스스로 학습하고 방어하는 기업보안 솔루션 - 다크트레이스 안티제나 소개

작성자 : DSSa / 날짜 : 2018.01.12 17:40 / 카테고리 : 차세대 위협감지 - 다크트레이스



기업에 있어서 위협을 탐지하는 것도 매우 중요하지만, 그에 못지 않게 중요한 것이 바로 빠른 대처와 조치 입니다. 이미 머신러닝을 통해서 위협을 빠르게 탐지할 수 있는 다크트레이스(Darktrace) 솔루션에는 신개념의 자기 주도적 방어 모듈인 안티제나(Antigena)를 탑재하고 있습니다.


다크트레이스를 아는 많은 분들은 다크트레이스의 위협탐지 부분만 아는 경우가 많습니다. 하지만 다크트레이스의 진정한 우수성은 안티제나에 있습니다. 다크트레이스 안티제나에 대해서 알아보도록 하겠습니다.


다크트레이스 안티제나는 다크트레이스 엔터프라이즈 면역시스템 내에서 동작하는 신개념 자기 주도적 방어 모듈입니다. 이 기능은 궁극적으로 다크트레이스의 핵심 위협 감지 역량을 강화합니다. 안티제나는 인력의 개입 없이 진행 중인 위협을 중화시키기 때문에 인간의 면역 체계내의 항체 기능을 재현할 수 있습니다.




이를 통해서 보다 △ 빠른 위협 대응이 가능하고 △ 목표 지향적 조치가 가능하며 △ 규칙이나 시그니처가 불필요 △ 방해 없이 일상적 비즈니스 수행 △ 별도의 추가적인 도움이나 인력 최소화가 가능합니다.


다크트레이스 안티제나는 무엇인가요? (Darktrace Antigena)

머신러닝과 고급 수학으로 구현한 다크트레이스규칙이나 시그니처, 새로운 악성코드 등 기존에 대응이 불가능한 위협까지 스스로 판단하여 탐지하고 방어할 수 있습니다.


다크트레이스는 최근 "기계가 기계에 대해 싸우며 (Machine on Machine)", 고도의 공격개체들이 동원되는 새로운 시대가 도래함에 따라서 공격, 규칙 또는 이상 징후에 대해서 어떠한 사전지식이나 경험 없이도 작동하는 입증된 기계 학습과 고급 수학으로 개발된 방어체계를 구현 할 수 있습니다.


안티제나는 최초의 자동화된, 진짜 자율방어 시스템을 의미합니다. 이는 엔터프라이스 면역시스템이 귀하 조직의 일상적 업무에 영향을 주지 않으면서 특정 위협에 직접적인 조치를 취하도록 해줍니다. 안티제나는 응답시간을 향상시키고, 위험을 줄이고, 궁극적으로 내부 인원이 중요한 일에 집중 할 수 있도록 업무 환경을 구현해드립니다.


다크트레이스 안티제나 모듈은 총 3가지로 구성되어 있습니다. 먼저, 안티제나 인터넷은 인터넷과의 연결에 대한 사용자와 기기 접근 규제를 담당하고 있으며, 안티제나 네트워크는 단말기는 포함한 장비, 네트워크 연결성 및 사용자 접근 권한 규제, 안티제나 커뮤니케이션 이메일, 채팅, 그리고 기타 메시징 프로토콜 조절 규제를 담당합니다.




다크트레이스 안티제나는 귀하의 일상적인 비즈니스 운영을 방해하지 않습니다.

다크트레이스 안티제나는 비즈니스 연속성을 저해하는 요소가 없으며, 특정 위협에 대해서만 설정된 조치를 수행합니다.


다크트레이스 안티제나는 구현이 용이하고, 3rd 파티와의 통합 설정을 구성할 수 있습니다.

다크트레이스 안티제나 모듈은 다크트레이스의 핵심 기술인 엔터프라이즈 면역 시스템을 보완하여 기존 어플라이언스에 쉽게 추가하고, 구현할 수 있습니다. 그리고 소프트웨어 정의 네트워킹, 액티브 디렉토리와 같은 서드파티 솔루션들과 쉽게 통합 될 수 있으며 호환설정을 통해서 융통성 있는 구성이 가능합니다.


자가 학습, 자율 방어

다크트레이스의 엔터프라이즈 면역 시스템은 캠브리지 대학의 학자들과 보안전문가들에 의해서 발전된 기초 수학과 머신러닝에 기반하여 그 기능이 구현되며, 이는 실시간으로 미확인 위협 들의 자율기반 탐지가 가능하게 합니다.


다크트레이스가 잠재 위협을 확인하는 순간에 안티제나는 미확인 행위들의 심각성 정도에 따라서 다양한 조치가 가능합니다.


◈ 특정 위협과 그와 관련돤 행위 들의 차단 또는 지연

◈ 사용자, 시스템, 또는 장치들의 격리 또는 부분 격리

◈ 추가적인 조사 또는 추적을 위해 이메일과 같은 매체에 특정 컨텐츠 표기



다크트레이스의 특징

◈ 모든 범위의 위협에 대항하여 직접적 예방접종

◈ 실시간 방지/지연/방해 기능 제공 (Preventing / Slowing / Disrupting)

◈ 자기개선 (Self-improving)

◈ 위협확산 전 차단






다크트레이스 솔루션 도입 및 구매 문의는 아이마켓코리아 보안솔루션 담당자에게 연락 주시기 바랍니다.



(주) 아이마켓코리아
김 경 일

과장 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

다크트레이스 성공 사례 - Sality 봇네트 감염 공격

작성자 : DSSa / 날짜 : 2017.12.27 20:46 / 카테고리 : 차세대 위협감지 - 다크트레이스



호주에 위치한 금융 서비스 회사와의 POV 기간 동안, 다크트레이스(Darktrace) 면역 시스템은 멀웨어에 감염된 공격자에 악용되고 있는 듯한 행동을 하는 컴퓨터를 발견해냈습니다. 기존 솔루션들로는 발견되지 않았던 해당 현상은, 다크트레이스에 의해서 탐지가 되어 비이상적인 행동을 탐지하고 추적을 시작한 것입니다.


가장 비이상적인 행동으로는 먼저, 현재 어떠한 합법적 온라인 서비스를 제공하지 않는 "parked" 웹사이트에 접속을 시도 했다는 것입니다. 활성화 되어 있지 않는 웹사이트는 악성코드를 확산하는 데에 공격자들로부터 종종 사용되기도 하기 때문입니다. 공격자는 Sality 봇넷 명령 및 제어 센터를 호스팅하는 다른 사이트에 방문자를 리디렉션 하기 위한 방법으로 악용하고 있었던 것이였습니다.




Sality는 이러한 인프라를 이용하여 스팸을 보내거나 통신을 가로채고 중요한 데이터를 갈취하거나 중요한 웹 서버를 감염시키는 것으로 알려져 있습니다.


다크트레이스는 회사 내 디바이스 중 하나가 암호화된 채널을 통해서 이 웹사이트와 통신하는 것을 발견하였고, 숨겨진 내용은 그 이상의 명령을 포함하는 페이로드가 포함되어 있었습니다.


이번 위협은 다크트레이스의 Suspicious Domain 모델에 포착되었습니다. Suspicious Domain이란 악의적인 활동이나 감염원을 가리키는 외부 인프라의 요소를 식별하는데에 사용되며, 사용된 웹사이트는 정기적으로 사용되지 않았던 웹사이트로 비 정상적인 행위에 식별이 되어 경고창에 뜨게 된 것입니다.



이번 위협으로 보이듯이, 다크트레이스의 면역시스템은 외부로 나가는 모든 통신들 또한 모니터하고 또한, 초기에 위협을 탐지 해내므로 더 큰 위협이나 손상이 일어나기 전에 보안팀에 알려 초기 대응이 가능하도록 했습니다.


위에서 다크트레이스 POV 기간 중에서 발견한 악성 봇넷 탐지와 같이, 다른 보안 솔루션으로는 탐지할 수 없는 영역까지 다크트레이스는 탐지할 수 있습니다. 기존 시그니처 기반에서는 절대 탐지할 수 없는 부분은 존재할 수 밖에 없습니다.


머신러닝을 통해 정상/비정상 여부를 판단하는 머신러닝 기반의 보안솔루션의 도입은 앞으로 존재하는 모든 위협에 대한 방어가 가능하게 합니다.



다크트레이스는 차세대 위협탐지 시스템으로 삼성에서도 투자한 유망한 기업입니다. 다크트레이스는 세계 일류의 사이버보안 기업으로써 다양한 수상경력을 가지고 있습니다. 당사의 기업 면역 시스템은 캠브리지 대학의 전문가들이 개발한 머신러닝과 수학적인 알고리즘을 바탕으로 이전에 확인되지 않은 위협을 탐지하여 반응합니다.



다크트레이스는 사전에 정의되어 있는 규칙이나 시그니처를 사용하지 않는 대신 네트워크 내 장비, 사용자 및 네트워크의 삶의 패턴을 자동적으로 파악하여, 타 보안 시스템을 우회하며 진화하는 위협을 탐지하고 방어합니다.


애너지 및 공익사업, 금융 서비스, 무선통신, 보건, 제고, 소매 및 운송을 비롯한 여러 분야에서 세계 유수 기업들이 다크트레이스의 솔루션을 도입하고 있습니다. 다크트레이스는 영국 캠브리지와 미국 샌프란시스코에 각각 본사를 두고 있으며, 오클랜드, 런던, 밀라노, 뭄바이, 파리, 서울, 싱가포르, 시드니, 도큐, 토론토 및 워싱턴 DC를 비롯하여 전세계적으로 23개의 사무소가 있습니다.



다크트레이스의 기업 면역 시스템은 내부자의 위협을 포함하여 네트워크에서 발생하는 사이버 위협을 탐지하고 대응 할 수 있습니다. 첨단 머신러닝과 고급 수학의 무장한 기업 면역 시스템은 모든 사용자, 장치, 네트워크들의 삶의 패턴을 자동으로 학습합니다.




이러한 자가 학습 기술은 네트워크 활동에 대한 종합적 가시성을 제공하여 기업이 위협적인 사이버 공격에 선제적으로 대응하고 위험요소를 완화 시킬 수 있도록 도와줍니다.


다크트레이스(Darktrace)는? 차세대 엔터프라이즈 면역 시스템입니다.

1. 네트워크 및 사용자, 디바이스의 다양한 행위에 대한 자동학습

위협에 대한 개별 요소들의 종합적인 연관상태를 분석하고 학습하여 정상상태와 비정상적인 상태를 식별한 후 규칙이나 시그니처를 기반으로 한 전통적인 시스템이 탐지하지 못한 위협과 공격을 식별합니다. 시스템은 네트워크의 정상적인 상태를 학습하여 위협에 민감하고 반응하고 대응할 수 있는 보안 '면역체계'를 강화할 수 있습니다.


2. 네트워크, 사용자, 디바이스에 대한 수학적 확률엔진의 비정상적 행위 '순환적 확률 추론'

베이지안 순한 확률 모형 (RBE), 순차적 몬테카를로, 라쏘 모델을 통해 고객 네트워크를 사용하는 사용자 및 디바이스 행위에 대한 수학적인 확률을 계산하여 지속적으로 정상 상태를 확인하고 계산합니다.


이러한 인체의 면역기능을 응용한 네트워크, 사용자, 디바이스 기반 정상행위학습기반의 건강한 면역체계 구축




위 사례는 국내 전자상거래 업체의 개인정보 유출사태에 대한 로드맵입니다. 위 내용을 보시면 기존 보안 솔루션이 가진 한계점을 파악할 수 있습니다.


만약, 해당 전자상거래 업체에 다크트레이스 보안 솔루션이 설치되어 있었다면 어떻게 되어 있었을 까요?


국내 전자상거래 업체 해킹 사건 다크트레이스 가상 탐지 시나리오

A. "우리가족" 멀웨어의 Beaconing 파악
- 단 한번도 접속한적 없는 PC가 (확률 ??%)

- 동일 그룹내 접속 이력이 없는 IP에 (확률 ??%)

- 비 정상적인 시간에 (확률 ??%)

- 비 정상적인 주기로 접속을 시도할 경우 (확률 ??%)


B. lelowutil.exe의 악성 행위 파악

- 평소에 접속하지 않던 PC가 내부 서버에 접속 (확률 ??%)

- 평소에 다운 받지 않은 용량의 데이터를 내부 서버로부터 다운로드 (확률 ??%)

- 서버에는 평소에 보내지 않던 PC로 데이터 전송 (확률 ??%)


C. lelowutil.exe의 업로드 파악

- 평소에 접속을 맺지 않는 IP로 (확률 ??%)

- 동일 그룹내에서 접속한 적이 없는 IP로 (확률 ??%)

- 평소에 보낸 적이 없던 데이터를 전송 (확률 ??%)


위 사례와 같이 비정상과 정상을 구분하여 탐지하고 판단하는 탐지 기법에는 비지도학습 기반의 머신러닝 기술이 탑재되어 있습니다.


다크트레이스의 머신러닝 엔진은 사람의 개입을 최소화하고 현재 많은 보안 대응 체계가 채택하고 있는 시그니처와 룰기반의 접근방법을 따르지 않습니다.

◈ Thought 사고 - 과거와 정보를 학습하며 판단에 필요한 인사이트를 제시합니다.

◈ Real Time 실시간 - 시스템은 현재 시점을 분석합니다.

◈ Self-Improving 자가개선 - 새롭게 학습되는 정보를 통해 스스로 개선해 나갑니다.




비지도학습 

 지도학습

 - 학습 시 출력값에 대한 정보 없이(교사 없이) 진행되는 학습

 - 군집화, 밀도 추정, 차원축소, 특징 추출 등이 필요한

   문제에 적합

 - 출력 결과 값을 미리 알려주는 교사가 존재하는 학습법

 - 주로 인식, 분류, 진리, 예측 등의 문제 해결에 적합함

 - 동물과 관련된 데이터가 입력되면 수집된 데이터로부터

   특징을 추출
 - 군집화, 추정을 통해 서로 다른 종으로 구분하여 분류

 파충류, 포유류 등 종에 대한 분류지표와 기준을 이미 입력시킨 후 컴퓨터로 하여금 어떤 종이 파충류인지 또는 포유류 인지 분류





(주) 아이마켓코리아
김 경 일

과장 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

기업 면역 시스템을 만든 다크트레이스(DarkTrace) 회사 소개

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2017.06.22 10:14 / 카테고리 : 차세대 위협감지 - 다크트레이스



최근에 일어나는 일련의 랜섬웨어 사태 등을 보고 있으면 이제 많은 분들이 느끼시는 부분이 있을 것 입니다. 바로 이제 해킹 공격은 일반인 대상이 아닌 기업을 대상으로 하며, 특히 광범위한 서비스를 하고 있는 기업은 해커의 주요 타겟이 되고 있습니다. 이전 공격 방식이 무차별적 공격이라면 이제는 APT(지능적 지속 위협) 공격 방식으로 주요 기업 담당자를 노리는 경우가 많습니다. 이유는 간단합니다. 돈이 되기 때문입니다.



이를 막기 위해서는 회사에서 운영하고 있는 인프라 시스템의 패턴을 정상과 비정상적인 상황으로 구분하여 비정상적인 상황일 때를 즉각적으로 모니터링하고 대처할 수 있어야 합니다. 다크트레이스 솔루션은 이에 착안한 보안 솔루션입니다.


[다크트레이스의 위협 시각화 솔루션 - 3D 토폴로지 인터페이스]



머신러닝 기법으로 정상 상태와 비정상적인 상태를 학습하여 이를 시각화하여 리포팅 합니다. 이를 통해 APT 공격으로 들어오는 각종 보안 위협들을 해결할 수 있습니다. 정상상태와 비정상적인 상태는 수학적인 확률 이론을 통해 다크트레이스 솔루션이 스스로 학습합니다. 학습한 정상 상태와 비정상 상태를 구분하여 네트워크의 이상을 직접 판단하게 됩니다. 


다크트레이스에서는 이를 "기업 면역 시스템 (Enterprise Immune System)" 이라고 정의합니다.


다크트레이스는 기업 소개

다크트레이스는 진화된 사이버 위협으로부터 기업의 네트워크 정보를 보호하기 위해 인간 면적 체계의 생물학적 원리를 적용합니다. 다크트레이스의 비전은 우발적인 사건이 큰 피해를 가져오는 사이버 공격으로 발전하기 전에 첨단 기술을 이용하여 조직의 네트워크 내에서 비정상적인 행동을 탐지하는 것 입니다. 


다크트레이스의 역량

- 네트워크 내부의 존재하는 위협을 탐지합니다.

- 정상 및 비정상 상태를 실시간으로 학습합니다.

- 외부는 물론 내부 위협 또한 탐지하고 대응합니다.

- 클라우드 환경과 가상화 환경은 물론 산업 제어 시스템에서도 작동합니다.

- 설치 후 즉시 결과를 제공합니다.


다크트레이스의 보안 철학은 오바마 전 미국 대통령의 연설에도 그 중요성이 잘 나타나 있습니다.

"우리는 전통적으로 안전과 보안을 논할 때면 갑옷이나 벽 등의 외각 보호만을 생각해왔습니다. 하지만 요즘은 더 많은 약품을 찾게 되고 바이러스나 항체 등을 떠올리게 됩니다.


사이버 보안이 계속해서 어려워지는 이유 가운데 하나는 위협이란 우리를 향해 진격해 오는 탱크 군단이 아닌 기어들어오는 벌레 한마리의 침입에도 취약할 수 있는 거대한 시스템 안에 있기 때문입니다. 즉, 우리는 보안을 새로운 관점으로 생각해 보아야 한다는 것입니다."

- 오바마 대통령, 2016


기업 면역 시스템 (Enterprise Immune System)

각종 수상 경력이 있는 다크트레이스 기업 면역 시스템은 내부자의 위협을 포함하여 네트워크 내에서 발생하는 사이버 위협을 탐지하고 대응 할 수 있습니다. 첨단 머신러닝과 고급 수학으로 무장한 기업 면역 시스템은 모든 사용자, 장치, 네트워크들의 '삶의 패턴'을 자동으로 학습 합니다. 


이러한 자가 학습 기술은 네트워크 활동에 대한 종합적 가시성을 제공하여 기업이 위협적인 사이버 공격에 선제적으로 대응하고 위험요소를 완화시킬 수 있도록 도와줍니다.




사이버 보안에서 왜 머신러닝과 수학이 중요한가요?

정보를 보호하기 위해서 더욱 더 높은 벽을 쌓아 올리게 되는 기존의 접근방식은 요즘 고도화된 보안 위협 방식에는 적합하지 않습니다. 머신러닝과 고급수학을 이용하여 캠브리지 대학의 전문가들이 개발한 기업 면역 시스템은 사이버 보안의 새로운 시대를 가능하게 하였습니다. 


다크트레이스는 '나쁜 행위'를 가전에 정의하고 과거의 공격 방식에 대한 알려진 지식에 의존하는 대신, 머신러닝 접근법을 이용하여 빠르게 정보를 자동으로 모델링하고 클러스터링 할 수 있습니다.


다크트레이스에 대한 몇가지 사실들

  • 2000+ 솔루션 설치
  • 270+ 글로벌 파트너 보유
  • 23 글로벌 오피스
  • 360+ 임직원
  • 가트너 'Cool Vender' 2015 선정
  • 2016 Info Security의 글로벌 엑설런스 어워드 'Best Security Company of the Year' 수상
  • 2015 세계경제포럼 (다보스 포함) '기술 개척상(Technology Pioneer)' 수상
  • 2016 Network Product Guide의 IT World 어워드 '올해의 최고 IT 기업상' 수상
  • 본사 : 영국 캠브지리 & 미국 샌프란시스코




[다크트레이스 글로벌 오피스 현황]



머신러닝 기법을 통해서 인프라의 정상적인 패턴을 학습하고 이상징후 패턴을 분석하여 시각화하는 차세대 위협탐지 솔루션인 다크트레이스(DarkTrace) 관련 문의는 아래 담당자에게 연락주시기 바랍니다.



(주) 아이마켓코리아
김 경 일

과장 │ IT 솔루션 영업팀
TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

머신러닝 기반 산업 인프라 위협 감지 솔루션 - 다크트레이스 (DarkTrace)

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2017.05.26 14:41 / 카테고리 : 차세대 위협감지 - 다크트레이스



산업 인프라는 특히 공격당하면 크게 위험한 기반 시설이 많습니다. 또한 해커들에 있어서 가장 중요한 공격 대상이기도 합니다. 하나의 국가를 마비시킬 수도 있기 때문입니다. 


하지만, 산업 기반 시설 보안에는 완벽한 방어는 있을 수 없으며, 고도화된 위협은 항상 새로운 방법을 찾아냅니다. 그리고 내부자에 의한 위협도 외부 공격과 같은 수준으로 감시되고 보호되어야 하며, 사람은 24/7 시그니처와 룰을 항상 업데이트 할 수 없는 이슈가 있습니다. 



왜 ICS / SCADA 등의 산업 기반 시스템 보안이 필요할까요?

1. 산업 네트워크 망은 애드혹형태로 구성되어 왔습니다.

   - 산업 기반 시설의 증설에 따라서 기존의 경계보안 영역안에 새로운 종류의 장치가 보안성에 대한 검증 없이 도입되었습니다.

2. 사이버 보안은 반영되어 있지 않으며, 네트워크 재구성은 현실적으로 어렵습니다.

3. 산업제어소프트웨어는 패치가 되지 않아 안전하지 않은 OS 환경에 운영됩니다.

4. 산업기반 시설이 국내 여러곳에 물리적으로 떨어진 여러 지역에 존재할 경우 보안 리스크는 더 클 수 있습니다.

5. 산업기반 시설은 외부 사용자/원격 근무자를 위하여 점차 외부로 연결되는 추세입니다.



최근 동향과 같이 산업 기반 시설이 외부 네트워크에 연결될 수록 방화벽을 비롯한 전통적인 경계보안 솔루션은 현존하는 사이버 테러의 위협으로부터 산업 기반 시설을 안전하게 지킬 수 없습니다.





ICS/SCADA 망의 침해사고 사례

1. 독일 대형 제철소 

2014년, 독일의 한 대형제철소는 기존의 발견되지 않은 장기간에 걸친 사이버공격으로 인해 용광로가 통제불능에 빠져 가동 정지


2. 하벡스와 에너제틱 베어 악성코드

에너제틱 베어 (Energetic Bear)는 2014년 광범위하게 퍼진 공격 기법으로 산업 제어망을 공격대상으로 하였습니다. 주 사용된 멀웨어는 하벡스(Havex Remote Trojan) 


3. 스턱스넷 (Stuxnet) 공격 - 우크라이나 핵발전소

2010년에 언론에 조명된 ICS/SCADA 침해사고 관련 가장 유명한 사건입니다. 우크라이나 네이턴즈 핵 발전소에서 발생한 사고로, 총 4개의 Malware가 사용되었고, 그 중 2개의 Malware는 아주 교묘한 방법으로 핵 발전소 산업제어망으로 침투 성공 후 발전 설비의 제어 신호를 스니핑하여 변조.



진화하는 위협 방어를 위한 발상의 전환이 필요합니다. 존의 룰, 시그니처, 샌드박스 등의 알려지고 공유된 방법을 보완할 새로운 접근방법이 필요합니다.


1. 경계보안의 강화를 통한 방어체계의 한계

   - 많은 기업들과 기관들이 인터넷과 인트라넷/서버팜의 경계구간의 강화를 통한 위협 대응을 수행하고 

     있지만, 계속적으로 진화하는 공격의 방어와 대응에 한계가 있습니다.

2. 행위에 대한 정상 및 합법여부 정의의 어려움

   - 정상 및 합법적 행위여부를 정의하기 위한 많은 행위규칙(Rule)과 위협식별을 위한 시그니처들로부터 

      벗어난 다양한 행위들이 존재하고 있습니다.

3. 시스템과 기술을 뛰어 넘는 새로운 위협의 등장

   - 악성코드, 봇넷, 사이버범죄 등의 종착지는 사람입니다. 인적 요소에 의한 내부정보 탈취, 시스템파괴 및 

     다양한 위협의 발생빈도가 지속적으로 증가하고 있습니다. 



정책과 시그니처, 룰을 기반으로 한 심층방어체계는 새로운 공격와 위협이 발생할 경우에 방어수단의 확보시까지 발견하기 어렵고 시간이 많이 소요될 수 밖에 없습니다. 이상행위를 발견하고 대응할 수 있는 보다 폭 넓은 가시성의 확보가 필요합니다. 


정상적인 시스템 상태를 알고 있다면 비정상적인 행위는 쉽게 탐지할 수 있습니다. 다크트레이스는 정상적인 시스템 상태를 머신러닝 기법으로 숙지하고 비정상적인 패턴이 발견되면 이상 징후를 탐지하고 진단합니다.



다크트레이스(DarkTrace) - 차세대 산업 인프라 면역시스템



◈ 네트워크, 사용자, 디바이스의 다양한 행위에 대한 자동학습

    - 위협에 대한 개별요소등의 종합적인 연관상태를 분석하고 학습하여 정상적인 상태와 비정상적인 상태를 식별하고, 규칙이나 시그니처를 기반으로 한 전통적인 시스템이 탐지하지 못한 위협과 공격을 식별합니다. 시스템은 네트워크의 정상적인 상태를 학습하여 위협에 민감하게 반응하고 대응할 수 있는 보안 면역체계를 강화할 수 있습니다.

◈ 네트워크, 사용자, 디바이스에 대한 수학적 확률엔진의 비정상적 행위를 순환적으로 확률 추론

   - 베이지언 순환 확률 모델, 순차적 몬테카를로, LASSO 모델 등을 통해서 고객 네트워크를 사용하는 사용자와 디바이스 및 행위에 대해서 수학적 확률을 계산하여 지속적으로 정상 상태를 확인하고 계산합니다. 


인체의 면역기능을 이용하여 네트워크, 사용자, 디바이스 간 정상행위학습기반의 건강한 면역체계 구축





우크라이나 핵 발전소 침해사례 모식도 및 다크트레이스 가상 탐지 시나리오



다크트레이스가 ICS/SCADA 망 침투 이전 시점을 파악할때는 아래와 같이 동작합니다.

단 한번도 접속한적 없는 PC의 확률, 비정상적인 유저 브라우저의 확률, 비 정상적인 시간에 일어날 확률, 비정상적인 주기로 접속시도하는 확률 계산


그 이후, ICS/SCADA 망 침투 이후 시점에는 아래와 같이 동작합니다.

단 한번도 접속하지 않은 Control 서버의 확률, 비정상적인 트래픽 발생 확률,  비정상적인 시간에 일어나는 확률, 이전에 없는 주기로 통신하는 확률을 계산


위와 같이, 다크트레이스 솔루션은 사용자, 디바이스, 네트워크 행위를 학습하고 추론하고 시각화합니다.



머신러닝 기법을 통해서 인프라의 정상적인 패턴을 학습하고 이상징후 패턴을 분석하여 시각화하는 차세대 위협탐지 솔루션인 다크트레이스(DarkTrace) 관련 문의는 아래 담당자에게 연락주시기 바랍니다.



(주) 아이마켓코리아
김 경 일

과장 │ IT 솔루션 영업팀
TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090




Trackbacks 0 / Comments 0

기업 보안 위협 증가, 기업 면역 시스템 다크트레이스로 예방

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2017.04.25 15:15 / 카테고리 : 차세대 위협감지 - 다크트레이스




세계적인 보안 업체인 카스퍼스키 랩이 지난 주에 발표한 보고서에서는 개인을 노리는 사이버 공격은 감소한 반면에, 기업을 노리는 사이버 공격은 크게 증가한 것으로 나타났습니다. 2015년도의 개인 피해지는 무려 21%나 감소하였지만 기업을 노리는 사이버 공격은 무려 25%나 증가하였습니다. 


이러한 현상이 된 이유에는 이윤을 남기는 해커들의 목적 때문인 것으로 나타났습니다. 기업을 목표로 한 사이버 공격이 수익성이 좋으니, 수익을 목적으로 한 해킹 활동은 기업 대상의 타겟으로 전환되고 있는 추세 입니다. 


특히, 윈도우 OS의 취약점과 브라우저의 취약점을 노리는 익스플로잇 공격은 떨어졌지만, 기업에서 많이 업무용으로 사용하는 프로그램인 오피스 소프트웨어를 통한 공격이 103%나 증가하였습니다. 올해도 더 많은 사이버 공격이 기업을 노리고 시도되고 있으므로 사이버 위협을 조기에 탐지하고 방어하는 위협 탐지 솔루션에 대한 도입은 반드시 필요합니다. 





차세대 위협 감지, 기업 면역시스템 - 다크트레이스 (DarkTrace)

다크트레이스(DarkTrace)는 네트워크 인프라를 통해 발생하는 모든 행위에 대해서 머신러닝기법을 활용하여 실시간으로 자동분석하고 이상 패턴을 분석하고 판별하여 외부 뿐만 아니라 내부까지의 위협을 감지하고 보고할 수 있는 차세대 위협 감지 솔루션입니다.




다크트레이스 수상 경력

◈ 가트너 Cool Vender 2015 선정

◈ 2016 Info Security의 글로벌 엑설런스 어워드 [Best Company of the Year] 수상

◈ 2015 세계경제포럼 [Technology Pioneer] 수상

◈ 2016 Network Product Guide의 IT World 어워드 [올해의 최고 IT 기업상] 수상



기존 사이버 보안 대응체계는 여러가지 한계점에 부딪치고 있습니다.
1. 
기 도입된 탐지 솔루션들은 외부에서 내부 공격의 방어에만 초점을 두고 있음.

2. 시그니처 및 룰 기반이기 때문에 신규 및 변종 공격에 대한 방어가 어려움

3. 내부 사용자 및 네트워크, 디바이스 등의 비정상적인 행위를 탐지하기가 어려움

4. 최근 사이버 위협은 고도화, 지능화, 목표를 정확하게 노리고 공격하지만 모든 네트워크 인프라의 행위를 추적하기가 어려움

다크트레이스는 인간의 면역체계와 유사한 형태로 동작하는 위협 탐지 솔루션으로 머신러닝 기법을 활용한 이상행위 탐지 솔루션입니다. 인간의 면역체계와 유사하게 네트워크 트래픽을 통해 단말과 서버 등 모든 디바이스에 대한 데이터 흐름을 통해서 정상행위를 학습하고 이에 위반에는 비정상적인 이상행위를 판별할 수 있습니다. 시그니처와 룰에 의존하지 않는 만큼 다양한 상황에 대해서 대처가 가능합니다. 





기업 면역 시스템이란?

각종 수상 경력을 자랑하는 다크트레이스(DarkTrace) 기업 면역 시스템은 내부자의 위협을 포함하여 네트워크 내에서 발생하는 사이버 위협을 탐지하고 대응할 수 있습니다.  첨단 머신러닝 기법과 고급 수학으로 무장한 다크트레이스 기업 면역 시스템은 모든 사용자와 장치 네트워크 들의 패턴을 자동으로 학습합니다. 


이러한 자가 학습 기술을 바탕으로 네트워크 활동에 대한 종합적인 가시성을 제공하고 기업이 위협적인 사이버 공격에 선제적으로 대응하고 위험요소를 완화시킬 수 있도록 도와줍니다.


왜 사이버 보안에서 머신러닝과 수학이 중요한가요?

정보를 보호하기 위해서는 더욱더 높은 벽을 쌓아올리는 기존의 방식은 최근 고도화, 첨단화 되고 있는 각종 사이버 위협을 방어할 수 없습니다. 머신러닝과 고급수학을 바탕으로 캠브리지 대학의 전문가들이 개발한 다크트레이스 기업 면역 시스템은 사이버 보안의 새로운 시대를 가능하게 하였습니다.


다크트레이스(DarkTrace)는 비정상적인 행위를 사전에 정의하고 머신러닝 접근법을 이용하여 빠르게 정보를 자동으로 모델링하고 클러스터링 할 수 있습니다. 



다크트레이스(DarkTrace)의 특장점

1. 네트워크 내부에 존재하는 모든 위협을 탐지할 수 있습니다.

2. 정상 및 비정상 상태를 실시간으로 학습합니다.

3. 외부는 물론, 내부 위협 또한 탐지하고 대응할 수 있습니다.

4. 클라우드 환경과 가상화 환경은 물론, 산업 제어 시스템에서도 동작합니다.

5. 설치 후 즉시 결과를 제공합니다.



모든 네트워크 감시 데이터는 다크트레이스의 시각화 기능을 통해 2D/3D화 하여 보고하기에 한눈에 모든 상황을 파악하고 보안 위협을 탐지, 대응 전략을 세울 수 있습니다.




기업 면역 시스템인 다크트레이스(DarkTrace)에 대해서 더 궁금한 점이 있으시면 아이마켓코리아 담당자에게 연락주시기 바랍니다.



(주) 아이마켓코리아
김 경 일

과장 │ IT 솔루션 영업팀
TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090




Trackbacks 0 / Comments 0

다크트레이스 머신러닝 기반 POV(Proof of Value) 소개

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2017.04.13 14:26 / 카테고리 : 차세대 위협감지 - 다크트레이스


다크트레이스는 면역 시스템으로써의 기능은 매우 뛰어납니다. 특히, SCADA와 같이 산업시설 기반의 보안 시스템을 보호하는데 매우 효과적인 솔루션입니다. 다크트레이스 솔루션의 특장점을 크게 5가지로 알려드리면 아래와 같습니다.


1. 룰과 시그니처 필요 없이 관리 가능

   - 사전 설정 룰이나 시그니처가 필요 없는 24/7 기업 네트워크의 이상행위 탐지 및 분석

2. 보안 위협 자동 탐지 및 3D 기반의 실시간 시각화 솔루션

   - PCL 백도어, 비정상 원격 접속, 원격에서의 ICS망 접속, PLC의 외부 데이터 전송 등

3. ICS/SCADA 네트워크의 가시성 100%

   - 네트워크 상의 모든 사용자, 단말, 장비 분석 가능

   - 프로토콜 : Modbus, DNP3, CIP Ethernet/IP and OPC IEC-60870-5 (and 101), ICCP and IEC-61850

4. 실시간 분석 및 과거 데이터 재생 플레이백

   - 350+ 메트릭으로 메타데이터화 된 트래픽 패킷을 1년 보관

   - 풀 패킷 2주 이상 보관 

5. ICS/SCADA 네트워크상의 신규 디바이스 자동 탐지

   - ICS Protocol을 이용하여 Broadcasting 하는 신규 디바이스 탐지

   - 일반적인 HMI에서 사용되지 않는 기능 사용 (네트워크 구성파악)시 보안위협으로 판단, 기능 삭제




다크트레이스 POV (Proof of Value)

다크트레이스는 머신러닝 기반 4주간의 Proof of Value를 통하여 Industrial Immnue System과 Threat Visualizer에 대한 더 나은 이해 및 평가가 가능합니다. 다크트레이스가 발견한 비정상 행위에 대하여 세계최고의 전문가 집단의 분석 리포트를 제공함과 동시에 기존에 발견하지 못한 조직 내의 존재하는 보안 위협을 파악할 수 있습니다.


위협 가시성 확보

- 조직의 모든 네트워크 및 장비들과 그들의 통신이 어떻게 이루어지고 있는지 알 수 있습니다.

- 네트워크, 디바이스, 사용자 단위로 줌인 (Zoom-in)하여 상세히 들여다 볼 수 있습니다.

- 최선의 방어는 최고 수준의 가시성(현상파악)으로 부터 시작됩니다.


알지 못하던 위협의 탐지

- 머신러닝 기반의 위협탐지 시스템으로 기존에 알 수 없던 위협을 탐지할 수 있습니다.

- 현 조직에 위협이 되는 보안의 최우선순위(Top Priority)를 알려 줍니다.

- 보안 위협을 초기에 제압하여 조직의 리스크를 최소화 할 수 있습니다.


보안 위협 보고서

- CIA/MI5 출신의 세계 최고의 보안 전문가의 무료 보고서 서비스를 제공합니다. (POV기간에 한정)

- Threat Intelligence Report는 주간으로 제공됩니다.

- 발견된 보안 위협을 대처하는 방안에 대하여 전문가의 조언을 받을 수 있습니다.





머신러닝 기반으로 위협을 분석하고 대처할 수 있는 인사이트를 얻을 수 있습니다. POV는 아래와 같은 과정으로 진행됩니다.


◈ 1주차

- POV 준비 설문작성 및 다크트레이스 코리아 전달

- 장비 입고 및 설치 (1시간 미만)

- 다크트레이스의 시각 위협화 도구를 통해 네트워크 토폴로지 및 네트워크 상의 장치에 대한 구조를 3D 그래픽 UI로 확인

- 조직 내에서 일어하고 있는 네트워크 흐름에 대한 가시성 확인


◈ 2주차

- Threat Notification Center (위협 보고창)의 최초 접속 가능

- 비정상 사용자 및 조직구성원에 행위를 확인 가능

- 조직 내 사용자 계정정보가 어떻게 사용되고 있는지 확인


◈ 3주차

- Threat Notification Center의 모든 기능 접속 가능

- 다크트레이스 UI 사용 트레이닝 제공

- 다른 보안장비를 우회하여 들어오는 보안 위협에 대한 확인

- 주간 TIR 2차 발행


◈ 4주차 

- 주간 TIR 3차 발행 (마지막)

- POV Q&A미팅

- 장비 철수 확인서 작성

- 장비 내 Data WipeOut

- 장비 철수 및 후속 Meeting 조율










다크트레이스의 POV는 Secure Connection 기술을 통해서 듀얼팩터 기준의 암호화된 채널로 통신하게 되어 있습니다. 암호화된 채널로 Central Management와 통신하기 때문에 안정성이 뛰어납니다. 


Secure Connection (Call-home Enable)의 혜택

1. 전담 Analyst 통한 Threat Intelligence Report 제공

2. 다크트레이스 위협 탐지 모델 업데이트 서비스

3. 다크트레이스 소프트웨어 (OS) 업데이트 서비스

4. 헬스체크 및 장비 진단 서비스 제공

CPU Performance/Memory 사용량/어플라이언스 가용성/소프트웨어 버전 정보/네트워크상 독립 장치의 갯수/네트워크상 MAC주소 갯수/침해 모델 Metric/NTP 시간동기화/인터페이스 당 Bandwidth/Connection per Minute/디스크 사용량




다크트레이스 제품 도입 및 구입 문의는 아래의 영업 담당자에게 연락 주시기 바랍니다.



(주) 아이마켓코리아
김 경 일

과장 │ IT 솔루션 영업팀
TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090




Trackbacks 0 / Comments 0

다크트레이스의 위협 시각화 기능 (Darktrace Threat Visualizer)

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2017.04.07 12:10 / 카테고리 : 차세대 위협감지 - 다크트레이스


사이버 공격은 클라우드 최근 고도화되고 있습니다. 클라우드, IoT, AI와 같이 진화된 머신러닝 기법과 정교한 수학 기법을 적용하고 있습니다. 고도화된 사이버 공격에 대응하기 위해서는 시스템, 네트워크 뿐만 아니라 정상적인 사용 패턴과 비정상적인 사용 패턴을 학습해야 합니다. 



다크트레이스 솔루션에 적용된 자율 학습 기술은 이상 행위를 직관적으로 알 수 있도록 가시성을 제공하며, 시스템과 네트워크가 능동적으로 위협에 대응하고 사이버 공격을 할 수 있도록 지원합니다. 



다크트레이스를 한마디로 정의하자면, 차세대 엔터프라이즈 면역 시스템(New Approach - Enterprise Immune System) 입니다. 


네트워크, 사용자, 디바이스의 다양한 행위에 대한 자동학습

위협에 대한 개별요소들의 종합적인 연관상태를 분석하고 학습하여 정상상태와 비정상적인 상태를 식별 한 후 규칙이나 시그니처를 기반으로 한 전통적인 시스템이 탐지하지 못하는 새로운 공격과 보안 위협을 식별하여 보고합니다. 네트워크의 정상적인 상태를 학습하여 위협에 민감하게 반응할 수 있으며, 보안 '면역체계'를 구축할 수 있습니다.


네트워크, 사용자, 디바이스에 대한 수학적 확률 엔진을 통해 '비정상적 행위'를 순환적 확률 추론 가능

베이지안 순환 확률 모형 (RBE), 순차적 몬테카를로 (sMC), LASSO 모델 등을 통해서 고객 네트워크를 사용하는 사용자, 디바이스 및 행위에 대한 수학적 확률을 계산하여 지속적으로 '정상'상태를 확인하고 계산합니다.


다크트레이스의 차세대 엔터프라이즈 면역 시스템은 인체의 면역기능을 응용한

네트워크, 사용자, 디바이스 기반 정상 행위 학습 기반의 건강한 면역체계를 구축할 수 있습니다.





다크트레이스의 도입으로 기존 운용중인 보안 솔루션과의 시너지 효과도 기대할 수 있습니다.



다크트레이스는 SIEM과의 협업을 통해서 가시성 확보를 제공합니다. SIEM의 정책 및 로그 기간의 가시성과 다크트레이스의 사용자, 디바이스, 행위 패킷의 가시성을 조합하여 최고의 방어 효과를 낼 수 있습니다. 







다크트레이스의 장점은 이뿐만이 아닙니다. 바로 이러한 위협을 시각화하여 한눈에 보기 쉽게 표현해주는 위협 시각화 도구 (Darktrace Threat Visualizer) 에 있습니다. 




다크트레이스의 위협 시각화 도구는 다크트레이스의 실시간 3D 위협 알림 인터페이스 입니다. 뿐만 아니라 위협 경고 표시, 위협 가시화 도구 그리고 네트워크의 활동을 전반적으로 모니터링 할 수 있는 3D 그래픽 인터페이스를 제공합니다. 이 시각화 도구는 보안 전문가와 기업 결정권자 들도 쉽게 볼 수 있도록 내용을 시각화 합니다.


아래에 다크트레이스 위협 시각화 데모 영상을 통해서 확인하실 수 있습니다. 



[다크트레이스 3D 위협 시각화 데모 영상 (Darktrace Threat Visualizer)]



최첨단 시각화 기술들을 사용함으로서 위협 시각화 사용자 인터페이스에서는 이상 행위나 이벤트를 분석하여 보안담당자에게 알려줍니다. 이를 통해서 보안 담당자 들은 적극적으로 네트워크 인프라를 구축하고 인프라의 특정 부분을 면밀하게 분석하여 위협요소를 없앨 수 있습니다. 


◈ 전체 네트워크 토폴로지의 3D 시각화 기능

 전반적인 기업 위협 수준을 실시간으로 한눈에 파악 

 지능형 이상 징후 파악 클러스터

 높은 수준의 네트워크 토폴로지 - 특별한 클러스터, 서브넷 및 호스트 이벤트 등

 로그 및 이벤트를 찾을 수 있는 도구 지원

 과거의 데이터를 다시 재생할 수 있는 도구

 장치 및 외부 IPS에 대한 전체적인 행동을 파악하여 간결하게 요약

 보안 분석가 및 기업 결정권자를 위한 설계




다크트레이스 제품 도입 및 구입 문의는 아래의 영업 담당자에게 연락 주시기 바랍니다.



(주) 아이마켓코리아
김 경 일

과장 │ IT 솔루션 영업팀
TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090




Trackbacks 0 / Comments 0

Blog Information

아이마켓코리아

보안솔루션, HSM, 인증보안, DLP 솔루션, 암호화 장비, 기업서버 판매, 보메트릭

공지사항

블로그 검색

Calendar

«   2019/11   »
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30

방문자 통계

  • 전체 : 378,458
  • 오늘 : 113
  • 어제 : 393
(주) 아이마켓코리아
주소 : 서울시 강남구 삼성로 512 삼성동빌딩 16층
대표이사 : 남인봉 | 사업자등록번호 : 104-81-58502
TEL : 02-3708-8254 | Mail : raykim7@imarketkorea.com
Copyright © imarketkorea.Co,Ltd All Rights Reserved.