Black Swan in Cyber Security

김혁준 대표이사

㈜나루씨큐리티

목차

• 사이버보안과 블랙스완(Black Swan)

• 블랙스완 관점의 위협공갂(Threat Space) 정의

• IoC 기반 대응 vs. 분석기반대응(Hunting)

• 블랙스완 탐지를 위한 대응 지표(Metrics) 수립

• 블랙스완 탐지를 위한 사이버 인텔리전스

• 적용사례

사이버보안과 블랙스완

• 관찰자가 예측하지 못한 사건

• 현 시스템에 심각한 영향을 미치는 사건

• 첫 사례 발생 후에도 정확한 탐지지표를 마련하지 못함

by Nassim Nicholas Taleb

사이버보안과 블랙스완

위협공간(Threat Space) 정의

위협공간(Threat Space) 정의

IoC 기반대응 vs. 분석기반대응

IoC 기반대응 vs. 분석기반대응

• 가로등 효과는 대표적인 관찰 오류에 해당한다.

• 이는 매우 일반적인 오류로 많은 사람들이 이를 모르거나 굳이 알려 하지 않는다.

• 시그니처 기반의 침입탐지/침입방지 장치, 방화벽 등은 타겟공격을 볼 수 없다.

• 이러한 공격에 대응하기 위해서는 발생하는 위협에 대한 모델링이 필요하다.

• 알 수 없는 위협을 알려진 위협에서 찾을 수 없다.

High Precision Low Accuracy

Low Precision High Accuracy

High Precision High Accuracy

IoC 기반대응 vs. 분석기반대응

• IoC 기반 시스템은 높은 정밀성과 낮은 정확성을 가진다.

• 내용 기반 시스템은 낮은 정밀성과 높은 정확성을 가진다.

• 분석기반 대응을 위해 높은 정밀성과 높은 정확성을 필요로 한다.

블랙스완 탐지를 위한 대응지표 수립

원형 사이버 킬체인기반 탐지

블랙스완 탐지를 위한 대응지표 수립

내부망 잠재위협 파일 유입현황

블랙스완 탐지를 위한 대응지표 수립

내부망 지속통신 변화추적

블랙스완 탐지를 위한 대응지표 수립

내부망 수평이동 변화추적

블랙스완 탐지를 위한 대응지표 수립

정보유출 징후 탐지

블랙스완 탐지를 위한 대응지표 수립

사이버 킬체인 분석

블랙스완 탐지를 위한 사이버인텔리전스

CTAS 정보 Reputation 적용

주요적용사례

주요적용사례

2015년 금융결제원 등 국내 5대 인증기관

내부망 감사(KISA)

감사원과 한국은행

내부망 감사

감사합니다.