SentinelONE ?

머신러닝 기반의 차세대 EDR 솔루션인 센티넬원(SentinelOne)은 실시간으로 악성파일 및 행위를 차단 하고

사고 분석을 위한 포렌직 기능을 통해 엔드포인트를 외부 공격으로 부터 보호하는 엔드포인트 통합 보안 솔루션입니다.

​

삼성SDS에서 대규모로 투자하여 보안업계에서는 이슈가 되기도 했습니다.

엔드포인트란 네트워크 끝 단에서 실제 사용자가 관리하거나 사용하는 단말 및 디바이스를 이야기 하며 기업의 내부의 데이터, 잠재적으로 전체 비즈니스에 진입하게 되는 지점입니다. 외부의 공격, 악성 이메일 및 url, 내/외부자들의 저장매체 등을 통한 다양한 침투 경로를 통해 악성행위가 실제로 발생되는 곳이며, 해커가 표적으로 하는 최종 목적지이자 보안의 최종 방어선이라고 할 수 있습니다.

해커들의 공격에 대응하지 못해 이 방어선이 무너지게 되면 공격자는 침해된 엔트포인트를 통해 네트워크에서 활동할 수 있는 발판을 확보하고 데이터나 주요자산을 취득하여 결과적으로 기업에게 막대한 피해를 가져오게됩니다.

Zeroday 공격, File-less 공격에 대한 위협 증가

신/변종 악성코드는 기존의 악성코드를 자동화된 툴로 변종을 생성해내어 시그니처 기반의 백신을 무력화 시키기 때문에 시그니처 생성 속도가 악성코드 생성의 속도를 따라갈 수 없고, 이에 대한 대응 속도가 느릴 수 밖에 없습니다.

스크립트 및 메모리공격 등 악성코드가 HDD등에 파일이 없는 Fileless 형태의 공격은 파일 검사 기반의 백신을 우회 할 수 있습니다.

따라서 최신 패치를 설치하고 바이러스 백신 업데이트를 통해 주의를 기울여도 여전히 알려지지 않은 새로운 위협에 대한 위험은 존재하며, 기존의 백신의 탐지/치료 방식은 한계가 존재합니다.

기존 백신 솔루션으로는 진화하는 사이버 공격에 대응하기 어려우며, 실제 기업의 보안 담당자들도 이 한계점을 인지하고 있습니다.

차세대 EDR 솔루션 센티넬원(Sentinel One)은 머신러닝 기술을 기반으로 악성코드 유형을 학습하여 신/변종 악성코드와 공격을 탐지하고 실시간으로 대응하며, 악성코드 탐지 및 차단 대응이 이뤄진 후 발생된 행위에 대한 분석을 지원하여 여러 유형의 공격에 대한 탐지율을 높이고 자동 대응을 통해 운영 인력에 대한 효율을 높일 수 있습니다.

센티넬원은 악성파일 및 행위를 사전 차단 하는 EPP(Endpoint Protection Platform)의 기능과 사후 대응 및 사고 분석을 위한 포렌직 기능을 하는 EDR(Endpoint Detection & Response) 기능을 지원하는 통합 솔루션입니다.

악성파일 사전 차단의 단계에서는 악성코드가 실행되기 전에 시그니처 기반의 백신 및 평판조회를 통한 차단, 인공지능을 기반으로 학습된 파일 패턴 분석 등을 통해 사전 차단이 이뤄집니다.

악성행위 사전 차단 단계에서는 악성코드가 실행되고 있을 시에 시그니처 기반 백신에서 차단하기 어려운 Exploit, File-less 공격 및 이상행위 를 차단합니다.

차단이 된 후 EDR은 악성코드가 감염되었을 시 감염되기 이전으로 복구하는 사후 대응과 내부 네트워크 어디까지 감염이 진행되었으며, 내부의 어떤 pc가 더 감염되어 있는 지 정보를 제공하는 사고대응 Workflow자동화 기능을 제공합니다.

또한 감염 전후의 상황을 알 수 있는 엔드포인트의 이벤트를 모두 수집하여 확인 할 수 있는 로그분석/ 사고분석 기능을 제공합니다.

SentinelONE 센티넬원 강점

● 악성코드 및 해킹 탐지를 위한 독자적 AI 기술 보유

- R&D 인력 대부분 Data Scientist 및 악성코드 분석가로 구성

- AV TEST 테스트 결과 최우수 평가

- 파일 정적(Static) 분석 및 행위(Behavior) 기반 AI 기술 모두 보유

​

● 랜섬웨어 등에 의한 데이터 피해 자동복구 (EDR 솔루션 중 유일)

- ‘18년 데이터 자동복구 기술 특허 획득

​

● Light-Agent 방식으로 Endpoint 성능 부하를 최소화하는 구조

- 로컬에서 초기 분석 진행, 상세분석은 분석서버/클라우드에서 진행

​

●Cloud, On-Premise, Hybrid 모두 지원

​

출처 : https://m.blog.naver.com/PostView.nhn?blogId=huevertech_solution&logNo=221658953010&targetKeyword=&targetRecommendationCode=1

 DNS Configuration

 * 네트워크 속성 > 어댑터 속성 > IPv4 Properties

 DNS 서버 IP를 Local 서버 IP 로 변경

AD 설치

* 서버 관리자(Server Manager) > 대시보드(Dashboard) > 역할 추가(Add roles and features)

도메인 컨트롤러 승격(Promote this server to a domain controller)

* Alert 아이콘 > Promote this server to a domain controller 

출처 https://gamesir.hk/pages/x1-tutorial

IOS Users

Chapter 1. Happy Chick Emulator 및 게임 다운로드 하기

iPhone 7.0 이상의 버전 및 블루투스 가 켜져 있어야 합니다. 그리고 본 내용은 Gamesir X1 을 기반으로 합니다.

Video tutorials:

Step 1.  Happy Chick Emulator 설치

Step 2. Happy Chick Emulator를 통해 게임 설치

Chapter 2. GameSir X1 연결하기

1. 짧게 Gameir X1의 mode-switch 버튼을 클릭하여 활성화 합니다. 블루투스 연결 대기 상징하는 곳에 불이 들어오면, 핸드폰에서 블루투스 장치를 찾아 연결합니다.
2. 다운로드 받은 게임을 실행하면, 좌측 상단 코너에 파란색 아이콘을 찾을 수 있습니다. 해당 아이콘을 통해 게임패드 및 연결 관리가 가능합니다.

Chapter 3. Button 설정하기

1. Gamesir X1이 연결된 이후, 초기에 설정된 버튼의 위치를 사용자가 원하는 대로 변경 할 수 있습니다. 설정 후, USB1/USB2 포트에 키보드 마우스를 꽂고 게임을 즐기면 됩니다.
   
2. If you want to make your own button configuration, short-press the mode-switch button of GameSir X1 to recall the button setting menu. Use your finger to drag and place the buttons to where you want it to be on the screen, press the home button of GameSir X1 again to save and close the menu, then you are all set with the new button configuration!
3. In button setting menu, you may tap any floating button to make advanced settings on them.

Android Users

Step 1. Set-Up

*The latest GameSir World App includes the G-Engine Technology that no longer requires a remapper before launching the game. 

Make sure you installed the last version of GameSir World app HERE. Do not download it from Google Play Store because it is currently outdated.

1. Please go to Settings > System > About, tap "Build number" 7 times in a raw to turn "Developer options" on.
2. Go to Settings > System > Developer options and turn "Allow USB debug" on.
3. Go to Settings > Application > GameSir World and turn all permissions of GameSir World on (camera, location, phone, and storage).
4. Also turn "Float window permission" on (name might vary, technically it is a permission to allow the app appear on the top of the screen).
5. Back to the home screen, go to GameSir World APP and navigate to GameSir Spirit interface.
6. Tap "Connect" button on the top to automatically search and connect to the GameSir X1. 
7. Tap "+" to add your favorite games to the list.
8. Tap the game icon and select "Direct Play by G-Engine".
9. Wait for 1 mins to initialize the game, and you are good to enter the game.  

Step 2. Button Configuring

Only the games selected by GameSir have the preset button configuration. Make sure that you must play the game through GameSir World app or the Gamepad support will not work. 

1. Tap the game icon at GameSir Spirit interface and go to the game.
2. Once GameSir X1 was connected to the game, you may now see the floating buttons have been automatically configured on the game interface. Insert keyboard and mouse to the USB1/USB2 ports, the GameSir X1 is now good to control the game!
   
3. If you want to make your own button configuration, short-press the mode-switch button of GameSir X1 to recall the button setting menu. Use your finger to drag and place the buttons to where you want it to be on the screen, press the home button of GameSir X1 again to save and close the menu, then you are all set with the new button configuration!
4. In button setting menu, you may tap any floating button to make advanced settings on them.

2018CyberthreatDefenseReport-v1.1.pdf

개요

스폰서 벤더

AWS는 지금도 계속 서비스를 업데이트 하고있다....

주요 서비스를 알아보자.

Amazon Elastic Compute Cloud(EC2)

AWS Elastic Load Balancing(ELB)

Auto Scaling(ASG)

Amazon Simple Storage Service(S3)

Amazon Glacier

Amazon Elastic Block Store(EBS)

Amazon Relational Database Service(RDS)

Amazon ElastiCache

Amazon Virtual Private Cloud(VPC)

AWS Direct Connect

Amazon CloudFront

Amazon Route 53

Amazon Simple Queue Service(SQS)

Amazon Simple Notification Service(SNS)

Amazon Simple Email Service(SES)

AWS Identity and Access management(IAM)

AWS CloudTrail

Amazon CloudWatch

AWS Elastic Beanstalk

AWS CloudFormation

AWS ?

클라우드 컴퓨팅(Cloud computing) ?

클라우드 컴퓨팅은 아래와 같이 세가지 분류로 나뉘어 집니다.

IaaS(Infrastructure as a Service)

PaaS(Platform as a Service)

SaaS(Software as a Service)

파란색: 제공사, 녹색: 사용자

On-Premise VS AWS ?

sep-mobile-data-sheet.pdf

솔루션 속성

SEP Mobile 출시 배경

• 모바일 악성코드의 증가
• IOS / Android 취약점 증가
• 사용자들의 단말기 탈옥 및 루팅 증가 
• 네트워크 위협에 노출된 모바일 장비의 비율이 대폭 증가
  => 시간이 갈수록 Roaming Device에 대한 보안 위협 증대

SEP Mobile 구성 

• Cloud Console + APP
  => 콘솔은 클라우드 상에 존재하여 장비 설치 불필요, 구글 앱스토어 등의 공개 앱스토어 등에서 APP 다운로드 또는 다운로드 링크를 통해 다운로드
  
• 구성 장점
  - 쉬운 Deploy, 망 변경 불필요
  - 쉬운 자동 Update
  - 쉬운 앱 배포

SEP Mobile 주요 기능

• VPN 기술을 활용한 네트워크 위협에 대한 유일한 대응 솔루션
• IOS 악성코드 대응 및 위협 분석 지원
• 의심스러운 / 악의적 네트워크 탐지 기능 지원
• 인공지능을 활용한 악성코드 대응 및 네트워크 위협 대응 기능 지원

SEP Mobile 도입 기대 효과

• 취약점 공격 방어
• 네트워크 공격 방어
• 악성코드 공격 방어
• 물리적 공격 방어
• IOS / Android 단말기에 대한 보안 위협 대응 및 모니터링
  
• 사용자 취약점 현황 리포팅
• MDM/MAM 으로 보호되지 않는 영역에 대한 보안 위협 차단
• Unkown-bad 에 대한 보안 위협을 포함한 지능적 위협 차단

 FlowMon brief.pdf

제조사 정보

2007년 설립된 체코 회사 Flowmon Networks

전세계 600개 이상 고객

2016년 가트너 매직 쿼드런트 등재

솔루션 주요 속성

• Security(ADS - Anomaly Detection System)
• NPM(Network Performance Monitoring)
• APM(Application Performance Monitoring)
• DDOS Mitigation

주요 기능

• Flow 모니터링
  NetFlow 및 IPFIX Standard 기반으로 네트워크 트래픽을 Mirror 형태로 받아, 실제 네트워크 행위에 대한 가시성(Timing, Duration, Frequency, Protocol, IP, Bandwitdth 등)에 대한 상세한 정보를 제공한다, IPFIX Standard 를 활용함으로써, 실제 기존 NetFlow 기반 제품에 비해 많은 데이터를 제공받기 때문에 볼 수 있는 영역한계가 크다. 실제 페이로드가 포함된 패킷이 NetFlow 로 전환되면, 500:1 의 비율로서 저장된다.
       - NetFlow v5: IPv6 트래픽, MAC 주소, VLANs 및 기타 확장 필드 미 지원 
       - NetFlow v9: 템플릿 기반, IPv6 등, NetFlow v5 미 지원 항목 모두 지원    
       - IPFIX: NetFlow v9 의 Extended 버전, 다양한 가변 필드 지원 (e.g. HTTP hostname, HTTP URL, 등등)
  
  
• Security 부분
  휴리스틱 엔진을 통해 Known-bad 에 대한 패턴 기반 탐지 기능을 제공하며, Network Behavior Analysis(NBA) 모듈을 통해 머신러닝을 통한 어노멀리 디텍션을 제공한다. 실제 머신러닝으로 베이스라인을 생성해, 베이스라인과 상이한 행위가 발생 시 Alert 을 발생 시킨다. Flow에서 제공되는 각종 인자들을 활용해 조합된 룰을 통해 공격 유형을 정의하고 탐지 해 낼 수 있다, 사용자 정의도 가능하다(정규표현식 활용가능), 평판 DB를 활용한 평판 정보 도 제공한다. 
  
  
• Application 성능 모니터링
  수집된 트래픽을 분석해, 네트워크 구간 뿐만 아니라, 각 애플리케이션이 처리하는 시간에 대한 성능 모니터링 기능이 부가되어 있으며 사용자가 접하기 쉬운 환경으로 제공된다.
  
  
• DDoS 방어
  미러링 된 패킷 중, DDOS 로 판단 시, BGP를통해 DDoS 대피소 등의 PoP 으로 트래픽 라우팅을 우회시키는 기능.
  
  
• Visualization & Tracking
  수집된 트래픽을 분석해, 이벤트 근원지를 중심으로 하는 비주얼 뷰를 제공한다. 악성코드사내 유포 와 같은 사고에서 유포 지 찾는데 있어서, 유용하다.

데이터 플로우(기본적 흐름)

1. 탐지가 필요한 구간에 대해 네트워크 탭 또는 스위치로부터 트래픽을 미러링 받아 복사된 트래픽을 Probe 장비로 보냅니다.

2. Probe 에서는 패킷을 취합하여 설정을 기반으로 Flow 정보를 추출하고, 이를 Collector 장비의 서비스 포트로 전달합니다.

3. Collector 에서는 수집된 플로우 정보 내의 네트워크 정보들을 기반으로 NPM / APM / ADS 모듈을 통해 이벤트를 표현합니다.

제품 특징

 - 풀 패킷 저장이 아닌 플로우 추출 방식

 - Probe 라는 센서 역할 장비와 헤드 역할을 하는 Collector 장비 두가지로 분류되는 구성으로, 트래픽 수집이 필요한 구간 별 Probe 배치를 통해 유연한 구성이 가능

 - 인라인 구성 장비가 아니므로 인프라 영향도 낮음

포스팅 목적

요즘 보안 제품들을 보면, API 는 이제는 없어서는 안될 필수 요건인 것처럼 보여집니다. 폐쇄적인 느낌에서 좀더 개방적인 추세로 전환되고 있습니다. 서로 다른 제품 간의 연계를 통한 상관 관계 분석 또는 데이터 인리치먼트 등을 통해 새로운 도입 제품과 기존 운용중인 제품과의 유기적인 결합을 통해 보안 고도화를 이루어 내는 것이 시장의 분위기 인듯 합니다.

실무자의 입장에서 쉽게 Python 을 통해 REST API(JSON) 을 사용 할 수 있는 예제를 적어 봤습니다. 

작성자도 초보 수준의 코딩만 가능하여, 어려운 질문은 받을 수 없습니다...

사전 필요 사항

당연하게도 Python 이 설치 되어 있어야 합니다. (python 3.6 기준으로 작성되었습니다.)

저의 경우에는 테스트를 위해 eclipse를 활용했습니다. 

eclipse 에서 python 을 사용하는 방법은 다음에 포스팅 하겠습니다.

참고 사항

JSON 포멧으로 데이터를 호출하는 예제 테스트 페이지 : https://api.androidhive.info/contacts/

예제

* IF

* For

* Break + len 

* While + IF

* 기본적인 한글 웹페이지 크롤링

* JSON 포멧으로 REST API 사용