5월 28, 월요일
Home / Reading Security / [테크수다 내무반장] 보안이야기(8회) – 보안 솔루션 업체들 소개

[테크수다 내무반장] 보안이야기(8회) – 보안 솔루션 업체들 소개

 

https://www.crowdstrike.com/

PLA 61486 unit 기사 관련 회사

 

https://www.countertack.com/

 

https://www.fireeye.com/services/cyber-threat-intelligence-services.html

PLA 61398 unit 기사 관련 회사

 

https://www.carbonblack.com/

 

https://www.immunityinc.com/products/eljefe/

 

다크트레이스

 

국내 보안 기업

세인트 시큐리티

스틸리언

 

해외 보안 기업들 모음( 비교적 한국에서는 아직 생소할 수 있는 보안 기업들…)

  1. Cybereason

1) 개요

Cybereason은 위협 탐지를 위해 엔트포인트 정보를 사용하는 실시간 공격 탐지 및 대응 플랫폼이다.

Cybereason은 엔드포인트에 설치된 Endpoint Silent Sensor로부터 엔드포인트 정보를 수집한다.

클라우드 또는 사내 서버 배포 중 선택가능하다.

(1) Cybereason이 사용하는 용어

  • Facts : Endpoint Silent Sensor에 의해 모아진 정보 (Raw Information)

Ex) 실행파일, 경로, MD5, 전자서명, 모듈 or 프로세스, 로드한 레지스터 키, 네트워크 연결 형성, 파일 변경, 레지스트리 변경 등, 작은 요소들이지만 모이면 의심행위 여부를 알 수 있는 강력한 요소가 된다.

  • Evidence : Cybereason Malop Hunting Engine이 이례적이고, 잠재적인 공격을 가리킨다고 생각되어지는 Facts의 모음
  • Suspicious : 하나 또는 많은 Evidence 조각. Cybereason Malop Hunting Engine이 Evidence에 비해 더 강력하고, 연관이 있다고 생각되어 지는 것
  • Malop : 사이버 공격의 완벽한 스토리. 보안사고라고 크게 보여지는 의심행위의 모음

 

2) Cybereason의 3가지 기능

(1) Cybereason Malop Hunting Engine

– 행위 분석 및 머신 러닝 (Machine Learning)

– 다양한 통계 및 행위 분석 기술 사용

– 아주 많은 질문을 통해 수집된 데이터 분석 및 상호관계 성립

   Ex) 이 행위가 과거에 악성행위로 확인된 적이 있는가?

          이 행위가 당신의 조직에서 보편적으로 일어나는 행위인가?

          사용자가 자주 행하는 것인가?

– 실시간, 중앙 집중, 인 메모리 분석 실시

– 공격과 연관된 모든 악성 행위들을 연결

(2) Cybereason Incident & Response Console

– 공격(Malop)에 대한 정보 보여줌

– 언제 어떤 행위가 발생했는지에 대한 Timelime 제공

– Remedy 기능 제공 (프로세스 삭제, 파일 격리 등)

(3) Built-in Malicious Activity Models

– 최신의 알려진 공격기법 탐지 기능 탑재

– 보안 관리자가 직접 분석할 필요 없이 최신의 알려진 악성행위 주기적으로 업데이트

3) Malop UI

 

  • 간단 요약
탐지 : Cybereason Malop Hunting Engine에서 다양한 통계(질문) 및 행위 분석 기술을 이용해 위험요소 판단

대응 : Remedy 버튼으로 프로세스 삭제 및 파일 격리 / 주기적으로 알려진 악성행위 업데이트

 

 

 

  1. enSilo

1) 개요

감염은 피할 수 없게 되었고, 탐지도 실패하며 엔드포인트가 감염되었다는 가정 하에 제품이 만들어졌다.

공격자가 엔드포인트를 감염시키고 난 후, 결국에는 데이터를 외부 서버로 보내게 되는데 이 때 합법적이지 않은 서버로의 접속을 막는 것이다.

  • 실시간 유출(Exfiltration) 방어 플랫폼
  • Cryptowall, CryptoLocker와 TeslaCrypt 방어
  • 감염된 환경에서도 데이터를 안전하게 하고 업무진행 가능

 

2) enSilo 동작 방식

(1) Collector가 디바이스의 OS 메타데이터 수집

(2) Collector가 연결 성립 시에 OS 연결 성립 스냅샷을 enSilo Gateway로 전송 (이후 CPU점유율 0%)

(3) enSilo의 특허 기술을 가지고 Gateway는 OS 메타데이터 분석. Anti-유출(Exfilteration)정책 실행

enSilo Gateway는 아주 많은 종류의 OS 메타데이터 보유

(4) 오직 합법적인 연결만 외부로 통신을 가능하게 함

 

 

3) ProtectAnywhere

– 디바이스의 위치 상관없이 보안 유지, 외부에선 클라우드 enSilo Core 통해 보호

– 클라우드 또는 사내 서버 enSilo Core 중 선택하여 사용

 

  • 간단요약
탐지 및 대응 : enSilo Gateway 에서 enSilo의 특허받은 기술을 토대로 합법적이지 외부 연결 차단

 

 

 

  1. SentinelOne – Endpoint Protection Platform

1) 개요

머신 러닝(Machine Learning)과 지능적인 자동화로 진보된 위협에 대응하여 실시간으로 보호하는 플랫폼이다.

  • 동적 분석, 위협 행동 예측, 지능적인 대응
  • 하나의 플랫폼에서 방어, 탐지 및 대응 가능
  • SentinelOne의 Agent가 엔트포인트에 설치

 

2) SentinelOne 기능

(1) 탐지 : 악성 행위 예측

– 지속적인 시스템 레벨 모니터링

: Agent가 커널 및 사용자 공간 모두 행위 모니터링 (파일, 프로세스, 메모리, 레지스트리, 네트워크)

– 진보된 멀웨어, 익스플로잇 및 실시간 공격의 행위 탐지

: 위협 예측하는 머신 러닝의 능력을 가진 동적 행위 추적(Dynamic Behavior Tracking, DBT) 엔진 사용

– 실시간 포렌식 분석

: 실시간으로 Agent가 보내는 정보를 가지고 자세한 분석보고서 제공, 이로 인해 조사 능력이 확대

– 공격 스토리라인 가시화

: 공격에 대한 전체 뷰 제공, 프로세스 실행의 모든 단계를 가시화 (PID 및 해당 프로세스가 행한 이벤트)

(2) 대응 : 빠른 위협 제거

– 간편한 위협 완화

: 자동화된 대응 프로토콜이 모든 엔드포인트(로컬 및 원격) 처리

– 강력한 방어

: 위협 탐지 시, 감염된 엔드포인트를 네트워크로부터 분리, SentinelOne 관리 콘솔과의 연결은 유지

– 치료

: 공격에 의해 수정된 부분을 되돌리고, 최근의 신뢰하는 상태로 복구(Rollback) 가능

 

 

(3) 방어 적용

– 자동 면역

: DBT가 새로운, 한번도 보지 못한 악성 바이너리 발견 시, 플래그 표시를 하고 모든 에이전트에 알림

– 클라우드 지능화

 

3) SentinelOne UI

 

  • 간단요약
탐지 : 사용자 행위 모니터링을 하면서 DBT 엔진이 위협 예측

대응 : 감염된 엔드포인트 네트워크로부터 분리 및 복구 가능

 

 

 

  1. Tanium

1) 개요

Tanium Endpoint Platform은 엔드포인트 보안과 엔드포인트 관리를 합한 플랫폼이다.

– 엔드포인트 보안 : 위협 탐지, 사고 대응, 환경설정 준수, 취약점 평가

– 엔드포인트 관리 : 패치 관리, 자산 저장소, 자산 활용, 소프트웨어 분배

 

Tanium이 다른 보안 솔루션과 다른 점은 사내 네트워크에 연결된 모든 엔드포인트들을 단 15초 만에 스캔하여 그에 대한 제어와 가시성을 제공한다는 것이다.

이것을 가능한 것은 Tanium만의 특허받은 아키택쳐를 이용하기 때문이다. 아래 그림 참조

Tanium Endpoint Platform은 네트워크에 대해 물어보고 답을 얻고 원하는 조치를 취하는 구조로 되어있다.

  • ASK : 구글 검색처럼 사내 IT 데이터에 대해 검색 Ex) Which processes are connecting to this bad IP?
  • KNOW : 단 몇 초만의 엔드포인트 스캔을 통해 검색에 대한 답을 얻을 수 있음
  • ACT : 필요 시 영향받은 모든 엔드포인트 설정 변경

Ex) Kill Proxess, 패치 배포, 로그 카피, 애플리케이션 삭제, 머신 격리, 종료

2) Tanium UI

  • 간단요약
탐지 : 단 몇 초 안에 엔터프라이즈 규모에서 모든 엔드포인트들을 대상으로 복잡한 IOC(Indicators of Compromise) 스캔을 통해 자동 위협 탐지

대응 : 15초만에 사고 규모 인지 후 프로세스 중단시키기부터 응급 패치 배포 등 실시 (온/오프라인 모두 제공)

 

 

  1. Triumfant – Triumfant AtomicEye

1) 개요

진보된 위협 탐지 및 치료에 기반을 둔 제품이다.

AtomicEye는 효율적인 변칙 탐지와 악성 행위 인지, 상황에 대한 그림 건설 및 정확한 치료를 제공하는 분석 기능을 조합한다.

  • 침입 시점에 악성 행위를 멈추게 하고 즉각적인 기기 치료
  • 공격자가 민감한 정보나 지적 재산을 가로채기 전에 킬 채인 중단
  • 시그니쳐 방식 사용하지 않음 – 데이터 사이언스 및 패턴 매칭 공식에 의존
  • 자가 학습 기술

 

2) Triumfant 기능

(1) 탐지

– AtomicEye Agent가 지속적으로 엔드포인트 변화 모니터링 및 수집 (메인 탐지 및 분석 프로세스)

– 인 메모리 휘발성 속성 실시간 발견 / 데일리 스캔 사이클로 발견

 스캔하는 속성들 : 모든 환경설정(레지스트리 키 포함), MD5, 프로세스, 서비스, 휘발성 메모리, 로그,

 성능 카운터, 하드웨어 속성

 두가지 종류 스캔 동시 진행 : 속성 완전히 스캔 / 잠재적 악성 행위 찾기 위한 스캔

(2) 분석

– Triumfant 분석 엔진은 DB에 저장된 기본 스냅샷(다른 모든 기기들의 초기 스냅샷의 조합)과 수집된 변화들을 조합 (스냅샷 : 기기들로부터 속성 스캔한 것)

– Adaptive Reference Model을 사용하여 현재 상태 정보 분석

– 만약 이전의 분석에 따라 변칙 행위가 높은 위험도로 밝혀지면 분석기는 엔드포인트와 연관되있는 변칙들을 모아 상호관계를 연결 (공격에 대한 완전한 그림 만듦)

– 포렌식 보고서 (환경설정, 파일 프로세스, 포트, 서비스, 감염된 속성, 악성 애플리케이션이 접근한 IP)

(3) 자동 치료

– Donor Technology라 불리우는 특허받은 기술을 적용

– 사라졌거나 손상된 속성(파일 및 환경설정)을 고치기 위한 기반으로써 Adaptive Reference Model이 캡쳐한 호스트 장비의 정보 활용

– 재부팅 불필요

 

3) Triumfant UI

 

  • 간단요약
탐지 : Agent가 엔드포인트 모니터링하면서 변칙 수집 / 패턴 매칭 방식

대응 : Donor 기술 이용해 사라졌거나 손상된 속성 치료

 

 

 

  1. Ziften

1) 개요

모든 엔드포인트 온/오프라인으로 사용자들의 상황에 맞는 행위에 따라 실시간 지속적 모니터링하는 제품이다.

의심 바이너리 / 경고 및 보고서 / 취약한 소프트웨어 정보를 제공한다.

 

2) Ziften 기능

(1) 방어 : 보안 정책 위반 시 경고 및 취약한 애플리케이션 사용 모니터링

– 멀웨어 분석

: 50개 이상의 안티바이러스 엔진에서 모인 멀웨어 리스트로 알려진 멀웨어에 대해 분석 및 방어

멀웨어 분석 툴(동적 샌드박스 기폭기, 동적 리버스엔지니어링 툴)에 반하는 바이너리 샘플 수집

– 실시간 취약점 모니터링

: 실시간으로 취약한 애플리케이션이 엔드포인트에서 실행될 때 경고 (갑작스런 충돌 같은 증상 스캔)

The National Vulnerabilities Database(NVD)를 통해 애플리케이션에 취약점 개수에 따라 취약점수를 매김

– 정책 모니터링

: 필수 소프트웨어 모니터링 / 승인되지 않은 소프트웨어 탐지 / 정책 관리

중요한 소프트웨어가 중단 혹은 삭제 되었을 때 알림/승인되지 않은 웹사이트로의 접근 알림(네트워크 정책)

 

(2) 탐지 : NVB 및 위협 피드를 함쳐 위협 탐지 / 실시간 분석 및 오랜 기간 행해진 분석으로 위협 탐지

– 의심스런 사용자 행위

: 사용자 위험 메트릭을 이용해 의심 행위 탐지 (IP주소 및 포트, 백그라운드에서 네트워크로 연결된 바이너리, 시스템 디렉토리 변경 등)

– IOC 탐지

: 패턴, 행위 및 변칙 지속적 관찰

– 내부자 위협 탐지

: 포그라운드 윈도우 업무 추적 / 사용자가 실제 시스템 운영 중 인지 그리고 정상 업무 패턴 행위 동작 시간을 비교하여 탐지

– 네트워크 위협 레포팅

: 네트워크 모니터링 솔루션 추가하여 알려진 위협으로의 연결 탐지

(3) 위협 대응 : 중요 사용자 프로세스/바이너리 데이터를 제공함으로써 탐지 후 대응하는 시간을 줄임

3) Ziften UI

  • 간단요약
탐지 : IOC / 알려진 멀웨어 리스트 / NVD(국제 취약점 DB)를 통한 취약 애플리케이션 탐지

대응 : 대응 시간을 줄이도록 탐지 및 분석에 중점

 

 

 

 

 

 

 

 

 

Techsuda Webinar

추천 기사

2018 Social Live & Broadcast Seminar in Spring

도라이브(Dolive) 오픈 3주년 기획 세미나! IT 미디어 ‘테크수다(Techsuda)’에서 마련한 소셜 라이브 & 브로드캐스터(SLB : Social Live …

avatar