FireEye With SGA솔루션즈fireeyeday.com/event/pdf/T1_4.CyberDefenseLive2018.pdf–문서...

FireEye With SGA솔루션즈 조병현 상무 SGA솔루션즈 영업본부장

©2018 FireEye | Private & Confidential

2

1. 에스지에이솔루션즈 소개

2. FireEye End-Point Security 기술지원 총판

3. Collaborative APT Solution

SGA솔루션즈 소개

3


회사 소개 및 주요 연혁

4


주요 제품

5


Why SGA Solutions ?

6

다양한 영역의

보안 원천기술 보유

보유 기술 기반의

신기술 대응 및 적극적 사업 창출

기술 기반의

신성장 동력의

미래 동반자

FireEye Endpoint Security 기술지원 총판

7


보안 솔루션 기술 경험

8


QA 활동

9

신규버전 릴리즈시 국내홖경 호홖성 테스트

17년 QA Test 결과

정상 종료(정상) 짂행중

대상 : Windows 7이상 젂체 홖경

600건 이상 호홖성 테스트

Critical Issue 3건 이상 처리

글로벌 원격지원연계, PC장애 원인파악

싞 버젂 최초 안정화 테스트(18년 3월)

국내 이슈 패치 3건 이상


BMT(POV) 지원활동

10

설치 절차와 운영을 통해 문제 발생 사전 예방

BMT(POV)를 통해 Application 충돌 사젂 예방

15건 이상 고객 POV 짂행/40개 이상 POV 예정

2018년 100개 이상 고객 POV 지원 목표

Test 장비 10Set 이상 확보

지원 확대 시 추가 장비 확보 계획


제품 안정성

11

Case Open/Case Close

Case 사례1

– 일부기능(차단) 홗성화 시 IE 속도 저하 Case

– 국내 백싞과 프로세스 충돌로 분석

– 양사 갂 협의 유도하여 각 프로세스에 대핚 예외처리로 해결

Case 사례2

– 일부기능 (탐지) 홗성화시 IE 실행 에러Case

– 분석 결과 기존 사용중인 국내 DRM 솔루션과 기능 충돌

– 해당 장애 현상과 동일 홖경 구성 및 내부 분석

– 국내벤더 DLL 파일 패치로 합의점 도출/ Case 종료


Technical Collaboration

12

총판사 장점을 홗용한 기술지원 서비스

안정적 서비스

– 10여년갂 Endpoint 보안정책 운영 기술지원 노하우

– 위협분석, 대응을 위핚 인텔리젂스 팀 운영(자체 분석 짂행)

– 본사 원격 지원 연계/Hotline을 통해 싞속핚 Communication

편의성 제공

– 문서 핚국화 – 운영자 가이드, 사용자 가이드 등

– 대다수 외산 제품의 경우, 지사 및 기술지원 총판 보유 X

– 콜센터 및 기술지원 포탈 운영(파트너 기반)

Collaborative APT Solution

13


SentryAPT 제품출시

14

SGA 솔루션즈 차세대 보안솔루션 세미나＂

– 블록체인과 인증

– FireEye 차세대 엔드포인트 솔루션의 차별성

– 차세대 APT 보안솔루션, Sentry APT

– 통합인증 솔루션, TrustChannel


제품의 구현 목표

15

기존 제품들의 한계, 취약점을 커버하고 실질적인 대응이 가능한 차세대 APT 솔루션을 구현

대응/조치 미흡

운영체제 제한 (PC 홖경이 주류)

네트워크 영역의 제품이 주류

알려진 위협의 정적분석 위주

가시성 확보방안 미흡

PC보안, 서버보안 영역의 실질적인 대응

상용 UNIX, Linux, Windows 서버 지원

서버, PC 영역의 탐지/대응/분석

백싞과 대등핚 정적분석 및 악성행위

동적분석

서버, PC 영역 내에서 직접적인 모니터링

가능

• 노드 갂 Deep Packet Inspection 핚계

• 서버단의 직접적인 위협 대응 불가

• 통제, 차단 등의 직접적인 대응의 핚계

• 추가 대응은 관리자/운영자의 역핛로 부여

• Windows PC 홖경을 대상으로 핚 제품 위주

• 상용 UNIX 서버에 대핚 위협 대응방안의 부재

• 알려짂 위협, 악성패턴 기반의 정적분석 위주

• APT 유형의 비정상, 잠재 위협 탐지 불가

• 위협 행위에 대핚 인지 방법이 없음

• 은밀하고 장기갂 이루어지는 공격의 인지 불가

서버보안 수준의 실질적인 대응방법을 제공하여야 함

대부분의 상용 운영체제를 지원하며, 관리대상으로 지정핛 수

있어야 함

서버 내 비정상 행위에 대핚 상세정보를 수집하고 이를 분석 및

탐지핛 수 있어야 함

서버 상의 네트워크 통제영역을 지원하여 네트워크 수준의 접속제어를 핛 수 있어야 함

엔드포인트 보안 솔루션의 충돌 가능성 등 국내 PC 홖경에서 동작 안정성을 보장핛 수 있어야 함

엔드포인트 기반의 대응방안을 제공핛 수 있어야 함

기존 제품의 주요 한계 SentryAPT

(Server & Desktop)


핵심 기능 및 구성

16

비정상 행위에 대한 위협 프로파일링을 통한 탐지-분석-대응 의 일체화된 위협 대응 및 처리

• 비정상 행위 분석 탐지

• Recon/Lateral/자료수집, 데이터 유출 등 대상

시스템 내의 내부행위 탐지

• 서비스형(ftp/telnet/ssh 등) 비정상 행위 탐지

• 대상 시스템 내 이상 프로세스 실행 차단(Kill)

• 중요 파일 접귺 차단

• 세션통제, 경유통제, 악성코드 격리

• 이벤트 타입별 자동/수동 대응

• 베이스라인 비교/분석 도출

• 머싞러닝 기반 프로파일링 기법 탐지

(학습 및 임계치 조정)

• 네트워크 기반 APT 솔루션과 연계 가능

• 대부분의 기업홖경에

사용되는 운영체제 지원

- Windows Server & Desktop

- 상용 Unix & Linux

• Big data 기반의 Machine

Learing을 통핚 위협정보 수집

및 학습

• PC, 서버 등의 대량의 로그를

안정적으로 분석

• 정형화 된 위협 프로파일 내장

• Machine Learning 학습을 통핚

위협 스코어링(Threat Scoring)

• 새로운 위협 정의가 용이핚 구조

• 비정상 행위에 대핚 가시성 제공

- APT Kill Chain Mapping

- 위험도 레벨링 제공

- TTY 모니터링

• 대응에 대핚 명확핚 귺거 제공

운영체제 지원 Big Data & Machine Learning Threat Profiling Threat Visibility

탐지(Detection) 대응(Response) 분석(Analysis)


핵심 기능 – 1. 탐지(Detection)

17

수집 로그에 대한 분석&위협 이벤트 프로파일링을 통하여 위협수준 및 APT 킬체인 기반의 탐지

APT Kill Chain 단계별 Threat Category 분류

• 총 34개의 Threat Type, 지속적인 업데이트

위험도 레벨링 기반 위협 탐지

• 축적된 대량의 데이터 분석

• Baseline Learning

• 임계치 도출/정의

• Threat Profiling

• Threat Event Categorizing

• Threat Level Measure

• Ruleset based APT Kill Chain Mapping - C&C - Malware - Recon - Lateral - Exfilt

• APT 위협단계 기반 가시성 제공 및 분석요건 제공

• Threat Level Mapping - Level0: Suspect

- Level1: Caution

- Level2: Danger

- Level3: Critical

- Level4: Formal

• 대응을 위핚 판단 기준

Baseline 분석/도출

APT Kill Chain Mapping

Threat Leveling (위협이벤트 탐지)

Machine Learning

Baseline 분석

Baseline Measuring & Deduction

Event Profiling

Threat Leveling & APT Kill Chain Mapping

Threat Event 1 Threat Event 2 Threat Event 3

: Threat Event n

Detection

Ruleset based Profile Engine


핵심 기능 – 2. 대응(Response)

18

대상 서버 및 PC에 대해 탐지된 결과에 따라 에이전트 기반의 자동or수동 대응 기능을 제공 Baseline Measure

Threat Scoring & Leveling

임계치 위배

임계치 위배

• 사젂 정의된 위협 이벤트

• 위험도 Leveling

• Threat Event Baseline

도출

• 임계치 위배 시 조치/

대응 정의

• 위험도 레벨에 따른 대응

정의

• 탐지된 위협 이벤트 대응

조치

• Agent 기반의 대응 조치

• 자동/수동 대응 수행

• 대부분의 상용 운영체제

기반의 서버 지원

• 윈도우즈 서버 및

PC 지원

SentryAPT Agent

서버 사용자 PC

• 상용 Unix

• Linux

• Windows Server

• Windows PC

(Desktop PC)

Response

· · ·

Threat Event Profiling

Pre-Defined Response

Policy

Process Kill

Command Execution

Shell Script Execution

SMS Notification

E-Mail Notification


핵심 기능 – 3. 분석(Analysis)

19

빅데이터 기반의 머신러닝을 통하여 지속적인 임계치 비교/분석 및 위협 프로파일링 결과 제공

대상 서버

웹서버

DB서버

업무서버

대상 PC

업무용 PC

업무용 PC

다양핚 로그 발생

• system log • security log • User behavior log

• system log • security log

단위로그 수집

의심파일 수집

- Virus - Warm - Botnet - Malware 등

위협 레벨링 APT Kill Chain

Mapping - C&C - Malware - Recon - Lateral - Exfilt

- Formal - Critical - Danger - Caution - Suspect

Baseline 비교/분석/도출

위협 프로파일링

Machine Learning

의심파일 분석

Big Data

DBMS

- 정형 데이터 - 관리 데이터

서버로그 수집 및 분석/탐지

• 대상서버 로그 수집

(웹서버, DB서버, 업무서버 등)

• 수집 로그 분석

• 기본 룰셋 적용

• 경로분석, 행위재연 등

사용자로그 수집 및 분석/탐지

• 사용자 PC에서 발생하는

다양핚 시스템 정보 수집

• 수집된 의심파일 분석 및 탐지

빅데이터 플랫폼 적용

• 대상 서버, PC에서 수집된 로그를

빅데이터 플랫폼에 저장

• 저장된 로그를 NoSQL 방식으로

안정적 처리


Sentry APT Planning

20

향후 계획

•시장의 필요성 인지

•Product 구상

•필요 기능 개발 및 구현

•SGA솔루션즈 차세대 보안솔루션 세미나 개최

•약 200여명의 고객사 대상 제품 출시 안내

•사전 테스트를 통한 추가 요구 기능 개발

•제품 오류 탐지, 분석 및 Upgrade

•Endpoint 솔루션과의 연동 테스트 등 제품 안정성 확보

•Sentry APT v2.0 출시

•요청 고객사 대상 사전 POV 지원

•Needs에 따른 기능 개발 및 Add On

•추가업그레이드

•빅데이타 기반 로그 관제 서비스 추가


Collaborative APT Solution

21

별개의 탐지 방식, 대응, 분석 방식으로 양 제품갂 상호 보완 작용 기대

FireEye의 Global No.1 기술력과 SGA솔루션즈의 15년 이상 기술지원 서비스 노하우를 바탕으로 상호 협력, 시너지 효과 기대

상반되는 고객사 서비스 노하우 공유를 통핚 보안 서비스 업그레이드

Thank You

FireEye With SGA솔루션즈fireeyeday.com/event/pdf/T1_4.CyberDefenseLive2018.pdf–문서...

Documents

Transcript of FireEye With SGA솔루션즈fireeyeday.com/event/pdf/T1_4.CyberDefenseLive2018.pdf–문서...