Jyan blog

 안녕하세요. 간만에 글 끄적여 봅니다. 😊

현업에서 직접 다루고 있는 상용 보안 솔루션에 대해 사용기나 리뷰를 남기는 것은

엔지니어에게는 상당히 조심스럽기도 하고 귀찮기도 하고 그렇습니다. 누구에게 도움이 될까 싶기도 하구요.

(생각날때만 드문드문 작성하고는 있습니다만..)

 타 제품을 비방하거나, 제가 다루었던 제품이 마냥 좋다라고 강조하는 내용은 아니구요,

제품의 컨셉이나, 사용기에 대해 풀어서 정리해 글로 남겨둔다면,

업계에는 제품도 알리면서, 궁금한 방문객의 호기심을 조금이나마 채워 줄 수 있지 않을까 싶네요.

본 글에 불편한 내용이 있거나 불법적인 내용이 있다면 알려주시면 감사하겠습니다.

 이 포스팅의 주제는 작년부터 업계에서 핫한 아이템인 SOAR 입니다.

그 중에서도 포티넷의 FortiSOAR를 가지고 정리해 보려 합니다. 2020년 12월 국가개발과제(KISA) SOAR 개발 사업을 시작했는데요, 이 때 정량적 개발목표로 세계최고수준을 Fortinet의 SOAR 솔루션으로 간주하고 있기 때문입니다.

www.kisa.or.kr/notice/notice_View.jsp?mode=view&p_No=4&b_No=4&d_No=2726

 SOAR 는 구글링 또는 벤더의 웨비나를 통해서 들어보신 분들은 그 개념을 이미 아실지도 모르겠습니다.

최근 몇 년 전부터 진행되었던 많은 보안행사에서는 지능형 SOC 플랫폼, 지능형 관제 솔루션, 빅데이터 자동화, 업무 자동화화, 인공지능 기반 자동화 등의 수많은 키워드들로 SOAR의 컨셉에 대해 설파했습니다.

그러나 국내에서는 아직도 시작단계로 느껴지는 것이,
얼리어답터 기업에서는 재작년에, 대기업관제에서는 작년에 데모, POC, BMT를 통해 납품이 이루어지기 시작했습니다.

왜 최근에 SOAR 가 각광을 받고 있을까요?

사용자의 시각으로 알아보겠습니다.

#0 SOC(Security Operation Center) 챌린지 

빅데이터급 대량의 데이터 발생..

클라우드, 온프레미스, 하이브리드 등의 인프라 환경의 다변화..

코로나로 인한 재택근무 체제.. 

...

많은 환경의 변화에 따라 사이버 위협의 공격면이 다양하게 늘어나고, 관리 해야 할 시스템, 봐야 할 이벤트는 증가하고 있습니다. 

이것들을 다루어야 하는 SOC 조직의 구성요소를 가지고 한번 생각해볼까요?

" SOC 조직의 구성 요소 : 사람, 프로세스, 기술 "

'사람'은 한정되어 있거나, 무한정 늘리기 어렵고.

'프로세스'를 늘린다고 업무가 마냥 빨리지거나 하진 않겠죠..

결국 남은 하나의 구성요소 '기술'에 기댈 수 밖에 없는 형국으로 방향성이 잡혔습니다.

#1 SOAR 란 무엇인가

 가트너에서는 2017년에 SOAR 라는 용어를 하나의 제품군으로 정의했습니다.

구글링에 SOAR를 검색해서 공부해 보신 분들은 이미 확인해 보셨겠지만,
 이미 인공지능 인지과학분야에서 SOAR 라는 용어는 1983년부터 사용되던 개념으로 하나의 '범용인지구조(general cognitive architecture)'를 의미하기도 했습니다. 인지과학분야에서 사용하던 의미를 매~우 쉽게 풀어 설명하면 아래와 같습니다.   "하나의 주체가, 주변과 상호작용하여 정보를 수집하고, 수집된 정보를 기반으로 특정 상황에 대응한다"

가트너에서 제품군에 대한 정의를 할 때, 그 제품이 이루어지기 위한 구성요소를 함께 설정합니다.

SOAR 를 가트너에서 정의한 것은 아래와 같습니다.

❤ SOAR(Security Orchestration, Automation and Response), 2017 Gartner

1. SOA : Security Orchestration and Automation (오케스트레이션 및 자동화)

 > 다양한 보안시스템과 상호작용을 통해 연동을 지원하고, 이를 기반으로 자동화 할 수 있어야 하는 역량

2. SIRP : Security Incident Response Platform (보안 위협 대응)

 > 보안 사고 대응의 전반적인 과정을 하나의 플랫폼에서 정의된 사고대응 워크플로를 기반으로 처리할수 있어야 하는 역량

3. TIP : Threat Intelligence Platform (위협 인텔리전스 플랫폼)

  > 조직에 위협이 되는 사이버보안위협 정보, 인텔리전스들을 통합하고 활용 할 수 있는 역량 

Hoxy, 감이 오시나요? 솔루션쟁이, 사업검토 담당자로써 오랜 경력을 가진 분들 정도 되면,

대략 기능이 눈에 그려지는 분도 계실겁니다만. 아직 눈에 그려지지 않는 분이 계실겁니다. 

더 알아보시죠.

#2 SOAR 기대 효과

 조직의 보안운영팀, 관제팀은 기본적으로 수십개 이상의 솔루션들을 다루거나 , 업무를 처리하기 위해서 다수의 관련 업무시스템에 접속해 개별적으로 수동 처리 하는 경우가 많습니다. 

조직이 SOAR를 도입한다면 어떤 효과를 기대할 수 있을까요? 

1. 조직 내 보안 경고(Alerts), 사고(Incidents), 침해지표(Indicators), 자산(Assets), 업무 프로세스(Tasks) 통합 및 분류

 > 분산된 데이터의 통합 및 중앙화, 다만 이것은 '수집/통합/상관관계분석/1차적자동대응' 목적을 가진 SIEM 과는 컨셉이 좀 다릅니다, 대량의 데이터를 모두 수집하는 것보다는, 조직의 업무에 사용되는 선별적인 데이터들만 수집하고, 이 데이터들을 활용해 사람의 업무를 플레이북 기반으로 자동화하는데 목적이 있기 때문입니다.

2. ROI(투자대비수익), MTTD(Mean Time to Detection), MTTR(Mean Time to Response) 향상 및 Tracking

 > 업무자동화를 통해 사람이 수행할 때의 시간/비용 효율화, 다만 SOAR 를 매니지먼트 하고 플레이북을 통해 결국 일을 해야 할 사람이 필요하므로 기존 인력을 대체한다라는 의미보다는 업무를 가속화한다는 측면이 더 가깝겠습니다.

3. 기존의 복잡한 자동화에서 쉬운 업무 자동화 환경으로 변화

  > 기존의 에코시스템 구성 측면에서, 시스템과 시스템 사이에 별도의 개발 사업을 통해 자동화가 구현되어 있는 경우가 많습니다만,  SOAR의 비교적 쉬운 Playbook Builder 를 통해 자동화를 구현하므로 쉬운 업무자동화 환경으로 변화한다고 표현 할 수 있겠습니다.

4. 역할기반(RBAC) 표준 업무 프로세스 정립을 통해 명확한 R&R 설정

 > 수집된 여러 데이터들을 활용해 하나의 플랫폼에서 업무를 보기 때문에, 역할 별 업무 정의가 필수적인 기능입니다, 이를 통해 개인에 맞는 역할 별 업무 할당을 통해 조직의 업무롤을 명료하게 가져갈수 있습니다. 

5. 플레이북을 통한 업무 표준화로 Human Skill Gap 및 Human Error 최소화, 인력교체로 인한 운영 경험 손실 최소화

 > SOC 조직의 잦은 이직률, 퇴사율, 대부분의 구성이 주니어 인력.. 여러가지 인력 상황에 따른 개인별 스킬 역량 차이, 또는 휴먼 에러가 어느정도 최소화 됩니다. 플레이북을 통해 업무를 표준화 시켜 놓고, 플레이북을 따라가면서 일을 하게 되므로 신입직원이라고 해도 시니어급 선배가 하는 업무와 동일하게 일을 할 수 있게 됩니다.  

6. 단일 환경 및 멀티 테넌트 환경 구성을 통해, 분산된 보안 업무 환경에 적용

 > 분산된 업무환경을 하나의 플랫폼으로 통합해 모든 법인 등의 분리된 섹터에 대해서도 동일한 SOC 업무절차를 적용 할 수 있게 됩니다.

#3 SOAR 동작 방식

 국산 SOAR 제품들은 각 자사 SIEM 에 SOAR 의 기능을 탑재하는 형태로 제품이 출시되는 경향이 있고, 해외 SOAR 제품들은 3rd 연동을 목적으로 하는 단품형 SOAR 가 다수를 차지 하고 있습니다.

 아래는 해외 외산 SOAR 제품 중, 커스터마이징 및 3rd 연동에 강점을 가졌다고 알려진 Fortinet의 SOAR 솔루션 소개자료에서 발췌한 그림입니다. SOAR 마다 구성 방식이나 동작 방식이 일부 상이하겠지만, 동작방식 이해를 돕기위해 사용되었습니다.

1. 데이터 수집 및 가공(Data Ingestion)

 SIEM 과 같은 로그 수집 시스템으로부터 업무에 사용되는 이벤트를 선별적으로 지정하여 로그(Alerts)의 형태로 FortiSOAR 가 수집합니다. 위 그림에서는 FortiSIEM 이 예제로 들어가 있으나 Splunk, Qradar 등과 같은 국내에서 잘 사용되는 외산 SIEM 도 연동이 가능합니다. 이는 Fortinet의 SOAR 뿐만 아니라 대부분의 외산 단품형 SOAR 가 갖는 컨셉이기도 합니다. 

 SIEM 외에도 구름모양의 아이콘인 3rd 제품으로부터의 이벤트를 선별적으로 지정하여 로그(Alerts)의 형태로 수집합니다.

 정의된 플레이북을 통해 수집된 이벤트들을 가공하여 위협을 분류하거나, 이벤트에서 분석 할 대상 지표(Indicator: IP, Domain, User, Host 등)를 자동 식별합니다.

2. 데이터 보강 단계(Data Enrichment)

 그림의 Enrichment 단계에서 외부의 평판정보서비스(예: Virustotal, Whois 등), 3rd 보안솔루션의 분석결과 등에 대해 수집되고 분류된 데이터들에 대한 내용으로 자동 쿼리를 수행하여, 사람 대신 분석 할 수 있도록 추가 정보들을 수집해 보강합니다. (예: 방화벽 로그 수집 > 아이피 추출 > 아이피를 Virustotal 에 쿼리하여 점수 수집)

3. 분석 및 분류 단계(Investigation & Triage)

 하나의 이벤트가 수집되고, 데이터가 보강 된 이후, 사람 또는 정의된 플레이북에 의해 해당 이벤트가 분석됩니다. 이후 분석 결과를 기준으로 이벤트가 정확하게 분류되고 이에 따른 대응 방법이 결정됩니다. (예: 분석결과 IP의 악성점수가 5점 이상인 경우 악성이벤트로 카테고리 변경, 이후 차단프로세스로 연결)

4. 조치 단계(Remediation) 

 위의 분석 및 분류 단계를 지나 이벤트에 대한 대응 방안이 결정되면, 플레이북에 의해 자동으로 조치 장비(예: 방화벽, EDR, IPS 등)와 상호작용하여 이벤트에 대한 대응을 수행합니다.

 위 그림에는 표현되지 않았지만 보고서를 작성하거나, 특정 관계자에게 이메일 알람을 보낸다거나 하는 등의 보고(Reporting & notification)와 같은 기능도 수행 될 수 있습니다.

#4 SOAR 분석 자동화 사례 Use-Cases 

#5 결론

본 글은 컨셉 위주로 적어 보았는데요,

결국 SOAR는 사람의 업무 프로세스를 가속화하기 위해서, 

자동 통합하고, 자동 보강하고, 자동 분석하고, 자동 대응하는것이 궁극적 목표입니다.

분산되어있는 시스템을 하나의 플랫폼에서 사용할 수 있게 하는 것만으로도 SOC 조직의 많은 업무로드를 줄일 수 있을 것으로 보이며, 

모든 사람의 업무를 자동화 할 순 없겠지만, 의사결정이 필요하지 않은 업무나 단순반복노무 같은 것들은 우리가 업무용 매크로를 쓰듯이 플레이북을 통해 자동화하여, 정확하고 신속하게 대응 할 수 있게 될 것으로 보입니다.

이를 통해 SOC 조직은 결과적으로 아래 두가지 색깔의 효과를 얻을 수 있겠습니다.

 - 통합 SOC 플랫폼

 - 업무 자동화

오늘도 포스팅 하나..

 AttackIQ, SafeBreach 등 BAS(Breach and Simulation) 솔루션들과 같이 취약점 진단의 영역이 날로 진화하고 있으며, 공격 기법을 정의하는 부분에서도 기존의 사이버킬체인 에서 그치지 않고, MITRE ATT&CK 프레임워크라는 분류 기준도 출현했습니다. 이 지표가 만들어진 것은 근래의 일이 아니지만, BAS와도 같은 진단 관련 보안 솔루션을 비롯해 많은 보안 솔루션들이 이 지표를 참고하여 개발되는 모습을 자주 볼 수 있습니다. 또한 해외 보안 컨퍼런스에 자주 활용되어지는 것으로 볼 때 신뢰성도 있는 것 같습니다.  https://attack.mitre.org/ 에 가면, 공격 기법에 대한 일람표와 각 공격 단계에서의 기법 별 설명이 자세하게 영문으로 작성되어 있습니다. 보안 업계에서 종사하는 분이라면 개념은 알고 있어야 할 것 같습니다.

 ATT&CK 는 전통적인 사이버킬체인의 개념과는 약간 관점을 달리하여, 공격의 기법들에 대해 일종의 프로파일링을 진행 해, 카테고리별로 목록화 해 놓은 데이터입니다.

 아래는 이해를 돕기 위해 조사해 작성해 보았습니다.이런 일련의 프로파일링 작업들을 하는 보안 목표는, 공격기법을 식별하고 카테고리화 해 둔 다음 이 지표들을 기반으로 기업이 조직 보안관제를 함에 있어 각 단계에서 Risk 를 발견하고 조치함으로써 효율적이고 효과적인 보안 환경을 구성하기 위함입니다.

1. Initial Access : 초기 접근 단계 공격
*주요공격* : 스피어피싱, 익스플로잇, 드라이브바이

2. Execution : 악성 행위 실행
*주요공격* : 악성코드, 스크립트, 스케쥴러 등

3. Persistence : 악성 행위 지속성 획득
*주요공격* : 시작프로그램, 레지스트리, 서비스 수정, 하이재킹, 계정등록 등

4. Privilege Escalation : 권한 상승
*주요공격* : UAC 약화, 권한 설정 변경 등

5. Defense Evasion : 보안 우회
*주요공격* : 코드사이닝 우회, 토큰매니퓰레이션 등

6. Credential Access : 계정 탈취
*주요공격* : BruteForce, Hooking, Key 탈취 등

7. Discovery : 정찰
*주요공격* : Domain, Account, Bookmark, Session, System Scanning 등

8. Lateral Movement : 수평 전파, 측면 이동 공격
*주요공격* : 스크립트, 하이재킹,티켓탈취 등

9. Collection : 정보 수집
*주요공격* : 오디오녹취, 영상캡쳐, 데이터 카피 등

10. Command and Control : 명령 및 조작, C2 제어서버 통신
*주요공격* : 커먼포트통신, C2Fallback, RemoteAccess 등

11. Exfiltration : 정보 외부 유출
*주요공격* : 암호화, 스케쥴등록, 전송사이즈조절 등

12. Impact : 가용성/무결성 훼손
*주요공격* : 데이터파괴, 계정정보삭제, 펌웨어훼손 등 (edited) 

안녕하세요? 방문객 여러분

오늘은 또 오랜만에 솔루션 리뷰 글을 적어봅니다..

이 포스팅은 지극히 주관적이기 때문에 비즈니스 목적으로 보시는 분께서는 참고하여 주시길 바랍니다.

[네트워크 보안 관점에서의 AI 필요성]

 요즘엔 하루 이틀만에 쌓이는 데이터 수준이 '문명 탄생 이후 2000년대 초반까지 쌓인 디지털 데이터 양과 비슷하다' 고 할 정도로 많은 량의 데이터가 쌓이고 있습니다. 이 중 대부분의 데이터는 네트워크를 타고 움직이며 활동하고 이리 저리 복사되고 움직이는데, 그렇다면 기업의 네트워크 데이터는 어떨까요?

 전체 데이터 수준에는 비할 바가 못되지만, 사람이 전수 조사가 불가능할 만큼 많습니다.

 기업의 네트워크 트래픽에서 발생하는, 다양한 사용자의 행위들은 네트워크 보안 관점에서 어떤 방식으로 보안이 되고 있었을까요? 종사자라면 이미 아시는 바와 같이 전통적으로는 하드웨어 기반 시스템들을 주축으로, 또는 최근 트렌드인 소프트웨어 기반(Software-Defined Perimeter) 시스템들을 활용해 일종의 경계 관문 보안을 하는 것이 중요했습니다. 물론 엔드포인트, PC 및 서버 단에서 에이전트를 통한 보안 역시도 한몫을 차지하고 있었습니다. (엔드포인트 영역은 여기에서는 상세 내용을 생략하겠습니다... 추후에는 엔드포인트 영역에서 네트워크까지 다 볼수도 있을지 모르겠지만요)

 다만, 기존 구성에서는 시그니처/패턴 기반으로 동작하는 시스템이 대부분을 차지했고, 또 내부에서 내부간 네트워크 흐름 역시 파악하기가 매우 어려웠습니다. 물론 일부 최근에는 AI가 트렌드이기 때문에 각 제품들의 일부 기능으로써 AI 기능이 올라오기도 하고 있습니다. 그러나, 제대로된 AI 개발 인력 양성 기관조차 세계적으로 부족하다고 하는 지금.. 제대로, 쓸만하게, 과탐/오탐이 최소화 된 상태로 동작하는 제품이 과연 몇개나 될까요...?

 기존처럼 사람을 통한 네트워크 전수 검사 관제를 구성하려면 전문인력을 뽑는 어려움은 물론이거니와 3교대 24시간 몇명이나 돌려야 할까요, 사람이 많다고 그 많은 기업 네트워크를 모두 볼 수 있을까요? 현실적으로 사람을 통해 네트워크 이벤트를 전수 검사 한다는 것은 불가능합니다.. 만약 CISO 님께서 그 빈틈을 아신다면 발뻗고 주무실수 있을까요? 

 겉으로는 모든 네트워크 내의 단말이 아주 많은 보안 시스템에 의해 철저히 보안 받고 있는 것처럼 느껴지지만, 실상은 그렇지 않은 경우가 많고, 슬프게도 보안담당자는 빈틈이 없는지 계속 관리하고 치명적인 단 한건의 사례를 찾기 위해 모니터링 해야할 의무가 있습니다.. 그런데 사람은 다 볼수가 없습니다.

 업계에서는 시기상, 알파고 이후로 국내 보안시장에서도 AI 제품에 대한 관심이 쏟아지고 있습니다.

관심의 내용을 몇가지 정리하면 아래와 같겠습니다..

1. "AI를 통해 우리 기업의 네트워크 패턴을 학습하고, 학습한 데이터를 기반으로 이상행위를 잘 찾아준다면..
    그것은 전문 인력이 24시간 관제를 하는 것보다 더 효과가 있지 않을까?"
2. "AI 네트워크 보안 제품을 쓰면, 다 자동으로 찾아 주는거야? 어느정도 수준까지 얼마나 잘 찾는지 한번 보자"
3. "그러면 사람이 필요 없어지는거야?" 등등...

대부분의 주 관심사는, AI를 통해 사람을 대체할 수 있느냐 라는 것입니다.

결론은, 사람은 필요합니다. 

 기본적으로 AI기반 네트워크 이상행위 탐지 제품은 행위 주체, 통신 목적지 등에 대한 Knowledge 를 가지고 있지 않습니다. 쉬운 예제로 말하면 아래와 가깝습니다.(제품에 따라 아닐수도 있습니다)

AI기반 네트워크 이상행위 탐지 제품 왈:

"내가 학습하기로는 A 장치와, A 장치가 속한 유사 군집 장치들은 이러한 행위를 평소 하지 않았는데, A 장치가 갑자기 평소에 접속 안했던, 희귀도 높은 외부 목적지랑 주기적인 통신을 마구마구 해! 내 기준에선 이거 심각해! 한번 꼭 봐바! 그 목적지가 뭔지는 난 모르니깐!, 다만 네가 확인 하기 편하도록 IP나 위치정보, 프로토콜 등 정보는 잘 보이도록 제공해줄게!"

 학습 데이터와 탐지 모델들을 기반하여 이상 행위를 탐지하는 것이 제품의 몫이고, 해당하는 목적지, 출발지 등에 대한 리뷰와 조치는 사람의 몫이 되는겁니다.

자 그럼.. 조금 더 볼까요?

[보안 영역]

가트너에서 Darktrace는 크게 두가지 정도의 분야로 정의됩니다.

•  NDR - Network Detection & Response
•  NTA - Network Traffic Analysis

[Darktrace 제조사 ?]

 수학에 강하다는 영국 캠브릿지 대학 출신들이 주요 개발자로 참여하고 있으며, 글로벌하게 보안 분석가만 100명 이상 보유하고 있는 떠오르는 네트워크 보안 분야의 AI 선도 기업입니다. Korea 지사가 있고 매우 활발히 활동하고 있습니다.

[Darktrace 동작 Flow]

1. 내부와 내부, 내부와 외부 트래픽이 흐르는 백본 스위치 또는 네트워크 탭, 방화벽 등의 네트워크 장비에서 복사된 트래픽을 다크트레이스에서 받아 수집합니다.
2. 수집된 패킷 데이터를 350+ 개 이상의 디멘션으로 구분하여 네트워크 패턴을 학습합니다. (디멘션은 머신러닝 학습에서 나오는 일종의 학습을 위한 메타가 되는 개념입니다.
3. 학습된 네트워크 패턴을 통해 장치와 네트워크를 자동으로 인지하고 구분합니다. (내부/외부 네트워크 식별, 장치 OS, DHCP IP 추적, 호스트네임, 맥어드레스 등..)
4. 학습된 네트워크 패턴에 대해 약 500여가지 질의 모델을 가지고 질의하여 모델링에 의거한 이상한 행동들을 Alert 으로 생성해 제공합니다.

#AI, 지도학습, 비지도학습 Machine-learning

#Network Traffic 수집(Mirroring Traffic) 및 분석

#실시간 탐지 Alert

#평시 행위 대비 네트워크 이상행위 감지

#탐지 모델 범위 유사 제품군 중 제일 넓음

#국내 및 국외 최다 납품(글작성시간기준)

#정상 및 비정상 메타데이터(L7 수준까지) 저장하여 검색환경까지 제공

#API, Syslog(CEF/JSON/LEEF 등) 연동 제공

[현재 관제 분야에서 NDR/NTA 영역 제품에 대한 고민..]

1. SOC 관제센터를 통한 내부 네트워크 관제 필요성 증대

* SOC 란 ? 

Security Operations Center의 약자로 이미 국내 주요 엔터프라이즈 대기업들은 구축 및 안정화가 다수 진행된 상태로 조직 네트워크 및 단말에 대한 포괄적 관제 환경을 구축하는 것을 의미합니다.

(1) SIEM/UEBA 

 - 의미 및 강점: 이기종 다양한 운영중인 보안 시스템의 보안 로그 연동을 목적으로 하는 통합 관제 플랫폼, 하나의 환경에서 모든 보안로그를 수집하고, 이를 통해 관제하고자 하는 제품군입니다.

 - 보완필요사항: 기존 운영중인 보안솔루션이 탐지하는 수준 + 상관관계 룰에 의한 탐지 한계성을 지닙니다, 운영 시나리오에 대한 보안운영자의 많은 고민과 지속적인 관심이 필요합니다.

(2) NDR(Network Detection and Response)

 - 의미 및 강점 : 내부<->내부간, 내부<->외부 간을 비롯한 조직 네트워크에서 발생하는 트래픽을 수집/분석해 이상행위를 찾아내는 솔루션 영역입니다.

 - 보완필요사항 : 기존의 전통적인 관문형(방화벽/IDS/IPS/SWG)은 내부<->외부간 구간의 알려진(Known) 악성 이벤트만 탐지 가능하거나 로그를 상세하게 저장하지 않음(사고 대응 어려움), 네트워크 트래픽만 수집하게 될 경우 그 분량이 매우 방대하며 사람이 전수 조사 할 수 없음=> AI(인공지능)을 통한 분석 기능의 필수화

 - Darktrace 필요성? : 내부<->내부간, 내부<->외부간 조직 네트워크를 학습(Machine-Learning)하고 학습된 데이터 기반 이상행위 발생시 보안운영자에게 제공하는 컨셉을 가진 제품으로,
 수많은 네트워크 빅 트래픽을 사람이 이해할 필요 없으며, 확인 해야 할 포인트를 제공하기 때문에 어디서부터 분석을 시작해야 할지 사람이 고민 할 필요가 없습니다, 또한 네트워크 트래픽 메타데이터를 상세하게 저장하기 때문에 

각종 네트워크 보안 사고 시 실시간에 가까운 빠른 탐지(Detection) 및 회귀적(Historical) 분석을 통해 사고 대응 증적 자료 확보(Response)가 용이합니다, 

SIEM 과의 연동 시 SIEM 에서 발생한 보안사고에 대한 상세한 데이터를 확보 할 수 있습니다.(다른 보안 제품은 탐지하고 관련 필수데이터만 남기고 분석이 충분한 수준의 상세한 데이터를 저장하지 않습니다)

2016년도부터 가트너에서는 이 영역을 NTA(Network Traffic Analysis)로 규정하고 있습니다. 

보기에는 도입 이후 마치 업무가 늘어나는 것처럼 보이지만, 결국 관심을 기울이지 않는다면, 인지하지 못하는 내부 악성 이벤트들을 방치하는 것이 됩니다. 

작은 사고 하나를 찾기 위해서 수많은 보안 솔루션이 도입되지만 그럼에도 불구하고 놓치는 것이 발생하는 것이 현실입니다.

결국 중요한 것은 보안담당자가 관심을 가지고 시스템을 잘 활용하여 위와 같은 SOC 모델을 참고하여 놓치는 부분없이 잘 관리해야 합니다.

(3) EDR(Endpoint Detection and Response)

 - 의미 및 강점: 에이전트 설치 등을 기반으로 장치 수준에서 일어나는 File/memory/Directory/Registry 등 엔드포인트 영역의 이벤트에 대한 위협요소에 대한 것을 탐지하고 수집하기 위한 영역입니다. SIEM/NDR 등을 통해 발견된 악성코드 등을 원격에서 격리하거나 조치하고 증적 자료를 얻어 낼 수 있는 강점을 지니고 있습니다.

 - 보완필요사항 : 내부 단말이 많을 경우 배포 및 형상관리의 어려움, 1:N 형태로 관리가 이루어지기 때문에 문제가 많은 제품 사용시 많은 인력 리소스가 필요함, 국내에서도 EDR 에 대한 많은 관심이 쏟아지고 있습니다. 국내에서는 최근부터 엔터프라이즈 대기업 및 금융 시장을 대상으로 기능성/안정성 이 좋은 외산 벤더의 제품이 주력이 되어 시장을 선도하고 있습니다.

[국내 주요 레퍼런스]

1. OOO 카드사

 - 배경 및 도입필요성

 (1) 기존 솔루션에서 탐지하지 못하는 Unknown 악성행위에 대한 AI 탐지 기대

 (2) 너무 많은 이벤트 로그로 인해 분석 인력이 과도하게 필요한 솔루션이 아닌, AI 기술기반 지능형 이벤트 탐지를 통해 적은 인력으로 운용 가능한 솔루션 기대

 (3) IP를 가진 모든 내부 장치에 대한 학습 및 비정상 행위 탐지, 장치의 라이플 사이클 파악

 (4) 보안 이벤트 시각화를 통한 직관적 관리/대응

 (5) 내부<->내부 네트워크에 대한 네트워크 트래픽 가시성 확보(기존에는 볼 수 있는 수단이 없었음)

 - 구축 범위

 * 내부 구간 및 SSL VPN 적용 구간

 - 데모 수준

 - OOO Subnet(실망)

 - 만대 이상의 Devices

 - 데모 시나리오 및 결과

 * 고객이 그들의 데이터로 자체 수행한 내역

 - 공격 정보를 알려주지 않은 상태에서, 고객이 자체적으로 고객사 테스트용 웹서버를 대상으로 OWASP Top 10 과 관련한 아래의 웹 공격을 총 'OOOO' 건 수행

 (1) Python 스크립트 사용

 (2) 불법 채굴 프로그램 User-Agent 트래픽 발생 

 (3) SQL Injection 패턴 접속 시도

 (4) 네트워크 포트 스캐닝 공격 

 * 실망에서 발견된 이벤트

 (1) 망 내에 없었던 새로이 발견된 장치에서 내부 자산으로 네트워크 스캔 공격 : 해당 장치의 망 내 출현 시간 및 공격 사항을 보고하고, 지속활동 여부를 보고함 

 (2) 비정상적인 과도한 AD 로그인 시도 단말 탐지

 (3) 비 암호화 되어 계정정보가 노출된 웹서비스 사용 탐지 : 기존에 인지하지 못했던 비암호화 평문 사이트 취약점을 발견하여 보고함

 (4) 취약한 버전의 SMB(파일공유서비스) 사용 탐지 : MS 에서 비사용을 권고하는 매우 취약한 버전의 서비스 사용

 - 정리

 (1) 고객은 다크트레이스가 네트워크 보안 영역의 제품임을 이해하고, 그들이 보유한 공격 데이터 중 네트워크 관련 공격 패턴을 선별하여 실제 테스트 단말 및 서버를 지정하여 공격을 수행하였습니다.

다만, 네트워크 관련 공격 패턴 전체를 사용하지 않고 웹공격 한정으로 수행하였습니다. 데모 진행 엔지니어는 공격을 탐지하고 탐지 근거 및 분석 하는 과정을 보고서로 담아 제출하였고, 고객은 탐지 성공 내역, 분석 과정, 제공 데이터의 수준으로 도입을 결정 하였습니다.

 (2) 실망에서 발견된 이벤트들은 실제로 OOO카드사가 이미 알고 있던 사항과, 모르고 있던 사항으로 나뉘어져 탐지되었으며, 모르고 있던 사항에 대해서 흥미로워 했으며, 도입 이후 '이런 이벤트 탐지를 위해 도입했다' 라고 피드백 주었습니다.

2. ㅁㅁㅁ 카드사

- 배경 및 도입필요성]

 (1) 업무 시간 내 내부 직원들 PC에서 이루어지는 비 업무 행위탐지 필요

 (2) POV 기간 중 출장 복귀한 내부 직원의 PC 감염으로 인한 비정상적인 통신 행위 탐지 (수상한 도메인)
 (3) 업무상 인가 되지 않은 행위에 대한 탐지 필요  
 (4) 기존 Signature와 정책 기반의 솔루션의 단점 보완을 위한 행위기반 솔루션 필요성 대두

- 구축 범위

 * 내부 구간 및 SSL VPN 적용 구간

- 데모 범위

 * 내부망

- 데모 테스트 시나리오 및 결과

* 고객이 그들의 데이터로 자체 수행한 내역

 - 취약점 스캐닝 도구를 통한 취약점 공격 및 탐지 여부 (OWASP Top 10)

* 실망에서 발견된 이벤트

 - 보안 규정 위반 의심 및 감염 사례 

[정리]

(1) ㅁㅁㅁ 카드사는 내부<->내부 간 트래픽 흐름 가시성 확보 및 비정상트래픽 발견이 주 목적인 프로젝트로 AI 기반 NTA(Network Traffic Analysis) 제품들을 대상으로 BMT를 실시하였으며, 

시인성 높고, 근거 제공 능력, 회귀적 분석 능력, AI를 통한 비정상 이벤트 표현, 공격 탐지 성능 평가의 관점에서 Darktrace 를 No.1 으로 결정하고 도입함

3. OOO 은행

- 배경 및 도입필요성

 * 기존 솔루션에서 탐지하지 못하는 Unknown 악성행위에 대한 AI 탐지 기대(보안 영역 보완)

- 구축 범위

 * 내부 및 인터넷 망

- 데모 범위

 * 내부 실망

- 데모 테스트 시나리오 및 결과

* 고객이 그들의 데이터로 자체 수행한 내역

 (1) 취약점 스캐닝

 (2) Exploit 

 (3) SMTP

* 실망에서 발견된 이벤트

 - 비정상 악성행위 의심 단말 탐지

[정리]

 - 기존 솔루션에서 탐지하지 못했던 보안 규정 위반 항목 및 기존 솔루션 차단 정책 우회 단말(비정상행위) 탐지 목적으로 구매하고 성공적인 운영중

•  공격 데이터 

 고객들은 그들이 보유한 공격 데이터 중 활용 가능하고 고객이 검증하고자 하는 영역에 대해 공격테스트를 수행하였으나, 파일 등 실물데이터에 대한 행위분석 등을 수행하는 샌드박스와는 다르게, 네트워크 보안 제품의 관점에서 공격 데이터의 유형이 네트워크 보안 영역으로 한정되었습니다. Darktrace EIS 는 네트워크 보안의 관점에서 유입/내부전파/유출/컴플라이언스의 측면에 대한 강점을 가지고 있습니다.

• 고객 도입 포인트

 레퍼런스 고객들은 이미 탐지가 가능한 공격들을 AI로 탐지하여 인력을 감축할 수 있냐의 관점보다는,

(1) 기존 시그니처/패턴 기반 솔루션으로 탐지하지 못하는 공격들을 AI를 통해서, 사람보다 정교하고 효과적으로 찾아낼 수 있는가? 

(2) 기존 가시성이 없던 영역에 대해 해당 솔루션은 얼마나 시인성(Visualization) 있게 데이터를 제공하는가?

의 관점으로 경쟁 제품들을 모아 BMT 를 진행 하였고, 검증 된 결과로 탐지역량 및 기능 우수로 다크트레이스를 선정 및 도입하였습니다.

• 데모 시나리오

  (1) 테스트망 또는 실망 장비 설치(트래픽이 없는 구간에 BMT 진행 불가)

  (2) 자동 학습 및 이벤트 탐지  

  (3) 탐지 결과 검토

• Darktrace 도입을 통한 인력 감축이란?     

 AI 제품 도입 시, 추가적으로 보지 못하던 데이터를 분석하기 때문에 추가 분석 인력이 필요할 수 밖에 없습니다. 

다만 이미 아시는바와같이 본 솔루션의 기본 가치는, 기존 보안 구성으로 잡지 못하는 Unknown 미탐 공격을 잡기 위한 것이 주 목적으로, 

수많은 로그를 각 역량이 다른 다수의 사람이 분석하여 Unkown Attack을 찾아내는 것보다, 기계 학습(AI)를 통해 선제적으로 지속적으로 정교하게 분석 하는 것이, 훨씬 효과적이고 비용 절감적이라는 것입니다

[주관적인 생각]

 필자인 저는 네트워크 포렌직 제품군에 업데이트된 AI 기반 이상행위 탐지기능과(S사의 S제품, R사의 N제품), EDR 분야의 AI 탐지 기능이 있는 제품(C사의 EPP), DB 머신러닝 제품(I사의 C제품)을 포함한 AI 제품 구축/데모 프로젝트를 최근까지 구축을 실무 엔지니어로서 경험해보았으나, 확실히 태생 AI 제품과 뒤늦게 부분 기능으로 추가된 AI 제품들은 아키텍쳐에서, 학습수준에 있어서의, 이상행위 모델링에서의, 성능에서의 차이가 체감 될 수준이었습니다.. (쉽게 말해서 안정화가 불가능할 정도의 과탐..? 모 제품에서는 AI 기능을 키자마자 1G도 안되는 트래픽에서 이상행위가 10만건 이상 발생...) 물론 방법론적으로 잘 풀어 나갈수 있을지언정, 잘 동작한다라는 말을 붙이기에는 역부족인 제품이 많았습니다.

 기능적인 관점에서 결국 AI기반 네트워크 이상행위 탐지 시스템은 얼마나 잘 데이터를 학습 할 수 있는 아키텍쳐를 가지고 있는지, 제조사에서 설정한 학습 방식이 제품의 목적과 맞는지, 실질적으로 잘 데이터를 처리하고 뽑아내는지, 충분히 탐지 근거를 제공하는지 등 체크포인트가 그려지는 것 같습니다.

[기타 질문]

subepo8712@gmail.com

SentinelONE ?

머신러닝 기반의 차세대 EDR 솔루션인 센티넬원(SentinelOne)은 실시간으로 악성파일 및 행위를 차단 하고

사고 분석을 위한 포렌직 기능을 통해 엔드포인트를 외부 공격으로 부터 보호하는 엔드포인트 통합 보안 솔루션입니다.

​

삼성SDS에서 대규모로 투자하여 보안업계에서는 이슈가 되기도 했습니다.

엔드포인트란 네트워크 끝 단에서 실제 사용자가 관리하거나 사용하는 단말 및 디바이스를 이야기 하며 기업의 내부의 데이터, 잠재적으로 전체 비즈니스에 진입하게 되는 지점입니다. 외부의 공격, 악성 이메일 및 url, 내/외부자들의 저장매체 등을 통한 다양한 침투 경로를 통해 악성행위가 실제로 발생되는 곳이며, 해커가 표적으로 하는 최종 목적지이자 보안의 최종 방어선이라고 할 수 있습니다.

해커들의 공격에 대응하지 못해 이 방어선이 무너지게 되면 공격자는 침해된 엔트포인트를 통해 네트워크에서 활동할 수 있는 발판을 확보하고 데이터나 주요자산을 취득하여 결과적으로 기업에게 막대한 피해를 가져오게됩니다.

Zeroday 공격, File-less 공격에 대한 위협 증가

신/변종 악성코드는 기존의 악성코드를 자동화된 툴로 변종을 생성해내어 시그니처 기반의 백신을 무력화 시키기 때문에 시그니처 생성 속도가 악성코드 생성의 속도를 따라갈 수 없고, 이에 대한 대응 속도가 느릴 수 밖에 없습니다.

스크립트 및 메모리공격 등 악성코드가 HDD등에 파일이 없는 Fileless 형태의 공격은 파일 검사 기반의 백신을 우회 할 수 있습니다.

따라서 최신 패치를 설치하고 바이러스 백신 업데이트를 통해 주의를 기울여도 여전히 알려지지 않은 새로운 위협에 대한 위험은 존재하며, 기존의 백신의 탐지/치료 방식은 한계가 존재합니다.

기존 백신 솔루션으로는 진화하는 사이버 공격에 대응하기 어려우며, 실제 기업의 보안 담당자들도 이 한계점을 인지하고 있습니다.

차세대 EDR 솔루션 센티넬원(Sentinel One)은 머신러닝 기술을 기반으로 악성코드 유형을 학습하여 신/변종 악성코드와 공격을 탐지하고 실시간으로 대응하며, 악성코드 탐지 및 차단 대응이 이뤄진 후 발생된 행위에 대한 분석을 지원하여 여러 유형의 공격에 대한 탐지율을 높이고 자동 대응을 통해 운영 인력에 대한 효율을 높일 수 있습니다.

센티넬원은 악성파일 및 행위를 사전 차단 하는 EPP(Endpoint Protection Platform)의 기능과 사후 대응 및 사고 분석을 위한 포렌직 기능을 하는 EDR(Endpoint Detection & Response) 기능을 지원하는 통합 솔루션입니다.

악성파일 사전 차단의 단계에서는 악성코드가 실행되기 전에 시그니처 기반의 백신 및 평판조회를 통한 차단, 인공지능을 기반으로 학습된 파일 패턴 분석 등을 통해 사전 차단이 이뤄집니다.

악성행위 사전 차단 단계에서는 악성코드가 실행되고 있을 시에 시그니처 기반 백신에서 차단하기 어려운 Exploit, File-less 공격 및 이상행위 를 차단합니다.

차단이 된 후 EDR은 악성코드가 감염되었을 시 감염되기 이전으로 복구하는 사후 대응과 내부 네트워크 어디까지 감염이 진행되었으며, 내부의 어떤 pc가 더 감염되어 있는 지 정보를 제공하는 사고대응 Workflow자동화 기능을 제공합니다.

또한 감염 전후의 상황을 알 수 있는 엔드포인트의 이벤트를 모두 수집하여 확인 할 수 있는 로그분석/ 사고분석 기능을 제공합니다.

SentinelONE 센티넬원 강점

● 악성코드 및 해킹 탐지를 위한 독자적 AI 기술 보유

- R&D 인력 대부분 Data Scientist 및 악성코드 분석가로 구성

- AV TEST 테스트 결과 최우수 평가

- 파일 정적(Static) 분석 및 행위(Behavior) 기반 AI 기술 모두 보유

​

● 랜섬웨어 등에 의한 데이터 피해 자동복구 (EDR 솔루션 중 유일)

- ‘18년 데이터 자동복구 기술 특허 획득

​

● Light-Agent 방식으로 Endpoint 성능 부하를 최소화하는 구조

- 로컬에서 초기 분석 진행, 상세분석은 분석서버/클라우드에서 진행

​

●Cloud, On-Premise, Hybrid 모두 지원

​

출처 : https://m.blog.naver.com/PostView.nhn?blogId=huevertech_solution&logNo=221658953010&targetKeyword=&targetRecommendationCode=1

2018CyberthreatDefenseReport-v1.1.pdf

개요

스폰서 벤더

sep-mobile-data-sheet.pdf

솔루션 속성

SEP Mobile 출시 배경

• 모바일 악성코드의 증가
• IOS / Android 취약점 증가
• 사용자들의 단말기 탈옥 및 루팅 증가 
• 네트워크 위협에 노출된 모바일 장비의 비율이 대폭 증가
  => 시간이 갈수록 Roaming Device에 대한 보안 위협 증대

SEP Mobile 구성 

• Cloud Console + APP
  => 콘솔은 클라우드 상에 존재하여 장비 설치 불필요, 구글 앱스토어 등의 공개 앱스토어 등에서 APP 다운로드 또는 다운로드 링크를 통해 다운로드
  
• 구성 장점
  - 쉬운 Deploy, 망 변경 불필요
  - 쉬운 자동 Update
  - 쉬운 앱 배포

SEP Mobile 주요 기능

• VPN 기술을 활용한 네트워크 위협에 대한 유일한 대응 솔루션
• IOS 악성코드 대응 및 위협 분석 지원
• 의심스러운 / 악의적 네트워크 탐지 기능 지원
• 인공지능을 활용한 악성코드 대응 및 네트워크 위협 대응 기능 지원

SEP Mobile 도입 기대 효과

• 취약점 공격 방어
• 네트워크 공격 방어
• 악성코드 공격 방어
• 물리적 공격 방어
• IOS / Android 단말기에 대한 보안 위협 대응 및 모니터링
  
• 사용자 취약점 현황 리포팅
• MDM/MAM 으로 보호되지 않는 영역에 대한 보안 위협 차단
• Unkown-bad 에 대한 보안 위협을 포함한 지능적 위협 차단

 FlowMon brief.pdf

제조사 정보

2007년 설립된 체코 회사 Flowmon Networks

전세계 600개 이상 고객

2016년 가트너 매직 쿼드런트 등재

솔루션 주요 속성

• Security(ADS - Anomaly Detection System)
• NPM(Network Performance Monitoring)
• APM(Application Performance Monitoring)
• DDOS Mitigation

주요 기능

• Flow 모니터링
  NetFlow 및 IPFIX Standard 기반으로 네트워크 트래픽을 Mirror 형태로 받아, 실제 네트워크 행위에 대한 가시성(Timing, Duration, Frequency, Protocol, IP, Bandwitdth 등)에 대한 상세한 정보를 제공한다, IPFIX Standard 를 활용함으로써, 실제 기존 NetFlow 기반 제품에 비해 많은 데이터를 제공받기 때문에 볼 수 있는 영역한계가 크다. 실제 페이로드가 포함된 패킷이 NetFlow 로 전환되면, 500:1 의 비율로서 저장된다.
       - NetFlow v5: IPv6 트래픽, MAC 주소, VLANs 및 기타 확장 필드 미 지원 
       - NetFlow v9: 템플릿 기반, IPv6 등, NetFlow v5 미 지원 항목 모두 지원    
       - IPFIX: NetFlow v9 의 Extended 버전, 다양한 가변 필드 지원 (e.g. HTTP hostname, HTTP URL, 등등)
  
  
• Security 부분
  휴리스틱 엔진을 통해 Known-bad 에 대한 패턴 기반 탐지 기능을 제공하며, Network Behavior Analysis(NBA) 모듈을 통해 머신러닝을 통한 어노멀리 디텍션을 제공한다. 실제 머신러닝으로 베이스라인을 생성해, 베이스라인과 상이한 행위가 발생 시 Alert 을 발생 시킨다. Flow에서 제공되는 각종 인자들을 활용해 조합된 룰을 통해 공격 유형을 정의하고 탐지 해 낼 수 있다, 사용자 정의도 가능하다(정규표현식 활용가능), 평판 DB를 활용한 평판 정보 도 제공한다. 
  
  
• Application 성능 모니터링
  수집된 트래픽을 분석해, 네트워크 구간 뿐만 아니라, 각 애플리케이션이 처리하는 시간에 대한 성능 모니터링 기능이 부가되어 있으며 사용자가 접하기 쉬운 환경으로 제공된다.
  
  
• DDoS 방어
  미러링 된 패킷 중, DDOS 로 판단 시, BGP를통해 DDoS 대피소 등의 PoP 으로 트래픽 라우팅을 우회시키는 기능.
  
  
• Visualization & Tracking
  수집된 트래픽을 분석해, 이벤트 근원지를 중심으로 하는 비주얼 뷰를 제공한다. 악성코드사내 유포 와 같은 사고에서 유포 지 찾는데 있어서, 유용하다.

데이터 플로우(기본적 흐름)

1. 탐지가 필요한 구간에 대해 네트워크 탭 또는 스위치로부터 트래픽을 미러링 받아 복사된 트래픽을 Probe 장비로 보냅니다.

2. Probe 에서는 패킷을 취합하여 설정을 기반으로 Flow 정보를 추출하고, 이를 Collector 장비의 서비스 포트로 전달합니다.

3. Collector 에서는 수집된 플로우 정보 내의 네트워크 정보들을 기반으로 NPM / APM / ADS 모듈을 통해 이벤트를 표현합니다.

제품 특징

 - 풀 패킷 저장이 아닌 플로우 추출 방식

 - Probe 라는 센서 역할 장비와 헤드 역할을 하는 Collector 장비 두가지로 분류되는 구성으로, 트래픽 수집이 필요한 구간 별 Probe 배치를 통해 유연한 구성이 가능

 - 인라인 구성 장비가 아니므로 인프라 영향도 낮음

샌드박스란?

현재 시중에 소개되어 보안 제품으로 유통되는 샌드박스 제품들은 VM 구성을 통한 사용자 OS 환경을 가상으로 구축하고, 구축 된 VM OS 상에 의심되는 파일을 업로드하여 행위를 분석 하는데 기본적으로 그 초점이 맞추어져 있다. 실제로 가상 OS 환경에서 해당 파일을 실행 하였을 때 벌어지는 Behavior 들을 감사하여 개발사에서 제공하는 특정 패턴이나 시그니처, 인디케이터, 룰을 통해 해당 파일에 대한 점수를 부여하고, 수상한 행위가 많을 수록 악성에 가깝다라는 평가를 내어 준다.

Behavior를 탐지하는 범위는 제품마다 차이가 있고 개발사에서 말하고자 하는 용도에 따라 활용도에서의 차이가 존재한다. 일반적으로 이러한 솔루션에서는 화이트리스트 처리가 없다면 대부분이 외산 제품인 관계로 국산 개발사들에서 나온 툴바나 패치, 관련 에이전트들은 악성 점수가 높게 나온다..

1. 레지스트리, 파일, 폴더 생성/삭제 및 위변조

2. 서비스 등록

3. 부모 및 자식 프로세스 생성, 터미네이트

4. LISTENING 포트 오픈

5. 네트워크 활동

... 등 전반적인 OS Kernel&Process 단에서 벌어지는 Behavior 에 대해 감사 하는 경우가 많으며, 개발사의 선택에 따라 인텔리전스 서비스가 들어가 평판 정보를 이용한 분석도 가능하다. 상용/비상용 Feed 나 Virustotal 과 같은 알려진 Reputation 서비스 등을 활용하는 경우도 볼 수 있다.

6. 네트워크 활동 + 접속한 목적지 IP의 평판정보 - 알려진 악성 도메인인지?

7. 생성 뮤텍스 감사 - 특정 악성코드에서 쓰는 뮤텍스를 담고 있진 않은지?

8. File Hash 평판 정보 - 알려진 악성 파일인지?

샌드박스 사용 효과?