위협 탐지를 위한 네트워크 행동 분석 · 도전 과제....

발표자 이름 발표자 직책 2016년 1월

위협 탐지를 위한 네트워크 행동 분석 StealthWatch

주제

위협 탐지를 위한 상황 인식 보안 분석

StealthWatch

업계 트랜드

StealthWatch 개요

고객 성공 사례

StealthWatch 및 Cisco® 솔루션

새로운 보안 당면 과제를 의미하는 새로운 네트워크

보안 침해 발생 여부가 아니라. . . 언제 발생하느냐가 문제

확장된 엔터프라이즈 공격 표면

네트워크의 디바이스 행동에 대한 조직의

가시성 부족

클라우드 사용 확산으로 인해 클라우드에 대한 가시성 부족

2020년까지 500역 대 이상의

연결된 "스마트 개체" 예상

인수, 합작 투자 및 파트너십의 빈도 증가

엔터프라이즈 모빌리티

인수 및 파트너십 클라우드 IoT(INTERNET

OF THINGS)

변화하는 비즈니스 모델

동적인 위협 환경

복잡성 및 단편화

더 스마트해지고 있는 네트워크 위협

1990 2020 2015 2010 2005 2000 1995

피싱, 단순한 수준

해킹의 산업화

교묘해진 공격, 복잡한 환경

바이러스 1990–2000

웜 2000–2005

스파이웨어와 루트킷 2005–현재

APT(Advanced Persistent Threat), 사이버웨어 현재 +

내 네트워크를 나보다 더 많이 알고 있는 범죄자들 맞춤형 악성코드가 몇 개월 동안 잠복하면서 네트워크의 취약성을 파악한 후 해당 취약성을 공격합니다.

모든 위협은 내부자 위협

APT(Advanced Persistent Threat)의 측면 이동으로 외부 공격이 결국 내부 위협이 됩니다.

모든 사이버 범죄의 95%는 위장한 악의적인 링크를 통해 트리거됨

보안 위반 4건 중 1건이 악의적인 내부자로부터 기인함

보안 위반 3건 중 2건이 취약하거나 도난당한 비밀번호 악용

Cisco Confidential 6 © 2013-2014 Cisco and/or its affiliates. All rights reserved.

보이지 않는 것을 방어할 수는 없음

010101001011

010101001011

010101001011

010101001011

Citrix

WebEx

SAP

결론: 이 방어에 필요한 사항

탁월한 포렌식 조사

포괄적인 네트워크 동작 이상 징후 탐지

모든 트래픽에 대한 심층적이고 세분화된 가시성

매크로 레벨의 가시성을 지원하는 StealthWatch 실행 가능한 인텔리전스와 분석을 통해 지능형 위협 방어

• 포괄적이고, 확장 가능한 엔터프라이즈 가시성 및 보안 상황 제공

• 트래픽에 대한 실시간 상황 인식 제공

• Cisco® TrustSec을 사용하여 네트워크 분할 혜택 제공

• 네트워크 동작 이상 징후 탐지 및 분석

• APT(Advanced Persistent Threat), 내부자 위협, DDoS(Distributed Denial-of-Service) 공격, 악성코드 등과 연결된 동작을 쉽게 탐지

• 종합적인 네트워크 감사 추적 수집 및 분석

• 침입 경로 분석 시간 단축

• 포렌식 조사를 통해 수행

• 네트워크 문제 해결 및 위협 완화 가속화

• Cisco® ISE(Identity Services Engine)를 통해 격리 조치하여 위협에 빠르게 대응

• 엔터프라이즈 보안 상태를 지속적으로 개선

모니터 탐지 분석 대응

세분화된 가시성 - 최종 사용자까지

컨텍스트 인식 보안 확보

모든 것이 네트워크와 연계해야 함

확인 모든 호스트

기록 모든 상호작용

무엇이 정상 상태인지 파악

변경에 대해 알림

위협에 신속하게 대응

그밖에 네트워크를 통해 알 수 있는 것은 무엇인가요?

회사 네트워크 평가 평가 감사 상태(Posture) 탐지 대응 상황

동적 네트워크 인식을 위한 NetFlow 네트워크 동작 이해 및 네트워크 정상 상태 설정

강력한 정보 소스 모든 네트워크 상호작용 지원

• 장기간에 걸친 각각의 모든 네트워크 상호작용

• 소스 및 대상 IP 주소, IP 포트, 시간, 전송된 데이터 등

• 향후 분석을 위해 저장

중요한 툴 보안 침해 식별

• 비정상적인 활동 식별

• 이벤트의 순서 재구성

• 법적 증거 및 규정 준수 확보

• 자세한 내용은 NetFlow 참조, 1/n 샘플은 NetFlow-Lite 참조

위협 방어 및 사고 대응력 향상을 위해 광범위한 네트워크 가시성 및 보안 실현

가시성, 컨텍스트 및 제어를 지원하는 StealthWatch 네트워크가 곧 센서

네트워크 데이터를 사용하여 액세스 레이어에 대한 가시성 확장

내부 네트워크

ID

라우터 및 스위치

방화벽

상황

ID, 이벤트, 프록시 및 애플리케이션으로 데이터 흐름을 강화하여 컨텍스트 생성

탐지, 조사 및 대응 가속화

누가 무엇을 어디서 언제 어떻게

프록시 서버

디바이스

StealthWatch가 조직에 무엇을 제공할 수 있나요?

• 분산된 네트워크 전반에서 디바이스, 애플리케이션 및 사용자를 지속적으로 모니터링

• 지능형 텔레메트리를 집계 및 분석하여 네트워크의 보안 기준 설정

• 전체 네트워크 및 데이터 센터를 모니터링하여 정책 또는 네트워크 액세스 위반이 없는지 확인하도록 지원

• NetFlow 데이터 감사 추적 기록을 통해 상황별 위협 정보 획득

• 향상된 가시성 및 컨텍스트를 실현하여 위협 탐지 가속화

• 실행 가능한 인텔리전스를 통해 사고 대응 및 포렌식 분석 향상

• 사고의 근본 원인을 몇 초 이내에 격리하여 위협 완화

확장된 가시성

정책 및 액세스 관리

Advanced Threat

Protection(ATP) 가속화된 대응

Cisco의 보안 및 동급 최고 포트폴리오에 대한 StealthWatch의 가치

• 시간에 따른 위협 기반 이상 징후 탐지 지원

• 자동 억제를 위해 Network as an Enforcer와 통합

• 실행 가능한 인텔리전스를 통해 사고 대응 및 포렌식 분석 가속화

Cisco의 Security Everywhere 전략을 개선하는 StealthWatch 확장된 엔터프라이즈 전반에서 네트워크 보안 및 가시성 지원

확장된 가시성 가속화된 대응

• 전체 네트워크를 보안 센서로 전환하여 모든 네트워크 트래픽에 대한 포괄적인 가시성 확보

• NetFlow 데이터 감사 추적 기록을 통해 상황별 위협 정보 제공

• 네트워크 계획, 진단, 규정준수 검증 및 소프트웨어 정의 세그멘테이션 향상

NaaS(Network as a Sensor)

• 온프레미스 또는 클라우드에서 코어부터 Edge 액세스까지 분산된 네트워크를 지속적으로 모니터링

• 사용자 및 디바이스가 네트워크에 연결되는 방법, 시기, 위치 및 이유를 파악하여 위험 감소

• 지능형 텔레메트리를 집계 및 분석하여 네트워크의 보안 기준 설정

StealthWatch 고객 활용 사례

기술 데이터 센터 내부 및 데이터 센터 간 트래픽에 대한 가시성을 통해 데이터 센터에서 DDoS 공격 탐지

식품 서비스 회사 네트워크를 병합하고 내부자 위협을 탐지하도록 가시성 제공

제조 보안 상황을 통해 데이터 유출, 내부자 위협 및 악성코드를 식별 및 교정

StealthWatch 성공 사례 - 데이터 센터 가시성 대규모 글로벌 소프트웨어 조직

• 일반적으로 가시성, 보안 및 확장성 필요

• 데이터 센터 경계에서 DDoS 공격 탐지 불가

• 데이터 센터 내부 및 데이터 센터 간 트래픽에 대한 가시성 필요

도전 과제

• 광범위하고 복잡한 네트워크에서 가시성 및 위협 탐지 실현

• 확장 가능하고 경제적인 솔루션

• 데이터 센터 내부 및 데이터 센터 간 모든 통신 확인 및 위협 탐지 가능

결과

"이 회사에서는 StealthWatch를 통해 데이터 센터에서 발신 또는 수신하거나 데이터 센터 내에서 이동하는 트래픽을 확인할 수 있습니다."

클라이언트

산업: 소프트웨어/클라우드 컴퓨팅 고객 수: 150,000

StealthWatch 성공 사례 - 내부자 위협 탐지 대규모 식품 서비스 총판사

• 인수 중인 새로운 회사의 네트워크에 대한 가시성 부족

• 직원이 회사에 남아서 데이터를 사용할 때의 내부자 위협 문제

• 포렌식 조사를 위한 데이터 감사 추적 없음

도전 과제

• 인수한 회사에 대한 사전 예방적 가시성을 확보하기 위한 새로운 방법 도입

• 직원 행동에 대한 기준을 설정하여 의심스러운 활동을 사전에 식별

• 내부자 위협 조사를 위해 포렌식 데이터 습득

결과

"이 회사에서는 내부 네트워크 가시성을 통해 새로운 네트워크와 성공적으로 병합하고 내부자 위협을 탐지할 수 있었습니다."

클라이언트

산업: 식품 서비스 총판사 고객 수: 425,000

StealthWatch 성공 사례 - 데이터 유출에 대한 가시성 대규모 제조 조직

• 이전에는 보안이 거의 주목을 받지 못하거나 투자를 받지 못함

• 안전하지 않은 환경 및 회사의 지적 재산권에 관한 데이터 유출이 의심됨

• 위협 및 취약성에 대한 가시성 또는 제어력 결여

도전 과제

• 실시간 사용자 모니터링 및 위협 탐지를 위한 심층적 가시성 확보

• 네트워크 전반에서 악성코드를 탐지하여 교정 가능

• 이전에 알려지지 않은 보안 격차를 해소하고 데이터 유출 제거

결과

"이 회사에서는 StealthWatch를 통해 내부자 위협을 식별하고, 악성코드를 억제하고, 다른 지능형 위협을 전체적으로 차단할 수 있게 되었습니다."

클라이언트

산업: 제조 직원 수: 132,000