EPS ConnecTome

Download Report

Transcript EPS ConnecTome

EPS
®
커넥텀
Know Your Network, Know Your Enemy
(주)나루씨큐리티
소개
회사소개
•
2010년 12월 설립
•
국방부 침해사고대응 공식 협력 업체
•
EPS ConnecTome 개발
•
사이버배틀필드 개발/운영
•
현장기반 침해사고대응 훈련시스템 개발/운영
•
국군 사이버사령부 공식 자문위원
•
사이버침해사고 민관합동조사단 조사위원
•
미래부 지정 사이버전문단 전문위원
EPS
®
ConnecTome
•
2012.12 국방과학연구소와 version 1 개발
•
2013.10 삼성전자 내부망 타겟공격컨설팅 수행
•
2013.12 외환은행 APT 대응체계 납품
•
2014.03 미국 eBay 은닉공격탐지 PoC 실시
•
2014.04 넥슨 유럽 은닉공격탐지 PoC 실시
위협현황
침해사고 동향
타겟공격 사례
Operation Orchards(Syria Al Kibar)
Stuxnet(Natanz, Iran)
Operation Aurora
Special Source Operation
문제점
모든 네트워크는 다르다
잘 관리된 글로벌 기업
높은 자유도를 가진 기업
통신 중계 지점
폐쇄망 네트워크
수집정보의 중요
•
가로등 효과는 매우 일반적인 관찰오류
사례이다.
•
정보보호 에서도 이러한 사례는 동일하게
적용된다.
•
방 화 벽 , 안 티 바 이 러 스 , IDS/IPS 등 을
이용한 타겟공격 대응은 불가능하다.
•
공격대응에 앞서 공격대응모델링이 먼저
이루어져야 한다.
•
관찰자가 알지 못하는 사고는 탐지될 수
없고 탐지되지 않는 사고에 대응할 수
없다.
정밀성과 정확성
높은 정밀성
낮은 정확성
•
•
•
낮은 정밀성
높은 정확성
높은 정밀성
높은 정확성
시그니처 기반의 정보보호 제품은 높은 정밀성과 낮은 정확성을 가진다.
네트워크 플로우 기반 제품은 낮은 정밀성과 높은 정확성을 가진다.
새로운 위협에 대응하기 위해서는 높은 정밀성과 높은 정확성을 가진 제품이 필요하다.
EPS
®
ConnecTome
EPS
•
®
ConnecTome
물리적으로 분산된 환경에서 논리적인 통합
분석지점 제공
•
네트워크 기반의 보안장치
•
정보보호 체계를 우회한 공격탐지
•
다계층 프로토콜 탐지기능
•
사이버킬체인 기반의 분석
•
상황인지 기능을 통한 네트워크 현황정보 제공
•
보안정책 우회 탐지
•
위협인지 기능을 통한 내부망 위협탐지
•
네트워크 기반의 공격행위 및 사고추적 기능
상황인지
•
•
•
•
•
•
•
기간별 동작중인 호스트 및 사용된 운영체제 탐지
내부 네트워크 별 사용 대역 탐지
내부망에서 운용중인 네트워크 서비스 및 어플리케이션 탐지
내부망 자원 간 통신상황 탐지
장시간 지속되는 통신(Persistent Connection) 탐지
내부유입 바이너리 해시정보 제(HTTP, FTP, SMTP)
이외의 다수의 현황인지 기능제공
위협인지
•
•
•
•
•
•
알려지지 않은 바이너리파일 다운로드 탐지
알려지지 않은 지속통신 탐지
알려지지 않은 백도어 통신 탐지
제어 채널 별 내부망 감염 호스트 수 탐지
비인가 장치 운영체제 및 어플리케이션 탐지
알려지지 않은 정보유출 행위 탐지
사고추적
•
사이버킬체인 기반의 다단계 공격 추적
•
통신이력 정보를 이용한 공격행위 재 구성
•
발생한 침해사고의 진행상태 기준 대응 우선순위 도출
•
네트워크 기반의 증적 검색기능 제공
유입되는 바이너리 분석
•
•
•
•
•
HTTP, SMTP, FTP를 통해 전송되는 모든 바이너리 탐지
동적인 해시 생성 및 바이너리 저장 기능
생성된 해시값을 외부 인텔리전스와 비교
정상, 악성, 광고성 및 알려지지 않은 바이너리로 분류
운영 중인 바이러스 체계의 성능을 확인 할 수 있음
명령제어채널 탐지
•
•
•
•
•
실시간 명령제어 채널정보 수집 기능
이력정보를 이용한 명령제어채널 탐지 기능
비콘 형태의 명령제어 채널 탐지
리버스 터널 형태의 명령제어 채널 탐지
명령제어 채널 하이재킹 탐지
내부이동탐지
•
•
•
•
내부망에서 발생하는 망간 통신이력 수집
통신시도와 실 통신 발생을 구분한 탐지 기능
신규 내부이동 탐지 및 경보발령
내부 정보탐지, 네트워크 스캔 및 주소변조 공격행위 탐지
정보유출탐지
•
•
•
•
실시간 및 이력기반 배치기반 탐지
소스와 목적지 바이트수 비교를 이용한 이상징후 탐지
비정규 프로토콜 혹은 비정규 포트를 이용한 정보유출 탐지
내부 호스트 간 정보이동 탐지
침해사고대응 우선순위 도출
•
사이버킬체인 기반 다단계 공격추적 기능
•
개선된 원형 사이버킬체인 모델 사용
•
가장 많이 진행된 공격에 대응 우선순위
부여
•
각 단계 내부 값은 선형적으로 증가하나
단계별 이동 시 지수형 증가
•
자산 기반의 위험관리 시스템 기능
제공가능
사례분석
트래픽 현황
세션기반 분포
내부설치 운영체제 현황
탐지된 명령제어 채널
악성도메인 별 내부망 호스트 수
내부자산 침해현황 정보
국가기반 지속통신 채널분포
악성자원 지역적 분포현황
감사합니다.