안녕하세요, Overtake는 블록체인 기술을 활용하여 다양한 활동을 통해 AP를 벌거나, 에어드롭을 받을 수 있는 기회를 제공하는 플랫폼입니다. 이제 Overtake 플랫폼이 어떻게 작동하는지, 그리고 어떻게 AP를 벌고 에어드롭을 받을 수 있는지 알아보겠습니다.
Overtake 플랫폼이란?
Overtake는 사용자들이 다양한 활동을 통해 AP(활동 포인트)를 획득할 수 있는 블록체인 기반의 플랫폼입니다. 이 플랫폼은 사용자들에게 더 많은 참여와 활동을 장려하기 위해 설계되었으며, 이를 통해 사용자들은 다양한 혜택을 누릴 수 있습니다.
특징은, 게임 플랫폼, 아이템거래소 등과의 파트너쉽을 통해, 게임과 관련된 간단한 미션들을 기반으로 AP 포인트를 벌수 있다는 것입니다!
AP(활동 포인트)란 무엇인가요?
AP는 Overtake 플랫폼 내에서 사용자가 활동을 통해 얻을 수 있는 포인트입니다. AP는 다양한 방식으로 획득할 수 있으며, 이 포인트를 통해 에어드롭과 같은 특별한 보상을 받을 수 있습니다. AP를 얻는 주요 방법은 다음과 같습니다.
Daily Quest : 일일 퀘스트 간단한 게임 미션(예: 10분 동안 Counter Strike 스팀 게임 하기 등)
Pop Quest : 일일 퀘스트가 아닌 정해져 있는 퀘스트들(특정 게임 구매하기, 특정 게임 임무 달성하기 등)
일일 퀘스트 예시일일 또는 팝 퀘스트를 완료해서 AP 를 버세요!
마무리
Overtake 플랫폼은 사용자들에게 다양한 활동을 통해 AP를 벌고, 이를 통해 에어드롭을 받을 수 있는 기회를 제공합니다. 블록체인과 암호화폐에 관심이 많다면, Overtake 플랫폼에 가입하여 활동을 시작해 보세요. 여러분의 적극적인 참여와 활동이 곧 큰 보상으로 돌아올 것입니다.
def scan_smb_server(server, username, password): files_dict = {} with smbclient.SambaClient(server, username=username, password=password) as client: for entry in client.listdir(''): if client.isdir(entry): for root, dirs, files in client.walk(entry): for f in files: file_path = root + '/' + f files_dict[file_path] = f else: files_dict[entry] = entry return files_dict
# Example usage files = scan_smb_server('smb://myserver/myshare', 'myusername', 'mypassword') print(files)
# Find key that contains the string "GUI" in its value key_with_gui = None for key, value in json_data.items(): if 'GUI' in value: key_with_gui = key break
if key_with_gui: print("The key that contains the string 'GUI' in its value is:", key_with_gui) else: print("No key contains the string 'GUI' in its value.")
# SSH 접속 정보 host = "remote_server_ip" username = "user" password = "password"
# SSH 접속 client = paramiko.SSHClient() client.set_missing_host_key_policy(paramiko.AutoAddPolicy()) client.connect(hostname=host, username=username, password=password)
# invoke_shell 을 사용해 명령어 전달 channel = client.invoke_shell() channel.send("your_command") time.sleep(30) output = channel.recv(9999).decode('utf-8')
# output 을 csv 파일로 저장 file_name = "output.csv" with open(file_name, 'w', newline='') as file: writer = csv.writer(file) writer.writerow(["output"]) for line in output: writer.writerow([line.strip()])
[그림. 2020 KISA 국가개발과제 AI·빅데이터 기반 사이버 보안 오케스트레이션 및 자동 대응 기술 개발 공고 내용 중]
SOAR 는 구글링 또는 벤더의 웨비나를 통해서 들어보신 분들은 그 개념을 이미 아실지도 모르겠습니다.
최근 몇 년 전부터 진행되었던 많은 보안행사에서는 지능형 SOC 플랫폼, 지능형 관제 솔루션, 빅데이터 자동화, 업무 자동화화, 인공지능 기반 자동화 등의 수많은 키워드들로 SOAR의 컨셉에 대해 설파했습니다.
그러나 국내에서는 아직도 시작단계로 느껴지는 것이, 얼리어답터 기업에서는 재작년에, 대기업관제에서는 작년에 데모, POC, BMT를 통해 납품이 이루어지기 시작했습니다.
왜 최근에 SOAR 가 각광을 받고 있을까요?
사용자의 시각으로 알아보겠습니다.
#0 SOC(Security Operation Center) 챌린지
빅데이터급 대량의 데이터 발생..
클라우드, 온프레미스, 하이브리드 등의 인프라 환경의 다변화..
코로나로 인한 재택근무 체제..
...
많은 환경의 변화에 따라 사이버 위협의 공격면이 다양하게 늘어나고, 관리 해야 할 시스템, 봐야 할 이벤트는 증가하고 있습니다.
이것들을 다루어야 하는 SOC 조직의 구성요소를 가지고 한번 생각해볼까요?
" SOC 조직의 구성 요소 : 사람, 프로세스, 기술 "
'사람'은 한정되어 있거나, 무한정 늘리기 어렵고.
'프로세스'를 늘린다고 업무가 마냥 빨리지거나 하진 않겠죠..
결국 남은 하나의 구성요소 '기술'에 기댈 수 밖에 없는 형국으로 방향성이 잡혔습니다.
#1 SOAR 란 무엇인가
가트너에서는 2017년에 SOAR 라는 용어를 하나의 제품군으로 정의했습니다.
구글링에 SOAR를 검색해서 공부해 보신 분들은 이미 확인해 보셨겠지만, 이미 인공지능 인지과학분야에서 SOAR 라는 용어는 1983년부터 사용되던 개념으로 하나의 '범용인지구조(general cognitive architecture)'를 의미하기도 했습니다. 인지과학분야에서 사용하던 의미를 매~우 쉽게 풀어 설명하면 아래와 같습니다. "하나의 주체가, 주변과 상호작용하여 정보를 수집하고, 수집된 정보를 기반으로 특정 상황에 대응한다"
가트너에서 제품군에 대한 정의를 할 때, 그 제품이 이루어지기 위한 구성요소를 함께 설정합니다.
SOAR 를 가트너에서 정의한 것은 아래와 같습니다.
❤ SOAR(Security Orchestration, Automation and Response), 2017 Gartner
1. SOA : Security Orchestration and Automation (오케스트레이션 및 자동화)
> 다양한 보안시스템과 상호작용을 통해 연동을 지원하고, 이를 기반으로 자동화 할 수 있어야 하는 역량
> 보안 사고 대응의 전반적인 과정을 하나의 플랫폼에서 정의된 사고대응 워크플로를 기반으로 처리할수 있어야 하는 역량
3. TIP : Threat Intelligence Platform (위협 인텔리전스 플랫폼)
> 조직에 위협이 되는 사이버보안위협 정보, 인텔리전스들을 통합하고 활용 할 수 있는 역량
Hoxy, 감이 오시나요? 솔루션쟁이, 사업검토 담당자로써 오랜 경력을 가진 분들 정도 되면,
대략 기능이 눈에 그려지는 분도 계실겁니다만. 아직 눈에 그려지지 않는 분이 계실겁니다.
더 알아보시죠.
#2 SOAR 기대 효과
조직의 보안운영팀, 관제팀은 기본적으로 수십개 이상의 솔루션들을 다루거나 , 업무를 처리하기 위해서 다수의 관련 업무시스템에 접속해 개별적으로 수동 처리 하는 경우가 많습니다.
조직이 SOAR를 도입한다면 어떤 효과를 기대할 수 있을까요?
1. 조직 내 보안 경고(Alerts), 사고(Incidents), 침해지표(Indicators), 자산(Assets), 업무 프로세스(Tasks) 통합 및 분류
> 분산된 데이터의 통합 및 중앙화, 다만 이것은 '수집/통합/상관관계분석/1차적자동대응' 목적을 가진 SIEM 과는 컨셉이 좀 다릅니다, 대량의 데이터를 모두 수집하는 것보다는, 조직의 업무에 사용되는 선별적인 데이터들만 수집하고, 이 데이터들을 활용해 사람의 업무를 플레이북 기반으로 자동화하는데 목적이 있기 때문입니다.
2. ROI(투자대비수익), MTTD(Mean Time to Detection), MTTR(Mean Time to Response) 향상 및 Tracking
> 업무자동화를 통해 사람이 수행할 때의 시간/비용 효율화, 다만 SOAR 를 매니지먼트 하고 플레이북을 통해 결국 일을 해야 할 사람이 필요하므로 기존 인력을 대체한다라는 의미보다는 업무를 가속화한다는 측면이 더 가깝겠습니다.
3. 기존의 복잡한 자동화에서 쉬운 업무 자동화 환경으로 변화
> 기존의 에코시스템 구성 측면에서, 시스템과 시스템 사이에 별도의 개발 사업을 통해 자동화가 구현되어 있는 경우가 많습니다만, SOAR의 비교적 쉬운 Playbook Builder 를 통해 자동화를 구현하므로 쉬운 업무자동화 환경으로 변화한다고 표현 할 수 있겠습니다.
4. 역할기반(RBAC) 표준 업무 프로세스 정립을 통해 명확한 R&R 설정
> 수집된 여러 데이터들을 활용해 하나의 플랫폼에서 업무를 보기 때문에, 역할 별 업무 정의가 필수적인 기능입니다, 이를 통해 개인에 맞는 역할 별 업무 할당을 통해 조직의 업무롤을 명료하게 가져갈수 있습니다.
5. 플레이북을 통한 업무 표준화로 Human Skill Gap 및 Human Error 최소화, 인력교체로 인한 운영 경험 손실 최소화
> SOC 조직의 잦은 이직률, 퇴사율, 대부분의 구성이 주니어 인력.. 여러가지 인력 상황에 따른 개인별 스킬 역량 차이, 또는 휴먼 에러가 어느정도 최소화 됩니다. 플레이북을 통해 업무를 표준화 시켜 놓고, 플레이북을 따라가면서 일을 하게 되므로 신입직원이라고 해도 시니어급 선배가 하는 업무와 동일하게 일을 할 수 있게 됩니다.
6. 단일 환경 및 멀티 테넌트 환경 구성을 통해, 분산된 보안 업무 환경에 적용
> 분산된 업무환경을 하나의 플랫폼으로 통합해 모든 법인 등의 분리된 섹터에 대해서도 동일한 SOC 업무절차를 적용 할 수 있게 됩니다.
#3 SOAR 동작 방식
국산 SOAR 제품들은 각 자사 SIEM 에 SOAR 의 기능을 탑재하는 형태로 제품이 출시되는 경향이 있고, 해외 SOAR 제품들은 3rd 연동을 목적으로 하는 단품형 SOAR 가 다수를 차지 하고 있습니다.
아래는 해외 외산 SOAR 제품 중, 커스터마이징 및 3rd 연동에 강점을 가졌다고 알려진 Fortinet의 SOAR 솔루션 소개자료에서 발췌한 그림입니다. SOAR 마다 구성 방식이나 동작 방식이 일부 상이하겠지만, 동작방식 이해를 돕기위해 사용되었습니다.
[그림. Fortinet의 FortiSOAR 개요도]
1. 데이터 수집 및 가공(Data Ingestion)
SIEM 과 같은 로그 수집 시스템으로부터 업무에 사용되는 이벤트를 선별적으로 지정하여 로그(Alerts)의 형태로 FortiSOAR 가 수집합니다. 위 그림에서는 FortiSIEM 이 예제로 들어가 있으나 Splunk, Qradar 등과 같은 국내에서 잘 사용되는 외산 SIEM 도 연동이 가능합니다. 이는 Fortinet의 SOAR 뿐만 아니라 대부분의 외산 단품형 SOAR 가 갖는 컨셉이기도 합니다.
SIEM 외에도 구름모양의 아이콘인 3rd 제품으로부터의 이벤트를 선별적으로 지정하여 로그(Alerts)의 형태로 수집합니다.
정의된 플레이북을 통해수집된 이벤트들을 가공하여 위협을 분류하거나, 이벤트에서 분석 할 대상 지표(Indicator: IP, Domain, User, Host 등)를 자동 식별합니다.
2. 데이터 보강 단계(Data Enrichment)
그림의 Enrichment 단계에서 외부의 평판정보서비스(예: Virustotal, Whois 등), 3rd 보안솔루션의 분석결과 등에 대해 수집되고 분류된 데이터들에 대한 내용으로 자동 쿼리를 수행하여, 사람 대신 분석 할 수 있도록 추가 정보들을 수집해 보강합니다. (예: 방화벽 로그 수집 > 아이피 추출 > 아이피를 Virustotal 에 쿼리하여 점수 수집)
3. 분석 및 분류 단계(Investigation & Triage)
하나의 이벤트가 수집되고, 데이터가 보강 된 이후, 사람 또는 정의된 플레이북에 의해 해당 이벤트가 분석됩니다. 이후 분석 결과를 기준으로 이벤트가 정확하게 분류되고 이에 따른 대응 방법이 결정됩니다. (예: 분석결과 IP의 악성점수가 5점 이상인 경우 악성이벤트로 카테고리 변경, 이후 차단프로세스로 연결)
4. 조치 단계(Remediation)
위의 분석 및 분류 단계를 지나 이벤트에 대한 대응 방안이 결정되면, 플레이북에 의해 자동으로 조치 장비(예: 방화벽, EDR, IPS 등)와 상호작용하여 이벤트에 대한 대응을 수행합니다.
위 그림에는 표현되지 않았지만 보고서를 작성하거나, 특정 관계자에게 이메일 알람을 보낸다거나 하는 등의 보고(Reporting & notification)와 같은 기능도 수행 될 수 있습니다.
#4 SOAR 분석 자동화 사례 Use-Cases
[그림. Fortinet FortiSOAR Playbook을 통한 분석 자동화 사례]
#5 결론
본 글은 컨셉 위주로 적어 보았는데요,
결국 SOAR는 사람의 업무 프로세스를 가속화하기 위해서,
자동 통합하고, 자동 보강하고, 자동 분석하고, 자동 대응하는것이 궁극적 목표입니다.
분산되어있는 시스템을 하나의 플랫폼에서 사용할 수 있게 하는 것만으로도 SOC 조직의 많은 업무로드를 줄일 수 있을 것으로 보이며,
모든 사람의 업무를 자동화 할 순 없겠지만, 의사결정이 필요하지 않은 업무나 단순반복노무 같은 것들은 우리가 업무용 매크로를 쓰듯이 플레이북을 통해 자동화하여, 정확하고 신속하게 대응 할 수 있게 될 것으로 보입니다.
AttackIQ, SafeBreach 등 BAS(Breach and Simulation) 솔루션들과 같이 취약점 진단의 영역이 날로 진화하고 있으며, 공격 기법을 정의하는 부분에서도 기존의사이버킬체인에서 그치지 않고, MITRE ATT&CK 프레임워크라는 분류 기준도 출현했습니다. 이 지표가 만들어진 것은 근래의 일이 아니지만, BAS와도 같은 진단 관련 보안 솔루션을 비롯해 많은 보안 솔루션들이 이 지표를 참고하여 개발되는 모습을 자주 볼 수 있습니다. 또한 해외 보안 컨퍼런스에 자주 활용되어지는 것으로 볼 때 신뢰성도 있는 것 같습니다.https://attack.mitre.org/에 가면, 공격 기법에 대한 일람표와 각 공격 단계에서의 기법 별 설명이 자세하게 영문으로 작성되어 있습니다. 보안 업계에서 종사하는 분이라면 개념은 알고 있어야 할 것 같습니다.
MITRE ATT&CK Matrix 일람표 중 하나
ATT&CK 는 전통적인 사이버킬체인의 개념과는 약간 관점을 달리하여, 공격의 기법들에 대해 일종의 프로파일링을 진행 해, 카테고리별로 목록화 해 놓은 데이터입니다.
아래는 이해를 돕기 위해 조사해 작성해 보았습니다.이런 일련의 프로파일링 작업들을 하는 보안 목표는, 공격기법을 식별하고 카테고리화 해 둔 다음 이 지표들을 기반으로 기업이 조직 보안관제를 함에 있어 각 단계에서 Risk 를 발견하고 조치함으로써 효율적이고 효과적인 보안 환경을 구성하기 위함입니다.
1.Initial Access: 초기 접근 단계 공격 *주요공격* : 스피어피싱, 익스플로잇, 드라이브바이
2.Execution: 악성 행위 실행 *주요공격* : 악성코드, 스크립트, 스케쥴러 등
3.Persistence: 악성 행위 지속성 획득 *주요공격* : 시작프로그램, 레지스트리, 서비스 수정, 하이재킹, 계정등록 등
4.Privilege Escalation: 권한 상승 *주요공격* : UAC 약화, 권한 설정 변경 등
5.Defense Evasion: 보안 우회 *주요공격* : 코드사이닝 우회, 토큰매니퓰레이션 등
이 포스팅은 지극히 주관적이기 때문에 비즈니스 목적으로 보시는 분께서는 참고하여 주시길 바랍니다.
Darktrace Main - 3D Visualizer
[네트워크 보안 관점에서의 AI 필요성]
요즘엔하루 이틀만에 쌓이는 데이터 수준이'문명 탄생 이후 2000년대 초반까지 쌓인 디지털 데이터 양과 비슷하다' 고 할 정도로 많은 량의 데이터가 쌓이고 있습니다. 이 중 대부분의 데이터는 네트워크를 타고 움직이며 활동하고 이리 저리 복사되고 움직이는데, 그렇다면 기업의 네트워크 데이터는 어떨까요?
전체 데이터 수준에는 비할 바가 못되지만, 사람이 전수 조사가 불가능할 만큼 많습니다.
기업의 네트워크 트래픽에서 발생하는, 다양한 사용자의 행위들은 네트워크 보안 관점에서 어떤 방식으로 보안이 되고 있었을까요? 종사자라면 이미 아시는 바와 같이 전통적으로는 하드웨어 기반 시스템들을 주축으로, 또는 최근 트렌드인 소프트웨어 기반(Software-Defined Perimeter) 시스템들을 활용해 일종의 경계 관문 보안을 하는 것이 중요했습니다. 물론 엔드포인트, PC 및 서버 단에서 에이전트를 통한 보안 역시도 한몫을 차지하고 있었습니다. (엔드포인트 영역은 여기에서는 상세 내용을 생략하겠습니다... 추후에는 엔드포인트 영역에서 네트워크까지 다 볼수도 있을지 모르겠지만요)
다만, 기존 구성에서는 시그니처/패턴 기반으로 동작하는 시스템이 대부분을 차지했고, 또 내부에서 내부간 네트워크 흐름 역시 파악하기가 매우 어려웠습니다. 물론 일부 최근에는 AI가 트렌드이기 때문에 각 제품들의 일부 기능으로써 AI 기능이 올라오기도 하고 있습니다.그러나, 제대로된 AI 개발 인력 양성 기관조차 세계적으로 부족하다고 하는 지금.. 제대로, 쓸만하게, 과탐/오탐이 최소화 된 상태로 동작하는 제품이 과연 몇개나 될까요...?
기존처럼 사람을 통한 네트워크 전수 검사 관제를 구성하려면 전문인력을 뽑는 어려움은 물론이거니와 3교대 24시간 몇명이나 돌려야 할까요, 사람이 많다고 그 많은 기업 네트워크를 모두 볼 수 있을까요? 현실적으로 사람을 통해 네트워크 이벤트를 전수 검사 한다는 것은 불가능합니다.. 만약 CISO 님께서 그 빈틈을 아신다면 발뻗고 주무실수 있을까요?
겉으로는 모든 네트워크 내의 단말이 아주 많은 보안 시스템에 의해 철저히 보안 받고 있는 것처럼 느껴지지만, 실상은 그렇지 않은 경우가 많고, 슬프게도 보안담당자는 빈틈이 없는지 계속 관리하고 치명적인 단 한건의 사례를 찾기 위해 모니터링 해야할 의무가 있습니다.. 그런데 사람은 다 볼수가 없습니다.
업계에서는 시기상, 알파고 이후로 국내 보안시장에서도 AI 제품에 대한 관심이 쏟아지고 있습니다.
관심의 내용을 몇가지 정리하면 아래와 같겠습니다..
"AI를 통해 우리 기업의 네트워크 패턴을 학습하고, 학습한 데이터를 기반으로 이상행위를 잘 찾아준다면.. 그것은 전문 인력이 24시간 관제를 하는 것보다 더 효과가 있지 않을까?"
"AI 네트워크 보안 제품을 쓰면, 다 자동으로 찾아 주는거야? 어느정도 수준까지 얼마나 잘 찾는지 한번 보자"
"그러면 사람이 필요 없어지는거야?" 등등...
대부분의 주 관심사는, AI를 통해 사람을 대체할 수 있느냐 라는 것입니다.
결론은, 사람은 필요합니다.
기본적으로 AI기반 네트워크 이상행위 탐지 제품은 행위 주체, 통신 목적지 등에 대한 Knowledge 를 가지고 있지 않습니다. 쉬운 예제로 말하면 아래와 가깝습니다.(제품에 따라 아닐수도 있습니다)
AI기반 네트워크 이상행위 탐지 제품 왈:
"내가 학습하기로는 A 장치와, A 장치가 속한 유사 군집 장치들은 이러한 행위를 평소 하지 않았는데, A 장치가 갑자기 평소에 접속 안했던, 희귀도 높은 외부 목적지랑 주기적인 통신을 마구마구 해! 내 기준에선 이거 심각해! 한번 꼭 봐바! 그 목적지가 뭔지는 난 모르니깐!, 다만 네가 확인 하기 편하도록 IP나 위치정보, 프로토콜 등 정보는 잘 보이도록 제공해줄게!"
학습 데이터와 탐지 모델들을 기반하여 이상 행위를 탐지하는 것이 제품의 몫이고, 해당하는 목적지, 출발지 등에 대한 리뷰와 조치는 사람의 몫이 되는겁니다.
자 그럼.. 조금 더 볼까요?
[보안 영역]
가트너에서 Darktrace는 크게 두가지 정도의 분야로 정의됩니다.
NDR - Network Detection & Response
NTA - Network Traffic Analysis
[Darktrace 제조사 ?]
수학에 강하다는 영국 캠브릿지 대학 출신들이 주요 개발자로 참여하고 있으며, 글로벌하게 보안 분석가만 100명 이상 보유하고 있는 떠오르는 네트워크 보안 분야의 AI 선도 기업입니다. Korea 지사가 있고 매우 활발히 활동하고 있습니다.
[Darktrace 동작 Flow]
내부와 내부, 내부와 외부 트래픽이 흐르는 백본 스위치 또는 네트워크 탭, 방화벽 등의 네트워크 장비에서 복사된 트래픽을 다크트레이스에서 받아 수집합니다.
수집된 패킷 데이터를 350+ 개 이상의 디멘션으로 구분하여 네트워크 패턴을 학습합니다. (디멘션은 머신러닝 학습에서 나오는 일종의 학습을 위한 메타가 되는 개념입니다.
학습된 네트워크 패턴을 통해 장치와 네트워크를 자동으로 인지하고 구분합니다. (내부/외부 네트워크 식별, 장치 OS, DHCP IP 추적, 호스트네임, 맥어드레스 등..)
학습된 네트워크 패턴에 대해 약 500여가지 질의 모델을 가지고 질의하여 모델링에 의거한 이상한 행동들을 Alert 으로 생성해 제공합니다.
#AI, 지도학습, 비지도학습 Machine-learning
#Network Traffic 수집(Mirroring Traffic) 및 분석
#실시간 탐지 Alert
#평시 행위 대비 네트워크 이상행위 감지
#탐지 모델 범위 유사 제품군 중 제일 넓음
#국내 및 국외 최다 납품(글작성시간기준)
#정상 및 비정상 메타데이터(L7 수준까지) 저장하여 검색환경까지 제공
#API, Syslog(CEF/JSON/LEEF 등) 연동 제공
[현재 관제 분야에서 NDR/NTA 영역 제품에 대한 고민..]
1. SOC 관제센터를 통한 내부 네트워크 관제 필요성 증대
* SOC 란 ?
Security Operations Center의 약자로 이미 국내 주요 엔터프라이즈 대기업들은 구축 및 안정화가 다수 진행된 상태로 조직 네트워크 및 단말에 대한 포괄적 관제 환경을 구축하는 것을 의미합니다.
(1) SIEM/UEBA
- 의미 및 강점: 이기종 다양한 운영중인 보안 시스템의 보안 로그 연동을 목적으로 하는 통합 관제 플랫폼, 하나의 환경에서 모든 보안로그를 수집하고, 이를 통해 관제하고자 하는 제품군입니다.
- 보완필요사항: 기존 운영중인 보안솔루션이 탐지하는 수준 + 상관관계 룰에 의한 탐지 한계성을 지닙니다, 운영 시나리오에 대한 보안운영자의 많은 고민과 지속적인 관심이 필요합니다.
(2) NDR(Network Detection and Response)
- 의미 및 강점 : 내부<->내부간, 내부<->외부 간을 비롯한 조직 네트워크에서 발생하는 트래픽을 수집/분석해 이상행위를 찾아내는 솔루션 영역입니다.
- 보완필요사항 : 기존의 전통적인 관문형(방화벽/IDS/IPS/SWG)은 내부<->외부간 구간의 알려진(Known) 악성 이벤트만 탐지 가능하거나 로그를 상세하게 저장하지 않음(사고 대응 어려움), 네트워크 트래픽만 수집하게 될 경우 그 분량이 매우 방대하며 사람이 전수 조사 할 수 없음=> AI(인공지능)을 통한 분석 기능의 필수화
- Darktrace 필요성? : 내부<->내부간, 내부<->외부간 조직 네트워크를 학습(Machine-Learning)하고 학습된 데이터 기반 이상행위 발생시 보안운영자에게 제공하는 컨셉을 가진 제품으로, 수많은 네트워크 빅 트래픽을 사람이 이해할 필요 없으며, 확인 해야 할 포인트를 제공하기 때문에 어디서부터 분석을 시작해야 할지 사람이 고민 할 필요가 없습니다, 또한 네트워크 트래픽 메타데이터를 상세하게 저장하기 때문에
각종 네트워크 보안 사고 시 실시간에 가까운 빠른 탐지(Detection) 및 회귀적(Historical) 분석을 통해 사고 대응 증적 자료 확보(Response)가 용이합니다,
SIEM 과의 연동 시 SIEM 에서 발생한 보안사고에 대한 상세한 데이터를 확보 할 수 있습니다.(다른 보안 제품은 탐지하고 관련 필수데이터만 남기고 분석이 충분한 수준의 상세한 데이터를 저장하지 않습니다)
2016년도부터 가트너에서는 이 영역을 NTA(Network Traffic Analysis)로 규정하고 있습니다.
보기에는 도입 이후 마치 업무가 늘어나는 것처럼 보이지만, 결국 관심을 기울이지 않는다면, 인지하지 못하는 내부 악성 이벤트들을 방치하는 것이 됩니다.
작은 사고 하나를 찾기 위해서 수많은 보안 솔루션이 도입되지만 그럼에도 불구하고 놓치는 것이 발생하는 것이 현실입니다.
결국 중요한 것은 보안담당자가 관심을 가지고 시스템을 잘 활용하여 위와 같은 SOC 모델을 참고하여 놓치는 부분없이 잘 관리해야 합니다.
(3) EDR(Endpoint Detection and Response)
- 의미 및 강점: 에이전트 설치 등을 기반으로 장치 수준에서 일어나는 File/memory/Directory/Registry 등 엔드포인트 영역의 이벤트에 대한 위협요소에 대한 것을 탐지하고 수집하기 위한 영역입니다. SIEM/NDR 등을 통해 발견된 악성코드 등을 원격에서 격리하거나 조치하고 증적 자료를 얻어 낼 수 있는 강점을 지니고 있습니다.
- 보완필요사항 : 내부 단말이 많을 경우 배포 및 형상관리의 어려움, 1:N 형태로 관리가 이루어지기 때문에 문제가 많은 제품 사용시 많은 인력 리소스가 필요함, 국내에서도 EDR 에 대한 많은 관심이 쏟아지고 있습니다. 국내에서는 최근부터 엔터프라이즈 대기업 및 금융 시장을 대상으로 기능성/안정성 이 좋은 외산 벤더의 제품이 주력이 되어 시장을 선도하고 있습니다.
[국내 주요 레퍼런스]
1. OOO 카드사
- 배경 및 도입필요성
(1) 기존 솔루션에서 탐지하지 못하는Unknown 악성행위에 대한 AI 탐지 기대
(2) 너무 많은 이벤트 로그로 인해 분석 인력이 과도하게 필요한 솔루션이 아닌, AI 기술기반 지능형 이벤트 탐지를 통해 적은 인력으로 운용 가능한 솔루션 기대
(3) IP를 가진 모든 내부 장치에 대한 학습 및 비정상 행위 탐지, 장치의 라이플 사이클 파악
(4) 보안 이벤트 시각화를 통한 직관적 관리/대응
(5) 내부<->내부 네트워크에 대한 네트워크 트래픽 가시성 확보(기존에는 볼 수 있는 수단이 없었음)
- 구축 범위
* 내부 구간 및 SSL VPN 적용 구간
- 데모 수준
- OOO Subnet(실망)
- 만대 이상의 Devices
- 데모 시나리오 및 결과
* 고객이 그들의 데이터로 자체 수행한 내역
- 공격 정보를 알려주지 않은 상태에서, 고객이 자체적으로 고객사 테스트용 웹서버를 대상으로 OWASP Top 10 과 관련한 아래의 웹 공격을 총 'OOOO' 건 수행
(1) Python 스크립트 사용
(2) 불법 채굴 프로그램 User-Agent 트래픽 발생
(3) SQL Injection 패턴 접속 시도
(4) 네트워크 포트 스캐닝 공격
* 실망에서 발견된 이벤트
(1) 망 내에 없었던 새로이 발견된 장치에서 내부 자산으로 네트워크 스캔 공격 : 해당 장치의 망 내 출현 시간 및 공격 사항을 보고하고, 지속활동 여부를 보고함
(2) 비정상적인 과도한 AD 로그인 시도 단말 탐지
(3) 비 암호화 되어 계정정보가 노출된 웹서비스 사용 탐지 : 기존에 인지하지 못했던 비암호화 평문 사이트 취약점을 발견하여 보고함
(4) 취약한 버전의 SMB(파일공유서비스) 사용 탐지 : MS 에서 비사용을 권고하는 매우 취약한 버전의 서비스 사용
- 정리
(1) 고객은 다크트레이스가 네트워크 보안 영역의 제품임을 이해하고, 그들이 보유한 공격 데이터 중 네트워크 관련 공격 패턴을 선별하여 실제 테스트 단말 및 서버를 지정하여 공격을 수행하였습니다.
다만, 네트워크 관련 공격 패턴 전체를 사용하지 않고 웹공격 한정으로 수행하였습니다. 데모 진행 엔지니어는 공격을 탐지하고 탐지 근거 및 분석 하는 과정을 보고서로 담아 제출하였고, 고객은 탐지 성공 내역, 분석 과정, 제공 데이터의 수준으로 도입을 결정 하였습니다.
(2) 실망에서 발견된 이벤트들은 실제로 OOO카드사가 이미 알고 있던 사항과, 모르고 있던 사항으로 나뉘어져 탐지되었으며, 모르고 있던 사항에 대해서 흥미로워 했으며, 도입 이후 '이런 이벤트 탐지를 위해 도입했다' 라고 피드백 주었습니다.
2. ㅁㅁㅁ 카드사
- 배경 및 도입필요성]
(1) 업무 시간 내 내부 직원들 PC에서 이루어지는 비 업무 행위탐지 필요
(2) POV 기간 중 출장 복귀한 내부 직원의 PC 감염으로 인한 비정상적인 통신 행위 탐지 (수상한 도메인) (3) 업무상 인가 되지 않은 행위에 대한 탐지 필요 (4) 기존 Signature와 정책 기반의 솔루션의 단점 보완을 위한 행위기반 솔루션 필요성 대두
- 구축 범위
* 내부 구간 및 SSL VPN 적용 구간
- 데모 범위
* 내부망
- 데모 테스트 시나리오 및 결과
* 고객이 그들의 데이터로 자체 수행한 내역
- 취약점 스캐닝 도구를 통한 취약점 공격 및 탐지 여부 (OWASP Top 10)
* 실망에서 발견된 이벤트
- 보안 규정 위반 의심 및 감염 사례
[정리]
(1) ㅁㅁㅁ 카드사는 내부<->내부 간 트래픽 흐름 가시성 확보 및 비정상트래픽 발견이 주 목적인 프로젝트로 AI 기반 NTA(Network Traffic Analysis) 제품들을 대상으로 BMT를 실시하였으며,
시인성 높고, 근거 제공 능력, 회귀적 분석 능력, AI를 통한 비정상 이벤트 표현, 공격 탐지 성능 평가의 관점에서 Darktrace 를 No.1 으로 결정하고 도입함
3. OOO 은행
- 배경 및 도입필요성
* 기존 솔루션에서 탐지하지 못하는Unknown 악성행위에 대한 AI 탐지 기대(보안 영역 보완)
- 구축 범위
* 내부 및 인터넷 망
- 데모 범위
* 내부 실망
- 데모 테스트 시나리오 및 결과
* 고객이 그들의 데이터로 자체 수행한 내역
(1) 취약점 스캐닝
(2) Exploit
(3) SMTP
* 실망에서 발견된 이벤트
- 비정상 악성행위 의심 단말 탐지
[정리]
- 기존 솔루션에서 탐지하지 못했던 보안 규정 위반 항목 및 기존 솔루션 차단 정책 우회 단말(비정상행위) 탐지 목적으로 구매하고 성공적인 운영중
공격 데이터
고객들은 그들이 보유한 공격 데이터 중 활용 가능하고 고객이 검증하고자 하는 영역에 대해 공격테스트를 수행하였으나, 파일 등 실물데이터에 대한 행위분석 등을 수행하는 샌드박스와는 다르게, 네트워크 보안 제품의 관점에서 공격 데이터의 유형이 네트워크 보안 영역으로 한정되었습니다. Darktrace EIS 는 네트워크 보안의 관점에서 유입/내부전파/유출/컴플라이언스의 측면에 대한 강점을 가지고 있습니다.
고객 도입 포인트
레퍼런스 고객들은 이미 탐지가 가능한 공격들을 AI로 탐지하여 인력을 감축할 수 있냐의 관점보다는,
(1) 기존 시그니처/패턴 기반 솔루션으로 탐지하지 못하는 공격들을 AI를 통해서, 사람보다 정교하고 효과적으로 찾아낼 수 있는가?
(2) 기존 가시성이 없던 영역에 대해 해당 솔루션은 얼마나 시인성(Visualization) 있게 데이터를 제공하는가?
의 관점으로 경쟁 제품들을 모아 BMT 를 진행 하였고, 검증 된 결과로 탐지역량 및 기능 우수로 다크트레이스를 선정 및 도입하였습니다.
데모 시나리오
(1) 테스트망 또는 실망 장비 설치(트래픽이 없는 구간에 BMT 진행 불가)
(2) 자동 학습 및 이벤트 탐지
(3) 탐지 결과 검토
Darktrace 도입을 통한 인력 감축이란?
AI 제품 도입 시, 추가적으로 보지 못하던 데이터를 분석하기 때문에 추가 분석 인력이 필요할 수 밖에 없습니다.
다만 이미 아시는바와같이 본 솔루션의 기본 가치는, 기존 보안 구성으로 잡지 못하는 Unknown 미탐 공격을 잡기 위한 것이 주 목적으로,
수많은 로그를 각 역량이 다른 다수의 사람이 분석하여 Unkown Attack을 찾아내는 것보다, 기계 학습(AI)를 통해 선제적으로 지속적으로 정교하게 분석 하는 것이, 훨씬 효과적이고 비용 절감적이라는 것입니다
[주관적인 생각]
필자인 저는 네트워크 포렌직 제품군에 업데이트된 AI 기반 이상행위 탐지기능과(S사의 S제품, R사의 N제품), EDR 분야의 AI 탐지 기능이 있는 제품(C사의 EPP), DB 머신러닝 제품(I사의 C제품)을 포함한 AI 제품 구축/데모 프로젝트를 최근까지 구축을 실무 엔지니어로서 경험해보았으나, 확실히 태생 AI 제품과 뒤늦게 부분 기능으로 추가된 AI 제품들은 아키텍쳐에서, 학습수준에 있어서의, 이상행위 모델링에서의, 성능에서의 차이가 체감 될 수준이었습니다.. (쉽게 말해서 안정화가 불가능할 정도의 과탐..? 모 제품에서는 AI 기능을 키자마자 1G도 안되는 트래픽에서 이상행위가 10만건 이상 발생...) 물론 방법론적으로 잘 풀어 나갈수 있을지언정, 잘 동작한다라는 말을 붙이기에는 역부족인 제품이 많았습니다.
기능적인 관점에서 결국 AI기반 네트워크 이상행위 탐지 시스템은얼마나 잘 데이터를 학습 할 수 있는 아키텍쳐를 가지고 있는지,제조사에서 설정한 학습 방식이 제품의 목적과 맞는지,실질적으로 잘 데이터를 처리하고 뽑아내는지,충분히 탐지 근거를 제공하는지등 체크포인트가 그려지는 것 같습니다.
