Next Level DNS와보안 Ecosystem · 2019-07-25 · Source: Cisco 2016 Annual Security Report 6....

1 | © Infoblox Inc. All rights reserved.

Next Level DNS와보안 Ecosystem

신성균이사 | Pre-sales SEInfoblox Korea | Mar 2019


Next Level DNS는보안의핵심요소

1. 왜 DNS가보안전략에포함되어야하는가?

2. DNS와보안에코시스템


왜 DNS가보안전략에포함되어야하는가?


도메인 이름을 IP로 변경해주는 역할

Authoritative DNS 기능 Domain 및 Record 정보 저장 계층 구조의 분산된 Database Zone Transfer를 통한 자동 Update 위임 / Forwarding zone / Stub zone

Recursive DNS 기능 DNS Cache Recursive / Iterative 쿼리 Blacklist

보안요소는? DNS 서버보호? 파밍? DNSSEC?

Internet

Root

123.x.x.xabc.com Web서버

Local DNS

Client

abc.com

.com abc.com의IP는?

IP =123.X.X.X

전통적인 DNS의기능


Branch Office Campus

Data Center

Remote Office

Mobile

PoS

IoT

앞으로더추가될용도들…

DNS 사용및취약점증가


Data 유출사고의주된경로 DNS로 Data 유출공격을

경험한설문조사응답자4DNS 터널링을경험한설문조사응답자4

Data유출로인한평균통합비용3

$3.86M 46% 45%

DNS 기반의APT/Malware증가

91% 431M #12015년에발생한새로운 Malware6

Crimeware로가장많이이용되는방법: Malware C&C

DNS를이용하여공격하는 Malware4

IT 서비스에있어약한연결고리

81% 94%DNS를반사및증폭공격에사용하는비율1

DNS : 가장공격을많이받는 Protocol1

DNS 공격에대처하기위한년간평균비용2

$2.5M

비효율적인위협인텔리전스

66% 41% 37%위협인텔리전스의복잡성이쉽고빠르게사용하기어려움8

조치를취하기에위협인텔리전스의정보가부족함8

위협인텔리전스가적절한시간에적용이되지않은경우8

1. Arbor WISR2017 Report2. Ponemon Institute Study – The Cost of Denial-of-Service Attacks. March 20153. Source: Ponemon Institute, 2018 Cost of Data Breach Study4. Source: SC Magazine, Dec 2014, “DNS attacks putting organizations at risk, survey finds”

5. Source: Cisco 2016 Annual Security Report6. Symantec 2016 Internet Security Threat Report7. Verizon 2016 Data Breach Investigations Report8. Source: Ponemon Institute, 2017 Second Annual Study on Exchange Cyber Threat Intelligence

다차원적인위협요소인 DNS


점점늘어나는사이버공격과개인정보유출


해커들에있어개인정보의가치

Source: Experian PLC

$1주민등록번호

$20 - $200신용카드결제정보

$5 - $110신용카드정보

$20운전면허증정보

$20충성고객계정정보

$100 - $400학위및 자격증정보

$1,000 - $2,000여권정보

$1 - $1,000진료기록


DNS – 모든연결의시작점

BOTTOM LINE: 모든커뮤니케이션의시작은 DNS에서출발합니다.

EMAILIoTSENSOR

SaaS/Web Applications

Outlook에 접속Outlook은 Email 서버를 알기 위해DNS에 쿼리, 그 후Email 전송

IOT 센서는어떤입력값의수준을탐지, 시스템을통해명령이전달, DNS를사용하여서버를확인후연결및기능요청및응답

사용자들은온라인으로서비스를이용하기위해웹사이트접속. DNS가사용자들이웹서버에접속할수있도록하며, 다른서버들과의통신등을위해 DNS가사용됨


DNS 보안으로경계보안을더욱견고하게

• 모든연결의시작점인DNS를하나의경계선보안솔루션으로이용

• DNS는디바이스의행동을가장빠르게탐지가능한확장성있고효율적인보안솔루션


DNS 서버의위협증가 – DDoS와 DNS 프로토콜공격

DNSTop

attacks

*DNS amplification:응답을증폭시킬수 있도록 특별제작된쿼리로공격

*TCP/UDP/ICMP floods:대량의 트래픽을 발생시켜 서비스 장애를 발생시키는 공격

Protocol anomalies:기형 패킷 및 쿼리를전송해서버 다운시킴

DNS hijacking:로그 DNS 서버로접속하도록 DNS Record를변조

Reconnaissance:공격을하기 전에 네트워크환경에대한 정보수집

DNS cache poisoning:DNS 프로토콜 자체의 취약성으로 캐시 DNS에 저장된 쿼리 정보를 위, 변조

DNS tunneling:DNS를통한 다른프로토콜의터널링으로데이터 유출

DNS based exploits:DNS 소프트웨어의취약점공격

*Fragmentation:대량의작은 조각 발생으로트래픽유발

*DNS reflection/DrDos:IP를 변조한 후 Open resolvers를 통한 DoS/DDoS형 공격

*NXDOMAIN:존재하지않는/응답하지않는 Domain에대한 쿼리를 대량 발생

*Phantom Domain:존재하지않는/응답하지않는 Domain에대한쿼리를대량 발생


DNS에서차단가능한 Cyber Kill Chain

1

Reconnaissance이메일주소,

컨퍼런스정보등을획득

2

Weaponization익스플로잇을 백도어와연결하여악성프로그램을전달할수있도록함

3

Delivery이메일, 웹, USB 등을이용하여희생자에악성프로그램 전달

4

Exploitation희생시스템에코드실행을

위한취약점을탐색

5

Installation해당시스템에맬웨어를설치

7

Actions on Objectives공격자는원래의목적달성을위한행동을개시

6

Command & Control (C2)희생자를원격에서컨트롤하기위한명령채널을확립

DNS ReconnaissanceDNS InfiltrationDNS Tunneling

DNS DDoS

DNS TunnelingDNS Exfiltration

Internal DNS DDoS

DNS TunnelingDNS Callback

DNS Protocol AnomaliesDNS HijackingDNS Exploits


DNS를이용한 Data 유출

INTERNET

ENTERPRISE

NameMarySmith.foo.thief.comMRN100045429886.foo.thief.comDOB10191952.foo.thief.com

NameMarySmith.foo.thief.comMRN100045429886.foo.thief.comDOB10191952.foo.thief.com

Infected endpoint

DNS server

Attacker controller server- thief.com

(C&C)

DataC&C commands

DNS를이용한 Data 유출공격예NZrhKG2KQNP1Ya2QY6k5xuimLeFE76krZ0jl1XIywoSe6DVGrX.y.com UTuOhSTXdXLl5GTs14WLjradQztKFHnRtSVW6YoixNBg04AzSQ.y.com 6X6YXk0VGD6Ud6vsYsK6iFup7cnqw23LigxMRFmm0zo8w52Vhg.y.com TMDT18cMKREksmXcm1aQdDXXHqE2K1g3LeLiUbnDW8RKrBbxfv.y.com XoBmOzQ6fQghkKQRBDnzBiiY9v1u2KPWokQUjOZerhRXM89dta.y.com

Analysis Model

Entropy

Lexical

N-GramFrequency

Size

Infoblox의방어솔루션

• DNS Traffic 모니터링

• 5가지요소를기반으로

공격탐지

• 공격도메인은 RPZ 자동

Update하여방어

• Zero-day Attack 방어


지능적인맬웨어의증가DNS를이용한 Data Infiltration과 Exfiltration


DNS 서버보안전용솔루션 - ADP

Infoblox DNS 소프트웨어서비스

지속적인모니터링, 탐지를통해 DNS 기반의공격패킷차단

공격받고있는중에도정상적인 DNS 트래픽을구별하여응답

신종또는진화하는위협들에대한자동업데이트

룰별트래픽임계치, 정책적용시간등조절가능

Monitor Mode를이용한공격탐지만적용가능

DNS 보안을고려한차세대맞춤형 DNS 어플라이언스 위협완화를위한전용프로세서사용으로 DNS 공격차단과함께보장하는성능의 DNS 서비스제공

PT-2205

PT-1405

Physical Appliance - CarrierPT-1405, PT-2205

TE-Series + License – EnterpriseTE-8x5, TE-14x5, TE-22x5

Trinzic Series 플랫폼


위협인텔리전스 - ActiveTrust/ActiveTrust Cloud

• 디바이스의 접속 위치와 관계없이보호 가능

o 데이터 유출, DGA, Fast flux, 맬웨어, 랜섬웨어등으로부터 보호

• 온프레미스와 클라우드 환경에 걸친가시성 향상

• 확장성과 단순성o 위협 인텔리전스의 배포o 악성 도메인은 DNS에서 방어

• 효율적인 보안 운영o 자동화된 응답o 빠른 위협조사

DNS Traffic

Dossier위협조사툴

DNS Firewall Threat Insight

Infoblox위협조사팀

위협인텔리전스

Data Connector

On-Premises DNS Firewall

On-Premises Threat Insight

Ecosystem

On-Premises Forwarder

클라우드온프레미스

DNS Traffic

위협인텔리전스다운로드

위협사건정보가온프레미스와

에코시스템 정보로전송

로밍사용자/ DNS가없는지사

위협인텔리전스다운로드


공격차단을위한다양한방식

특허받은스트리밍분석기술기반의탐지및차단

“머신러닝및인공지능”

제로데이 Data 유출공격, DGA, FastFlux 공격에대한

탐지및차단

맬웨어통신및 C&C 서버와의통신을탐지및

차단

정부기관등급의위협인텔리전스 제공

케리어급의 DNS DPI 기능및성능을제공

알려진 DNS 터널링및기타DNS 공격에대한즉각적인확인

시그니처기반평판기반 행위기반


신속한확인과치료

보안 담당자

• 보안 정책, 악성 도메인, 감염된 디바이스에대한 대응

• 위협 카테고리에 대한 확인• IP 메타데이터• 사용자의 상황에 맞는 정책을 수행• 다양한 카테고리별로 우선 적용할 정책을 할당

보안 조사 및 연구 담당자

• 악성 공격들의 활동, 감염 디바이스 및사용자 정보에 대한 세부적인 조사

• 주기별로 통계에 대한 리포트 생성

• Malware C&C• Malware download• Exploit kits• APT

• DGA and Fast Flux• DNS tunneling• Data Exfiltration• DNS Messenger


빠른위협조사와분류

맬웨어이벤트발생시해당악성도메인혹은 IP를하나의뷰에서다양한소스로부터의조사결과를확인

위협과관련된다양한연관정보에접근이가능하여대응해야할사고의우선순위할당이가능

빠른조사와처리를위한워크플로우와연계하여위협조사에대한시간과노력을현격히감소

Whois 정보위협분류

현재 IP

History관련 URL

관련 IP


DNS – 보안운영에있어기본적인요소

쉬운공격이높은효과발생

Cloud, IOT..DNS

용도증가

비용효율적인보안솔루션

사이버공격및데이터유출에이용

모든연결의시작점


DNS와보안에코시스템


보안운영의효율성?

보안사건에대한늦은대응

더많은데이터유출

좋지않은보안태세

4% 의보안경보만이조사됩니다.

각시스템에서발생시키는보안경보를조사하기에는

보안담당자가충분치않습니다.

92% 의회사들은

하루에발생하는보안경보가 500건이상입니다.

한명의보안분석가는

하루에대략 10개의경보를분석합니다.

30개의보안도구와

플랫폼이사용됩니다.

보안담당자및전문가들은약 12개정도의도구및플랫폼에익숙합니다.

영향

Sources: AGC Research, Vegas Casino CISO, ISC2 Workforce Study


빠르고자동화된대응을위한오케스트레이션

Advanced Threat Detection

Threat Intelligence

Platform(TIP)

SIEM

Vulnerability Management Network

Access Control(NAC)

DHCP

IPAM

DNS

• 디바이스정보, Mac, IP임대정보

디바이스감사추적과핑거프린팅

• 확장속성들의메타데이터: 소유자, 위치, 연결된스위치및무선 AP 등, Port 및 Vlan 정보

• 정확한위험분석과대응이벤트선별을위한상황정보

응용프로그램과비즈니스관련정보

• 보안경계내에서의해로운활동들

• BYOD와 IoT 디바이스들이DNS client로동작

• 디바이스프로파일및사용자활동들

Infoblox Actionable Network Intelligence

Next-gen Endpoint Security

Web Gateway

ITSM

Next level networking and security

Context to Prioritize Remediation


DDI (DNS, DHCP, IPAM)

• 맬웨어탐지와위협추적을위한유비쿼터스가시성과보안정책수행플랫폼– 91%의맬웨어는 DNS를컨트롤플레인으로이용함

• 풍부한네트워크데이터, 운영네트워크내의디바이스정보와내부활동들에대한감사증적

• 효과적인위협조사를위한도메인등록히스토리및패시브 DNS 정보들

• 머신러닝과 AI를이용한어노멀리기반의위협탐지를위해이상적인데이터소스

WHO (식별)

WHAT (어떤디바이스)

WHERE (어디에있는지)

WHEN (시간및빈도)


InfobloxGrid

Data Connector

Grid MemberDNS / DHCP with

DNS security

에코시스템을통한위협인텔리전스공유

Grid Member

네트워크와보안이벤트정보(DNS 정보, 사용자정보등을포함)

Device discovery

네트워크인프라(Switches, Routers, Firewalls etc.)


(TIDE) DNS 관련위협인텔리전스

경계선보안솔루션F/W, IDS/IPS etc.

외부위협인텔리전스피드

TIPs

Firewall

SIEM

Vul.Scanner

NAC

EndpointSecurity

APTDetection내부

디바이스

인포블록스클라우드 DNS

보안이벤트

DNS 쿼리/응답데이터

IPS

Email Filter

로밍근무자지사근무자

기존네트워크환경에연동되는 DDI

ReportingServer


솔루션개요• 보안솔루션들은 Infoblox로부터위협인텔리전스를제공받음

• 위협인텔리전스기반으로모니터및차단정책수행

장점• 검토해야할보안경보의수를감소

• 운영하는네트워크의상황인식향상

• 전반적인보안태세향상

하나의플랫폼에서제공하는


Infoblox 팀

정부기관

3rd 파티

오픈소스

Threat Intelligence Platform

위협인텔리전스의공유

IDS Endpoint Security

Web Proxy Sandbox NGFW 연동솔루션: Cisco TIP, Checkpoint, MS 등


SIEM 솔루션과의연동

솔루션개요• SIEM 벤더는 Infoblox DDI로부터보안이벤트, DNS 쿼리와응답, IPAM 메타데이터등의 Log를받을수있음

• 이정보를기반으로 SIEM은분석을통해필요한정보생성및확인, 그리고조치를취할수있음

장점• 디바이스의활동및악성도메인쿼리에대한통합된

가시적인정보제공

• 상황기반으로우선적으로처리해야할이벤트확인

• IT팀및네트워크운영조직의효율성향상

연동솔루션: LogRhythm, Splunk, McAfee ESM, Micro Focus ArcSight, IBM QRadar

SIEM

로그, 침해지표,

메타데이터


Next Generation Firewall과의연동

솔루션개요• Infoblox로부터위협인텔리전스를받아악성도메인과의통신차단

• 새로연결된디바이스와감염된호스트정보를받아정책수행

장점• Alert의수감소및전반적인보안상황인식향상

• 새로운장치, 감염된호스트에대한가시성확보

• 자동화된치료등보안태세강화로 ROI 향상

침해지표

NGFW

연동솔루션: Palo Alto Networks, Fortinet

하나의플랫폼에서제공하는


위협이벤트발생시디바이스관련정보제공

Infoblox 팀

정부기관

3rd 파티

오픈소스


보안취약점검사솔루션과의연동

솔루션개요• Infoblox DHCP에서디바이스에 IP 할당후할당한 IP와해당디바이스의운영체제등의정보를보안취약점관리솔루션에제공

• DNS보안이벤트발생시관련정보를제공

• 해당디바이스에대해스케쥴과관련없이바로보안취약점검사시작

장점

• 보안취약점검사를적시에수행가능

• 새로연결된디바이스의정보제공가능

• 효율적인보안취약점관리및 ROI 향상

Vulnerability Management

DHCP 또는 Scan으로확인한 IP 정보, OS 정보, 보안이벤트정보

연동솔루션: Rapid7, Tenable, Qualys


NAC 솔루션과의연동

솔루션개요• Cisco ISE에서사용자, 디바이스, 네트워크정보공유

• Cisco의 PxGrid에 Infoblox가통합

• ClearPass에서인증된디바이스정보를 Infoblox에제공, DHCP에서인증된디바이스만 IP 할당

• DNS 보안이벤트발생시 NAC 솔루션들과공유

장점• 네트워크, 사용자및디바이스에대한가시성향상

• 보안이벤트발생시빠른시간내에자동화된조치

• 일관적인정책수행과위협의우선순위구분

• 네트워크팀과보안팀사이의사일로제거및 ROI 향상

자산정보와침해지표

보안정책

NAC

연동솔루션: Cisco ISE, Aruba, ForeScout, 카본블랙


위협탐지솔루션과의연동•

솔루션개요• APT 탐지및샌드박스에서탐지한 APT 공격

관련도메인정보를 Infoblox에제공

• Infoblox에서해당 APT 관련도메인차단

• ThreatConnect에서악성도메인정보를제공하여 Infoblox에서차단

장점• 유연하고자동적인정책수행및감염

디바이스확인

• 한지점에서발견된악성도메인을연동된전체 DNS 차단가능

Advanced Threat Detection/Sandbox

APT 및사이버공격에사용되는

도메인정보

차단및로깅 연동솔루션: FireEye, Threat Connect


Next Level DNS가제공하는보안요소

Next Level 신뢰성과 가용성

Next Level사용자 보안과 데이터 보안

#1Infrastructure

Protection

#2Data Protection and Malware Mitigation

Next Level 효율성과

보안 운영의 자동화

#3Threat Containment

and Operations


Why12

43

Next Level Security: DNS 공격에대해가장광범위한탐지차단솔루션을보유

Proven track record:DNS, DHCP와 IPAM 시장에서 Global Market Leader로 50% 이상의점유율, 8,000 이상의고객을보유

Infrastructure agnostic protection: 온프레미스와클라우드솔루션을모두보유하여사용자또한위치에관계없이DNS 보안을제공

Accurate threat intelligence: 위협 인텔리전스 데이터를 직접 제공하여 보안인프라 제품에 제공하며, 이슈 발생시 빠른대응이 가능

Next Level DNS와보안 Ecosystem · 2019-07-25 · Source: Cisco 2016 Annual Security Report 6....

Documents

Transcript of Next Level DNS와보안 Ecosystem · 2019-07-25 · Source: Cisco 2016 Annual Security Report 6....