fireeye platform · isight intelligence human intelligence 2007년 ... powerpoint presentation...
TRANSCRIPT
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
FIREEYE PLATFORM
김현준 상무 / 기술 지원 총괄
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
2
Attack Life Cycle
공격 준비 공격 시행 공격 성공
• 공격 대상 및
목적 수립
• 프로 파일링
• TTP 수립
• 리허설
• 취약점 확인
• 초기 침투
• 거점 확보
• 어드민 계정 확보
• 내부 정찰, 확산 및
연결 유지
• 임무 완수
• 증거 인멸
• 공격 대상 변경
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
3
BEFORE
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
4
FIREEYE RED TEAM
When do you need?
• 최근 사이버 위협에 대해 우리 환경은 안전
한지 확인이 필요 할 때
What is...?
• 최근 사이버 공격 그룹의 TTP 를 이용해서
실제 공격 후 report 제공
How to deploy...??
• 고객 동의 하에 초기 침투 도메인 계정
탈취 주요 정보 list 확인
BEFORE
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
5
iSIGHT INTELLIGENCE
Human intelligence
2007년 부터 Threat intelligence 제공
공격자의 TTP 및 context 제공
16,000 공격 그룹 추적
API/SDK 지원
Client Engagement Manager
BEFORE
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
6
iSIGHT INTELLIGENCE
When do you need?
• 수 많은 event 에 대해 우선 순위가 필요 할경우
• 수비적 방어에서 선제적 방어로 전환이 필요한 경우
• 경영진에 보다 정확한 정보 전달이 필요한 경우
What is...?
• Human intelligence
How to deploy...??
• 6개의 category 별로 연 단위 subscription
• API 를 통해 자동 연동
BEFORE
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
7
COMPROMISE ASSESSMENT
When do you need?
• 침해가 의심 스러울 때
• 침해의 징후가 발견 되었을 때
What is...?
• Mandiant IOC (network / host) 를 이용해 침해 흔적
확인
How to deploy...??
• 사전 협의 된 범위 (end point/server) 에 대해 분석 후
침해 여부 report 제공
BEFORE
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
8
DURING
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
9
NETWORK
NX/EX/FX
Machine intelligence
11M 의 가상머신이 분석 결과 공유
• 매일 50조 이상의 VM 분석
• 매일 40만개의 새로운 샘플 분석
• 매일 1조 5천억개의 URL 분석
최근 42개의 zero day exploit 중 26개를
최초 발견
DURING
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
10
ENDPOINT – Exploit Guard
When do you need?
• 출장/외근 근무자 보호
• 암호화된 traffic 을 통한 exploit 탐지
• 실제 end point 에서 발생 하는 exploit 에 대해서만 탐지
What is...?
• MVX 의 exploit detection 기능이 HX 에 구현됨
How to deploy...??
• 별도의 license 없이 HX 를 통해 지원
DURING
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
11
CLOUD
ETP
• When do you need?
• 보안 전담 운영 조직이 없는 중소 기업
• 랜섬웨어등에 대해 방어가 필요 할 때
• What is...?
• Anti Virus, Anti Spam, Anti Spear phishing
• How to deploy...??
• email 계정 단위로 연 단위 license
DURING
MTP
• When do you need?
• 보안 전담 운영 조직이 없는 중소 기업
• 모바일 단말에 대해 방어가 필요 할 때
• What is...?
• iOS/Android mobile 보안
• How to deploy...??
• iOS/Android mobile 단말 수 별로 license
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
12
AFTER
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
13
ENDPOINT - HX
When do you need?
• 전체 endpoint 에 대한 신속한 scan/search 가 필요 할 경우
• Lateral movement 에 대한 탐지가 필요한 경우
• 전체 침해 범위에 대해 확인이 필요한 경우
What is...?
• 최대 100,000 엔드 포인트 관리 및 검사
How to deploy...??
• end point 수 만큼 license
AFTER
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
14
NETWORK FORENSIC – PX/IA
When do you need?
• 실제 어떤 데이타가 유출 되었는지 확인이 필요한 경우
What is...?
• Loss 없이 최대 20Gpbs 처리 속도
• 빠른 검색 속도
• 외장 스토리지 연동을 통한 확장성
How to deploy...??
• Bandwidth 에 따라 PX 구성
• Meta data 분석을 위해 IA 구성
AFTER
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
15
INCIDENT RESPONSE
When do you need?
• 침해가 명확하고 피해 범위 확인 및 피해 복구가
필요할 경우
What is...?
• Mandiant IOC (network / host) 를 이용해 침해
범위 확인
How to deploy...??
• 전체 네트웍 및 end point 에 대해 피해 조사 및
복구 계획 제공
AFTER
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
16
MANDIANT INTELLIGENCE
300여개의 nation state 공격 그룹 추적
공격 그룹별/산업군별/지역별/악성
코드별 intelligence 제공
공격자의 TTP 및 공격의 context 제공
매년 200 건 이상의 침해 조사를 통해
intelligence 수집
AFTER
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
17
FIREEYE PLATFORM
공격 준비 공격 시행 공격 성공
• RED TEAM
• iSIGHT
intelligence
• Compromise
Assessment
• MVX appliance
• Endpoint – exploit
guard
• Cloud solution
• Endpoint
• Network
Forensic
• Incident
Response
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
18
감사합니다