Monthly webinar June - Cisco › c › dam › global › ko_kr › training-events › ... · UTM...
Transcript of Monthly webinar June - Cisco › c › dam › global › ko_kr › training-events › ... · UTM...
배 민 상무
Global Security Sales Org
June. 2019
세계 최대 위협분석조직 ‘탈로스’를 중심으로
시스코 보안 리더쉽
1995
• PIX 방화벽• 최고의 컨텐츠 보안
솔루션
2007 2009 2013 2014
• 샌드박스 기반의
악성 코드 분석 솔루션
• 현 AMP와 통합
• 웹보안솔루션
• Snort® , ClamAV® ,등오픈소스 프로젝트설립
• VRT 연구 조직
• IPS의 선두 기업
• 선두 보안 서비스 제공
• 포쥰500 기업대상으로Risk management 및
컴플라이언스 서비스 제공
2015
• 악성 위협 분석및 가시성 제공을위한 보안 플랫폼
• 클라우드 기반의DNS 보안 서비스제공
2016
• SaaS, IaaS, PaaS의가시성과 제어를가능케하는 CASB
클라우드 보안 솔루션
2017
• 클라우드 기반의네트워크 가시성제공 솔루션
계속되는 보안에 대한 투자
2018
• 클라우드 기반의통합/멀티 인증솔루션
Canalys : 글로벌 TOP 5 보안벤더 보고
https://www.canalys.com/newsroom/cybersecurity-spend-tops-us%2410-billion-in-q4-2018-as-new-deployment-models-gain-traction
Edge to End-point 대응 포트폴리오
Customer
SOC
Cisco
Threat Intel
Internet Investigations
(UMBRELLAINVESTIGATE)
File Investigations
(THREAT GRID)
Incident Response
(THREAT RESPONSE)
Network
User/
Endpoint
Cloud
Software-Defined NAC
(IDENTITY SERVICES ENGINE)
NGFW (FIREPOWER)
UTM (MERAKI MX)
Web Security
Security Analytics
(STEALTHWATCH)
VPN & Device Visibility
(ANYCONNECT)
Auth/SSO (DUO MFA)
BYOD (DUO ACCESS)
SDP (DUO BEYOND)
EPP/EDR(AMP FOR ENDPOINTS)
SIG/SWG (UMBRELLA)
CASB (CLOUDLOCK)
Security Analytics
(STEALTHWATCH)
Secure Access Threat Defense
NGIPS (FIREPOWER)
Email Security(ESA)
00I00 I00I0I II0I0I 0II0I I0I00I0I0 0II0I0II 0I00I0I I0 00
III00II 0II00II I0I0II0II0 I0 I0 I00 00I0 I000 0II0 00
III00II I000I0I I000I0I I000I0I II 0I00 I0I000 0II0 00
00I I0I0I0 I0I0III000 I0I00I0I 0II0I0 I00I0I0I0I 000
II0II0I0I0I I0I0I0I 0I0I0I0I 0I0I00I0 I0I0I0I 0II0I0I0I
0II00 I00I0I0 0I00I0I I00I0I0 I0I0I0I 0I0I0I 0I0I0I0
00I0I0 0I0I0I0 I0I0I00I 0I0I 0I0I 0I0I I0I0I 0I00I0I
III00II 0II00II I0I000 0II0 00I0I00 I0 I000I0I 0II 0I0I0I
II0III0I 0II0II0I II00I0I0 0I00I0I00 I0I0 I0I0 I00I0I001.5 million (150만)Daily malware samples
600 billion (6,000억)Daily email messages
16 billion (160억)Daily web requests
20 billion (200억)Threats blocked daily
250+threat intel researchers;
24 – 7 – 365
Millions +
of telemetry agents
4Global data centers
Over 100 Threat intelligence partners
Email Malware/Endpoint Network IntrusionsWeb/URL Network Analysis DNS/IP
세계최대의 Threat Intelligence 연구조직
III00II I000I0I I000I0I I000I0I II 0I00 I0I000 0II0 00
00I I0I0I0 I0I0III000 I0I00I0I 0II0I0 I00I0I0I0I 000
0II00 I00I0I0 0I00I0I I00I0I0 I0I0I0I 0I0I0I 0I0I0I0
20B(200억개)
250M C 사
4MD 사
1M
G 사
700K
A사F 사
800K
972M
B 사
E사
1M
일일차단위협개수비교
(러시아)
(북한)
(중국)
(이란)
(eCrime)
시스코 제품간 정보 공유
Automated Policy
Context Awareness
Event Visibility
Threat Intel/Enforcement
Enterprise Mobility
Management(MERAKI SYSTEMS MANAGER)
Network and Cloud
Analysis & Visibility (STEALTHWATCH)
Cloud Workload
Security (TETRATION)
Web Security
Security
Advanced Threat(AMP FOR ENDPOINTS • AMP
CLOUD THREAT GRID • COGNITIVE)
Secure SD-WAN / Routers(ISR • CSR • ASR • vEDGE • MERAKI MX)
Next-Gen Access (IDENTITY SERVICES ENGINE • DUO)
Secure Internet
Gateway (UMBRELLA)
Switches and Access Points(CATALYST • NEXUS • MERAKI MS
AIRONET/WLC • MERAKI MR)
Next-Gen
FW/IPS(FIREPOWER)
Cloud Security
Gateway (CLOUDLOCK • DUO)
Cisco Threat Intelligence
Cisco Platform Exchange
3월 14일 Microsoft는새로운 SMB 취약점 패치배포
Cisco Talos 는 해당취약점 탐지를 위한 룰배포(#41978)
The Shadow Brokers 그룹의 취약점 공개(NSA 유출 공개 취약점)
Talos는 Double Pulsar 및SMB를 위한 snort시그니쳐배포(#42329외)
@MalwareTech는 SNS를 통해워너크립트로 명명된 새로운공격 정보 공개Umbrella Investigate 를 통한 Kill Switch 도메인 검색/포스팅
Cisco 는 Umbrella 를 통해워너크라이의 킬스위치도메인을 New Seen Domain 으로 등록, 도메인조회를 가능하게함
Cisco 는 Umbrella 에워너크라이에 대한 속성을랜섬웨어로 확정하고, 등록된 도메인을 악성코드카테고리로 등록
첫 샘플 탐지 후 60분 뒤에AMP에서 워너크라이가랜섬웨어로 분류됨AMP4EP, ESA, WSA,NGIPS를통해 탐지 및 차단 가능해짐
Threat IntelligenceThe Backbone of Cisco Security
Network Endpoint Cloud
FirePower/ ASA
Snort subscription rule
setNGFW
NGIPS
Meraki
AMP for Networks
AMP for Endpoints
AMP for Gateways
Cloud Email Security
Cloud Web Security
Web Security
Appliance
Email Security Appliance
Cisco Umbrella
Telemetry + 3rd party
➔ Intelligence
➔ to all CISCO products
랜섬웨어 방어를 위한최적의 시스코 보안 솔루션
정운기 차장
Edge to End-point 대응 포트폴리오
Customer
SOC
Cisco
Threat Intel
Internet Investigations
(UMBRELLAINVESTIGATE)
File Investigations
(THREAT GRID)
Incident Response
(THREAT RESPONSE)
Network
User/
Endpoint
Cloud
Software-Defined NAC
(IDENTITY SERVICES ENGINE)
NGFW (FIREPOWER)
UTM (MERAKI MX)
Web Security
Security Analytics
(STEALTHWATCH)
VPN & Device Visibility
(ANYCONNECT)
Auth/SSO (DUO MFA)
BYOD (DUO ACCESS)
SDP (DUO BEYOND)
EPP/EDR(AMP FOR ENDPOINTS)
SIG/SWG (UMBRELLA)
CASB (CLOUDLOCK)
Security Analytics
(STEALTHWATCH)
Secure Access Threat Defense
NGIPS (FIREPOWER)
Email Security(ESA)
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
✓ IPS 마켓 리더 Cisco
Cisco Firepower는 Gartner IPS 시장 조사에서 2006년부터 최근까지 리더 그룹으로 선정된
I(D)PS 업계를 선도하는 제품입니다.
Cisco Firepower NGIPS
랜섬웨어(Ransomware)란?
B악의적인
소프트웨어설치주요데이터암호화
몸값지불요구
Malicious
InfrastructureRansomware
Payload
랜섬웨어전파경로
Web ServerCompromised Site
or Malvertising
EmailPhishing
or Spam
Encryption Key
Infrastructure
Web Redirect
Web Link
Email Attachment
C2 File drop
C2Exploit
Kit
Domains
3가지솔루션을통한대응
시스코랜섬웨어방어전략
(3) AMP for Endpoint
엔드포인트에서의실행차단
DNS
(2) ESA (Email Security Appliance)
이메일유입차단
(1) Umbrella
DNS나WEB 유입차단
Stop Ransomware
✓ 엔드포인트에서 악성코드를격리✓ 네트워크를 통한악성코드이동을 방어
✓ 사용자들이 이메일을통한 피싱공격이나 악성파일을수신하는것을 차단
✓ 사용자들이 악성웹에 접속하는것을 차단
✓ 해커들이 C2에 접속하거나배포하는 것을방어
Cisco Umbrella
Cisco ESA(Email Security Appliance)
Cisco AMP for
Endpoints(Advanced Malware Protection
for Endpoints)
Defe
nd A
cro
ss A
ll A
ttack V
ecto
rs
Malicious
InfrastructureRansomware
Payload
Break the Ransomware Chain
Web Server
Encryption Key
Infrastructure
Web Redirect
Web Link
Email Attachment
C2 File drop
C2Exploit
Kit
Domains
Stopped by Cisco Cloud
Email Security with AMP
Stopped by
Cisco Umbrella
Stopped by Cisco
AMP for Endpoints
Cisco
Ransomware
Defense
악성코드
C2 콜백
피싱
HQ
샌드박스
NGFW
프록시
NetFlow
AV AV
지점/지사
라우터/UTM
AV AV
로밍
AV
1차 방어선네트워크 및 엔드포인트
네트워크 및 엔드포인트
엔드포인트
DNS에서 시작
파일 실행 및 IP 연결 전
모든 디바이스 적용
모든 포트 적용
DNS Layer 보안
1. Cisco Umbrella
• 안전한 요청은 연결
• 사용자 또는 악성코드가 시작한 연결은 차단
• 위험한 URL에 대한 프록시 검사
안전한요청
차단된요청
1. Cisco Umbrella - 기능
Umbrella단 몇 분 내에 차단 시작
100% 인터넷환경에서 가장손쉽게구축할수있는보안제품
등록1
2 DNS 지정
3 완료
1. Cisco Umbrella – 구축
2. Cisco ESA (Email Security Appliance)
✓ 이메일 보안 솔루션 Top player Cisco
Cisco ESA는 Radicati에서 이메일 보안 분야 마켓 1위의 Top vendor로 선정 되었습니다.
유입되는 이메일을 1대의 장비로 신속하게 멀티 레이어 차단
Cisco® Talos를통한 지속적인패턴 업데이트
Sender Profile Filtering
Anti-Spam
Outbreak Filters
Real-Time URL Analysis
Drop
Drop/Quarantine
Anti-Virus Drop/Quarantine
Advanced Malware Protection (AMP) Drop/Quarantine
Quarantine/Rewrite
Graymail Detection Rewrite
2. Cisco ESA (Email Security Appliance)
공격자가사용자(기업)의이메일을해킹하여모니터링
이메일내에포함된결제계좌등의
정보를변경하여발송
거래대금을가로챔
“SCAM 공격”이란?
악성코드 탐지차단
• 파일의 지속적분석회귀적 탐지
• 문제가 되는악성코드 영역빠른 파악파일추적
• 감염원인의 파악분석디바이스 추적
• 자동화된 감염시스템 분석및감염 원인파악위협지표, 감염원인
• 샌드박스를 통한 빠르고안전한 파일분석파일상세 분석
• 악성코드 전파확산을 빠르게 차단Outbreak Control
• 디바이스 감염전 악성코드의 차단
3. Cisco AMP for Endpoints – 주요 기능, 장점
* EDR (Endpoint Detection & Response) 솔루션
✓ 분석시간절감(바이러스의 유입 채널, 경로를 한 눈에 파악→각각의 솔루션을 하나씩 확인할 필요가 없음)
✓ 다양한 SOC(보안관제센터) 연동
+ CTR (Cisco Threat Response)
시스코 보안 제품을 통합하여 하나의 툴에서 분석 및 운영 가능
00I00 I00I0I II0I0I 0II0I I0I00I0I0 0II0I0II 0I00I0I I0 00
III00II 0II00II I0I0II0II0 I0 I0 I00 00I0 I000 0II0 00
III00II I000I0I I000I0I I000I0I II 0I00 I0I000 0II0 00
00I I0I0I0 I0I0III000 I0I00I0I 0II0I0 I00I0I0I0I 000
II0II0I0I0I I0I0I0I 0I0I0I0I 0I0I00I0 I0I0I0I 0II0I0I0I
0II00 I00I0I0 0I00I0I I00I0I0 I0I0I0I 0I0I0I 0I0I0I0
00I0I0 0I0I0I0 I0I0I00I 0I0I 0I0I 0I0I I0I0I 0I00I0I
III00II 0II00II I0I000 0II0 00I0I00 I0 I000I0I 0II 0I0I0I
II0III0I 0II0II0I II00I0I0 0I00I0I00 I0I0 I0I0 I00I0I001.5 million (150만)Daily malware samples
600 billion (6,000억)Daily email messages
16 billion (160억)Daily web requests
20 billion (200억)Threats blocked daily
250+threat intel researchers;
24 – 7 – 365
Millions +
of telemetry agents
4Global data centers
Over 100 Threat intelligence partners
Email Malware/Endpoint Network IntrusionsWeb/URL Network Analysis DNS/IP
세계최대의 Threat Intelligence 연구조직
III00II I000I0I I000I0I I000I0I II 0I00 I0I000 0II0 00
00I I0I0I0 I0I0III000 I0I00I0I 0II0I0 I00I0I0I0I 000
0II00 I00I0I0 0I00I0I I00I0I0 I0I0I0I 0I0I0I 0I0I0I0
정성준 부장 & 김한기 부장
Bitoplus & Cisco
2019. 06
선제적 보안위협 대응Cisco NGIPS 소개 & Demo
© 2018 Cisco and/or its affiliates. All rights reserved.
새로운 고민들…
누구나접속 가능
다양한디바이스
위협 차단의 어려움가시성 확보의 어려움액세스 관리의 어려움
지능형위협들
글로벌 협업
장소에 관계없이자유로운 액세스
BYOD
출처: 2016 Verizon Data Breach Investigations Report
30%피싱 공격으로공격 대상이피싱 메시지를열어본 비율
© 2018 Cisco and/or its affiliates. All rights reserved.
보안 사고: 사전에 대응하는 것이 가장 효율적!
방어책 구현
위협 유형 확인
데이터 유출
위협에 대응위협 유형 확인
방어책 구현
초기 감지
위험 단계드러나지 않는 단계
비즈
니스
임팩
트($
)
Time
MTTK위협 대응 시간의 70%가 이 MTTK(Mean time to Know)에 소요
초기 보안 위협 대응이 가장 중요
© 2018 Cisco and/or its affiliates. All rights reserved.
Cisco FTD
인증-정책제어 & VPN
URL 필터링(Subscription)
FMC분석 & 자동화
Advanced Malware
Protection(Subscription)
애플리케이션가시성& 제어
차세대 방화벽
고가용성
WWW
시스코 지능형 인텔리젼스 시스템
실시간네트워크
프로파일링
침입탐지시스템
(Subscription)
전세계에서 가장 많이 이용되는침입 탐지 엔진 – 스노트(Snort)
Cisco® 애플리케이션가시성과 제어 (OpenAppID)
업계 리더의 차세대 IPS (NGIPS)
평판 및 카테고리 기반의 URL 필터링
지능형 악성코드 차단
Cisco NGIPS
© 2018 Cisco and/or its affiliates. All rights reserved.
Cisco NGIPS - 핵심 기능 1. 자산 관리 분석
악성코드
클라이언트 애플리케이션
운영 체제
모바일 디바이스
VOIP 폰
라우터 및 스위치
프린터
C&C 서버
네트워크 서버
Cisco Firepower NGFW
사용자
파일 전송
웹 애플리케이션
애플리케이션
프로토콜
일반 NGFW
위협
일반 IPS
RNA (Real-time Network Awareness)
‘많이 볼수록 제대로 방어할 수 있습니다’
✓ 실시간 네트워크 인식 (자산 관리 분석)
© 2018 Cisco and/or its affiliates. All rights reserved.
OS & 버전
서버 애플리케이션및 버전 정보
클라이언트애플리케이션
누가 이 호스트를사용하나 ?
클라이언트버전
애플리케이션
어떤 사용자가 언제사용했나 ?
가시성 확보위협 중심의 방어를 위한 기반
Cisco NGIPS – 핵심 기능 1. 자산 관리 분석
트래픽 분석을 통한 실시간 자산 인식
✓ 실시간 네트워크 인식 (자산 관리 분석)
© 2018 Cisco and/or its affiliates. All rights reserved.
• Snort 룰이 반영된 30,000+
이상의 업계 최대 IPS 정책 수
• #1 탐지율 (99% - NSS Labs)
• 시스코 탈로스(TALOS) 팀에 의해
작성 및 검증
• 업계 표준적인 정책 포맷, 호환성
• 불확실한 공격 패턴 기반이 아닌
정확한 취약점 기반 정책
• 실시간 변화되는 상황정보 반영
• 실제 유효한 공격탐지 및
차단 정책 권고
Cisco NGIPS – 핵심 기능 2. 인텔리전스 튜닝
© 2018 Cisco and/or its affiliates. All rights reserved.
모든 침입 이벤트에 대한 연관성을 분석하여공격 및 위협에 대항
영향도플래그
관리자조치 사항
이유
1 즉각 조치 필요, 취약함
이벤트 연관성이 호스트취약점과 매핑됨
2 조사 필요,잠재적 취약
관련있는 포트가 오픈또는 프로토콜이 사용중,그러나 취약점은 매핑되지 않음
3 관심 필요, 현재는 취약하지 않음
관련있는 포트가 오픈되지않았고, 프로토콜도미사용중임
4 관심 필요, 알려지지 않은 타겟
네트워크 모니터링함,그러나 알려지지 않은호스트
0관심 필요, 알려지지 않은네트워크
모니터 되지 않은네트워크
실제대응이필요한 1%에집중불필요이벤트를 99% 줄임
Cisco NGIPS – 핵심 기능 3. Impact(영향도) 플래그
영향 분석 및 차단
© 2018 Cisco and/or its affiliates. All rights reserved.
위협의 근본적인 원인과 흐름을가시성을 가지고 추적
네트워크 기반의 경로 추적
Cisco NGIPS – 핵심 기능 4. 위협 상관 관계 분석
© 2018 Cisco and/or its affiliates. All rights reserved.
5백만개 이상의 동시 플로우에서
3.5Gbps 트래픽 암호 해독
로그
SSL
암호 해독엔진시행 의사결정
암호화된 트래픽
AVC
http://www.%$&^*#$@#$.com
http://www.%$&^*#$@#$.com
암호 해독된 패킷 검사 모든 SSL 세션 추적 및 로그
NGIPS
도박
유도
http://www.%$*#$@#$.com
http://www.%$*#$@#$.com
http://www.%$*#$@#$.com
http://www.%$*#$@#$.com
http://www.%$*#$@#$.com
http://www.%$*#$@#$.com
http://www.%$*#$@#$.com
http://www.%$*#$@#$.com
http://www.%$*#$@#$.com
http://www.%$*#$@#$.com
✓
✓
✓
✓
✓
Firepower
SSL 복호화 엔진
Cisco NGIPS – 핵심 기능 5. 암호화된 데이터 복호화 & 대응
© 2018 Cisco and/or its affiliates. All rights reserved.
Talos
파일 평판 정보
실시간업데이트
Clean, Malware,
Unknown 상태 확인.
회귀적 분석 수행
AMP Lic 필요
IP/URL 평판 정보
2시간 단위업데이트
C&C서버, Attacker,
Malware, Phishing,
ExploitKit, SPAM,
Bots, Tor
IPS Rule 정보
매일업데이트
30,000 이상의 Rule
SNORT원천 기술사
GeoDB/App정보
주 단위업데이트
핑거프린트, 디텍터,
vulnerability 정보
Geographical IP 정보
1.5M Daily Malware Samples16B Daily Web Requests600B Daily Email Messages
250+ Full Time Threat IntelResearchers
모든 Packet 의 패턴 매칭 대비Performance 향상
Cisco NGIPS와 Cisco Security Intelligence