산 방지

  • 업로드 시간, 용량, 패턴의 변화 탐지

  • 미허용 자산의 갑작스러운 통신 감지



다크트레이스 주요 모델별 스펙




한눈에 모든 것을 파악 가능한 Darktrace Threat Visualizer

Threat Visualizer는 Darktrace의 실시간 3D 위협 알림 인터페이스입니다. Threat Visualizer는 위협 알림을 표시하고 네트워크의 일상적인 활동에 대한 개요를 시각적으로 제공합니다. 이는 사용하기 쉬울 뿐만 아니라, 보안 전문가와 회사 경영진 모두가 이용할 수 있습니다. 


Threat Visualizer 사용자 인터페이스(UI)최첨단 시각화 기술을 이용해 분석팀에 중요 사고 및 위협을 자동으로 알려, 분석팀이 사전대응적으로 인프라의 특정 영역을 조사할 수 있도록 합니다.




100% 가시성

시각화 기술은 경영진에게 회사 네트워크의 전체적인 개요를 제공하여, 기술 전문가와 경영진의 효율적인 커뮤니케이션을 통한 의사 결정이 가능합니다. 


경영진은 네트워크 환경에 대한 인식과 이해도를 높이고 경영상의 의사결정 능력을 개선해, 보안 문제를 수월하게 감독할 수 있습니다.



다크트레이스는 전세계 70개국, 3750개 레퍼런스를 보유하고 있는 검증 받은 보안 솔루션입니다.




기업의 가장 큰 위협인 랜섬웨어 예방, 다크트레이스의 네트워크 및 엔드포인트 감시 및 탐지로 안전하게 보호하시기 바랍니다. 제품 구입 문의는 아래의 아이마켓코리아 담당자에게 연락주시면 안내해드립니다.




(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

[맥스패트롤] 치명적인 MS Office 취약점, 어떻게 진단하고 예방할까요?

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019.02.25 08:00 / 카테고리 : 보안취약점 진단 - 맥스패트롤



중국의 한 보안업체에서 자체 조사한 결과, 지난해에 중국에서 가장 널러 퍼진 정보보안 취약점은 아래와 같다고 발표하였습니다. 


△CVE-2018-0802 △CVE-2018-4878 △CVE-2018-8174 △CVE-2018-8414 △CVE-2018-8120 △CVE-2018-4990 △CVE-2018-4903 △CVE-2018-4993 △CVE-2018-8440 △CVE-2018-15982



그 중에서도 크로소프트 오피스 관련 취약점인 CVE-2017-11882 은 수식 편집기 프로그램에서 출현한 또 하나의 취약점으로 가장 많이 악용된 것으로 나타났습니다.



이 공격방법은 사용자 컴퓨터를 악성코드가 들어있는 오피스 파일, 웹페이지, 스팸 메일 등을 열게하고 취약점을 촉발합니다. 이 취약점은 폰트 명칭 길이에 대해 검사를 진행하지 않기 때문에 공격자는 악의적인 폰트명을 만들어서 임의 코드를 실행 할 수 있습니다. 


또한, 이터널 블루라는 취약점에 경우에는 마이크로소프트 윈도우의 SMB 서비스를 이용한 공격방법입니다. 원격 공격자는 특제된 데이터 패킷 발송을 통해서 취약점을 촉발시키고, 이 취약점을 통해서 코드를 실행합니다. 



이 취약점은 예전에 유행하였던 워너크라이(WannaCry) 랜섬웨어를 만드는데 이용되었습니다. 이 밖에도 Satan, Lucky 랜섬웨어도 이터널 블루 취약점을 기반으로 만들어진 공격기법입니다. 위의 결과에서 보듯 취약점 관리가 기업 보안에 매우 중요함을 알 수 있습니다.







맥스패트롤(MaxPatrol)은 Agent 설치가 필요 없는 분석 방식과 시스템에 미치는 영향을 최소화하였기에 매우 가벼운 취약점 탐지 및 진단 솔루션입니다. 이 밖에도 계정관리 솔루션과 보안 이벤트 관리 시스템 등과의 유연한 연동이 가능합니다. 



또한, 침투테스트 → 감사 → 컴플라이언스 적용의 3단계 취약점 관리를 통해 CVE 기반 취약점 점검, CCE 기반 보안 규정 준수 점검까지 전부 한번에 처리가 가능합니다.


 CVE 기반 취약점 점검

 CCE 기반 보안규정 준수 점검

 침투테스트

감사

컴플라이언스 

 - 에이전트리스 블랙박스 기반 점검


 - 네트워크 취약점 스캐너 역할


 - 오픈 포트 및 웹 취약점 스캐닝


 - 서비스 및 애플리케이션 식별


 - 서비스 및 애플리케이션 취약점 스캐닝


 - 패스워드 조합 대입 테스트

 - 에이전트리스 화이트박스 기반 점검


 - 시스템 취약점 스캐너 역할


 - 대상 점검 시스템에 대한 접근 계정 및 권한 사용


 - 대상 점검 시스템에 대한 스캐닝 프로토콜 및 포트 사용


 - 소프트웨어 CVE 취약점 및 인벤토리 스캐닝 / 업데이트 체크

 - 에이전트리스 화이트박스 기반 점검


 - 시스템 보안설정 스캐너 역할


 - 대상 시스템에 대한 접근 계정 및 권한 사용


 - 대상 시스템에 대한 스캐닝 프로토콜 및 포트 사용


 - 기반시설 취약점관리 항목 및 글로벌 보안 설정 점검 항목 스캐닝


점검 기준 값의 유연한 설정 기능을 제공하기 때문에 내부 정책, 시스템 요구사항을 진단 결과 보고서를 통해 한번에 체크하고 적용할 수 있습니다. 



또한, 신속한 업데이트 제공으로 빠른 취약점 대응이 가능합니다. 





동적 스케쥴링 기능을 지원하여 스캔, 보고서 생성, 컴플라이언스 적용을 자동화 할 수 있습니다. 


  • AD에 등록된 호스트 자동으로 임포트 / 외부 데이터 임포트하여 스캔 진행

  • 보고서 생성 (스캔 후 또는 정기적)/ 스캔 결과 아카이빙

  • 취약점 삭제 모니터링/ 호스트 디스커버리/ 컴플라이언스 컨트롤(이행 점검)




커스터마이징 리포트 기능을 제공하여, 특정 커스텀 리포트를 생성하여 엑셀(EXCEL) 보고서 생성도 가능합니다. 




타사의 보안 시스템과 통합 방안을 제공하며, 기존에 구축된 다양 보안시스템과의 통합 연동을 지원합니다. 



기업의 취약점 방어는 사이버 보안에 있어서 가장 기초적이고 효과가 뛰어난 방법입니다. 취약점 사전 탐지 및 시스템 및 컴플라이언스 변경을 통해 안전한 기업 보안을 구축하는 것이 매우 중요합니다. 



맥스패트롤 솔루션을 통해서 보안취약점을 찾고 대처 할 수 있습니다. 도입 및 구매 문의는 아래의 아이마켓코리아 담당자에게 연락 주시면 친절하게 안내해 드립니다. 



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

2018년 악성코드, 랜섬웨어 등 보안 피해 증가, 사일런스 프로텍트로 예방

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2018.12.09 11:12 / 카테고리 : 사일런스 프로텍트

말도 많고 탈도 많았던 2018년, 전년대비 백도어와 랜섬웨어 등의 악성코드 탐지율이 44%, 43%가 증가하였으며, 30%에 가까운 컴퓨터들이 최소 1번의 악성 위협을 받았다고 카스퍼스키 보안 불레틴 2018에서 발표하였습니다. 



이러한 멀웨어에 대한 경각심을 더욱 높여야 한다고 보안업계 관계자들은 목소리를 높이고 있습니다. 한 보안 업체가 탐지한 악성파일들을 분석한 결과 매일 약 34만개의 새로운 악성파일을 발견하고 있으며 현재까지 약 2164만개의 악성코드를 발견하였다고 합니다. 더욱 무서운 것은 이러한 악성코드는 전부 고유한 악성코드로써 겹치는 것이 하나도 없는 전혀 다른 악성코드라는 것입니다. 


DB를 기반으로 하는 시그니처 방식의 안티바이러스 제품이나 정형화된 패턴으로 탐지하는 보안 솔루션은 이제 도움이 되지 않는다는 것을 증명하는 듯한 보고 내용입니다. 


이러한 악성 코드 중에서 3.7%가 백도어류의 악성코드였으며, 랜섬웨어는 3.5%를 차지하였습니다. 그리고 트로이목마도 새로이 많이 발견되었으며, 금융에서 많이 사용하는 뱅킹, ATM, PoS 등을 노리는 멀웨어 등이 많이 증가할 것으로 예상되고 있습니다. 


한때 유행했던 워너크라이와 같은 랜섬웨어가 전체 랜섬웨어 공격 중에서 29.3%를 차지였으며, 갠드트랩이 6.67%, 크라이아클이 4.59%로 그 뒤를 이었습니다. 



[사진 : 워너크라이 랜섬웨어]



또한, 최근에는 마이크로소프트 제품 계열을 노리는 익스플로잇 공격이 많이 나타나서 업무를 주로 하는 일반회사나 연구소, 학교 등이 많이 타겟이 되고 있습니다. 관련한 APT 공격도 증가하는 추세입니다. 


[사진 : MS IIS Exploit 공격]



현재, 많은 보안담당자들은 백신업데이트를 한다는 것은 무의미하고 비효율적이며, 이런 방식으로 모든 OS를 보호할 수 없다는 것을 잘알고 있습니다. 그렇다고 많은 통제 프로그램과 정책으로 인해 직원들의 불만도 커질 수 밖에 없습니다. 


이를 위한 개선 방안으로는 시그니처 방식에 의존하고 않고 파일의 특성을 분석하는 머신러닝 기법을 통해 악성코드의 특성과 유무를 판단하고, 윈도우/MacOS/리눅스 등의 다양한 OS를 모드 지원하는 통합 엔드포인트 구축과 동시에 보안 모니터링을 통해 즉각 대응이 가능하도록 구성되어야 합니다.




사일런스 머신러닝 기반 엔드포인트 보안 솔루션 소개

사일런스 프로텍트 엔드포인트 솔루션(Cylance Protect EndPoint)은 머신러닝 기술에 기반한 차세대 엔드포인트 보안 솔루션입니다. 



사일런스 프로텍트에 탑재된 인공지능은 파일의 헤더정보, 각종 스트링, 서명, 섹션권한, 임포트, 컴파일러 등 파일의 다양한 정보를 분석하고 머신러닝 기법을 통해 파일의 DNA를 명확하게 규정하고 악성코드여부를 빠르게 진단하고 방어/격리 할 수 있습니다.


사일런스 프로텍트의 특장점

▣ 악성코드 실행전 차단 (Malware Execution Control)

- 프로세스 신규 생성 또는 라이브러리 로딩시 해당 파일을 검사하여 악성일 경우 실행전 차단

- 기존, 신종, 변종 악성코드 (랜섬웨어 포함)의 실시간 사전 차단


▣ 메모리 공격 실시간 제어 (Memory Protection)

- 익스플로잇 방지

- 코드 인젝션 방지 (메모리 원격할딩, 매핑 등)

- 권한 상승 방지 (LASS 읽기, 제로할당 등)


▣ 스크립트/익스플로잇 실시간 제어 (Script Control)

- 악성 PowerShell/엑티브 스크립트 차단

- MS Office 문서 내 악성 VBA 매크로 차단

- File-less 기반의 공격탐지 및 차단


▣ 앱 제어 (Appliction Control)

- 실행 가능한 앱 리스트 관리

- 앱 변경 제어


▣ 디바이스 제어 (Device Control) 

- USB 저장장치 이용 로깅 및 통제

- 외부 저장장치를 통한 정보유출 방지




사일런스 프로텍트는 안티바이러스 제품과 달리, 주기적인 업데이트 관리가 필요 없으며, 업데이트 없이도 높은 탐지율을 보장합니다.



사일런트 프로텍트는 파일의 정보를 수집하고, 분석하여, 실시간으로 좋은 파일과 나쁜 파일을 필터링 할 수 있습니다. 이는 다시 머신러닝에 의해서 학습되고, 수학적모델에 적용되어 안전한 엔드포인트 환경을 구축합니다.



 AI-Based Detection & Prevention

 No 시그니처, No 휴리스틱, No 샌드박스, No 행위분석

 Yes 지도학습 기법을 활용한 머신러닝

 Context-Aware

 OS, Application, Network, File, Registry, Memory, Process와 같은 엔드포인트

 호스트 정보를 통해 다양한 Context 활용

 Light-weight 1~3% CPU / ~40MB Memory
 OS Coverage Windows, Mac, Linux (RedHat, CentOS)
 Advanced Threat Prevention

 PREdictive, PREvention, PRE-execution



사일런스 엔드포인트 프로텍트의 우수성


알려지지 않은 악성코드 탐지

머신러닝 기반으로 시그니쳐 없이 신종 악성코드를 탐지할 수 있습니다. 실례로, 워너크라이(WannaCry) 랜섬웨어와 6월 유행한 페티아(Petya) 랜섬웨어를 모두 탐지하였습니다.


빠른 처리 속도

파일당 평균 분석시간은 0.1초 이하로 실시간으로 악성여부 결정 및 차단이 가능합니다


최소 리소스 소모

파일 분석시 소모되는 메모리량은 평균 30MB, CPU량은 1% 미만 수준으로 PC, 서버 등 엔드포인트 성능에 전혀 부담을 주지 않습니다. 또한, 사용자가 전혀 인지하지 못하도록 사일런트 모드로 동작할 수 있습니다.


안정성

현재까지 어떠한 다른 엔드포인트 솔루션 에이전트와 충돌이 보고된 적이 없어 안정성이 매우 높습니다.


일일 업데이트 불필요

매일 업데이트를 해줘야 하는 시그니쳐 기반의 안티바이러스(Anti-virus)와는 다르게 연간 평균 2회만 인공지능의 성능을 업데이트하면 되므로 패치서버를 운영하는 부담이 줄어듭니다. 또한, 패치서버에 연결과어 있지 않더라도 최고의 보호상태를 계속 유지하며 USB 등을 통해 유입할 수 있는 신종악성코드를 방어할 수 있습니다. 



간편하고 강력한 인터페이스 관리 콘솔 Threat Visualization 

탐지된 위협 정보는 Cylance 관리 콘솔을 통해 시각화 하여 보여 줍니다. 수집된 각종 위협 정보와 차단 정보 및 사고분석 정보를 제공하여 전문적인 지식을 가진 보안 분석가가 아니더라도 위협을 직관적으로 인지하고 분석할 수 있게 도와주는 강력한 인터페이스 관리 콘솔을 제공합니다. 


또한, 사일런스 프로텍트 보안 솔루션은 각종 보안 관련 수상을 다수 획득한 검증 받은 엔드포인트 보안 솔루션입니다.





암호화폐 채굴 악성코드 및 랜섬웨어 탐지가 가능한 엔드포인트 보안 솔루션, 사일런스 프로텍트 서버에 대한 도입 문의 및 견적은 아래의 아이마켓코리아 담당자에게 연락주시면 친절하게 상담해드립니다.

※ 대량 구매 가능합니다. 



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



안티바이러스, 아이마켓코리아, 워너크라이, 갠드트랩, 익스플로잇, APT 공격, AI, Cylance, 가상화폐 채굴, 기업 보안, 랜섬웨어, 리눅스, 머신러닝, 멀웨어, 사일런스, 사화공학적 해킹, 서버 보안, 소셜엔지니어링, 스카다, 스파이웨어, 스팸서버, 시설관리, 안티바이러스, 엔드포인트 보안, 윈도우 보안, 피싱

Trackbacks 0 / Comments 0

지능형지속위협 방어를 위한 머신러닝 보안솔루션 다크트레이스

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2018.11.22 20:32 / 카테고리 : 차세대 위협감지 - 다크트레이스




지능형지속위협 방어를 위한 머신러닝 보안솔루션 다크트레이스 DARKTRACE





최근 국내에 보안 제품을 위장한 악성파일이 다수 발견되었습니다. 정부 지원을 받는 해킹 조직이 사이버 첩보 활동을 펼치는 것으로도 의심되며, 국내를 노린 APT 공격이 계속 되고 있어 큰 문제가 되고있습니다.





아이뉴스 24의 보도에 따르면, “국내 특정 보안 제품을 위장한 다수의 악성파일이 발견됐다. 정부 지원을 받는 해킹 조직이 수개월째 지능형지속위협(APT) 공격을 시도하는 것으로 보여 보안 강화가 요구된다.” 고 보도하였고, “해당 악성코드에 감염될 경우 시스템의 주요 정보와 키보드 입력 내용, 사용자 계정 등이 외부로 유출될 수 있다. 특히 이번 공격은 문서나 압축파일 뿐 아니라 '키스토어' 파일까지 수집한다. 이는 안드로이드 애플리케이션 개발과 서명에 활용되는 파일이다.”라고 언급하였습니다.





이러한 지능화된 보안제품으로 위장한 악성 파일들은 기존의 보안솔루션에서는 검열해내지 못합니다. 이러한 이유는 기존의 보안 솔루션이 시그니처 기반으로 되어, 기존에 공격당한 바이러스에 대한 정보만을 갖고, 시스템을 보안하기 떄문입니다. 이러한 문제를 해결하고, 지능화되고, 다양화되는 공격에 방어하기 위해서는 특정한 악성 코드에만 반응하는 것이 아니라 이상행위를 자동으로 적발해내는 것이 필요합니다. 이러한 자동화 시스템은 머신러닝의 개념을 도입해야합니다. 기존의 시그니처 방식과 더불어 현재 시스템의 현상을 파악하고, 이상행위를 탐지해내는 머신러닝 기술을 도입하여 방지한다면, 다양화되고 지능화된 악성 접근을 사전에 차단할 수 있습니다.





아이마켓코리아에서는 보안제품으로 위장한 악성파일과 같은 지능화된 악성 코드로부터 보호 할 수 있는 머신러닝 기반의 보안 솔루션인 다크트레이스를 제공합니다.

다크트레이스는 일반적으로 알려져 있지 않은 다양하고 지능화된 위협들에서 이상행위를 발견함과 동시에 이를 기반으로 하여 디지털 항체를 생성해냅니다.

증상 완화 조치를 취하기 위해 실시간으로 신호를 전송하여 보다 빠르게 위협에 대응합니다.





기존의 룰이나 시그니처로 보안하는 시스템이 아니기 떄문에 기존에 알려지지 않은 악성코드에도 효과적입니다. 일상적인 업무에 지장이 없고, 별도의 추가적인 서비스제공 또는 상시 관리 또한 최소화 되어 경쟁력을 갖춘 제품입니다.





지능화, 다양화된 패턴이 없는 해킹으로 인해 발생하는 피해로부터 안전하게 보호할 수 있습니다. 기존의 시그니처 보안 솔루션으로는 지능화된 악성코드로부터 보호 하는 것은 어렵습니다. 이러한 한계점은 보안체계에서 발생하는데, 기존의 보안방식은 시그니처 및 룰 및 시나리오에 기반하여 공격을 차단하는 형태를 보입니다. 또한 Sand Box 기반의 APT 대응 솔루션도 파일 사전실행을 통해 탐지 자체에만 초점을 두고 있습니다.





하지만 다크트레이스는 기존의 한계점을 극복한 보안 솔루션입니다. 비지도학습기반의 머신러닝 기법을 활용한 이상행위 탐지 솔루션으로써 인간의 면역체계와 유사한 네트워크 트래픽을 통해 단말 및 서버 등 모든 비다이스에 대한 데이터 흐름을 통해 비정상적인 행위를 판별하는 솔루션입니다.


구분

 다크트레이스

 기존 솔루션

 탐지/분석 방식

 트래픽 메타데이터를 기반으로 한 머신러닝

 Pattern, Signature, Rule, Sandbox등

 탐지/분석 범위

 모든 비정상적 이상행위

 (Device, Network, User)

 악성코드 및 알려진 외부로부터의 공격

 솔루션 적용 범위

 네트워크 전 구간 적용가능

 (망분리 환경 내부 망 및 ICS산업제어망도 적용가능)

 외부 망 및 경계구간





주요 특장점으로는 



· 대상 네트워크 환경에 대한 자동 분석 및, 350가지 학습기준 추출

· 스스로 머신러닝을 통해 정상행위 모델을 수립/지속 발전

· 유기적인 이상행위 감지 및, 250+개 위협으로 자동 분류

· 통신내역의 시계열 분석을 통한, 보안사고 원인 파악/대응 지원

 



다크트레이스를 도입하므로써 얻을수 있는 기대효과로는



· 사이버 보안 관제의 고도화 

· 네트워크상의 데이터 흐름에 대한 완벽한 가시성 확보 

· 신규위협의 탐지/분석을 위한 SIEM(Security Information & Event Management)의 가용성 강화  

· 컴플라이언스를 위한 각종 통제 정책의 유효성 검증 

 







 

 DARKTRACE 

 APT solution

 Network forensic &

 Log analysis

 협 영역

 내부+외부

 외부

 내부+외부

 위협의 종류

 모든 이상 행위

 악성코드

 알려진 위협

 운영 노력

 낮음

 높음

 높음

 탐지 기반 기술

 자동화된 머신러닝

 가상 샌드박스

 사람의 지식 및 룰

 상세 분석

 딥 패킷 분석

 코드 리버싱

 딥 패킷 분석, SQL

 데이터 흐름 가시성

 3D기반의 100% 가시성

 없음

 제한적

 실시간 탐지

 실시간

 수분 ~ 수시간

 수시간 ~ 수일

 도입 및 운영 비용

 중

 중

 상




다크트레이스를 완벽한 가시성을 위해 네트워크상의 데이터 흐름을 파악합니다. 또한 신규 위협의 탐지 및 분석을 위한 SIEM(Security Information & Event Management)의 가용성 강화되고, 컴플라이언스를 위한 각종 통제 정책의 유효성 검증까지 제공합니다.





다크트레이스는 



· 가트너 ‘Cool Vender’ 2015 선정

· 2016 Info Security의 글로벌엑설런스 어워드 ‘Best Security Company of the Year’ 수상

· 2015 세계경제포럼(다보스 포함) ‘기술 개척상(Technology Pioneer)’ 수상

· 2016 Network Product Guide의 IT World 어워드 ‘ 올해의 최고 IT 기업상’ 수상

등의 수상 이력을 갖고있습니다.

 






이러한 머신러닝 기반의 실시간 자동 분석 및 비정상활동 판별까지 가능한 보안 솔루션 다크트레이스를 통해 국내에 위협이 되고있는 사이버 공격으로부터 안전한 보안체계를 구축 하실 수 있습니다. 


자세한 사항은 아이마켓코리아 담당자에게 문의 주시기 바랍니다.



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

블록체인 보안 완벽하다더니.. 2000만 달러 피해, 보안 솔루션 탈레스HSM

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2018.11.19 10:28 / 카테고리 : nCipher HSM (Thales-HSM )


블록체인 보안 완벽하다더니.. 2000만 달러 피해, 보안 솔루션 탈레스HSM





블록체인을 무력화하는 '51% 공격'으로 올해만 2000만달러(227억원)가량 피해가 발생했습니다. 그 동안 블록체인은 보안이 완벽하다고 알려져 있던 기술이었기 때문에 이번 소식은 큰 충격을 주고 있습니다.





해커의 블록체인 무력화 '51% 공격'으로 인해 1950만달러가 탈취되었을 정도로 현재 암호화폐 보안은 매우 불안한 상황입니다. 공격을 받은 일부 거래소는 해당 코인 거래를 정지하였고 고객들의 불안함은 점점 커져갑니다.


아이마켓코리아에서 제공하는 탈레스HSM은 암호연산을 제공하는 강력한 하드웨어 암호화 모듈로써 암호화 키를 안전하게 보관할 수 있습니다. 뿐만 아니라 저장, 관리가 가능하고 다중으로 보안사항을 적용할 수 있습니다.





탈레스HSM은 미국방성기술표준(NIST)의 FIPS의 암호화 모듈에 대한 보안 요구사항 140-2에서 Level 2 & 3을 인증 받아 보안의 우수성을 입증했습니다.





탈레스HSM은 암호화 키를 물리적으로 별도의 보관소에 저장 및 생성부터 폐기까지 관리하기 때문에 더욱 안전합니다.





또한 외부뿐만 아니라 내부에서도 강력한 보안이 적용됩니다. 내부에서 생성된 키는 관리자 조차 유출할 수 없습니다. 애플리케이션이 암호화 키에 직접 접근하지 않으며, 복호화 된 키는 HSM 외부로 노출되지 않습니다.

시스템 구축 단계에서부터 망 분리, 백업 등 2중 3중보안이 적용되어 더욱 안전하게 보호할 수 있습니다. 탈레스HSM은 호스트 서버의 암호연산 부하를 경감시킬 수 있다는 장점이 있으며, 이에 따라 서버가용성을 높일 수 있습니다.





탈레스HSM를 사용해야 하는 이유는 아래와 같습니다.



· 비대칭 형 암호연산에 사용되는 개인 키를 하드웨어 보안 처리하고 안전하게 관리합니다.

· HSM에서 생성되는 키는 HSM 밖으로 복호화 된 상태로 노출되지 않습니다.

· 키 관리 매커니즘을 통해 키 생성, 사용, 백업, 파기까지 생명주기 전반에 걸쳐서 안전하고 편리하게 관리합니다.

· 디지털 키에 대한 무결성이 보장 됩니다.

· 키 관리의 어려움에 대비하여 중앙집중적인 관리를 합니다

· 내부자에 의한 키 탈취 취약점을 해결할 수 있는 관리 장치가 마련되어 있습니다.

 




탈레스HSM은 고객의 서버 환경에 따라 네트워크 접속형인 nShield Connect 제품과 서버 내장형 방식의 nShield Solo 제품군으로 나뉩니다. 




Thales nShield Connect Model (접속형)


구분

nShield Connect 500+

nShield Connect 1500+

nShield Connect 6000+

초당 RSA 

서명 건수

 RSA 1024bit 최대 500TPS

 RSA 2048bit 최대 150TPS

 RSA 4096bit 최대 65TPS

 RSA 1024bit 최대 1500TPS

 RSA 2048bit 최대 500TPS

 RSA 4096bit 최대 165TPS

 RSA 1024bit 최대 6000TPS

 RSA 2048bit 최대 3000TPS

 RSA 4096bit 최대 500TPS

지원 운영체제

 물리적: Windows, Linux, Solaris, IBM AIX, HP-UX

 가상환경: VMware, Hyper-V, AIX LPARs를 포함하는 다양한 VM 소프트웨어 벤더 지원

지원 API

 PKCS#11, JAVA(JCE), OpenSSL, Microsoft CAPI 및 CNG

 nCore(개발자용 low-level Thales 인터페이스)

확장성, 호환성 

및 업그레이드

가능성

 최대 100개의 클라이언트

 Thales nShield Solo(PCI/PCle), nShield Edge, netHSM과 호환

 소프트웨어 업그레이드 기능

통신방식

 TCP/IP 통신 기반의 Gigabit Ethernet Interface







구분

 nShield Solo 500+

 nShield Solo 6000+

초당 RSA 서명 건수

 RSA 1024bit 최대 500TPS

 RSA 2048bit 최대 150TPS

 RSA 4096bit 최대 65TPS

 RSA 1024bit 최대 6000TPS

 RSA 2048bit 최대 3000TPS

 RSA 4096bit 최대 500TPS

지원 운영체제

 Windows, Linux, Solaris, IBM AIX, HP-UX

지원 API

 PKCS#11, JAVA(JCE), OpenSSL, Microsoft CAPI 및 CNG

 nCore(개발자용 low-level Thales 인터페이스)

확장성, 호환성 및

업그레이드 가능성

 Thales nShield Connect, nShield Edge, netHSM 500및 2000과 호환

 소프트웨어 업그레이드 기능

통신방식

 PCI Express





탈레스HSM의 기대효과

· 개인정보 관련 법규 만족 및 개인정보보호 쳬계 강화

· 암호화를 통한 기밀성, 무결성, 가용성 확보를 통한 안전성 증대

· 내부 및 외부 공격에 대한 중요 데이터 유출 위험 방지

· DB 암호화를 통한 개인정보보호법 및 관련 법률의 Compliance 대응력 향상

· 고객 정보보호로 인한 고객사 이미지 제고 신뢰도 향상

· 내부직원을 통한 보안사고에 대한 대비

 



국내 최초로 하드웨어를 통한 키 관리로 완벽하게 데이터 보호할 수 있는 탈레스HSM 제품은 아래의 아이마켓코리아 담당자에게 문의 주시면 더욱 상세하게 안내 받으실 수 있습니다.




(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

Blog Information

아이마켓코리아

보안솔루션, HSM, 인증보안, DLP 솔루션, 암호화 장비, 기업서버 판매, 보메트릭, 센스톤, 다크트레이스

공지사항

블로그 검색

Calendar

«   2019/08   »
        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31

방문자 통계

  • 전체 : 361,295
  • 오늘 : 54
  • 어제 : 53
(주) 아이마켓코리아
주소 : 서울시 강남구 삼성로 512 삼성동빌딩 16층
대표이사 : 남인봉 | 사업자등록번호 : 104-81-58502
TEL : 02-3708-8254 | Mail : raykim7@imarketkorea.com
Copyright © imarketkorea.Co,Ltd All Rights Reserved.