the enterprise immune system › pdf › darktrace_brochure.pdfthe enterprise immune system...
TRANSCRIPT
The Enterprise Immune System
머신러닝 기반의 UBA(User Behavior Analysis) 솔루션
Darktrace Korea
Darktrace Background
• 영국 캠브리지에서 2013년 7월 설립
• 유명 수학자들과 영국/미국 정보요원들의 협업으로 시작
• 머신러닝(machine learning)과 수학적 알고리듬에서 착안
• 영국 캠브리지와 미국 샌프란시스코에 본사 위치
• 전세계 100개 이상의 고객 확보 (2015년 10월 기준)
• 17 곳의 글로벌 오피스 (2015년 10월 기준)
“다크트레이스는 ‘게임체인저’ 이다!” Virgin Trains (영국 철도 회사)
• 2015년 Security Global Excellence 어워드에서
“올해의 보안회사”로 선정 (Security Company of the
Year)
• Network Products Guide IT World 어워드에서
2015년 최고의 내부 위협 탐지 솔루션 선정
• Gartner사의 2015년 ‘Cool Vendor’ 선정
• 세계경제포럼 (일명 다보스포럼) 에서 2015년의
‘Technology Pioneer’로 선정
Darktrace 경영진
Nicole Eagan, CEO
25 경력의 ICT 전문 경영인, Peregrine,
Quest, Verity, 그리고
Autonomy등등에서 CMO역임
Jasper Graham, SVP, Cyber
Technologies and Analytics (분석)
15년 경력의 미국정부 기관의
사이버 방어 전문가. 전
미국국가안정보장국 기술 담당
이사 (NSA)
Jack Stockdale, CTO
빅데이타 환경에서의 베이지언
수학이론의 적용 전문가. 전 Autonomy
기술 이사 및 Blinkx의 연구센터장 역임
Jonathan Evans 경 (Lord), KCB (기사작위)
전 MI5 사무총장, 영국에서 33년간
보안전문가로 활동, 현재 HSBC
비상임이사로도 활동 중
Dr. Mike Lynch, OBE (기사작위)
Autonomy와 Invoke Capital의 공동 창립자,
영국정부의 기술자문위원
Robert Webb, QC (영국왕실법정변호사)
현 롤스로이스 사무총장, 전 영국항공
사무총장, 1988년부터
영국왕실법정변호사에 선임. 현재
런던주식시장의 비상임이사로도 활동 중
Darktrace가 바라보는 보안위협의 현재
고도화된 위협은 항상
새로운 방법을 찾아
냅니다
내부위협도
외부위협과 동일한
수준으로 중요시
되어야 합니다
24*7 기반으로 보안정책과
시그니처를 최신의 상태로
유지하는 것은 현실적으로
불가능합니다
완벽한 방어 시스템은
현실적으로
불가능 합니다
가장 큰 위협은 내부에…
악성코드에 감염된 내부 사용자 .
사용자 실수 .
악의적 행동 .
시스템 오류 . . .
Rule로 탐지 되기 어려운 다양한 이상 행위들 .
그렇다면 어떻게 이상행위들을 빠르고 정확히 탐지 할 수 있을까요?
새로운 접근 면역 시스템
사람은 면역체계를 통해서 정상상태를 알고 있고, 이를 통해서 스스로 아픈 곳을 인지
합니다 . .
정보시스템은? . .
정상적인 상태를 알고 있다면 비정상적인 행위는 쉽게 탐지 할 수 있습니다
.
. 방대한 데이터 흐름에서 정상적인 상태를
정확이 분류할 기술은?
면역 시스템의 바탕…머신 러닝
"모바일 다음은 머신러닝의 시대“ -에릭 슈미츠
“한국MS, 머신 러닝 출시...클라우드 서비스'애저'에 탑재”
“머신러닝 알파고 이세돌9단에 도전장”
"영화 아이언맨에 등장하는 인공지능을 올해 개발하는 것이 목표"
-마크 주커버그
“IBM, 보안 인텔리전스·SIEM에 ‘머신러닝 왓슨’ 적용”
”시만텍, DLP·보안관제시스템·IoT 보안에 머신러닝 활용”
베이지안 이론
영국 캠브리지대학이 18세기부터 고급 베이지언 수학에 대한 연구를 선도 하였습니다
베이지안 이론은 머신러닝 분야 중에서도 다양한 변수가 존재하는,비지도 학습에 사용됩니다
이는 자동학습기반의 빠른 분류와 예측에 적합한 진일보한 통계이론 입니다
Darktrace는 캠브리지대학의 수학자들과 함께 혁신적인 머신러닝 기반 보안솔루션을 개발 하였습니다
머신 러닝과 이상행위 탐지
사용자 행위를 학습 다양한 변수를 적용하여 이상 행위를 탐지
탐지된 이상 행위를 알려진 위협과
고유한 위협으로 분류
모든 과정은 자동화된 머신 러닝을 통하여 이루어 집니다
300차원 이상의 변수분류로 이루어져 정확한 탐지와 분류가 가능 합니다
Known APT,사용자 계정 위반등 알려진 위협은 실시간으로 즉시 표시되며,
고유한 위협은 모델 편집기를 이용하여 회사만의 고유한 위협모델명으로 모니터링 할 수 있습니다.
Darktrace 아키텍쳐
보안시스템과의 유기적 보완관계
Darktrace Immune system을 이용한 이상행위 탐지 시스템은 각종 보안 시스템과
상호보완적 관계에 있습니다
특히,탐지된 이상 데이터 흐름에 다운로드 된 파일이 있을 시 APT(sandbox)솔루션과 협업은
좋은 시너지를 기대 할 수 있습니다
Darktrace vs other solutions
DARKTRACE APT solution Network forensic
& Log analysis
위협 영역 내부+외부 외부 내부+외부
위협의 종류 모든 이상 행위 악성코드 알려진 위협
운영 노력 낮음 높음 높음
탐지 기반 기술 자동화된 머신러닝 가상 샌드박스 사람의 지식 및 룰
상세 분석 딥 패킷 분석 코드 리버싱 딥 패킷 분석,SQL
데이터 흐름 가시성 3D기반의 100% 가시성 없슴 제한적
실시간 탐지 실시간 수분 ~ 수시간 수시간 ~ 수일
도입 및 운영 비용 70 80 100
탐지 및 분석을 위한 세가지 방법
User Interface
Display, Logs, Graphs
Advanced Search
Metadata Analysis
PCAP Analysis
Deep Packet Inspection
탐지 및 분석을 위한 세가지 방법
User Interface
Display, Logs, Graphs
Advanced Search
Metadata Analysis
PCAP Analysis
Deep Packet Inspection
탐지 및 분석을 위한 세가지 방법
User Interface
Display, Logs, Graphs
Advanced Search
Metadata Analysis
PCAP Analysis
Deep Packet Inspection
탐지 및 분석을 위한 세가지 방법
User Interface
Display, Logs, Graphs
Advanced Search
Metadata Analysis
PCAP Analysis
Deep Packet Inspection
탐지 및 분석을 위한 세가지 방법
User Interface
Display, Logs, Graphs
Advanced Search
Metadata Analysis
PCAP Analysis
Deep Packet Inspection
탐지 및 분석을 위한 세가지 방법
User Interface
Display, Logs, Graphs
Advanced Search
Metadata Analysis
PCAP Analysis
Deep Packet Inspection
탐지 및 분석을 위한 세가지 방법
User Interface
Display, Logs, Graphs
Advanced Search
Metadata Analysis
PCAP Analysis
Deep Packet Inspection
conn • source IP
• source port
• dest IP
• dest port
http •method
•host
•URI
•user agent
files identified
• hash
• filename
• size
UID
탐지 및 분석을 위한 세가지 방법
User Interface
Display, Logs, Graphs
Advanced Search
Metadata Analysis
PCAP Analysis
Deep Packet Inspection
모델 에디터와 필터
Model editor
학습된 결과를 기반으로 조직에 맞는 다양한 침해 모델을 생성
Filter combinations
다양한 조합과 표현식으로 조직 특성을 반영한 탐지 가능
Darktrace를 통한 탐지의 예시들
What Darktrace Finds : Examples
Remote access attack linked to dangerous malware Illegitimate access to database server
Anomalous data transfer Fast travel indicating password compromise
Domain Generation Algorithm Anomalous internal file transfers
Malicious web drive-by Use of virtual Cyrillic keyboard
Suspicious Java download Connections to website linked to Advanced Persistent Threats
Infection with ransomware Attempted connections to non-existent domain names
Bitcoin mining Port-scanning for internal company resources
Use of ‘Tor’ anonymizing network Suspicious file download using XOR obfuscation
Unauthorized use of administrator credentials Risk from ‘bring-your-own-device’ (BYOD) policies
Peer-to-peer connections with the Far East Illegitimate access to database server
Darktrace만의 고유한 위협 보고서
Executive Summary
경영진을 위한 핵심 리포트
Incident Summary
관리자를 위한 요약 리포트
Incident Details
실무진을 위한 상세 리포트
.
Darktrace만의 고유한 위협 보고서
Executive Summary
경영진을 위한 핵심 리포트
Incident Summary
관리자를 위한 요약 리포트
Incident Details
실무진을 위한 상세 리포트
.
유연한 구성을 위한 제품 라인업
계층적 어플라이언스 구조
회사의 규모 및 구조에 맞는 1tier – 3tier 구성가능
Darktrace Unified view server
대규모의 통합된 네트워크 view 및 분석
Darktrace Master appliance
Probe들의 데이터를 취합/분석/view제공
Darktrace Probe
데이터 수집
Darktrace vSensor
cloud virtual switch data capture
손쉬운 설치
손쉬운 설치: 약1시간 소요
최적의 공간 활용 : 1U – 2U
Passive Network Data
Layer 3 SPAN / VLAN mirror
Layer 2 SPAN
Network Tap
머신 러닝 기반의 UBA Darktrace를 요약하면
No rules or signatures
보안 위협 자동 탐지 및 3D 기반의 시각화
네트워크상의 모든 사용자, 단말, 장비에 대한 분석
네트워크 트래픽의 가시성 100% 확보
실시간 분석 및 과거 데이터 재생 기능(Playback)
Darktrace vSensor로 cloud 보안 가시성확보
고객 사례 – British Telecom
산업군
• 통신사업자
고객의 어려움
• 전세계에 분산되어있는 대형네트웍 관리의 어려움
• 순식간에 변화하는 고도화된 사이버 위협의 증가
• 복잡한 네트웍 데이타를 분석해서 기존에 알려지지 않았던 위협을 찾을 수 있는 솔루션을 필요로 했음
다크트레이스 도입 후 혜택
• 실시간으로 전체네트웍의 능동적 가시성 확보
• 알려지지 않았던 새로운 공격이 심각한 피해를 일으키기전에 감지될 수 있다라는 확신 확보
• 다크트레이스의 자율머신러닝과 베이지언수학을 BT에서 기존에 사용하고 있던 보안솔루션과 통합하여 전반적인 보안프레임워크를 한단계 고도화 시킴
• 내부위협 방어
“다크트레이스의 머신러닝과 베이지언수학은 비정상적인 행위를 발견하는데 아주 강력하며 이러한 기술은 우리가 향 후 사이버보안 서비스를 제공함에 있어서 아주 중요한 요소가 될 것입니다.” Mark Hughes, BT 보안담당, 사장
고객 사례 - Drax
산업군
• 자원/공공사업, 영국의 전기사업자
고객의 어려움
• Drax 는 국가안보와 직결되는 국가기반시설의 주요전기시설을 관리하면서…
• 회사내부네트웍과 동시에 공장시설에 대한 방어체계가 필요한 상황
• 내부위협에 대한 위험성 제기
• 지능형공격 (advanced threats)에 대한 방어체계에 대한 고민
다크트레이스 도입 후 혜택
• 기존 보안 솔루션을 통과한 위협을 감지하기 시작함.
• 공장시설을 관리하기 위해서 다크트레이스의 산업제어시스템 전용 솔루션 설치 (Industrial Immune System)
• 변형감지와 네트웍모니터링을 중단없이 제공
• 실시간으로 위협을 분석함으로써 그 피해를 최소화 할 수 있는 기능 제공
“다크트레이스의 기술은 우리 시스템의 운영에 방해 가능성 있는 위협을 감지 해 주었습니다.”
Martin Sloan, 안전/보안 담당
고객 사례 – 버진 트레인
산업군
• 운송
고객의 어려움
• 버진그룹사 차원에서 사이버 위협을 최고우선 순위로 선정
• 많은 협력사들이 내부망에 접속하는 경우가 증가 하는 상황
• 기차안에서도 무선을(Wifi)통한 인터넷 접속서비스 제공
• 높은수준의 고객경험을 제공하면서도 위험을 줄여야 하는 상황
다크트레이스 도입 후 혜택
• 사용자, 디바이스, 네트웍의 기본치 설정 가능
• SIEM 솔루션과는 다르게 종합적이면서 실시간의 가시성을 제공
• 보안관련투자를 정확하게 평가하게 도와주며 네트웍자원활용을 극대화 시켜줌
• 고객의 확신성과 신뢰성 증가
“다크트레이스의 사이버 보안 플랫폼은 현재 우리네트웍에서 무슨일이 일어나고 있는지를 실시간으로 저희에게 통합 가시성을 통해서 확보해주었습니다.”
Louis Kangurs IT 네트웍 담당 매니저, 버진트레인
고객 사례 – SEGA 게임
산업군
• 게임
고객의 어려움
• 지능형지속공격(APT) 방어의 어려움
• 광범위한 소셜미디어외 다수의 정보공유 사이트의 사용증가
• 핵심지적재산권(게임관련), 고객정보, 기업평판관리의어려움
다크트레이스 도입 후 혜택
• 적응형 모니터링
• 활발한 디지털 환경에 대한 이해도 증가
• 세가의 복잡한 네트웍에서 감지하기 어려웠던 이상행위를 표면으로 드러나게 했음.
• 사이버 위험이 크게 감소
• 보다 안정적인 환경을 고객과 고객의 IT자원에게 제공 가능
“다크트레이스는 우리의 보안수준에 대해서 그 누구보다도 높은 신뢰성을 제공했고 궁극적으로는 우리의 직원, 고객, 그리고 중요정보에 대해서 높은수준의 안정된 업무환경을 제공했습니다.” 세가
Darktrace 고객사(2015.10 기준)
Q&A
Darktrace Korea
서현석 한국대표
010-5347-8829
서울시 중구 을지로5길 26 센터원 빌딩 서관 27층
전 화 : 02 – 6030-8830
홈페이지 : www.frentree.com