배 민 상무

Global Security Sales Org

June. 2019

세계 최대 위협분석조직 ‘탈로스’를 중심으로

시스코 보안 리더쉽

1995

• PIX 방화벽• 최고의 컨텐츠 보안

솔루션

2007 2009 2013 2014

• 샌드박스 기반의

악성 코드 분석 솔루션

• 현 AMP와 통합

• 웹보안솔루션

• Snort® , ClamAV® ,등오픈소스 프로젝트설립

• VRT 연구 조직

• IPS의 선두 기업

• 선두 보안 서비스 제공

• 포쥰500 기업대상으로Risk management 및

컴플라이언스 서비스 제공

2015

• 악성 위협 분석및 가시성 제공을위한 보안 플랫폼

• 클라우드 기반의DNS 보안 서비스제공

2016

• SaaS, IaaS, PaaS의가시성과 제어를가능케하는 CASB

클라우드 보안 솔루션

2017

• 클라우드 기반의네트워크 가시성제공 솔루션

계속되는 보안에 대한 투자

2018

• 클라우드 기반의통합/멀티 인증솔루션

Canalys : 글로벌 TOP 5 보안벤더 보고

https://www.canalys.com/newsroom/cybersecurity-spend-tops-us%2410-billion-in-q4-2018-as-new-deployment-models-gain-traction

Edge to End-point 대응 포트폴리오

Customer

SOC

Cisco

Threat Intel

Internet Investigations

(UMBRELLAINVESTIGATE)

File Investigations

(THREAT GRID)

Incident Response

(THREAT RESPONSE)

Network

User/

Endpoint

Cloud

Software-Defined NAC

(IDENTITY SERVICES ENGINE)

NGFW (FIREPOWER)

UTM (MERAKI MX)

Web Security

Security Analytics

(STEALTHWATCH)

VPN & Device Visibility

(ANYCONNECT)

Auth/SSO (DUO MFA)

BYOD (DUO ACCESS)

SDP (DUO BEYOND)

EPP/EDR(AMP FOR ENDPOINTS)

SIG/SWG (UMBRELLA)

CASB (CLOUDLOCK)

Security Analytics

(STEALTHWATCH)

Secure Access Threat Defense

NGIPS (FIREPOWER)

Email Security(ESA)

00I00 I00I0I II0I0I 0II0I I0I00I0I0 0II0I0II 0I00I0I I0 00

III00II 0II00II I0I0II0II0 I0 I0 I00 00I0 I000 0II0 00

III00II I000I0I I000I0I I000I0I II 0I00 I0I000 0II0 00

00I I0I0I0 I0I0III000 I0I00I0I 0II0I0 I00I0I0I0I 000

II0II0I0I0I I0I0I0I 0I0I0I0I 0I0I00I0 I0I0I0I 0II0I0I0I

0II00 I00I0I0 0I00I0I I00I0I0 I0I0I0I 0I0I0I 0I0I0I0

00I0I0 0I0I0I0 I0I0I00I 0I0I 0I0I 0I0I I0I0I 0I00I0I

III00II 0II00II I0I000 0II0 00I0I00 I0 I000I0I 0II 0I0I0I

II0III0I 0II0II0I II00I0I0 0I00I0I00 I0I0 I0I0 I00I0I001.5 million (150만)Daily malware samples

600 billion (6,000억)Daily email messages

16 billion (160억)Daily web requests

20 billion (200억)Threats blocked daily

250+threat intel researchers;

24 – 7 – 365

Millions +

of telemetry agents

4Global data centers

Over 100 Threat intelligence partners

Email Malware/Endpoint Network IntrusionsWeb/URL Network Analysis DNS/IP

세계최대의 Threat Intelligence 연구조직

III00II I000I0I I000I0I I000I0I II 0I00 I0I000 0II0 00

00I I0I0I0 I0I0III000 I0I00I0I 0II0I0 I00I0I0I0I 000

0II00 I00I0I0 0I00I0I I00I0I0 I0I0I0I 0I0I0I 0I0I0I0

20B(200억개)

250M C 사

4MD 사

1M

G 사

700K

A사F 사

800K

972M

B 사

E사

1M

일일차단위협개수비교

(러시아)

(북한)

(중국)

(이란)

(eCrime)

시스코 제품간 정보 공유

Automated Policy

Context Awareness

Event Visibility

Threat Intel/Enforcement

Enterprise Mobility

Management(MERAKI SYSTEMS MANAGER)

Network and Cloud

Analysis & Visibility (STEALTHWATCH)

Cloud Workload

Security (TETRATION)

Web Security

Email

Security

Advanced Threat(AMP FOR ENDPOINTS • AMP

CLOUD THREAT GRID • COGNITIVE)

Secure SD-WAN / Routers(ISR • CSR • ASR • vEDGE • MERAKI MX)

Next-Gen Access (IDENTITY SERVICES ENGINE • DUO)

Secure Internet

Gateway (UMBRELLA)

Switches and Access Points(CATALYST • NEXUS • MERAKI MS

AIRONET/WLC • MERAKI MR)

Next-Gen

FW/IPS(FIREPOWER)

Cloud Security

Gateway (CLOUDLOCK • DUO)

Cisco Threat Intelligence

Cisco Platform Exchange

3월 14일 Microsoft는새로운 SMB 취약점 패치배포

Cisco Talos 는 해당취약점 탐지를 위한 룰배포(#41978)

The Shadow Brokers 그룹의 취약점 공개(NSA 유출 공개 취약점)

Talos는 Double Pulsar 및SMB를 위한 snort시그니쳐배포(#42329외)

@MalwareTech는 SNS를 통해워너크립트로 명명된 새로운공격 정보 공개Umbrella Investigate 를 통한 Kill Switch 도메인 검색/포스팅

Cisco 는 Umbrella 를 통해워너크라이의 킬스위치도메인을 New Seen Domain 으로 등록, 도메인조회를 가능하게함

Cisco 는 Umbrella 에워너크라이에 대한 속성을랜섬웨어로 확정하고, 등록된 도메인을 악성코드카테고리로 등록

첫 샘플 탐지 후 60분 뒤에AMP에서 워너크라이가랜섬웨어로 분류됨AMP4EP, ESA, WSA,NGIPS를통해 탐지 및 차단 가능해짐

Threat IntelligenceThe Backbone of Cisco Security

Network Endpoint Cloud

FirePower/ ASA

Snort subscription rule

setNGFW

NGIPS

Meraki

AMP for Networks

AMP for Endpoints

AMP for Gateways

Cloud Email Security

Cloud Web Security

Web Security

Appliance

Email Security Appliance

Cisco Umbrella

Telemetry + 3rd party

➔ Intelligence

➔ to all CISCO products

랜섬웨어 방어를 위한최적의 시스코 보안 솔루션

정운기 차장

Edge to End-point 대응 포트폴리오

Customer

SOC

Cisco

Threat Intel

Internet Investigations

(UMBRELLAINVESTIGATE)

File Investigations

(THREAT GRID)

Incident Response

(THREAT RESPONSE)

Network

User/

Endpoint

Cloud

Software-Defined NAC

(IDENTITY SERVICES ENGINE)

NGFW (FIREPOWER)

UTM (MERAKI MX)

Web Security

Security Analytics

(STEALTHWATCH)

VPN & Device Visibility

(ANYCONNECT)

Auth/SSO (DUO MFA)

BYOD (DUO ACCESS)

SDP (DUO BEYOND)

EPP/EDR(AMP FOR ENDPOINTS)

SIG/SWG (UMBRELLA)

CASB (CLOUDLOCK)

Security Analytics

(STEALTHWATCH)

Secure Access Threat Defense

NGIPS (FIREPOWER)

Email Security(ESA)

© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential

✓ IPS 마켓 리더 Cisco

Cisco Firepower는 Gartner IPS 시장 조사에서 2006년부터 최근까지 리더 그룹으로 선정된

I(D)PS 업계를 선도하는 제품입니다.

Cisco Firepower NGIPS

랜섬웨어(Ransomware)란?

B악의적인

소프트웨어설치주요데이터암호화

몸값지불요구

Malicious

InfrastructureRansomware

Payload

랜섬웨어전파경로

Web ServerCompromised Site

or Malvertising

EmailPhishing

or Spam

Encryption Key

Infrastructure

Web Redirect

Web Link

Email Attachment

C2 File drop

C2Exploit

Kit

Domains

3가지솔루션을통한대응

시스코랜섬웨어방어전략

(3) AMP for Endpoint

엔드포인트에서의실행차단

DNS

(2) ESA (Email Security Appliance)

이메일유입차단

(1) Umbrella

DNS나WEB 유입차단

Stop Ransomware

✓ 엔드포인트에서 악성코드를격리✓ 네트워크를 통한악성코드이동을 방어

✓ 사용자들이 이메일을통한 피싱공격이나 악성파일을수신하는것을 차단

✓ 사용자들이 악성웹에 접속하는것을 차단

✓ 해커들이 C2에 접속하거나배포하는 것을방어

Cisco Umbrella

Cisco ESA(Email Security Appliance)

Cisco AMP for

Endpoints(Advanced Malware Protection

for Endpoints)

Defe

nd A

cro

ss A

ll A

ttack V

ecto

rs

Malicious

InfrastructureRansomware

Payload

Break the Ransomware Chain

Web Server

Email

Encryption Key

Infrastructure

Web Redirect

Web Link

Email Attachment

C2 File drop

C2Exploit

Kit

Domains

Stopped by Cisco Cloud

Email Security with AMP

Stopped by

Cisco Umbrella

Stopped by Cisco

AMP for Endpoints

Cisco

Ransomware

Defense

악성코드

C2 콜백

피싱

HQ

샌드박스

NGFW

프록시

NetFlow

AV AV

지점/지사

라우터/UTM

AV AV

로밍

AV

1차 방어선네트워크 및 엔드포인트

네트워크 및 엔드포인트

엔드포인트

DNS에서 시작

파일 실행 및 IP 연결 전

모든 디바이스 적용

모든 포트 적용

DNS Layer 보안

1. Cisco Umbrella

• 안전한 요청은 연결

• 사용자 또는 악성코드가 시작한 연결은 차단

• 위험한 URL에 대한 프록시 검사

안전한요청

차단된요청

1. Cisco Umbrella - 기능

Umbrella단 몇 분 내에 차단 시작

100% 인터넷환경에서 가장손쉽게구축할수있는보안제품

등록1

2 DNS 지정

3 완료

1. Cisco Umbrella – 구축

2. Cisco ESA (Email Security Appliance)

✓ 이메일 보안 솔루션 Top player Cisco

Cisco ESA는 Radicati에서 이메일 보안 분야 마켓 1위의 Top vendor로 선정 되었습니다.

유입되는 이메일을 1대의 장비로 신속하게 멀티 레이어 차단

Cisco® Talos를통한 지속적인패턴 업데이트

Sender Profile Filtering

Anti-Spam

Outbreak Filters

Real-Time URL Analysis

Drop

Drop/Quarantine

Anti-Virus Drop/Quarantine

Advanced Malware Protection (AMP) Drop/Quarantine

Quarantine/Rewrite

Graymail Detection Rewrite

2. Cisco ESA (Email Security Appliance)

공격자가사용자(기업)의이메일을해킹하여모니터링

이메일내에포함된결제계좌등의

정보를변경하여발송

거래대금을가로챔

“SCAM 공격”이란?

악성코드 탐지차단

• 파일의 지속적분석회귀적 탐지

• 문제가 되는악성코드 영역빠른 파악파일추적

• 감염원인의 파악분석디바이스 추적

• 자동화된 감염시스템 분석및감염 원인파악위협지표, 감염원인

• 샌드박스를 통한 빠르고안전한 파일분석파일상세 분석

• 악성코드 전파확산을 빠르게 차단Outbreak Control

• 디바이스 감염전 악성코드의 차단

3. Cisco AMP for Endpoints – 주요 기능, 장점

* EDR (Endpoint Detection & Response) 솔루션

✓ 분석시간절감(바이러스의 유입 채널, 경로를 한 눈에 파악→각각의 솔루션을 하나씩 확인할 필요가 없음)

✓ 다양한 SOC(보안관제센터) 연동

+ CTR (Cisco Threat Response)

시스코 보안 제품을 통합하여 하나의 툴에서 분석 및 운영 가능

00I00 I00I0I II0I0I 0II0I I0I00I0I0 0II0I0II 0I00I0I I0 00

III00II 0II00II I0I0II0II0 I0 I0 I00 00I0 I000 0II0 00

III00II I000I0I I000I0I I000I0I II 0I00 I0I000 0II0 00

00I I0I0I0 I0I0III000 I0I00I0I 0II0I0 I00I0I0I0I 000

II0II0I0I0I I0I0I0I 0I0I0I0I 0I0I00I0 I0I0I0I 0II0I0I0I

0II00 I00I0I0 0I00I0I I00I0I0 I0I0I0I 0I0I0I 0I0I0I0

00I0I0 0I0I0I0 I0I0I00I 0I0I 0I0I 0I0I I0I0I 0I00I0I

III00II 0II00II I0I000 0II0 00I0I00 I0 I000I0I 0II 0I0I0I

II0III0I 0II0II0I II00I0I0 0I00I0I00 I0I0 I0I0 I00I0I001.5 million (150만)Daily malware samples

600 billion (6,000억)Daily email messages

16 billion (160억)Daily web requests

20 billion (200억)Threats blocked daily

250+threat intel researchers;

24 – 7 – 365

Millions +

of telemetry agents

4Global data centers

Over 100 Threat intelligence partners

Email Malware/Endpoint Network IntrusionsWeb/URL Network Analysis DNS/IP

세계최대의 Threat Intelligence 연구조직

III00II I000I0I I000I0I I000I0I II 0I00 I0I000 0II0 00

00I I0I0I0 I0I0III000 I0I00I0I 0II0I0 I00I0I0I0I 000

0II00 I00I0I0 0I00I0I I00I0I0 I0I0I0I 0I0I0I 0I0I0I0

정성준 부장 & 김한기 부장

Bitoplus & Cisco

2019. 06

선제적 보안위협 대응Cisco NGIPS 소개 & Demo

© 2018 Cisco and/or its affiliates. All rights reserved.

새로운 고민들…

누구나접속 가능

다양한디바이스

위협 차단의 어려움가시성 확보의 어려움액세스 관리의 어려움

지능형위협들

글로벌 협업

장소에 관계없이자유로운 액세스

BYOD

출처: 2016 Verizon Data Breach Investigations Report

30%피싱 공격으로공격 대상이피싱 메시지를열어본 비율

© 2018 Cisco and/or its affiliates. All rights reserved.

보안 사고: 사전에 대응하는 것이 가장 효율적!

방어책 구현

위협 유형 확인

데이터 유출

위협에 대응위협 유형 확인

방어책 구현

초기 감지

위험 단계드러나지 않는 단계

비즈

니스

임팩

트($

)

Time

MTTK위협 대응 시간의 70%가 이 MTTK(Mean time to Know)에 소요

초기 보안 위협 대응이 가장 중요

© 2018 Cisco and/or its affiliates. All rights reserved.

Cisco FTD

인증-정책제어 & VPN

URL 필터링(Subscription)

FMC분석 & 자동화

Advanced Malware

Protection(Subscription)

애플리케이션가시성& 제어

차세대 방화벽

고가용성

WWW

시스코 지능형 인텔리젼스 시스템

실시간네트워크

프로파일링

침입탐지시스템

(Subscription)

전세계에서 가장 많이 이용되는침입 탐지 엔진 – 스노트(Snort)

Cisco® 애플리케이션가시성과 제어 (OpenAppID)

업계 리더의 차세대 IPS (NGIPS)

평판 및 카테고리 기반의 URL 필터링

지능형 악성코드 차단

Cisco NGIPS

© 2018 Cisco and/or its affiliates. All rights reserved.

Cisco NGIPS - 핵심 기능 1. 자산 관리 분석

악성코드

클라이언트 애플리케이션

운영 체제

모바일 디바이스

VOIP 폰

라우터 및 스위치

프린터

C&C 서버

네트워크 서버

Cisco Firepower NGFW

사용자

파일 전송

웹 애플리케이션

애플리케이션

프로토콜

일반 NGFW

위협

일반 IPS

RNA (Real-time Network Awareness)

‘많이 볼수록 제대로 방어할 수 있습니다’

✓ 실시간 네트워크 인식 (자산 관리 분석)

© 2018 Cisco and/or its affiliates. All rights reserved.

OS & 버전

서버 애플리케이션및 버전 정보

클라이언트애플리케이션

누가 이 호스트를사용하나 ?

클라이언트버전

애플리케이션

어떤 사용자가 언제사용했나 ?

가시성 확보위협 중심의 방어를 위한 기반

Cisco NGIPS – 핵심 기능 1. 자산 관리 분석

트래픽 분석을 통한 실시간 자산 인식

✓ 실시간 네트워크 인식 (자산 관리 분석)

© 2018 Cisco and/or its affiliates. All rights reserved.

• Snort 룰이 반영된 30,000+

이상의 업계 최대 IPS 정책 수

• #1 탐지율 (99% - NSS Labs)

• 시스코 탈로스(TALOS) 팀에 의해

작성 및 검증

• 업계 표준적인 정책 포맷, 호환성

• 불확실한 공격 패턴 기반이 아닌

정확한 취약점 기반 정책

• 실시간 변화되는 상황정보 반영

• 실제 유효한 공격탐지 및

차단 정책 권고

Cisco NGIPS – 핵심 기능 2. 인텔리전스 튜닝

© 2018 Cisco and/or its affiliates. All rights reserved.

모든 침입 이벤트에 대한 연관성을 분석하여공격 및 위협에 대항

영향도플래그

관리자조치 사항

이유

1 즉각 조치 필요, 취약함

이벤트 연관성이 호스트취약점과 매핑됨

2 조사 필요,잠재적 취약

관련있는 포트가 오픈또는 프로토콜이 사용중,그러나 취약점은 매핑되지 않음

3 관심 필요, 현재는 취약하지 않음

관련있는 포트가 오픈되지않았고, 프로토콜도미사용중임

4 관심 필요, 알려지지 않은 타겟

네트워크 모니터링함,그러나 알려지지 않은호스트

0관심 필요, 알려지지 않은네트워크

모니터 되지 않은네트워크

실제대응이필요한 1%에집중불필요이벤트를 99% 줄임

Cisco NGIPS – 핵심 기능 3. Impact(영향도) 플래그

영향 분석 및 차단

© 2018 Cisco and/or its affiliates. All rights reserved.

위협의 근본적인 원인과 흐름을가시성을 가지고 추적

네트워크 기반의 경로 추적

Cisco NGIPS – 핵심 기능 4. 위협 상관 관계 분석

© 2018 Cisco and/or its affiliates. All rights reserved.

5백만개 이상의 동시 플로우에서

3.5Gbps 트래픽 암호 해독

로그

SSL

암호 해독엔진시행 의사결정

암호화된 트래픽

AVC

http://www.%$&^*#$@#$.com

http://www.%$&^*#$@#$.com

암호 해독된 패킷 검사 모든 SSL 세션 추적 및 로그

NGIPS

도박

유도

http://www.%$*#$@#$.com

http://www.%$*#$@#$.com

http://www.%$*#$@#$.com

http://www.%$*#$@#$.com

http://www.%$*#$@#$.com

http://www.%$*#$@#$.com

http://www.%$*#$@#$.com

http://www.%$*#$@#$.com

http://www.%$*#$@#$.com

http://www.%$*#$@#$.com

✓

✓

✓

✓

✓

Firepower

SSL 복호화 엔진

Cisco NGIPS – 핵심 기능 5. 암호화된 데이터 복호화 & 대응

© 2018 Cisco and/or its affiliates. All rights reserved.

Talos

파일 평판 정보

실시간업데이트

Clean, Malware,

Unknown 상태 확인.

회귀적 분석 수행

AMP Lic 필요

IP/URL 평판 정보

2시간 단위업데이트

C&C서버, Attacker,

Malware, Phishing,

ExploitKit, SPAM,

Bots, Tor

IPS Rule 정보

매일업데이트

30,000 이상의 Rule

SNORT원천 기술사

GeoDB/App정보

주 단위업데이트

핑거프린트, 디텍터,

vulnerability 정보

Geographical IP 정보

1.5M Daily Malware Samples16B Daily Web Requests600B Daily Email Messages

250+ Full Time Threat IntelResearchers

모든 Packet 의 패턴 매칭 대비Performance 향상

Cisco NGIPS와 Cisco Security Intelligence