[다크트레이스, 보메트릭] 도요타 APT 공격, 310만 개인정보 유출 사고 발생

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019.04.08 08:00 / 카테고리 : 보메트릭 암호화 솔루션


세계적인 자동차 회사인 도요타의 고객 개인정보 310만명의 개인정보가 유출되는 사고가 발생하였습니다.  도요타의 계열사인 (Toyota Motor Corporation, TMC)에 소속된 회사들의 개인정보가 유출된 것으로 보입니다. 


사건은 3월 21일 발생하였으며, 유출된 개인정보는 이름, 주소, 생년월일, 직업 등이 유출되었습니다. 다행히 지불 정보나 카드 정보를 노출되지 않았다고 전해졌습니다. 도요타 측에서는 서버에 불법적인 접근을 확인하였으나 데이터가 도난 당한 내용은 없다고 발표했습니다.

하지만, 5주 전에 호주에서도 데이터 유출사고가 있었고, 3월 19일에는 베트남에 있는 도요타 사업부에서도 개인정보 유출 사고를 겪은 바가 있습니다. 보안 전문가들은 APT 공격으로 영향을 받은 것이며, 공격 그룹은 베트남 내에 있다고 알려저 있습니다. 


해당 그룹의 이름은 APT32로, 자동차 산업을 주로 공격하는 단체로 알려져 있습니다. 


최근에 한동안 잠잠했던 개인정보 유출사고가 다시 일어나고 있습니다. APT 공격으로 시작해서 데이터 유출이라는 방식으로 많이 진행되기에 엔드포인트에 대한 방어와 데이터 암호화가 동시에 이루어져야 합니다. 


아이마켓코리아에서는 다변화하는 악성코드 및 APT 공격 등에 대응하기 위한 머신러닝 기반 탐지 / 대응이 가능한 엔터프라이즈 보안 솔루션인 다크트레이스정형데이터 뿐만 아니라 비정형데이터도 적은 리소스로 안전하게 암호화가 가능한 보메트릭 암호화 솔루션이 있습니다. 


2가지 솔루션을 병행하면 데이터 유출, 침해사고를 막을 수 있습니다. 




1. 다크트레이스(Darktrace) - Enterprise Immune System


다크트레이스는 실시간 사이버 위협 탐지 및 차단이 가능한 보안 솔루션입니다. Enterprise Immune System은 사이버 보안을 위한 세계 최고의 인공지능형 머신 러닝 기술입니다. 이 새로운 기술은 정교한 사이버 위협이 퍼져 있는 보안 취약의 시대에 맞도록, 인간 면역 체계의 자가 학습 인텔리전스를 응용하여 자체적인 보안 기술을 근본적으로 변화시켰습니다.



실시간 위협 탐지 및 자율 대응

머신 러닝 및 AI

규칙이나 사용자 인증 없음


머신 러닝과 AI 알고리즘을 기반으로 한 Enterprise Immune System 기술은 네트워크 상의 모든 디바이스 및 사용자 고유의 '행위 패턴'을 반복적으로 파악하고, 다른 방식으로는 탐지하기 어려운 새로운 위협을 식별하기 위해 이러한 세부 정보의 상관성을 분석합니다.


인간의 면역 체계와 마찬가지로 Enterprise Immune System은 위협이나 활동 패턴의 잠재적 위협 가능성을 파악하기 위해 이를 사전에 경험할 필요가 없습니다. 사전 지식이나 사용자 인증 없이 자동으로 동작하며, 네트워크 내에서 탐지하기 어려운 은밀한 공격을 실시간으로 탐지하고 차단합니다.


Enterprise Immune System: Version 3 from Darktrace on Vimeo.


Darktrace Enterprise는 Darktrace의 대표적인 AI 사이버 보안 솔루션입니다. 실시간 위협 탐지, 네트워크 시각화 및 고급 조사 기능을 단일 통합 시스템에 결합해 쉽고 빠르게 설치할 수 있습니다.


Darktrace Enterprise는 독보적인 머신 러닝 및 AI 알고리즘을 통해, 원시 네트워크 트래픽을 수동적으로 분석하여 조직 내 모든 사용자, 디바이스 및 서브넷의 다양한 '정상' 상태를 파악합니다. 


어떤 활동이 '악성'인지 아닌지를 미리 안다고 간주할 필요 없이 Darktrace Enterprise는 독립적인 학습을 통해 중대한 비정상 행위를 탐지하고, 알아채기 힘든 내부자 위협과 조용히 느리게 진행되는 공격, 그리고 랜섬웨어와 같은 자동화된 바이러스에 이르기까지 새롭게 등장하는 위협을 조직에 알립니다.



Darktrace Enterprise는 설치 시간이 매우 짧으며, 초기 배포에 걸리는 시간은 보통 최대 1시간입니다. 설치가 끝나면 즉시 Darktrace 기술이 학습을 시작해 몇 시간에서 며칠 내에 결과를 도출합니다. 시스템이 자가 학습을 통해 새로운 환경과 사용자 행위 또는 비즈니스 트렌드에 맞춰 적응하므로 수동 구성이나 조정이 필요 없습니다.


Darktrace는 사이버 보안을 위한 인공지능 분야에서 세계적 우위를 점하고 있어, 새로운 위협과 비정상적인 사이버 사고 탐지에 가장 효과적이고 검증된 솔루션을 제공하고 있습니다. Darktrace Enterprise는 위협이 나타날 때마다 이를 실시간으로 탐지해 신속히 차단하고 해결합니다.


다크트레이스의 주요 이점

1. 자가 학습

2. 새로운 정보에 맞춰서 지속적으로 조정

3. 피해 발생 전에 위협 탐지

4. 실시간 및 회귀적 위협 분석

5. 직접 설치형(on-premise) 네트워크, 가상화된 환경, 클라우드 및 SaaS 전반에서 동작

6. 한 시간 내에 설치


다크트레이스는 250개 이상의 수학적 위협 모델링 구성으로 높은 탐지율을 보입니다.



탐지 분류위협 모델 수탐지 위협 분류
Anomalous Connection171GB Outbound,Active RDP Tunnel,Active SSH Tunnel 외 16 개
Anomalous File12Incoming RAR File,Masqueraded File Transfer,Outgoing RAR File 외 8개
Anomalous Server Activity15Data Transfer - DC to Client,DC External Activity,Domain Controller DynDNS SSL or HTTP 외 6개
Attack2Attack and Recon Tools,Exploit Kit,GoNext redirection
Compliance42Bitcoin Activity,External SNMP,External Windows Communications 외 18개
Compromise26Beaconing to Rare Destination,Connection to Sinkhole,CryptoLocker 외 7개
Device17Address Scan,External DNS Domain Pointing at Local IP,New User 외 9개
Experimental66Excessive HTTP Errors,Heartbleed SSL Success,International Domain Name 외 9개
System16Christmas Tree Attack,CMS Detection, DNS Server Change 외 12개
Unusual Activity14Unusual Activity,Unusual Activity from New Device,Unusual External Activity,Unusual External Connections
User7Bruteforcing,Kerberos Bruteforce, Multiple New Credentials on Device 외 4개







2. 보메트릭 암호화 솔루션 - 비정형데이터 암호화




오늘날 민감 데이터 및 규제데이터는 어느 곳에나 존재할 수 있습니다. 일부 암호화 옵션을 사용하면 특정 종류의 데이터베이스는 보호할 수도 있습니다. 그러나, 데이터베이스에서 민감 데이터를 포함하는 스프레드시트를 추출해야 하는 경우에는 어떻게 하시겠습니까?



IT 부서는 강력한 보안기능을 위해, 위치에 상관없이 민감 데이터를 보호하는 중앙화된 암호화 플랫폼을 필요로 합니다. 이것이 바로 수 많은 기업들이 Vormetric Transparent Encryption을 사용하는 이유입니다.



Vormetric Transparent Encryption은 기업이 비정형 파일을 온프레미스, 클라우드 등 위치에 상관 없이 d암호화 할 수 있도록 지원합니다. 본 솔루션을 통해 스프레드시트, 문서, 프레젠테이션, 이미지 등에 포함된 민감 데이터를 보호할 수 있습니다. 본 제품은 다른 암호화 제품들과는 달리, 보안팀이 애플리케이션, 인프라 또는 비즈니스 절차를 변경하지 않고 파일 레벨에서 암호화를 구현할 수 있도록 지원합니다.


▣ 일관적이고 세부적인 통제

Vormetric Transparent Encryption의 파일 레벨 암호화 솔루션은 암호키가 적용된 시점에서 끝나지 않습니다. 감사로그 분석을 통해 세부적인 정책을 적용하여 사용자나 프로세스의 무단 액세스를 방지합니다. 정책은 각 사용자, 프로세스, 파일 유형, 시간 및 기타 파라미터 별로 적용될 수 있습니다. 이런 기능을 통해 보안팀은 지속적인 데이터 보안과 보안제어를 할 수 있습니다.


▣ 광범위한 환경 지원

Vormetric Transparent Encryption은 파일 시스템과 스토리지를 지원하며, Microsoft Windows, Linux, Oracle Solaris, IBM AIX, HP-UX 등 광범위한 운영 체제를 지원합니다. 또한 IBM DB2, Oracle, Microsoft SQL Server, MySQL, NoSQL, Sybase 등의 데이터베이스에서 민감 데이터를 보호할 수 있습니다.


▣ 관리자와 민감데이터 분리

Vormetric Transparent Encryption은 관리자와 데이터 소유자 간의 강력한 권한 분기 기능을 제공합니다. 본 솔루션은 메타데이터를 그대로 유지하여 파일을 암호화합니다. 이런 방식으로 IT 관리자들은 (하이퍼바이저, 클라우드, 스토리지 및 서버관리자 등) 자신들이 관리하는 시스템에 상주하는 민감 데이터에 액세스하지 않고도 시스템 관리 작업을 수행할 수 있습니다.



보통, 보메트릭 솔루션을 통해 암호화 데이터 보안 시스템을 구축할 때에는 2가지 조합을 사용합니다. (API 방식 및 토큰화) 보메트릭 암호화 솔루션은 2가지 방식의 조합을 통해서 단순 API 방식 적용 방식에 비해서 구축의 편의성 및 보안성을 증가시킬 수 있습니다. 



▣ API 방식 암호화: Vormetric Application Encryption 적용

  • 에이전트(암호모듈)을 WAS 등 Application 서버에 설치하고 소스코드 수정을 통해 암호화 구축

  • 저장 데이터 (data-at-rest) 뿐만 아니라 WAS <-> DBMS 구간 데이터(data-at-transition)에 대한 보호

  • 제품과 통합된 장비(DSM - Vormetric Data Security Manager) 에 의한 안전한 암호 키 관리


▣ 토큰 방식 데이터 보호: Vormetric Tokenization with Dynamic Data Masking 적용

  • Vormetric Token Server를 통해 토큰(대체값) 생성 및 조회 수행, 일정 부분의 어플리케이션 수정 필요
  • 토큰화가 적용된 개인정보DB는 더 이상 암호화 대상이 아님 (농협 등 주민번호에 대해 대체값 적용)
  • AD/LDAP 등 계정관리시스템과 연동하여 사용자 권한에 따른 실시간 데이터 마스킹 적용





(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

구글 크롬 제로데이(zeroday) 취약점, 다크트레이스로 탐지 / 방어

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019.03.30 18:50 / 카테고리 : 차세대 위협감지 - 다크트레이스



구글에서 올해 3월 초에 패치한 웹브라우저 크롬에서 제로데이(Zeroday) 취약점이 발견되어 사이버 공격자에 의해서 악용이 되고 있습니다. 악성코드의 이름은 CVE-2019-5786으로 높은 위험성을 가지고 있습니다. 이는 대중적으로 많이 사용되고 있는 API에서 발생되기에 위험성이 높습니다.


웹 앱들이 컴퓨터에 저장된 파일을 읽을 수 있는 웹브라우저용 API인 파일리더에서 발견된 UaF 취약점입니다. 구글에서는 해당 취약점에 대한 익스플로잇이 이미 존재하고 있고 해커들이 이미 악용하고 있다고 공식적으로 발표하였으며, 크롬 브라우저는 최대한 빠르게 최신 버전으로 업데이트 할 것을 권고하였습니다. 



해당 취약점을 성공적으로 익스플로잇하면, 공격자가 임의코드를 브라우저 컨텍스트 안에서 실행할 수 있게 되며, 애플리케이션의 권한에 따라서 달라지는 점이 있지만, 공격자가 프로그램 설치, 데이터 Read & Write 권한, Admin 계정의 생성까지도 가능합니다. 


엣지스폿(EdgeSpot)이라는 익스플로잇 탐지 서비스는 크롬의 제로데이 취약점을 익스플로잇 하기 위한 PDF 파일들이 사이버 공간에서 돌아다니고 있다는 것을 발견하였습니다. PDF 문서 파일의 뷰어 프로그램 또는 API 에서 발견된 취약점이기 때문에 Adobe Reader를 제공하는 Adobe에서도 관련 보안패치를 진행하기도 하였습니다. 

최근에는, 보안에 취약한 윈도우즈 익스플로러(Windows Explorer) 대신에 확장성도 뛰어나고 반응형 웹에 강력한 성능을 보이는 구글 크롬(Google Chrome) 브라우저를 기업에서도 많이 사용하고 있습니다.


뛰어난 보안성을 자랑한다고 보였던 구글 크롬 브라우저에서도 익스플로잇, 제로데이 취약점이 나왔으며, 기업에서 자주 사용하는 PDF Reader 기능을 통해서 데이터가 탈취 당하거나, 파일 접근, 권한 탈취 등의 문제가 생기고 있습니다.

이렇게 새롭게 변조되는 악성코드과 공격 기법은 갈수록 다양해지며, 공격 루트도 웹브라우저 플러그인 등으로 가변적입니다. 기업에서는 실시간으로 감시하고 즉각적인 대응이 가능한 머신러닝, 인공지능 기반 보안 솔루션을 통해서 24/7 대응이 가능하여야 합니다. 


기존의 AV, 시그니처 기반의 보안 솔루션은 현재까지 위협 방어에 대한 접근 방법의 한계성을 드러냅니다. 아이마켓코리아에서 공급하는 다크트레이스 솔루션은 기존 방식의 AV(안티바이러스)에서는 탐지가 불가능한 변종/신종 영역까지 탐지가 가능합니다. 



기존 방식의 위협 방어에 대한 문제점


1. 경계 보안의 강화를 통한 방어 체계의 한계성

많은 기업들과 기관들이 인터넷과 인트라넷, 서버팜의 경계구간의 강화를 통한 위협 대응을 수행하고 있지만, 계속 진화하는 공격 기법에 대응하기가 어렵습니다.


2. 행위의 대한 정상 및 합법여부 정의의 어려움

정상 행위 여부를 규정하기 Rule과 Signature부터 벗어난 다양한 행위들이 존재하고 있습니다.


3. 시스템과 기술을 뛰어 넘는 새로운 위협의 등장

악성코드 및 봇넷, 사이버 범죄 등의 종착지는 사람입니다. 인적 요소에 의한 내부정보탈취, 시스템 파괴 및 다양한 위협의 발생빈도가 지속적으로 증가하고 있습니다. 



Rule, Signature, SandBox 등 알려지고 공유된 인텔리전스 기반을 보완할 새로운 접근방법이 필요합니다.


정책과 시그니처 룰을 기반으로 한 기존의 심층방어체계에는 한계가 있습니다. 새로운 공격과 위협에 대해서 방어수단 확보까지의 시간이 많이 걸리며, 이때 피해가 급증하게 됩니다. 







다크트레이스(DarkTrace)란?

다크트레이스는 차세대 엔터프라이즈 면역 시스템(DarkTrace – Enterprise Immune System)으로 정상 행위 자동 학습을 통해서 비정상 행위를 탐지합니다. 



▣ 네트워크, 사용자, 디바이스의 다양한 행위에 대한 자동학습

위협에 대한 개별요소 들의 종합적인 연관상태를 분석하고 학습하여 정상상태와 비정상적인 상태를 식별한 후 규칙이나 시그니처를 기반으로 한 전통적인 시스템이 탐지못한 영역을 식별합니다.


▣ 네트워크, 사용자, 디바이스에 대한 수학적 확률 엔진을 기반으로 비정상적인 행위를 순환적으로 확률 추론

베이지안 순환 확률 모형, 순차적 몬테카를로, LASSO 모델 등을 통해서 고객 네트워크를 사용하는 사용자, 디바이스 및 행위에 대한 수학적 확률을 계산하여 지속적으로 정상 상태를 확인하고 계산합니다. 



다크트레이스 면역 시스템은 인체의 면역기능을 응용한 네트워크, 사용자, 디바이스 기반 정상행위 학습기반의 건강한 면역체계 구축하는 보안 솔루션입니다.






다크트레이스는 비지도 학습 기반(Unsupervised Learning)의 머신러닝 기법을 채택하고 있습니다. 이는, 사람의 개입을 최소화하고 기존 보안 솔루션의 한계점으로 대두되고 있는 시그니처와 룰 기반의 접근 방법의 한계점을 뛰어 넘는 방식으로 탐지합니다. 


1. 사고 - 과거의 정보를 학습하여 판단에 필요한 인사이트를 제시 합니다.

2. 실시간 - 시스템의 현재의 시점을 분석합니다.

3. 자가 개선 - 새롭게 학습되는 정보를 통해서 스스로 개선해 나갑니다. 



지도 학습 VS 지도 학습


 구분

 Unsupervised Learning 비지도학습

 Supervised Learning 지도학습

 정의1. 학습 시 출력 값에 대한 정보 없이(교사 없이) 진행되는 학습
2. 군집화, 밀도 추정, 차원축소, 특징 추출 등이 필요한 문제에 적합

1. 출력 결과 값을 미리 알려주는 교사(supervised)가 존재하는 학습

2. 주로 인식, 분류, 진단, 예측 등의 문제 해결에 적합

 사례

동물과 관련된 데이터가 입력되면 수집된 데이터로부터 특징을 추출, 군집화, 추정을 통해 서로 다른 종으로 구분하여 분류

 파충류, 포유류 등 종에 대한 분류지표와 기준을 이미 입력시킨 후 컴퓨터로 하여금 어떤 종이 파충류인지 또는 포유류인지 분류



다크트레이스 솔루션은 사용자, 디바이스, 네트워크 행위에 대해서 학습, 추론, 시각화를 할 수 있는 종합 면역체계 입니다.




다크트레이스 VS 다른 보안 솔루션


구분
DARKTRACE
APT solution
Network forensic &
Log analysis
위협 영역내부+외부외부내부+외부
위협의 종류모든 이상 행위악성코드알려진 위협
운영 노력낮음높음높음
탐지 기반 기술자동화된 머신러닝가상 샌드박스사람의 지식 및 룰
상세 분석딥 패킷 분석코드 리버싱딥 패킷 분석,SQL
데이터 흐름 가시성3D기반의 100% 가시성없슴제한적
실시간 탐지실시간수분 ~ 수시간수시간 ~ 수일
도입 및 운영 비용





매일 급변하는 보안취약점을 방어하기 위한 인공지능, 머신러닝 기반 엔드포인트 보안 솔루션인 다크트레이스에 대한 도입 / 견적 문의는 아래의 아이마켓코리아 담당자에게 연락주시기 바랍니다.


(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

경찰청 2018년 사이버위협 분석보고서 (기업 사례 및 전망)

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019.02.28 06:30 / 카테고리 : 차세대 위협감지 - 다크트레이스



경찰청에서 2018년도 사이버위협 분석보고서가 발간되었습니다. 이 중에서 기업 보안과 관련이 있는 내용과 이를 예방하기 위한 방법에 대해서 알아보겠습니다. (기업 보안 관련 내용)



▣ 사이버 범죄 동향

2018년 전체 사이버범죄는 149,604건이 발생했으며, 2017년도(131,734건)에 비해 약 13.6% 증가 하였다. 해당 발생건수는 최근 5년 내 최고치(2016년 153,075건)에 근접한 수준으로, 주춤 했던 증가 추세가 다시 이어지고 있습니다. 





▣ 주요 사이버 범죄 사건

1. 가상화폐 채굴 악성코드 유포사건 - 크립토재킹(Crytojacking)

’17년 10월부터 12월까지 검거된 4명의 피의자들은 구인구직 사이트에서 수집한 이메일 계정 32,435개에 해킹메일을 발송하였습니다. 메일에는 ‘귀사 채용에 지원하고 싶다’는 내용과 악성코드가 포함된 이력서 문서파일이 첨부되어 있었으며, 악성코드가 포함된 문서를 실행하면 가상화폐 ‘모네로’ 를 채굴하는 프로그램이 PC에 설치됩니다. 피의자들은 6,038대 PC를 악성코드에 감염시켰으며, 사용자 몰래 중앙처리장치(CPU)의 50%를 강제 구동시켜 가상통화를 채굴하였습니다. (’18년 11월, 경찰청 사이버안전국)






피의자들은 이력서로 위장한 문서파일을 구직사이트에 게시된 기업 인사담당자에게 발송시켜 6,038 대 PC에 크립토재킹 악성코드를 감염시키는데 성공하였고, 악성코드가 감염된 PC들은 가상통화인 ‘모네로’ 채굴에 사용되었습니다.


‘모네로’는 일반적인 가상통화와 달리 거래내역을 추적하기 어렵도록 설계된 가상통화로, 범죄에 주로 사용되고 있습니다. 피의자들은 실제 모네로 2.23코인(당시 약 100만원) 을 채굴하기도 하였으나 악성코드 제작에 사용된 서버가 경찰의 추적에 발각됨에 따라 검거되었습니다.


이러한 크립토재킹 악성코드에 감염되면 컴퓨터의 성능이 저하되는 것 이외에도 컴퓨터 자원을 과도하게 구동시켜 전기요금이 폭증하게 됩니다. 만일 국가 기반시설의 PC에 유포될 경우 큰 손실로 이어질 수 있는 위험한 범죄입니다.




사이버보안업체인 안랩(Ahnlab)은 2018년 상반기 중 가장 큰 보안위협을 크립토재킹으로 선정했고, 해외 사이버보안업체인 파이어아이(FireEye)는 크립토재킹에 노출된 위협이 4번째로 높은 국가로 한국을 지정하기도 하였습니다.



▣ 크립토 재킹 악성코드 유포방식

크립토재킹은 해킹 대상자가 보안이 취약한 사이트에 접속할 경우 가상통화 채굴 명령어가 자동실행되는 ‘워터링홀’ 공격에 의해 주로 감염됩니다.


워터링 홀 공격이란 사자가 먹이를 잡기 위해 물웅덩이(WATERING HOLE) 근처에 매복하고 있다가 먹잇감이 물에 빠지면 공격하는 모습에서 유래된 용어로, 공격 대상과 관련이 있거나 자주 방문하는 사이트에 악성코드를 심어 이들이 접속하는 경우 감염시키는 수법을 말합니다.


웹사이트에 채굴 스크립트를 몰래 심어 넣고, 사용자가 접속을 하면 접속한 PC나 스마트폰에서 가상통화가 채굴되는 명령어가 자동 실행되는 방식입니다. 사용자 입장에서는 웹사이트 접속만으로 감염되고 악성코드 파일이 눈에 보이지 않기 때문에 피해사실을 인지하기 어렵습니다.


또한 대량으로 발송되는 스팸메일을 열어 보았을 경우에도 크립토재킹에 감염될 수 있습니다. 이렇게 발송된 스팸메일에는 채굴 명령어가 자동 실행되는 웹사이트로 접속을 유도하는 링크가 있거나 웹페이지 화면이 자동 실행되는 HTML 파일이 첨부되어 있습니다.




2. IP 카메라 해킹 사건

웹프로그래머인 피의자는 국내 반려동물 사이트 및 IP카메라 판매업체를 해킹하여 IP카메라 정보 12000여건을 탈취하였습니다. ’14년 6월부터 ’18년 10월 유출한 IP카메라 정보를 이용하여 264개 IP 카메라에 침입하였으며 그 과정에서 226건의 사생활이 담긴 영상을 저장하여 보관하였습니다. (’18년 11 월, 경찰청 사이버안전국)


IP카메라는 일반 가정에 개인이 설치할 수 있는 사물인터넷(IoT) 기기로 컴퓨터와 결합될 수 있으며 기기에 자체 IP 주소가 있어 네트워크를 연결할 수 있는 곳에 설치가 가능합니다. 


IP카메라는 주로 반려동물, 자녀 관찰, 보안 등을 위해 설치되고 있으며 그 숫자가 증가하는 추세입니다. 범죄자들은 보안 취약성을 악용해 피해자들의 IP 카메라에 몰래 접속한 후 사생활을 엿보거나 불법 촬영하는 범죄가 발생하고 있습니다. IP카메라를 통한 불법촬영은 가정집 · 사무실 · 미용실 · 옷가게 · 식당 등 IP카메라가 설치된 장소면 어디든 발생할 수 있습니다



해커는 IP카메라의 모든 권한을 획득하기 때문에 카메라 이동, 각도조절, 줌 기능 등을 이용해 카메라를 직접 조작할 수도 있습니다. 


피의자는 △비밀번호 설정 없이 사용하거나 제품 구입 당시 설정된 기본 계정과 비밀번호를 사용 하고 있거나, △0000, 1234와 같이 쉬운 비밀번호를 설정한 곳을 IP카메라를 타겟으로 하였습니다. 또 피의자들은 인터넷 게시판과 카페 등을 통해 유출된 IP카메라의 인터넷 주소를 알아내 아이디와 비밀번호를 넣어 접속하기도 하였습니다.




▣ 2019년 주요 사이버 위협 전망

1. 공급망 공격(Supply Chain Attack)의 지능화

보안프로그램 설치, 소프트웨어 업데이트 등을 활용한 공급망 공격이 보다 지능화 될 것으로 예상됩니다.


최근 국내 IT 업체들에 대한 공급망 공격이 증가하고 있습니다. 공급망 공격이란 소프트웨어 업체가 제작하는 프로그램(보안프로그램, 금융서비스 프로그램 등)에 대한 해킹을 통해 접근 권한을 먼저 확보하고 프로그램 제작단계에서 악성코드를 침투 시킨 후 정상적인 업데이트 등으로 위장하여 악성코드를 감염시키는 기법입니다.



많은 고객사를 거느리고 있는 IT 솔루션의 경우 개발 소프트웨어 제작 및 업데이트 단계에서 악성코드를 심어두면 많은 기업들에 손쉽게 침투할 수 있습니다. 대형 업체들의 경우 보안이 매우 잘되어 있어 해커가 직접 침투하는 것이 어렵지만 프로그램의 업데이트 취약점을 찾아 침투시킬 경우 기업의 보안과 상관없이 악성코드 감염이 가능합니다. 


이러한 공급망 공격은 ’19년엔 더욱 지능화되어 증가될 것으로 예상됩니다. 공격 형태도 특정 기업에서 사용하는 소프트웨어를 타겟으로 하여 소프트웨어 제작 단계에서 감염시키는 형태특정 기업의 IP에서만 동작하도록 제작되어 타겟을 감염시키는 지능형 공급망 공격 형태로 발전될 것으로 예상됩니다.



2. 사물인터넷(IoT)에 대한 사이버 공격 급증

다양한 분야에서 IoT가 사용되고 있고 그 숫자도 늘어나고 있어 2019년에는 IoT에 대한 사이버 공격이 급증할 것으로 예상됩니다.


사물인터넷(Internet Of Things)은 현실에 존재하는 사물에 정보통신기술이 융합되어 실시간으로 데이터를 주고받는 기술이나 환경을 말합니다. 


가정에서는 가전제품을 비롯한 집 안의 장치들을 연결한 스마트 홈 환경이 대중화 되고 있고, 해외에서는 자율주행 자동차가 시범운행 되고 있으며, 산업 분야에서는 쓰레기 종량제 시스템에 사물 인터넷을 적용하여 쓰레기 배출량을 측정해 처리 비용을 부과하는 등 다양한 분야에서 널리 발전하고 있습니다. 


2020년에는 국내 IoT 규모가 약 17조원으로 전망됩니다. 2019년에는 사물인터넷을 겨냥한 보안위협이 더 늘어날 것으로 전망됩니다. 




최근 몇 년간 IoT 관련 보안위협은 주로 대규모 IoT 봇넷 기반의 DDoS 공격으로 감염된 수십 만대의 IoT기기를 이용해 웹사이트를 공격하는 것이었습니다. 2017년에도 인터넷 호스팅 업체가 미라이(Mirai) 악성코드에 감염된 수많은 IoT 기기로부터 공격을 받아 서비스를 받고 있던 트위터, 페이팔, 넷플릭스 등 1200여개 사이트가 수시간 동안 운영이 중단된 사례가 있었습니다.



3. 스피어피싱 등 피싱메일의 진화

스피어피싱 등 피싱메일이 각종 사회 이슈와 맞물려 다양한 형태를 띠면서 더욱 정교하게 진화할 것으로 예상됩니다.


2018년에는 다양한 피싱메일이 발송되었습니다. 특히 갠드크랩 랜섬웨어 감염을 위한 다수의 피싱메일이 발송되었고 범칙금 납부고지, 남북 또는 북미 정상회담 등 사회현안으로 위장한 피싱메일이 유포된 사례도 발견되었습니다.



갠드크랩 랜섬웨어(GandCrab Ransomware)는 동종 업계 종사자의 실명과 프로필 등을 사칭하여 관련 종사자들에게 악성코드를 배포하거나 지원서 및 정상 유틸리티로 위장하여 악성코드를 유포하는 랜섬웨어로, 안랩에 따르면 2018년 한해 동안 발견된 랜섬웨어의 53% 가량을 갠드크랩 랜섬웨어가 차지하였습니다.





또한, 정부기관내 주요 관계자들을 사칭한 피싱메일 공격이 활발해 지고 있습니다. 2019년에는 이러한 스피어피싱을 기반으로 한 표적공격이 계속 이루어질 것으로 예상됩니다. 대한민국의 주요기관 및 기업들이 일상적인 업무수단의 하나로 사용하는 이메일을 이용하면 정상업무를 가장한 접근이 쉽고 신속·정확한 표적공격이 이루어질 수 있기 때문입니다.


금전취득을 위해 암호화폐 거래소에 대한 피싱메일 공격이 보다 활성화 될 것으로 예상되며, 혹스메일 (Hoax mail, 거짓정보를 메일로 보내 사용자들을 속여 금전을 편취하거나 악성코드를 설치하게 하는 메일) 또한 정교한 형태로 발송될 것으로 예상됩니다. 






위에서 본 사이버 공격 사례를 보면, 사이버 공격의 방법은 매번 진화하고 있으며 네트워크부터 다양한 디바이스까지 영역을 가리지 않습니다. 이러한 정교하고 다양해진 공격방법에 대응하기 위해서는 자동적으로 새로운 공격방법과 루트를 파악하고 대응할 수 있으며, 사람의 개입 없이도 동작할 수 있는 지능적인 보안 솔루션을 도입하여야 합니다.


사일런스프로텍트 엔드포인트 보안 솔루션은 머신러닝, 인공지능 기반으로 동작하며, 시그니처 또는 룰 기반의 단점으로 부각되고 있는 지속적인 업데이트 없이도 위협의 99% 이상을 차단할 수 있는 강력한 성능을 자랑합니다.



또한, 사일런스 엔드포인트 프로텍트는 PC 및 서버의 자원 사용을 최소화 하기 때문에 시스템 운영에 부담이 없습니다. 


사일런스프로텍트 엔드포인트 보안 솔루션의 동작 방식

머신러닝을 통하여 멀웨어의 DNA를 분석하고 AI가 안전한 코드 인지 판별합니다. 그렇기 때문에 시그니처의 업데이트, 행위 분석, 샌드박스 기법 등이 없이도 선제적인 대응이 가능합니다. 그리고, 모든 것은 자동으로 운영되기 때문에 사람의 개입이 없어, 정확하고 인력낭비를 줄일 수 있습니다.



MALWARE EXECUTION CONTROL

  • No signatures : 예측 분석이 가능한 머신러닝

  • 자율방어 : 100ms 이내의 사전실행 예방

  • No daily scans : File system 변화 기반으로 일회성 scan을 통한 검색 지양

  • Rejects : 잠재적으로 사용하지 않는 프로그램 대상(PUPs)

  • Lateral Movement에 사용되어지는 Controls tools


SCRIPT CONTROL

  • 허가되지 않은 PowerShell 및 Active Scripts 중지

  • 위험성이 있는 VBA macro methods 중지

  • 공격성 문서의 제어(Weaponized docs) 

  • 파일없는 공격 제어(Fileless attacks)


MEMORY PROTECTION

  • 메모리 오용(Silences memory misuse )

  • 부당이용(Exploitation)

  • 프로세스 주입(Process injection)

  • 권한 상승(Privilege escalation)


APPLICATION CONTROL

  • 고정 기능 디바이스에 디바이스 바이너리 잠금

  • Bad binary 방지

  • 바이너리 수정 방지

  • 윈도우 변경 허용



기존의 안티 바이러스로는 변종 멀웨어 발생 시, 신규 업데이트까지는 안심할 수 없습니다. 단 하루의 차이로도 큰 재앙을 발생 시킬 수 있습니다. Cylance Protect로 귀사의 소중한 정보 자산을 보호하세요!





인공지능 엔드포인트 보안 솔루션인 사일런스프로텍트 EPP(CylancePROTECT)를 도입하여, 진화하는 사이버 공격에 대응하시기 바랍니다. 제품에 대한 문의는 아래의 아이마켓코리아 담당자에게 문의주시면 견적을 보내드립니다.



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

사이버 위협 탐지 다크트레이스(DarkTrace) 특장점, 활용 사례 소개

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019.02.26 20:30 / 카테고리 : 차세대 위협감지 - 다크트레이스


다크트레이스(Darktrace) 소개

다크트레이스는 실시간 위협 탐지 및 자율 대응이 가능한 머신러닝, 인공지능 기반의 사이버 위협 탐지 차단 보안 솔루션입니다.



머신 러닝 및 AI, 수학적 모델링 기법을 기반으로 실시간 위협을 탐지하기에 규칙이나 사용자 인증이 필요없습니다.




인간의 면역 체계는 놀랍도록 복잡하며, 끊임없이 돌연변이를 일으키는 바이러스 DNA와 같은 새로운 형태의 위협에 지속적으로 대응합니다. 신체의 정상 상태를 학습하고 정상 패턴에 맞지 않는 이상 요소를 식별해 무력화합니다. 


Darktrace는 이와 동일한 원리를 엔터프라이즈 및 산업용 환경에 적용합니다. 머신러닝과 AI 알고리즘을 기반으로 한 Enterprise Immune System 기술은 네트워크 상의 모든 디바이스 및 사용자 고유의 '행위 패턴'을 반복적으로 파악하고, 다른 방식으로는 탐지하기 어려운 새로운 위협을 식별하기 위해 이러한 세부 정보의 상관성을 분석합니다. 


인간의 면역 체계와 마찬가지로 Enterprise Immune System은 위협이나 활동 패턴의 잠재적 위협 가능성을 파악하기 위해 이를 사전에 경험할 필요가 없습니다. 사전 지식이나 사용자 인증 없이 자동으로 동작하며, 네트워크 내에서 탐지하기 어려운 은밀한 공격을 실시간으로 탐지하고 차단합니다.









Darktrace Threat Visualizer

Threat Visualizer는 Darktrace의 실시간 3D 위협 알림 인터페이스입니다. Threat Visualizer는 위협 알림을 표시하고 네트워크의 일상적인 활동에 대한 개요를 시각적으로 제공합니다. 이는 사용하기 쉬울 뿐만 아니라, 보안 전문가와 회사 경영진 모두가 이용할 수 있습니다. 




Darktrace Threat Visualizer Demo Video



Threat Visualizer 사용자 인터페이스(UI)는 최첨단 시각화 기술을 이용해 분석팀에 중요 사고 및 위협을 자동으로 알려, 분석팀이 사전대응적으로 인프라의 특정 영역을 조사할 수 있도록 합니다.


  • 전체 네트워크 구성을 3D로 시각화 

  • 엔터프라이즈 위협 수준에 대한 실시간 글로벌 개요

  • 이상 징후를 지능적으로 클러스터링

  • 전체 스펙트럼 보기 – 상위 네트워크 구성, 특정 클러스터, 서브넷 및 호스트 이벤트

  • 검색 가능한 로그 및 이벤트

  • 과거 데이터 재생

  • 디바이스 및 외부 IP의 전반적인 행위에 대한 간략한 요약 정보

  • 경영진 및 보안 분석 팀을 위한 설계


100% 가시성 

시각화 기술은 경영진에게 회사 네트워크의 전체적인 개요를 제공하여, 기술 전문가와 경영진의 효율적인 커뮤니케이션을 통한 의사 결정이 가능합니다. 


경영진은 네트워크 환경에 대한 인식과 이해도를 높이고 경영상의 의사결정 능력을 개선해, 보안 문제를 수월하게 감독할 수 있습니다.




Darktrace의 특징 - 인공지능 및 머신러닝

인공지능(AI) 및 머신 러닝은 사이버 보안 업계에 막대한 가능성을 제시하고 있습니다. 오늘날 새로운 머신 러닝 방식은 처리할 수 있는 컴퓨팅 기반 분석의 양이 광범위하기 때문에, 위협 탐지의 정확성을 대폭 개선하고 네트워크 가시성을 향상시킬 수 있습니다. 또한 새로운 자율 대응의 시대를 예고합니다. 즉 컴퓨터 시스템은 실시간으로 위협을 차단하는 방식과 시점을 효율적으로 파악할 수 있습니다. 



Darktrace는 처음부터 과거 공격과 관련된 데이터로 미래에 일어날 공격을 예측할 수 있다는 가정을 받아들이지 않았습니다. 그 대신 Darktrace의 사이버 AI 플랫폼은 자율 학습 (Unsupervised) 방식의 머신 러닝을 사용해 확장 가능한 네트워크 데이터를 분석하고, 확인된 증거를 바탕으로 확률에 기반해 수십 억 번의 계산을 수행합니다. 이는 과거 위협에 대한 지식에 의존하는 대신, 데이터를 독립적으로 분류하고 눈에 띄는 패턴을 탐지합니다. 


Darktrace가 자랑하는 세계 최고의 사이버 AI는 전세계 수 천 개 조직이 모든 종류의 위협을 식별하고 이에 대응할 수 있도록 하며, '정상' 행위에서 벗어나 주의가 필요한 비정상 상태를 강조합니다. 이는 오늘날 기업에서 사용되는 것 중 가장 정확하고 확장성이 뛰어나며 가장 잘 입증된 인공지능 플랫폼으로 꼽히고 있습니다.



Darktrace의 특징 - 세계적 수준의 전문가 : 영국 케임브리지 대학 출신의 머신 러닝 전문가

Darktrace의 소프트웨어 엔지니어 전문가는 수학 및 머신 러닝 분야의 전문 지식을 보유하고 있습니다. Darktrace 전문가들은 베이지언 순환 확률(RBE) 모형을 선구적으로 활용해, 뛰어난 Enterprise Immune System 기술과 사이버 위협을 식별하는 확률적 접근 방식의 기초를 마련했습니다. 


베이지언 수학 모형은 대량의 대규모 데이터 세트에서 추출된 의미와, 더 많은 정보가 관찰되는 경우에 업데이트 되어야 하는 특정 이벤트에 대한 확률을 고려합니다. RBE 모형을 활용하면 슈퍼 컴퓨터 없이도 이러한 접근 방식을 적용할 수 있습니다. 


영국 케임브리지의 Darktrace 연구개발 팀은 지속적으로 사이버 보안 소프트웨어 엔지니어링 및 AI 분야의 가능성을 확장하는 새로운 혁신을 만들어가고 있습니다.








다크트레이스 활용 사례



Darktrace는 IoT 해킹에서 범죄 활동, 내부자 위협 또는 잠재적 취약점에 이르기까지, 다양한 실시간 위협과 보안 침해 및 취약점을 탐지할 수 있습니다. 


1. 랜섬웨어 탐지 사례

2016년에 일어난 랜섬웨어 공격은 6억 3,800만 건에 달했습니다. 이는 2015년의 4백만 건에 비해 167배 증가한 수치로, 대부분의 공격이 기존 보안 메커니즘을 우회할 수 있는 피싱 공격이었습니다. 서비스형 랜섬웨어(RaaS)의 부상으로 진입 장벽이 낮아지면서, 그 어느 때보다도 공격자들이 손쉽게 액세스하고 랜섬웨어를 배포할 수 있게 되었습니다. 


악성코드는 일단 엔터프라이즈 내에 들어오면 데이터를 암호화하고 다른 디바이스나 공유 드라이브로 확산될 방법을 찾습니다. 공격이 확산되는 속도가 빠르고 그로 인해 유발될 수 있는 피해 또한 심각하기 때문에 공격자는 랜섬웨어를 매력적인 선택지로 여기게 됩니다. 


Darktrace의 Enterprise Immune System은 각 업계 전반에서 새로운 랜섬웨어 공격을 탐지하고 차단할 수 있다는 사실이 입증되었습니다. Enterprise Immune System은 머신 러닝과 AI 알고리즘을 사용해 랜섬웨어와 관련한 다양한 이상징후를 식별할 수 있으며, 취약 지표를 고려해 전반적인 위협 수준을 명시적으로 나타낼 수 있습니다. 


예를 들어, Darktrace가 워너크라이(WannaCry) 악성코드를 식별할 수 있었던 것은 디바이스가 파일 액세스 후 암호화를 시도하면서 위험에 노출된 다른 디바이스를 내부에서 검사하는 행위가 매우 비정상적이었기 때문입니다. 


Darktrace는 랜섬웨어를 탐지하자마자, 내부 네트워크 내의 의심스러운 연결을 강제로 삭제하고 확산을 막아 실시간으로 대응했습니다. Darktrace Antigena의 완전 자율 대응 솔루션을 활용하면 보안 팀은 데이터 도난 또는 암호화 전에 필요한 조치를 취할 수 있는 골든 타임을 확보할 수 있습니다.



2. 클라우드 서버에 대한 외부 공격

Darktrace는 실수로 인터넷에 노출된 클라우드 인프라 내 서버에 대한 무차별 공격을 탐지했습니다. 클라우드와 물리적 네트워크 세그먼트 간 연결은 공격이 성공했을 경우 네트워크 전체의 보안이 침해될 수 있었다는 것을 뜻했습니다. 


그러한 활동으로 중대한 보안 위험이 초래됐을 뿐 아니라, 지속적인 연결 시도가 수없이 이루어지면서 서버에 영향을 주는 서비스 거부(DoS)가 발생할 수도 있었습니다.


Darktrace가 발견한 사항

  • 4주에 걸쳐 8천 번이 넘는 액세스 시도가 100가지 이상의 소스 주소에서 관찰 되었습니다. 
  • 이러한 주소는 단일 사용자 이름을 사용해 조직적으로 클라우드 기반 RDP 서버 액세스를 시도하고 있었습니다. 사용자 이름은 바로 “hello”였습니다. 
  • 그러한 활동은 서버에서 송수신되는 트래픽의 대부분에 해당했습니다.



3. 표적이 된 생체 인식 스캐너

다국적 제조업체에서 공격자는 생체 인식 스캐너의 보안을 침해하기 위해 알려진 취약점을 공격했습니다. 스캐너는 장비 및 산업용 플랜트에 대한 액세스를 제한하는 데 사용되었기 때문입니다. 공격자는 디바이스에 저장된 지문 데이터를 변경하기 시작했습니다. 


위협이 탐지되지 않았더라면 공격자는 자신의 지문 데이터를 데이터베이스에 추가해 산업용 플랜트에 물리적으로 액세스할 수 있었을 것입니다. 일반적인 악성코드 차단 및 사용자 인증 솔루션은 눈에 잘 띄지 않아 보안 침해로 이어지는 활동을 탐지하지 못했습니다.


Darktrace가 발견한 사항

  • Darktrace가 설치된 후 외부 컴퓨터의 의심스러운 텔넷(Telnet) 연결을 탐지했습니다.
  • 외부 컴퓨터는 기본 자격 증명을 사용해 스캐너에 액세스했고 CPU 정보 검색을 위한 루트(root) 권한을 사용했습니다. 
  • 이후 공격자는 다른 내부 시스템에 도달하기 위해 우회를 시도했습니다.
  • 추가 조사를 통해 텔넷 포트 23에서 스캐너의 가용성이 IP 데이터베이스 Shodan.io에 기록됐다는 사실이 밝혀졌습니다.



4. 보안에 취약 한 화상 회의 시스템

한 글로벌 스포츠 기업이 세계 각지에 연이어 새로운 사무소를 열고, 일상 업무를 위한 팀 간 의사소통을 원활히 하기 위해 화상 회의 장비를 도입 했습니다. 조직의 '행위 패턴'을 학습하면서 Darktrace는 네트워크 상의 한 특정 디바이스, 즉 중역 회의실에 설치된 화상 회의 시스템에서 이상 행위를 탐지했습니다. 


공격자가 무단 원격 액세스를 악용해 조직 외부로 오디오 데이터를 전송하기 시작했던 것입니다. 공격자는 비공개 회의실의 오디오 스트림을 수집해 민감한 기업 정보를 구축하기 시작했습니다. 공격자는 들키지 않고 내부에서 이동해 POS 디바이스를 찾아 추가 피해를 유발할 수도 있었습니다.


Darktrace가 발견한 사항

  • 그러한 디바이스 중 하나는 텔넷을 통해 외부로 연결하는 유일한 내부 디바이스였습니다. 
  • 비정상적으로 많은 양의 정보가 6대의 등록되지 않은 외부 컴퓨터로 업로드 되었습니다. 
  • 백도어 트로이목마가 Darktrace 설치 전에 디바이스에 업로드 되었던 것입니다. 
  • 해당 디바이스는 FTP, 텔넷 및 HTTP를 통해 의심스러운 외부 서버에 연결되었습니다.



5. 비정상적인 프라이빗 클라우드 데이터 전송

불만을 품은 직원이 퇴사 전날 Dropbox에 대량의 고객 데이터를 업로드해 훔치려 했습니다. Dropbox는 이 회사에서 널리 사용되는 앱이었기 때문에 해당 직원은 그러한 활동이 눈에 띄지 않을 거라 생각했던 것으로 보입니다. 


기존 툴은 그러한 행위를 위협적이라 인식하지 않았지만, Darktrace의 자가 학습 방식은 정상 범위에서 조금만 벗어나도 이를 정확히 탐지할 수 있었습니다. 그 결과 해당 직원이 정보를 훔치기 전 비정상적인 전송이 일어난 것을 확인했습니다.


Darktrace가 발견한 사항

  • 회사 서버에서 평소보다 훨씬 많은 17GB의 데이터를 Dropbox에 업로드했습니다.
  • 사무실 내 Dropbox 연결은 흔히 있는 일이었지만 문제가 된 서버에서는 없던 일이었습니다.
  • 해당 데이터 내에는 회사 고객의 지리적 위치 정보가 포함되어 있었습니다.




인공지능 기반 보안솔루션인 다크트레이스(Darktrace) 제품에 대한 문의나 견적은 아래의 아이마켓코리아 담당자에게 연락주시기 바랍니다.



(주) 아이마켓코리아
김 경 일

과장 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

인공지능(AI) 머신러닝 기반 보안 솔루션 알아보기 (다크트레이스, 사일런스)

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019.02.26 08:00 / 카테고리 : 사일런스 프로텍트



사이버 보안은 공격자와 방어자의 싸움이라고 할 수 있습니다. 보통 창과 방패의 싸움에서는 창이 유리합니다. 예방이 가장 좋긴 하지만, 현실적으로 취약점을 찾아내어 공격하는 방식을 일일히 미리 방어하는 것은 불가능에 가깝습니다. 


최근에는 계정 탈취를 이용해 공격을 하는 방식이 많아지고 있습니다. 실제로도 최근 발견된 악성코드에서 가장 많이 포함되어 있는 기능은 바로 계정의 탈취입니다. 악성코드 은닉사이트 탐지 동향 보고서 : 2018년 상반기’에 따르면 올해 상반기 탐지된 악성코드의 25.3%가 정보유출(계정정보)이라는 조사 결과가 있습니다. 


사이버 공격자들은 악성코드 뿐만 아니라 파일 없는 공격 도구, 기존에 탈취한 계정으로 접근, CCTV, 가정용 공유기, IOT 디바이스 등 다양한 경로로 침투하고 있습니다.


사람이 일일히 대응하기 힘들고, 매번 새롭게 변종되고 개발되는 사이버 공격을 막아내기 위해서 인공지능을 사이버 보안에 도입하고 있는 추세입니다. 



기존의 공격도구 분석 솔루션은 코드의 일부만 바꿔 신종 코드로 만들면 탐지하기 어렵다는 단점이 있습니다. 또한, 유사도 분석 기법 등을 이용해 신변종 코드를 탐지하는 기술을 사용하면서 탐지율을 높여왔지만, 자동화된 분석 툴이 정확하게 동작하지 않으면, 실질적으로 사용이 어렵습니다. 


하지만, AI는 자동화된 분석에 전문가의 통찰력을 얹기 때문에 이전의 위협 탐지 기술 수준을 능가하는 성능을 보여주며, 오탐지 비율도 줄어듭니다.


IBM의 2016년 보고서에 따르면 현재 사이버 보안에 있어 가장 위협이 되는 것으로 CIO의 45%가 사고 탐지와 대응 시간을 줄이는 것을 꼽았으며, 2~3년 후에 위협이 되는 것으로 53%가 속도, 52%가 복잡성을 꼽았습니다. 인공지능 기반 솔루션들은 대응시간이 빠른게 특징입니다.


현재, AI(인공지능)을 통한 보안 탐지 및 대응 보안 솔루션의 활용 용도는 아래와 같습니다.

  • 상금융거래 탐지(FDS)

  • 네트워크 침입 탐지

  • 악성코드 분석

  • 소프트웨어 취약점 분석

  • 비정상·악성 행위 탐지와 공격 저지

  • 사람의 분석 능력과 결과 보강

  • 보안 반복 작업 자동화 등


인공지능 보안 솔루션으로 유명한 제품은 다크트레이스(DarkTrace)와 사일런스(Cylance) 제품이 있습니다. 하지만 100% 인공지능에 의존해서는 안되며, 인공지능 + 사람의 판단력이 적절하게 조화되었을때 인공지능 보안 솔루션은 최상의 성능을 보여줄 수 있습니다.






인공지능 보안솔루션 소개



1. 다크트레이스 (DarkTrace)



▣ 다크트레이스 소개

네트워크 인프라를 통해서 발생하는 모든 사용자 및 디바이스의 이상 징후를 머신러닝, 인공지능 기법을 활용하여 실시간으로 자동 분석하고 그 이상여부를 판별하여, 현행 보안장비 및 관리체계가 탐지 할 수 없는 지능적인 내부/외부의 사이버 위협을 감지하고 분석하는 차세대 위협 감지 솔루션입니다. 


▣ 왜 다크트레이스가 필요한가요? -> 기존 사이버보안 대응 체계의 한계

  • 현재 도입되고 있는 보안솔루션은 외부에서 내부로의 공격과 방어에만 초점을 두고 있으며, 시그니쳐 및 룰 기반 시나리오에 기반하여 공격을 차단하고 있습니다.

  • 샌드박스 기반의 APT 대응 솔루션도 파일 사전 실행을 통해서 악성코드의 탐지 자체에만 초점을 두고 있습니다.

  • 모든 내부 사용자와 네트워크, 그리고 호스트의 비정상적인 이상행위를 감지할 수 있는 사이버 대응체계가 없습니다.

  • 최근, 사이버 위협이 고도화, 자동화, 지능화 됨에 따라서 네트워크 인프라에서 발생되는 모든 행위로의 위협의 식별되고 관리될 필요가 있습니다.




▣ 다크트레이스 특장점 소개
  • 비지도 학습기반의 머신러닝 기법을 활용한 이상행위 탐지 솔루션
  • 인간의 면역체계와 유사하게 네트워크 트래픽을 통해서 단말, 서버 등 모든 디바이스에 대한 데이터 흐름을 통해서 정상행위를 학습하고 이에 위반하는 이상행위를 판별
  • 수학적 모델링에 근간하고, 시그니처와 룰에 의존하지 않기에 지속적으로 발생하는 지능적이고 고도화된 공격에 대처 가능


▣ 다크트레이스 주요 기능

  • 정상 상태의 단말, 서버, 네트워크의 데이터 흐름을 자동으로 학습하고 분류

  • 비정상 징후 및 행위의 데이터 흐름에 대한 실시간 탐지 및 이벤트 시각화

  • 데이터 흐름에 대한 3D 기반의 직관적인 분석 화면 제공 및 플레이백 지원



 구분

 다크트레이스 

 기존 솔루션 

 탐지 / 분석 방식

 트래픽 메타데이터를 기반으로 한 머신러닝 

 패턴, 시그니쳐, 룰, 샌드박스 등 

 탐지 / 분석 범위 

 모든 비정상적 이상 행위 

 악성코드 및 알려진 외부로부터의 공격 

 솔루션 적용 범위 

 네트워크 전 구간 적용 가능

 (망분리 환경 내부망 및 ICS 산업제어망도 적용 가능) 

 외부망 및 경계 구간 






2. 사일런스 프로텍트


▣ 사일런스 소개

머신러닝 기반 악성코드 탐지 솔루션인 CylancePROTECT는 기존에 수집된 악성코드의 특성을 다양한 머신러닝 알고리즘을 적용하여 학습하고, 이 학습데이터를 기반으로 전혀 새로운 형태의 악성코드도 분류해 낼 수 있는 인공지능을 탑재하고 있습니다. 




이러한 인공지능은 알려지지 않은 신종, 변종 악성코드를 정확히 탐지해 낼 수 있으며, 기존의 시그니처 기반, 휴리스틱 기반, 샌드박스 기반, 평판조회 기반 AV 솔루션 대비 훨씬 높은 탐지율을 보장합니다.


CylancePROTECT의 인공지능은 헤더정보, 서명, 각종 스트링, 임포트, 섹션 권한, 패커, 컴파일러 등에 이르기까지 700만개 이상의 파일 특징(feature)을 0.1초 이내에 종합하여 소위 “파일의 DNA”를 분석해 그 의도를 정확히 파악하고 악성여부를 판단합니다.



▣ 사일런스 특장점 소개

◈ 악성코드 실행전 차단 (Malware Execution Control)

- 프로세스 신규 생성 또는 라이브러리 로딩시 해당 파일을 검사하여 악성일 경우에는 실행전 차단

- 기존, 신종, 변종 악성코드, 랜섬웨어 등의 실시간 사전 차단


◈ 메모리 공격 실시간 제어 (Memory Protection)

- 익스플로잇 방지

- 코드 인젝션 방지 (메모리 원격할당, 매핑 등)

- 권한 상승 방지 (LASS 읽기, 제로할당 등)


◈ 스크립트/익스플로잇 실시간 제어 (Script Control)

- 악성 PowerShell / 액티브 스크립트 차단

- MS Office 문서 내 악성 VBA 매크로 차단

- File-less 기반의 공격탐지 및 차단


◈ 앱 제어 (Application Control)

- 실행 가능한 앱 리스트 관리

- 앱 변경 제어


◈ 디바이스 제어 (Device Control)

- USB 저장장치 이용 로깅 및 통제

- 외부 저장장치를 통한 정보유출 방지



▣ 사일런스 특징


  구분

  세부 내용

  AI-Based Detection & Prevention

 No 시그니처, No 휴리스틱, No 샌드박스, No 행위분석, YES 지도학습 기법을 활용한 머신러닝

  Context-aware OS, Application, Network, File, Registry, Memory, Process와 같은 엔드포인트 호스트 정보를 통해 다양한 Context 활용
  Light-weight 1-3% CPU / ~40MB Memory
  OS Coverage Windows, Mac, Linux(RedHat, CentOS)
  Advanced Threat Prevention PREdictive, PREvention, PRE-execution






※ CylanceProtect로 WannaCry 랜섬웨어를 탐지하는 데모 영상




인공지능 기반 보안솔루션인 다크트레이스(Darktrace)사일런스프로텍트(CylancePROTECT) 제품에 대한 문의나 견적은 아래의 아이마켓코리아 담당자에게 연락주시기 바랍니다.



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

[다크트레이스] 진화하는 갠드크랩 랜섬웨어, 인공지능 보안 솔루션으로 방어

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019.02.25 19:00 / 카테고리 : 차세대 위협감지 - 다크트레이스


갠드크랩(GandCrab) 랜섬웨어는 지난해부터 현재까지 전 세계의 PC 사용자들을 가장 많이 괴롭혀온 악성코드입니다. 진화를 많이 거치고 있는 랜섬웨어이기에, 대응이 쉽지 않고 피해도 큰 것이 특징입니다. 


갠드크랩 랜섬웨어는 공개키 방식으로 파일을 암호화는 특징이 있으며 주로 스팸메일과 익스플로잇 킷을 통해서 전파되었습니다. 파일 확장자는 [.crab]을 가지고 있습니다. 


버전 업그레이드를 통해서 꾸준히 진화하는 갠드트랩 랜섬웨어를 알아보고 대처할 수 있는 보안 솔루션에 대한 소개를 하겠습니다.


GandCrab v1

2018년 1월에 러시아 해킹 커뮤니티에서 발견되었습니다. 



GandCrab v2

2018년 3월에는 발견되었으며. 일부 내용이 변경되었지만 전체적인 동작과정은 거의 동일하였습니다. 이후에 4월에는 v2.1이 등장하였으며, 저작권 관련한 경고 문구를 삽입하여 실행을 유도하는 방법으로 사용되었습니다. 


또한, APT 기법에도 많이 활용되어 입사지원서로 위장하거나 웹사이트에 기생하는 방식으로 배포되는 등의 다양한 변종이 등장하였습니다. 


GandCrab v3

2018년 5월에는 버전 3이 등장하였으며, 이동식디스크를 통해서 유포되어 좀비PC를 양산하고 암호화폐인 Monero를 강제로 채굴하게 하는 등의 경제적 이득을 취하는 형태로 변형되었습니다. 


또한, 피고 소환장 통지서, 저작권 관련 위반 경고 관련 내용으로 위장하여 많은 클릭을 이끌어 내어 감염사례도 폭증하였습니다. 


GandCrab v4

2018년 7월에는 확장자가 [.krab]으로 변경된 변종이 등장하였으며, 암호화 알고리즘도 Salsa20으로 변경되었습니다. 이것도 입사지원서나 특정 웹사이트에 기생하는 형식, 그리고, 공정거래위원회를 사칭한 APT 공격의 형태로도 배포가 되었습니다.


GandCrab v5

2018년 9월에는 랜덤 확장자와 HTML 랜섬노트를 사용하는 버전 5가 발견되었습니다. 확장자도 5자리의 랜덤한 확장자로 변경되었으며, 안내문도 한글로 이루어져 있다는 특징이 있습니다. 


10월에는 5.05 버전으로 업데이트되어 기존의 복호화 툴로도 복구가 완전히 불가능한 신종변종이 등장하였습니다. 한 백신업체가 5버전 복호화 툴을 개발하였지만 바로 복호화가 불가능한 버전이 나온 것입니다. 



이외에도 5버전 부터 변종이 등장하면서 기존 백신, 복호화 툴로는 막을 수 없는 상황에 이르렀습니다.


이렇게 랜섬웨어와 같이 기업에 막대한 피해를 입히는 악성코드들은 지속적으로 버전업이 되거나 변종이 계속적으로 나오게 됩니다. 기존의 시그니처, 룰 기반으로 안티바이러스나 랜섬웨어 솔루션으로는 피해사례가 발생한 후에나 조치가 가능합니다.


사이버 보안에 있어서 최고의 대응은 바로 사전예방입니다. 기존에 없던 악성코드나 변종은 새로운 방식의 방법으로 접근해야 합니다. 


엔드포인트 및 네트워크 등의 지속적인 감시를 통해서 24시간 인공지능이 감시하고 분석하고 분류하는 방식의 머신러닝 기법을 통해서 안전한 방어가 가능합니다.  



Enterprise Immune System DarkTrace(기업 면역 체계 다크트레이스)

다크트레이스는 실시간으로 사어버 위협을 탐지 하고 차단할 수 있는 인공지능 기반의 머신러닝 보안 솔루션입니다. 실시간 위협 탐지 및 대응이 가능하며 머신러닝 및 AI를 기반으로 설계되었기 때문에 규직이나 사용자 인증이 필요 없습니다.




다크트레이스의 Enterprise Immune System은 사이버 보안을 위한 세계 최고의 인공지능형 머신 러닝 기술입니다. 이 새로운 기술은 정교한 사이버 위협이 퍼져 있는 보안 취약의 시대에 맞도록, 인간 면역 체계의 자가 학습 인텔리전스를 응용하여 자체적인 보안 기술을 근본적으로 변화시켰습니다.


인간의 면역 체계는 놀랍도록 복잡하며, 끊임없이 돌연변이를 일으키는 바이러스 DNA와 같은 새로운 형태의 위협에 지속적으로 대응합니다. 신체의 정상 상태를 학습하고 정상 패턴에 맞지 않는 이상 요소를 식별해 무력화합니다. 



Darktrace는 이와 동일한 원리를 엔터프라이즈 및 산업용 환경에 적용합니다. 머신 러닝과 AI 알고리즘을 기반으로 한 Enterprise Immune System 기술은 네트워크 상의 모든 디바이스 및 사용자 고유의 '행위 패턴'을 반복적으로 파악하고, 다른 방식으로는 탐지하기 어려운 새로운 위협을 식별하기 위해 이러한 세부 정보의 상관성을 분석합니다. 


인간의 면역 체계와 마찬가지로 Enterprise Immune System은 위협이나 활동 패턴의 잠재적 위협 가능성을 파악하기 위해 이를 사전에 경험할 필요가 없습니다. 사전 지식이나 사용자 인증 없이 자동으로 동작하며, 네트워크 내에서 탐지하기 어려운 은밀한 공격을 실시간으로 탐지하고 차단합니다.




다크트레이스는 다양한 시스템과의 통합이 가능하며, 예방과 대응이 가능합니다.



인공지능 및 머신 러닝을 통해서 조직의 기본 구조를 자동으로 파악합니다.

인공지능(AI) 및 머신 러닝은 사이버 보안 업계에 막대한 가능성을 제시하고 있습니다. 오늘날 새로운 머신 러닝 방식은 처리할 수 있는 컴퓨팅 기반 분석의 양이 광범위하기 때문에, 위협 탐지의 정확성을 대폭 개선하고 네트워크 가시성을 향상시킬 수 있습니다. 또한, 새로운 자율 대응의 시대를 예고합니다. 즉 컴퓨터 시스템은 실시간으로 위협을 차단하는 방식과 시점을 효율적으로 파악할 수 있습니다. 


Darktrace는 처음부터 과거 공격과 관련된 데이터로 미래에 일어날 공격을 예측할 수 있다는 가정을 받아들이지 않았습니다. 그 대신 Darktrace의 사이버 AI 플랫폼은 자율 학습 (Unsupervised) 방식의 머신 러닝을 사용해 확장 가능한 네트워크 데이터를 분석하고, 확인된 증거를 바탕으로 확률에 기반해 수십 억 번의 계산을 수행합니다. 이는 과거 위협에 대한 지식에 의존하는 대신, 데이터를 독립적으로 분류하고 눈에 띄는 패턴을 탐지합니다. 


Darktrace가 자랑하는 세계 최고의 사이버 AI는 전세계 수 천 개 조직이 모든 종류의 위협을 식별하고 이에 대응할 수 있도록 하며, '정상' 행위에서 벗어나 주의가 필요한 비정상 상태를 강조합니다. 이는 오늘날 기업에서 사용되는 것 중 가장 정확하고 확장성이 뛰어나며 가장 잘 입증된 인공지능 플랫폼으로 꼽히고 있습니다.



왜 다크트레이스(DarkTrace) 인가요?

날로 정교해지는 사이버 공격은 이제 기존 보안 솔루션으로 탐지하고 분석하는데 한계가 있습니다. 또한, 방대한 네트워크의 흐름 속에서 무엇을 보아야 하는지에 대한 어려움이 존재합니다. 다크트레이스는 머신러닝 기반의 이상행위 탐지 솔루션으로 이러한 고민을 해결해 드립니다.


다크트레이스 사이버 인텔리전스 플랫폼


다크트레이스의 주요 기능 소개

  • 대상 네트워크 환경에 대한 자동 분석 및 350가지의 학습 기준 추출

  • 스스로 머신러닝을 통해서 정상행위 모델을 수립하고 지속적으로 발전

  • 유기적인 이상행위 감지 및 250개 이상의 위협으로 자동 분류합니다.

  • 통신내역의 시계열 분석을 통해서, 보안사고 원인을 파악하고 대응하고 지원합니다.


다크트레이스 도입 효과

  • 악성으로 의심되는 행위를 자동 추출함으로서 효과적인 분석 수행 가능

  • 시그니처 기반의 보안솔루션에서 탐지불가한 이상행위에 대한 탐지가 가능

  • 머신러닝 엔진으로 자동 학습을 통한 탐지율 자동 향상

  • 다양한 네트워크 트래픽에서 의심스러운 분석대상 실시간 탐지로, 악성코드, APT 위협 대응 강화


다크트레이스 탐지 효과

  • 수상한 웹사이트에 접속 및 파일 다운로드 감시 및 차단

  • 기업용 랜섬웨어의 내부 확산 방지

  • 업로드 시간, 용량, 패턴의 변화 탐지

  • 미허용 자산의 갑작스러운 통신 감지



다크트레이스 주요 모델별 스펙




한눈에 모든 것을 파악 가능한 Darktrace Threat Visualizer

Threat Visualizer는 Darktrace의 실시간 3D 위협 알림 인터페이스입니다. Threat Visualizer는 위협 알림을 표시하고 네트워크의 일상적인 활동에 대한 개요를 시각적으로 제공합니다. 이는 사용하기 쉬울 뿐만 아니라, 보안 전문가와 회사 경영진 모두가 이용할 수 있습니다. 


Threat Visualizer 사용자 인터페이스(UI)최첨단 시각화 기술을 이용해 분석팀에 중요 사고 및 위협을 자동으로 알려, 분석팀이 사전대응적으로 인프라의 특정 영역을 조사할 수 있도록 합니다.




100% 가시성

시각화 기술은 경영진에게 회사 네트워크의 전체적인 개요를 제공하여, 기술 전문가와 경영진의 효율적인 커뮤니케이션을 통한 의사 결정이 가능합니다. 


경영진은 네트워크 환경에 대한 인식과 이해도를 높이고 경영상의 의사결정 능력을 개선해, 보안 문제를 수월하게 감독할 수 있습니다.



다크트레이스는 전세계 70개국, 3750개 레퍼런스를 보유하고 있는 검증 받은 보안 솔루션입니다.




기업의 가장 큰 위협인 랜섬웨어 예방, 다크트레이스의 네트워크 및 엔드포인트 감시 및 탐지로 안전하게 보호하시기 바랍니다. 제품 구입 문의는 아래의 아이마켓코리아 담당자에게 연락주시면 안내해드립니다.




(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

[사일런스] 안티바이러스, 백신 제품 취약점을 통한 사이버공격 방어

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019.02.19 08:00 / 카테고리 : 사일런스 프로텍트



IoT (사물인터넷) 디바이스 및 산업기반 제어 시스템인 스카다(SCADA) 시스템에서 보안이슈가 계속 발생하고 있습니다.  특히, 사물인터넷 디바이스 특성상 보안에 취약하고 스카다 시스템 같은 경우에는 보안사고가 발생하며 피해 규모가 크기 때문에 보안에 사이버 공격에 각별한 주의가 필요합니다. 



오히려, 특정 안티바이러스 제품 같은 경우에는 구버전일 경우에는 보안을 강화하는 것이 아닌, 안티바이러스 프로그램의 자체 취약점을 통해 사이버 공격이 이루어지고 있습니다. 이로 인해 발생하는 사이버 공격의 유형은 아래와 같습니다. 


  • 사용자 정보 노출 : 시스템에 등록된 사용자 정보 노툴

  • 권한 상승 : 관리자 권한 획득

  • 취약한 접근 통제 : 관리자 권한 획득

  • 취약한 비밀번호 설정 : 신규 비밀번호 설정 시에 기존의 비밀번호를 요구하지 않고 변경

  • 중요 정보 평문 저장 : 중요 정보를 암호화하지 않은 채 보관

  • 권한 상승 : 관리자 권한 획득 후 임의 명령어 실행

  • 원격코드실행 : 시스템 명령어 삽입 및 실행




기존 시그니처, 룰기반 등의 안티바이러스 또는 엔드포인트 솔루션은 이제 더 이상 안전한 방어막이 아니며, 오히려 취약점을 제공하여 사이버 공격을 제공하는 공격 루가 됩니다.  보안 관리자는 현실적으로 모든 디바이스의 S/W 및 보안 솔루션을 최신버전으로 업데이트 하기 힙니다. 


그렇기 때문에, 사람의 개입이 최소화 되어야 되며, 업데이트가 지속적으로 이루어지지 않아도 안전하게 사물인터넷 디바이스, 스카다 시스템의 사이버 공격 방어가 되어야 합니다.



왜 사일런스 엔드포인트 프로텍트(Cylance Endpoint Protect) 인가요?

  • CylancePROTECT® 는 운영 시 인간의 개입이 최소화 되며, 머신러닝 기반의 위협 차단이 이루어 집니다.

  • CylancePROTECT® 는 시그니쳐 등의 지속적인 업데이트 없이 보안 위협의 99% 이상을 차단합니다.

  • PC 및 서버의 자원 사용을 최소화 하여 운영됩니다.




사일런스 회사는

사일런스프로텍트는 엔드포인트 보안 및 보안 컨설팅 서비스를 제공하고 있으며, 각종 OEM 및 기술 파트너쉽을 체결하고 있는 기업입니다. 또한, 연간 1089%의 고속성장, 1천여개사 이상의 고객사를 보유하고 있습니다. 이미 2백만개 이상의 엔드포인트에 설치되어 운영 중인 솔루션이며, 지난 10년간 EPP 스타트업 기업 중 가장 빠른 성장을 보이고 있는 보안 전문 기업입니다. 




사일런스는 가트너 매직 쿼드런트 평가에서도 기업의 비전, 사업실행 능력에서도 빠른 성장세를 보이고 있는 보안 전문 회사입니다. 


그리고, 엔드포인트 보안 영역을 계속 진화하고 있습니다. 이미 엔드포인트 시장은 진화하고 있으며, 사일런스는 엔드포인트 보안 시장에서 가장 최첨단 기술을 제공하고 있습니다. 사일런스의 기술은 엔드포인트 보안의 미래입니다.





사일런스 프로텍트는 위협으로 부터 피해가 발생하기 전에 실시간으로 엔드포인트 위협을 막아내는 사전 공격 대응 방어가 가능한 엔드포인트 솔루션입니다. 


피해 없는 탐지

인공지능(AI) 접근방식 만이, 알려지거나 또는 알려지지 않은 사이버 보안 위협이 실행되거나 또는 Endpoint에 피해를 주기 전에 찾아내고 막을 수 있습니다


인터넷 연결이 필요 없음

클라우드로의 연결을 필요로 하는 다른 Antivirus solution 과 달리 CylancePROTECT®는 인터넷 연결 없이 Endpoint상의 보안위협을 방지합니다.


쉬운 관리

Endpoint 보안을 관리하기 위해 간편하고 직관적인 웹 콘솔을 사용하고, 간단히 SIEM와 연동할 수 있습니다. CylancePROTECT®는 Signature updates나 정기적인 스캔이 필요하지 않습니다.


적은 자원 사용량

훌륭한 엔드 포인트 보호 솔루션이 되기 위한 조건은 시스템 리소스 사용을 최소화 하는 것 입니다. PROTECT는 1% 이하의 CPU와 매우 작은 메모리 용량을 사용합니다. CylancePROTECT®는 소중한 시스템 자원을 다른 주요 애플리케이션을 위해 되돌려주고 하드웨어 자원의 수명을 연장시킵니다.



사일런스 프로텍트의 수학적 알고리즘과 머신러닝 동작 기법을 통해 기존 시그니처기반, 룰기반 등에서 전혀 탐지 하지 못하였던 사이버위협들을 탐지하서 사전에 차단할 수 있습니다. 


파일 수집 → 분석 → 파일 정의/판단(악성파일 여부) → 머신러닝 학습 → AI 수학모델링 → 엔드포인트에 적용을 통해 엔드포인트의 강력한 보안을 보장합니다. 



[사일런스 프로텍트 제품의 작동 원리 플로우 차트]



Cylance PROTECT 는 머신러닝 기반을 통하여 멀웨어의 DNA를 분석하고, AI가 안전한 코드 인지를 판단합니다. 


그러므로, 시그니쳐 등의 지속적인 업데이트, 행위 분석, 샌드박싱 기법 등을 사용하지 않으면서도, 선제적인 위협 대응이 가능합니다. 또한 머신 파워를 극대화하여 사람의 개입을 최소화한 운영이 가능합니다.




사일런스 엔드포인트 프로텍트 제품의 주요 기능 (요약)



MALWARE EXECUTION CONTROL

  • No signatures : 예측 분석이 가능한 머신러닝 

  • 자율방어 : 100ms 이내의 사전실행 예방

  • No daily scans : File system 변화 기반으로 일회성 scan을 통한 검색 지양

  • Rejects : 잠재적으로 사용하지 않는 프로그램 대상(PUPs)

  • Lateral Movement에 사용되어지는 Controls tools


MEMORY PROTECTION

  • 메모리 오용(Silences memory misuse)

  • 부당이용(Exploitation)

  • 프로세스 주입(Process injection)

  • 권한 상승(Privilege escalation)


SCRIPT CONTROL

  • 허가되지 않은 PowerShell 및 Active Scripts 중지

  • 위험성이 있는 VBA macro methods 중지

  • 공격성 문서의 제어(Weaponized docs)

  • 파일 없는 공격 제어(Fileless attacks)



APPLICATION CONTROL

  • 고정 기능 디바이스에 디바이스 바이너리 잠금

  • Bad binary 방지

  • 바이너리 수정 방지

  • 윈도우 변경 허용







Windows

  • Windows XP SP3

  • Windows Vista

  • Windows 7

  • Windows 8 / 8.1

  • Windows 10

  • Windows Server 2003 SP2

  • Windows Server 2008 / 2008 R2

  • Windows Server 2012 / 2012 R2

  • Windows 2016 Standard, Datacenter, Essential


Mac OS

  • OS X 10.9 (Mavericks)

  • OS X 10.10 (Yosemite)

  • OS X 10.11 (El Capitan)

  • OS X 10.12 (Sierra)


Linux

  • RedHat Enterprise 6 ~ 7

  • CentOS 6.6 ~ 7.3




인공지능 엔드포인트 보안 솔루션인 사일런스프로텍트 EPP(CylancePROTECT)를 도입하여, 스카다 및 IOT 디바이스 보안을 구축하시기 바랍니다. 제품에 대한 문의는 아래의 아이마켓코리아 담당자에게 문의주시면 견적을 보내드립니다.



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

Blog Information

아이마켓코리아

보안솔루션, HSM, 인증보안, DLP 솔루션, 암호화 장비, 기업서버 판매, 보메트릭, 센스톤, 다크트레이스

공지사항

블로그 검색

Calendar

«   2019/10   »
    1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31    

방문자 통계

  • 전체 : 371,410
  • 오늘 : 11
  • 어제 : 82
(주) 아이마켓코리아
주소 : 서울시 강남구 삼성로 512 삼성동빌딩 16층
대표이사 : 남인봉 | 사업자등록번호 : 104-81-58502
TEL : 02-3708-8254 | Mail : raykim7@imarketkorea.com
Copyright © imarketkorea.Co,Ltd All Rights Reserved.