fireeye security suite... · 2018-08-28 · fireeye security suite 구성 10 fss helix network...

FireEye Security Suite 보안의 단순화와 효율성 제고

©2018 FireEye

목차 및 목표

현재 문제점과 요구사항

보안 운영상의 위협 환경

FireEye Security Suite 소개(Network, Email, Endpoint)

Q&A & Follow Up

©2018 FireEye

어떠한 보안 이슈가 있는가?

지속적인 랜섬웨어 공격

스피어 피싱 메일을 받고 일부 호스트 감염

CEO / 거래처 사칭메일 피해

엔드포인트 기능을 강화 (EPP EDR)

현재 보안 솔루션에서 너무 많은 경고로 인한 미탐

3

©2018 FireEye

현재 위협 환경

4

91 80 101

이메일로 시작되는 사이버 범죄 비율

악성코드가 한 번이라도 탐지된 비율

APT공격을 찾기 위해 소요되는 평균시간

복잡함

다단계 Exploits, Sandbox, 난독화 등 다양한 회피 기법의 증가

체계적

프로그래밍된 자동화 공격, 무제한 공격 기능, 지속적인 공격 기능 개선

©2018 FireEye

가시성 부족 너무 많은 이벤트 전문 인력 부족

인텔리전스 부족 너무 많은 보안 장비 효율성 감소 및 비용 증가

현재 보안 운영의 문제점

©2018 FireEye

귀사의 보안 운영 효율성은?

WHAT is going on?

위협이 차단되었음을 어떻게 알 수 있습니까? 일반적인 고객은 차단 된 위협에 대한 정보와 가시성을 알 수 없습니다.

WHERE should you focus?

공격자가 무엇을 하려고 하는지, 어디로 갔는지, 남겨진 것이 무엇인지를 확인할 수 있습니까?

HOW important is it?

위협의 우선 순위를 지정하고 조치를 취하는 데 필요한 컨텍스트를 가지고 있습니까?

©2018 FireEye

보안의 재정의

As-Is AV와 같은 기존 보안 솔루션은 알려진

위협에 대해서만 효과적인 보안 기능 제공

보안 솔루션이 정교한 위협을 해결하지 못함

각각 분리된 기술기반의 솔루션

점점 더 복잡해지는 기술 솔루션

아웃소싱 파트너에 대한 전문성이나

의존성이 높음

To-Be Sandbox 및 행위기반 분석 엔진이 알려지지

않은 공격 감지

여러 보호 엔진이 진화된 공격을 탐지

여러 솔루션과의 시너지 효과

위협 인텔리전스를 통해 운영 문제를

단순화하고 경고의 우선 순위 지정

다양한 기술을 활용할 수 있는 지침이 포함된

간소화된 도구(Tools)

Introducing FireEye Security Suite

©2018 FireEye

Introducing – FireEye Security Suite

9

FireEye Network Security

FireEye Endpoint Security

FireEye Email Security

FireEye Helix

©2018 FireEye

FireEye Security Suite 구성

10

FSS Helix

Network Security NX Edition

FireEye Email Security Cloud Edition

FireEye Endpoint Security Essentials Edition

Deployment Options

NX1500 (50M)

NX2500 (100M)

NX2550 (500M)

NX3500 (1G)

Virtual Appliance

FE Appliance

Subscription

or

Perpetual HW

성능별 요구사양

VMWare ESXi 6.0이상

SIEM기능 제외,

통합운영 및 관리기능

Anti SPAM/Virus 포함

Live Response

Ent. Search 제외

VA-NXS1500 (50M)

VA-NXS2500 (100M)

VA-NXS2550 (250M)

VA-NXS4500 (500M)

VA-NXS6500 (1G)

※ Network Security - Hybrid 구성 가능(Virtual + Appliance) - 최대 성능치는 합계 1Gbps

©2018 FireEye

FireEye Network 가상서버 요구사양

VA-NXS 1500 VA-NXS 2500 VA-NXS 2550 VA-NXS 4500 VA-NXS 6500

성능 최대50Mbps 최대100Mbps 최대250Mbps 최대500Mbps 최대1Gbps

NW 모니터링 포트 1~8개 1~8개 1~8개 1~8개 1~8개

NW 관리 포트 1개 또는 2개 1개 또는 2개 1개 또는 2개 1개 또는 2개 1개 또는 2개

CPU 코어 3개 6개 8개 8개 16개

메모리 10GB 16GB 16GB 32GB 32GB

드라이브 용량 384GB 384GB 384GB 512GB 512GB

11

OS지원 : MS windows, Mac OS X Network Adapter : VMXNet3, vNic 하이퍼바이저 지원 :VMWare ESXi 6.0이상

©2018 FireEye

FireEye Security Suite 구성도

MVX

Firewall

Email Server

HX

사용자 PC

사용자 PC

Helix

ETP

사용자 PC

NX Sensor Virtual

or Appliance (Option)

FireEye Network Security Included in FireEye Security Suite

©2018 FireEye

MVX를 활용한 동적 분석

개요

장점

안전한 가상환경에서 동적 시그니처리스 분석으로 제로데이, 멀티플로우 및 기타 우회 공격을 탐지. 또한 전에 알려지지 않은 익스플로잇과 악성코드를 식별하여 사이버 공격 킬 체인의 감염 및 침해 단계를 저지 Show the capability graphically MVX

• APT 탐지만을 위해 특화된 가상 머신 • 알려진/알려지지 않은 Exploit 탐지 • 파일 기반이 아닌 Multi Flow 기반 탐지 • 경쟁사 대비 10배이상의 가상머신 보유 • Revert Time 3초 이내(경쟁사 수분 걸림)

©2018 FireEye

Malware Callback 탐지 및 차단

개요

장점

Exploit

Callback

Malware Download

Lateral Spread

Exfiltration

콜백을

검색,

차단하여

멀웨어

프로세스 중단

콜백은 멀웨어가 데이터를 수집하거나 원격으로 위협을 제어하기 위해 생성하는 네트워크 동작의 한 유형

콜백 통신을 하는 봇넷, 백도어 및 기타 멀웨어를 빠른 시간에 탐지

©2018 FireEye

다양한 위협 - Riskware Detection

개요

장점

Internet

High Risk

Less Risky

PUP/Adware와 같은 중요도가 낮은 악성코드 이벤트에 대해서는 별도로‘Riskware’로 만들어진 Tab으로 분류하여, 중요도를 직관적으로 표시할 수 있게 하였고, PUP/Adware에 대한 탐지범위도 확장

실제로 위협적인 이벤트에 보안팀이 집중

©2018 FireEye

계층형 보안 - 통합 IPS

개요

장점

통합 IPS를 통해 비용을 절감하고 관리를 간소화하며 보안 상태를 개선

알려진 위협에 대한 실시간 위협 보호 제공하고 MVX엔진의 작업 부하를 줄여 효율성을 향상시키고 미탐 오류를 줄임

©2018 FireEye

Lateral Network Traffic 감지 - SmartVision

개요

장점

SmartVision은 네트워크 내에서 내부 (east/west)공격을 감지하는 상관 관계 분석 엔진

• 네트워크 내에서 의심스러운 Lateral 트래픽 탐지 시간 단축

• 네트워크 전체에 걸친 멀웨어 확산 감소

• 데이터 도난 위험을 최소화하도록 지원

Internet

Firewall

FireEye NX

Core Switch

Distribution

Switches

FireEye Virtual Sensor

FireEye Virtual Sensor

FireEye Email Security Included in FireEye Security Suite

©2018 FireEye

Spam & Virus 방어

23

Incoming

Email FireEye ETP Cloud (Cloud-based) Email Service

End User

개요 장점

전자 메일 보안 서비스를 통해 새로운 캠페인이 발견되는 즉시 전자 메일 차단

• 스마트 DNS기반으로 이메일 관련 위협 을 평판 관계 분석

• 튜닝된 Heuristic 엔진을 통한 메시지 내용 분석

©2018 FireEye

MVX 행위기반 분석을 통한 탐지

24

개요

장점

거의 발견된 적이 없는 고위험성 공격을

행위기반 분석을 통해 탐지

- 첨부파일

- 본문 내 URL

- 첨부파일 내 URL

MVX 행위기반 분석을 통해 숨겨진

멀웨어 및 URL기반 위협을 차단하고

위협에 대한 우선순위 지정 및 미탐률

감소

©2018 FireEye

Email 시스템 구성방안

DNS MX 레코드 변경

– 메일 수신 경로

외부메일 → ETP → 메일서버

On-premise 및 Cloud Mail지원

– Office 365, Google등

적용 Mode

– Inline(MTA) Mode : 탐지, 차단

– BCC Mode : 탐지만 가능

25

©2018 FireEye

Spear Phishing 탐지 (URLs & Content)

27

개요

장점

• URL 기반 피싱 사이트로부터 보호

• 검출 효율성 향상을 위해 전체 사이트(URL뿐만 아니라) 분석

• 자격 증명 피싱 사이트는 처음 발견되었을 때 식별

• 제로 데이, 고도로 타게팅 된 피싱 공격에 대한 URL 탐지

• 전체 피싱 사이트 (링크, 콘텐츠 등)를 스캔하여 웹 사이트 콘텐츠의 악성 행위를 분석

©2018 FireEye

FireEye URL 탐지 (FAUDE)

Hard Harder Hardest

©2018 FireEye

권한 도용 – No Malware To Detect

User Credentials Compromised

Initial URL Not Malicious

‘Post’ action is malicious

©2018 FireEye

비정상적인 발송자 탐지

31

Mobile Client 정상(?)적인 발송자

Desktop Client 비정상(!)적인 발송자

개요

장점

공격자의 Spoofing을 감지하기 위해 필터 조합하고 Newly Existing Domains(NED) 필터가 메시지 분석을 수행

CEO 사칭 탐지 및 전자 메일을 통한 공격으로부터 보호

Spoofed Email Address

FireEye Endpoint Security Included in FireEye Security Suite

©2018 FireEye

Endpoint의 다양한 엔진

33

시그니처 기반 분석 : Malware Protection

시스템 학습(머신러닝) : Malware Guard

행위 기반 분석 : Exploit Guard

위협 인텔리전스 기반 분석 : IOC

탐지 및 대응 도구(EDR)

©2018 FireEye

Malware Protection Engine - 정적 분석

바이러스

트로이목마

웜

스파이웨어

애드워드

키로거

루트킷

피싱 소프트웨어

불필요한 프로그램(PUPs)

©2018 FireEye

ExploitGuard Engine - 행위기반 분석

ExploitGuard Flow

2 Heap Spray

1 Adobe Reader

3 Integer Overflow 4 ROP Exploit

5 Shellcode

NtCreateFile:

push ebp

mov ebp, esp

…

6 Payload

1. Packaging (PDF) 0 points

2. Pre-Exploit (Heap Spray) 5 points

3. Exploit (Integer Overflow) 15 points

4. Control Flow (ROP) 20 points

5. Malicious Activity (Shellcode) 10 points

Total Score 50 points

공격 페이로드 차단

FireEye Helix Security Operations Platform

Included in FireEye Security Suite

©2018 FireEye | Private & Confidential © 2018 FireEye | Private & Confidential

FireEye Helix 장점

43

가시성 확대 비용 절감 신속한 대응

TEAM EFFICIENCIES 자동화 및 인텔리전스로 생산성 향상

FLEXIBLE DEPLOYMENT Cloud, On-prem 및 Hybrid 구축 모델

TOOL CONSOLIDATION 통합 대시보드 제공

INTELLIGENCE MATCHING 알림을 포함한 상황별 인텔리전스

3-RD PARTY INTEGRATIONS 300개 이상의 보안 툴 및 데이터 통합

INVESTIGATIVE TIPS 사전에 정의된 침해조사 팁 제공

AUTOMATION 사전 구축된 플레이북을 통한 자동 대응

CONTEXTUAL INTELLIGENCE 최전방의 상황별 인텔리전스

ALERT PRIORITIZATION 경고 위험 수준의 자동 할당


Integrated Alert & Case Management

44

개요

◆ 이벤트 데이터를 수집하고 위험 수준을 할당

◆ 작업을 할당하고 완료할 진행 상황을 추적

◆ SOC 팀에게 대응 및 협업 툴 제공

장점

◆ 환경의 중요한 위협에 대한 즉각적인 파악

◆ 중요한 위협의 우선 순위를 지정하여 팀 효율성 및 위험

관리 향상

◆ 뛰어난 가시성


상황별 정보

45

16M 가상 센서 상대 추적 침입자 조사

보고 정보 IOC

CONTEXTUAL INTELLIGENCE

ALERT +

개요 ◆ 매시간 50-70K의 확인된 악성 이벤트를 찾아내는 16M 가상

시스템 센서의 위협 데이터

◆ 1,000만 명 이상의 APT 그룹 추적

◆ 70개 이상의 정교한 침입 그룹에 대한 보고서

◆ 450건 이상의 지능형 보고서 월간 간행물

◆ 월 50,000개 이상의 지표 발행

◆ 800명의 전방 사이버 보안 전문가

장점

◆ 각 위협에 대해 "누가"와 "왜"를 제공

◆ 공격자의 동작을 예측

◆ 침해 조사 팁을 통해 대응 가속화


PlayBook을 활용한 자동화

46

Collect Analyze Create

PROCESS PLAYBOOKS 데이터

개요

◆ 간소화되고 자동화된 반복 가능한 작업(예: 경보 계층 - 평균

20분에서 1분 미만)

◆ FireEye 전문가가 사전 구축된 Work-Flow 및 모범 사례

◆ 코드화된 응답 작업

◆ 보안 인프라로의 원활한 통합

장점

◆ 제한된 보안 직원의 반복 가능한 수동 작업 간소화

◆ 위험 노출 시간 단축 및 공격 지속성

◆ SOC 분석가의 효율성과 성능을 높이는 강제 승수

©2018 FireEye

FireEye Helix

47

Contextual

Intelligence

Alerts/Case

Management

Investigative

Workbench

Orchestration

& Automation

Central

Management




3rd Party Solutions

Managed Defense

Expertise Threat Intelligence

Partner Services

Community

Marketplace

Answers

Research Tools

Ideas

Mandiant Services

Strategic Advisory

Technical Assessment

Incident Response

FireEye Threat Analytics

Advanced Intelligence

Expertise On-Demand

3rd Party Apps

©2018 FireEye

FireEye 판매 정책

가상 또는 클라우드 폼 팩터의 경우 하드웨어를 구입할 필요가 없음

Appliance HW는 Subscription 또는 Perpetual(영구사용)로 구매 가능

Appliances “Bare-Metal”, 하드웨어의 저렴한 가격

Subscription Appliances 도입은 최소 3년의 계약 기간 필요

– HW 유지보수에 대한 금액 포함

Hybrid 환경 지원

– 1 Gbps를 구매하면 하드웨어로 500Mbps, 가상 500Mbps를 나누어 사용 가능

50

Hardware

Appliances

Thank You ㈜아이티언 ES사업부

[email protected]

fireeye security suite... · 2018-08-28 · fireeye security suite 구성 10 fss helix network...

Documents