Next Level DNS와보안 Ecosystem · 2019-07-25 · Source: Cisco 2016 Annual Security Report 6....
Transcript of Next Level DNS와보안 Ecosystem · 2019-07-25 · Source: Cisco 2016 Annual Security Report 6....
1 | © Infoblox Inc. All rights reserved.
Next Level DNS와보안 Ecosystem
신성균이사 | Pre-sales SEInfoblox Korea | Mar 2019
2 | © Infoblox Inc. All rights reserved.
Next Level DNS는보안의핵심요소
1. 왜 DNS가보안전략에포함되어야하는가?
2. DNS와보안에코시스템
3 | © Infoblox Inc. All rights reserved.
왜 DNS가보안전략에포함되어야하는가?
4 | © Infoblox Inc. All rights reserved.
도메인 이름을 IP로 변경해주는 역할
Authoritative DNS 기능 Domain 및 Record 정보 저장 계층 구조의 분산된 Database Zone Transfer를 통한 자동 Update 위임 / Forwarding zone / Stub zone
Recursive DNS 기능 DNS Cache Recursive / Iterative 쿼리 Blacklist
보안요소는? DNS 서버보호? 파밍? DNSSEC?
Internet
Root
123.x.x.xabc.com Web서버
Local DNS
Client
abc.com
.com abc.com의IP는?
IP =123.X.X.X
전통적인 DNS의기능
5 | © Infoblox Inc. All rights reserved.
Branch Office Campus
Data Center
Remote Office
Mobile
PoS
IoT
앞으로더추가될용도들…
DNS 사용및취약점증가
6 | © Infoblox Inc. All rights reserved.
Data 유출사고의주된경로 DNS로 Data 유출공격을
경험한설문조사응답자4DNS 터널링을경험한설문조사응답자4
Data유출로인한평균통합비용3
$3.86M 46% 45%
DNS 기반의APT/Malware증가
91% 431M #12015년에발생한새로운 Malware6
Crimeware로가장많이이용되는방법: Malware C&C
DNS를이용하여공격하는 Malware4
IT 서비스에있어약한연결고리
81% 94%DNS를반사및증폭공격에사용하는비율1
DNS : 가장공격을많이받는 Protocol1
DNS 공격에대처하기위한년간평균비용2
$2.5M
비효율적인위협인텔리전스
66% 41% 37%위협인텔리전스의복잡성이쉽고빠르게사용하기어려움8
조치를취하기에위협인텔리전스의정보가부족함8
위협인텔리전스가적절한시간에적용이되지않은경우8
1. Arbor WISR2017 Report2. Ponemon Institute Study – The Cost of Denial-of-Service Attacks. March 20153. Source: Ponemon Institute, 2018 Cost of Data Breach Study4. Source: SC Magazine, Dec 2014, “DNS attacks putting organizations at risk, survey finds”
5. Source: Cisco 2016 Annual Security Report6. Symantec 2016 Internet Security Threat Report7. Verizon 2016 Data Breach Investigations Report8. Source: Ponemon Institute, 2017 Second Annual Study on Exchange Cyber Threat Intelligence
다차원적인위협요소인 DNS
7 | © Infoblox Inc. All rights reserved.
점점늘어나는사이버공격과개인정보유출
8 | © Infoblox Inc. All rights reserved.
해커들에있어개인정보의가치
Source: Experian PLC
$1주민등록번호
$20 - $200신용카드결제정보
$5 - $110신용카드정보
$20운전면허증정보
$20충성고객계정정보
$100 - $400학위및 자격증정보
$1,000 - $2,000여권정보
$1 - $1,000진료기록
9 | © Infoblox Inc. All rights reserved.
DNS – 모든연결의시작점
BOTTOM LINE: 모든커뮤니케이션의시작은 DNS에서출발합니다.
EMAILIoTSENSOR
SaaS/Web Applications
Outlook에 접속Outlook은 Email 서버를 알기 위해DNS에 쿼리, 그 후Email 전송
IOT 센서는어떤입력값의수준을탐지, 시스템을통해명령이전달, DNS를사용하여서버를확인후연결및기능요청및응답
사용자들은온라인으로서비스를이용하기위해웹사이트접속. DNS가사용자들이웹서버에접속할수있도록하며, 다른서버들과의통신등을위해 DNS가사용됨
10 | © Infoblox Inc. All rights reserved.
DNS 보안으로경계보안을더욱견고하게
• 모든연결의시작점인DNS를하나의경계선보안솔루션으로이용
• DNS는디바이스의행동을가장빠르게탐지가능한확장성있고효율적인보안솔루션
11 | © Infoblox Inc. All rights reserved.
DNS 서버의위협증가 – DDoS와 DNS 프로토콜공격
DNSTop
attacks
*DNS amplification:응답을증폭시킬수 있도록 특별제작된쿼리로공격
*TCP/UDP/ICMP floods:대량의 트래픽을 발생시켜 서비스 장애를 발생시키는 공격
Protocol anomalies:기형 패킷 및 쿼리를전송해서버 다운시킴
DNS hijacking:로그 DNS 서버로접속하도록 DNS Record를변조
Reconnaissance:공격을하기 전에 네트워크환경에대한 정보수집
DNS cache poisoning:DNS 프로토콜 자체의 취약성으로 캐시 DNS에 저장된 쿼리 정보를 위, 변조
DNS tunneling:DNS를통한 다른프로토콜의터널링으로데이터 유출
DNS based exploits:DNS 소프트웨어의취약점공격
*Fragmentation:대량의작은 조각 발생으로트래픽유발
*DNS reflection/DrDos:IP를 변조한 후 Open resolvers를 통한 DoS/DDoS형 공격
*NXDOMAIN:존재하지않는/응답하지않는 Domain에대한 쿼리를 대량 발생
*Phantom Domain:존재하지않는/응답하지않는 Domain에대한쿼리를대량 발생
12 | © Infoblox Inc. All rights reserved.
DNS에서차단가능한 Cyber Kill Chain
1
Reconnaissance이메일주소,
컨퍼런스정보등을획득
2
Weaponization익스플로잇을 백도어와연결하여악성프로그램을전달할수있도록함
3
Delivery이메일, 웹, USB 등을이용하여희생자에악성프로그램 전달
4
Exploitation희생시스템에코드실행을
위한취약점을탐색
5
Installation해당시스템에맬웨어를설치
7
Actions on Objectives공격자는원래의목적달성을위한행동을개시
6
Command & Control (C2)희생자를원격에서컨트롤하기위한명령채널을확립
DNS ReconnaissanceDNS InfiltrationDNS Tunneling
DNS DDoS
DNS TunnelingDNS Exfiltration
Internal DNS DDoS
DNS TunnelingDNS Callback
DNS Protocol AnomaliesDNS HijackingDNS Exploits
13 | © Infoblox Inc. All rights reserved.
DNS를이용한 Data 유출
INTERNET
ENTERPRISE
NameMarySmith.foo.thief.comMRN100045429886.foo.thief.comDOB10191952.foo.thief.com
NameMarySmith.foo.thief.comMRN100045429886.foo.thief.comDOB10191952.foo.thief.com
Infected endpoint
DNS server
Attacker controller server- thief.com
(C&C)
DataC&C commands
DNS를이용한 Data 유출공격예NZrhKG2KQNP1Ya2QY6k5xuimLeFE76krZ0jl1XIywoSe6DVGrX.y.com UTuOhSTXdXLl5GTs14WLjradQztKFHnRtSVW6YoixNBg04AzSQ.y.com 6X6YXk0VGD6Ud6vsYsK6iFup7cnqw23LigxMRFmm0zo8w52Vhg.y.com TMDT18cMKREksmXcm1aQdDXXHqE2K1g3LeLiUbnDW8RKrBbxfv.y.com XoBmOzQ6fQghkKQRBDnzBiiY9v1u2KPWokQUjOZerhRXM89dta.y.com
Analysis Model
Entropy
Lexical
N-GramFrequency
Size
Infoblox의방어솔루션
• DNS Traffic 모니터링
• 5가지요소를기반으로
공격탐지
• 공격도메인은 RPZ 자동
Update하여방어
• Zero-day Attack 방어
14 | © Infoblox Inc. All rights reserved.
지능적인맬웨어의증가DNS를이용한 Data Infiltration과 Exfiltration
15 | © Infoblox Inc. All rights reserved.
DNS 서버보안전용솔루션 - ADP
Infoblox DNS 소프트웨어서비스
지속적인모니터링, 탐지를통해 DNS 기반의공격패킷차단
공격받고있는중에도정상적인 DNS 트래픽을구별하여응답
신종또는진화하는위협들에대한자동업데이트
룰별트래픽임계치, 정책적용시간등조절가능
Monitor Mode를이용한공격탐지만적용가능
DNS 보안을고려한차세대맞춤형 DNS 어플라이언스 위협완화를위한전용프로세서사용으로 DNS 공격차단과함께보장하는성능의 DNS 서비스제공
PT-2205
PT-1405
Physical Appliance - CarrierPT-1405, PT-2205
TE-Series + License – EnterpriseTE-8x5, TE-14x5, TE-22x5
Trinzic Series 플랫폼
16 | © Infoblox Inc. All rights reserved.
위협인텔리전스 - ActiveTrust/ActiveTrust Cloud
• 디바이스의 접속 위치와 관계없이보호 가능
o 데이터 유출, DGA, Fast flux, 맬웨어, 랜섬웨어등으로부터 보호
• 온프레미스와 클라우드 환경에 걸친가시성 향상
• 확장성과 단순성o 위협 인텔리전스의 배포o 악성 도메인은 DNS에서 방어
• 효율적인 보안 운영o 자동화된 응답o 빠른 위협조사
DNS Traffic
Dossier위협조사툴
DNS Firewall Threat Insight
Infoblox위협조사팀
위협인텔리전스
Data Connector
On-Premises DNS Firewall
On-Premises Threat Insight
Ecosystem
On-Premises Forwarder
클라우드온프레미스
DNS Traffic
위협인텔리전스다운로드
위협사건정보가온프레미스와
에코시스템 정보로전송
로밍사용자/ DNS가없는지사
위협인텔리전스다운로드
17 | © Infoblox Inc. All rights reserved.
공격차단을위한다양한방식
특허받은스트리밍분석기술기반의탐지및차단
“머신러닝및인공지능”
제로데이 Data 유출공격, DGA, FastFlux 공격에대한
탐지및차단
맬웨어통신및 C&C 서버와의통신을탐지및
차단
정부기관등급의위협인텔리전스 제공
케리어급의 DNS DPI 기능및성능을제공
알려진 DNS 터널링및기타DNS 공격에대한즉각적인확인
시그니처기반평판기반 행위기반
18 | © Infoblox Inc. All rights reserved.
신속한확인과치료
보안 담당자
• 보안 정책, 악성 도메인, 감염된 디바이스에대한 대응
• 위협 카테고리에 대한 확인• IP 메타데이터• 사용자의 상황에 맞는 정책을 수행• 다양한 카테고리별로 우선 적용할 정책을 할당
보안 조사 및 연구 담당자
• 악성 공격들의 활동, 감염 디바이스 및사용자 정보에 대한 세부적인 조사
• 주기별로 통계에 대한 리포트 생성
• Malware C&C• Malware download• Exploit kits• APT
• DGA and Fast Flux• DNS tunneling• Data Exfiltration• DNS Messenger
19 | © Infoblox Inc. All rights reserved.
빠른위협조사와분류
맬웨어이벤트발생시해당악성도메인혹은 IP를하나의뷰에서다양한소스로부터의조사결과를확인
위협과관련된다양한연관정보에접근이가능하여대응해야할사고의우선순위할당이가능
빠른조사와처리를위한워크플로우와연계하여위협조사에대한시간과노력을현격히감소
Whois 정보위협분류
현재 IP
History관련 URL
관련 IP
20 | © Infoblox Inc. All rights reserved.
DNS – 보안운영에있어기본적인요소
쉬운공격이높은효과발생
Cloud, IOT..DNS
용도증가
비용효율적인보안솔루션
사이버공격및데이터유출에이용
모든연결의시작점
21 | © Infoblox Inc. All rights reserved.
DNS와보안에코시스템
22 | © Infoblox Inc. All rights reserved.
보안운영의효율성?
보안사건에대한늦은대응
더많은데이터유출
좋지않은보안태세
4% 의보안경보만이조사됩니다.
각시스템에서발생시키는보안경보를조사하기에는
보안담당자가충분치않습니다.
92% 의회사들은
하루에발생하는보안경보가 500건이상입니다.
한명의보안분석가는
하루에대략 10개의경보를분석합니다.
30개의보안도구와
플랫폼이사용됩니다.
보안담당자및전문가들은약 12개정도의도구및플랫폼에익숙합니다.
영향
Sources: AGC Research, Vegas Casino CISO, ISC2 Workforce Study
23 | © Infoblox Inc. All rights reserved.
빠르고자동화된대응을위한오케스트레이션
Advanced Threat Detection
Threat Intelligence
Platform(TIP)
SIEM
Vulnerability Management Network
Access Control(NAC)
DHCP
IPAM
DNS
• 디바이스정보, Mac, IP임대정보
디바이스감사추적과핑거프린팅
• 확장속성들의메타데이터: 소유자, 위치, 연결된스위치및무선 AP 등, Port 및 Vlan 정보
• 정확한위험분석과대응이벤트선별을위한상황정보
응용프로그램과비즈니스관련정보
• 보안경계내에서의해로운활동들
• BYOD와 IoT 디바이스들이DNS client로동작
• 디바이스프로파일및사용자활동들
Infoblox Actionable Network Intelligence
Next-gen Endpoint Security
Web Gateway
ITSM
Next level networking and security
Context to Prioritize Remediation
24 | © Infoblox Inc. All rights reserved.
DDI (DNS, DHCP, IPAM)
• 맬웨어탐지와위협추적을위한유비쿼터스가시성과보안정책수행플랫폼– 91%의맬웨어는 DNS를컨트롤플레인으로이용함
• 풍부한네트워크데이터, 운영네트워크내의디바이스정보와내부활동들에대한감사증적
• 효과적인위협조사를위한도메인등록히스토리및패시브 DNS 정보들
• 머신러닝과 AI를이용한어노멀리기반의위협탐지를위해이상적인데이터소스
WHO (식별)
WHAT (어떤디바이스)
WHERE (어디에있는지)
WHEN (시간및빈도)
25 | © Infoblox Inc. All rights reserved.
InfobloxGrid
Data Connector
Grid MemberDNS / DHCP with
DNS security
에코시스템을통한위협인텔리전스공유
Grid Member
네트워크와보안이벤트정보(DNS 정보, 사용자정보등을포함)
Device discovery
네트워크인프라(Switches, Routers, Firewalls etc.)
위협인텔리전스
(TIDE) DNS 관련위협인텔리전스
경계선보안솔루션F/W, IDS/IPS etc.
외부위협인텔리전스피드
TIPs
Firewall
SIEM
Vul.Scanner
NAC
EndpointSecurity
APTDetection내부
디바이스
인포블록스클라우드 DNS
보안이벤트
DNS 쿼리/응답데이터
IPS
Email Filter
로밍근무자지사근무자
기존네트워크환경에연동되는 DDI
ReportingServer
26 | © Infoblox Inc. All rights reserved.
솔루션개요• 보안솔루션들은 Infoblox로부터위협인텔리전스를제공받음
• 위협인텔리전스기반으로모니터및차단정책수행
장점• 검토해야할보안경보의수를감소
• 운영하는네트워크의상황인식향상
• 전반적인보안태세향상
하나의플랫폼에서제공하는
위협인텔리전스
Infoblox 팀
정부기관
3rd 파티
오픈소스
Threat Intelligence Platform
위협인텔리전스의공유
IDS Endpoint Security
Web Proxy Sandbox NGFW 연동솔루션: Cisco TIP, Checkpoint, MS 등
27 | © Infoblox Inc. All rights reserved.
SIEM 솔루션과의연동
솔루션개요• SIEM 벤더는 Infoblox DDI로부터보안이벤트, DNS 쿼리와응답, IPAM 메타데이터등의 Log를받을수있음
• 이정보를기반으로 SIEM은분석을통해필요한정보생성및확인, 그리고조치를취할수있음
장점• 디바이스의활동및악성도메인쿼리에대한통합된
가시적인정보제공
• 상황기반으로우선적으로처리해야할이벤트확인
• IT팀및네트워크운영조직의효율성향상
연동솔루션: LogRhythm, Splunk, McAfee ESM, Micro Focus ArcSight, IBM QRadar
SIEM
로그, 침해지표,
메타데이터
28 | © Infoblox Inc. All rights reserved.
Next Generation Firewall과의연동
솔루션개요• Infoblox로부터위협인텔리전스를받아악성도메인과의통신차단
• 새로연결된디바이스와감염된호스트정보를받아정책수행
장점• Alert의수감소및전반적인보안상황인식향상
• 새로운장치, 감염된호스트에대한가시성확보
• 자동화된치료등보안태세강화로 ROI 향상
침해지표
NGFW
연동솔루션: Palo Alto Networks, Fortinet
하나의플랫폼에서제공하는
위협인텔리전스
위협이벤트발생시디바이스관련정보제공
Infoblox 팀
정부기관
3rd 파티
오픈소스
29 | © Infoblox Inc. All rights reserved.
보안취약점검사솔루션과의연동
솔루션개요• Infoblox DHCP에서디바이스에 IP 할당후할당한 IP와해당디바이스의운영체제등의정보를보안취약점관리솔루션에제공
• DNS보안이벤트발생시관련정보를제공
• 해당디바이스에대해스케쥴과관련없이바로보안취약점검사시작
장점
• 보안취약점검사를적시에수행가능
• 새로연결된디바이스의정보제공가능
• 효율적인보안취약점관리및 ROI 향상
Vulnerability Management
DHCP 또는 Scan으로확인한 IP 정보, OS 정보, 보안이벤트정보
연동솔루션: Rapid7, Tenable, Qualys
30 | © Infoblox Inc. All rights reserved.
NAC 솔루션과의연동
솔루션개요• Cisco ISE에서사용자, 디바이스, 네트워크정보공유
• Cisco의 PxGrid에 Infoblox가통합
• ClearPass에서인증된디바이스정보를 Infoblox에제공, DHCP에서인증된디바이스만 IP 할당
• DNS 보안이벤트발생시 NAC 솔루션들과공유
장점• 네트워크, 사용자및디바이스에대한가시성향상
• 보안이벤트발생시빠른시간내에자동화된조치
• 일관적인정책수행과위협의우선순위구분
• 네트워크팀과보안팀사이의사일로제거및 ROI 향상
자산정보와침해지표
보안정책
NAC
연동솔루션: Cisco ISE, Aruba, ForeScout, 카본블랙
31 | © Infoblox Inc. All rights reserved.
위협탐지솔루션과의연동•
솔루션개요• APT 탐지및샌드박스에서탐지한 APT 공격
관련도메인정보를 Infoblox에제공
• Infoblox에서해당 APT 관련도메인차단
• ThreatConnect에서악성도메인정보를제공하여 Infoblox에서차단
장점• 유연하고자동적인정책수행및감염
디바이스확인
• 한지점에서발견된악성도메인을연동된전체 DNS 차단가능
Advanced Threat Detection/Sandbox
APT 및사이버공격에사용되는
도메인정보
차단및로깅 연동솔루션: FireEye, Threat Connect
32 | © Infoblox Inc. All rights reserved.
Next Level DNS가제공하는보안요소
Next Level 신뢰성과 가용성
Next Level사용자 보안과 데이터 보안
#1Infrastructure
Protection
#2Data Protection and Malware Mitigation
Next Level 효율성과
보안 운영의 자동화
#3Threat Containment
and Operations
33 | © Infoblox Inc. All rights reserved.
Why12
43
Next Level Security: DNS 공격에대해가장광범위한탐지차단솔루션을보유
Proven track record:DNS, DHCP와 IPAM 시장에서 Global Market Leader로 50% 이상의점유율, 8,000 이상의고객을보유
Infrastructure agnostic protection: 온프레미스와클라우드솔루션을모두보유하여사용자또한위치에관계없이DNS 보안을제공
Accurate threat intelligence: 위협 인텔리전스 데이터를 직접 제공하여 보안인프라 제품에 제공하며, 이슈 발생시 빠른대응이 가능
34 | © Infoblox Inc. All rights reserved.