2019.04.25 expertiseondemand jspark - fireeye...

SEOUL, KOREA

FireEye Expertise on Demand우리조직의보안을강화하는방법

박종석수석컨설턴트,파이어아이코리아

사이버 보안 시장의 중요한 이슈

©2019�FireEye©2019�FireEye

사이버보안의중요한이슈

4

순위 기술명 응답비율(%)

1 인공지능 / 머신러닝 27

2 데이터 분석 22

3 클라우드 19

4 사물인터넷(IoT) 7

5 모바일(5G 포함) 6

6 비즈니스 인텔리전스 6

7 디지털 전환 6

8 블록체인 5

9 자동화 3

10 고객 관계 관리 2

순위 기술명 응답비율(%)

1 비즈니스 인텔리전스/데이터 분석 43

2 사이버/정보 보안 43

3 클라우드 서비스/솔루션 39

4 핵심 시스템 개선/혁신 33

5 소프트웨어 개발/업그레이드 26

6 인프라/데이터 센터 23

7 인공지능/머신러닝 22

8 기술 통합 21

9 고객/사용자 경험 20

10 모바일 애플리케이션 19

§ 획기적인 기술 § 2019년 주요 기술 투자분야

*�출처 : 가트너 (복수응답허용)


사이버보안의중요한이슈

5

2019 2020 2021

0%

10%

20%

30%

40%

50%

60%

2014 2015 2016 2017 2018

보안 기술인력의 부족으로 문제가 있다고 주장하는 조직

*�CSO�Online�January�11,2018

3,500,000명 부족!

§ 사이버 보안 인력 채용


• 채용공고

• 악성코드분석가능자

• 취약점분석가능자

• 프로그램개발가능자

• 보안장비운영경력자

• 침해사고대응경험자

한명의직원을뽑아야한다면?

6

위협 탐지 분석가

인텔리전스 분석가

악성코드 리버스 엔지니어

침해 사고 대응자

보안 위협 방어 분석가

보안 프로그램 분석가 취약점 분석가

보안장비 운영자어플리케이션 보안

DB 보안

네트워크 보안

클라우드 보안

모의해킹

컴플라이언스

모바일 보안

엔드포인트 분석

어셈블리언어


보안팀운영의어려움

7

보안인력 채용의 어려움

충원가능 인원 규모

절대적 부족

기업의 위협 증가

관리영역 증가로리소스 부족

개인 능력 발전 부족

3.5m2021까지 부족한 인력

보안팀의 고도화


조직의보안강화에대한여러가지생각들

개인이 아닌 팀을 고용할 수 있다면 어떨까요?

당신의 팀이 노련한 전문가와 함께 할 수 있다면 어떨까요?

전세계 법 집행기관이 신뢰할 수 있는 Mandiant�침해사고대응 전문가 훈련으로

당신의 팀 역량을 향상 시킬 수 있다면 어떨까요?

최신 신종 위협에 대한 FireEye의 인사이트를 얻을 수 있다면 어떨까요?

FireEye의 전문 사고조사 기술을 이용하여 당신의 침해사고 조사를 증대시킬 수 있다면

어떨까요?

이 모든 것을 예측이 가능한 비용 모델을 통해 할 수 있다면 어떨까요?

8

FireEye�Expertise�on�Demand서비스 개요와 패키지 구성


우리는어떤서비스가필요한가?

10


Expertise�on�Demand�서비스구성

11

§ 문의및인사이트를통해팀을전문적으로지원

§ 예산범위내에서필요한만큼Unit 구매

§ 마이크로서비스메뉴에서필요한서비스선택

§ 침해사고대응을위해Unit을사용할수있음

§ 사전정의된패키지단위로추가구매가능

§ 모든Unit은계약기간내에사용해야함

§ Expertise�on�Demand�는 연간 구독으로 필요할 때 필요한 전문가에게 유연하게 액세스 할 수 있습니다.


Expertise�on�Demand 서비스구성

12

사용자 요청 위협 브리핑

트레이닝 & 워크샵

컨설팅 계약

분석가 조사컨텍스트 질의

전문가 인사이트

일일 뉴스 분석

분기별 위협 브리핑

Incident�Response�

Retainer*

모든 패키지에 포함 EOD�유닛은 다음과 같이 변경이 가능


Expertise�on�Demand�서비스특징

13

서비스 주요특징 고객혜택

전문분석가서비스

• 업계에서인정한사이버보안전문기술

• 전술적실행에중점을두며, 기존워크플로우에통합

• 침해사고발생시사고대응담당자를입회시킬수있는능력

사고대응시간을줄이고,침해사고의영향을최소화하기위해팀을확장

위협인텔리전스사용

• 인텔분석가및연구원의지원• 분석도구및분석가요청을통해

FireEuye지식에접근

• 일일위협미디어하이라이트및분기별위협브리핑

새로운위협에대한실시간확인은대응을가속화하여보안사고의

영향을최소화

보안대응수준향상

• 공격의최전선에서얻은교훈• 시뮬레이션된다단계공격시나리오

• 엘리트보안실무자가주도

• Mandiant�컨설팅서비스에액세스보안팀의기술및효율성향상


§ 사이버시큐리티

기사에대한일일

인텔리전스분석

§ 위협에대한사전대응

및대응에대한

우선순위지정

일일미디어정보분석

14

§ News�Analysis의 뉴스를 통해 최신 위협들에 대한 정보를 수집하고 분석

©2019�FireEye©2019�FireEye15

분기별인텔브리핑

§ 분기말1시간브리핑

§ 아래주제를주로다룸

-사이버범죄

-사이버간첩캠페인

-전략적권고사항

-정보운영

§ 연구원은악성코드와

캠페인활동에대한

트렌드에대해서도논의

§ 분기별로 실시되는 브리핑에 참여하여 위협 동향 파악과 조직의 보안수준 향상


§ IP 및도메인분석

-정규화된 IP,�Domain과

연관된상황별위협정보

확인

§ 악성코드행위분석

-분석을위한의심파일

업로드및요청파일에대한

분석보고서확인

§ 동일한요청조회

-조직의다른사용자가

질의한내용에대한조회

컨텍스트질의

16

§ 의심스러운 도메인, IP,�파일에 대해 Tools를 통해 위협 분석 결과 확인


전문가인사이트

§ 연관된인텔리포트접근

-악성코드프로파일

-취약점정보

-공격자프로파일

-산업군별위협트렌드

-국가별위협트렌드

§ 분석가의간략한설명

§ 위협에 대해 정리된 리포트 정보들을 통해 위협에 대한 조직의 방어전략 구축


분석전문가서비스

18

§ 토픽에포함된내용

-공격자 /그룹속성

-위험평가(특정이벤트또는

특정위협행위자,캠페인)

- 미디어이벤트의해설/보고

-기본인텔리전스보고확장

-공격자활동에대한질의

-도메인, IP에대한정보

-네트워크트래픽분석

-적대적행위분석

-기타위협과관련된질의

*�Analyst�Access(AA)�요청은많은양의사용자지정인텔리전스가필요하지않은

특정질문에대한전문적인기술자및위협인텔리전스분석가풀에대한액세스를

허용합니다.

§ 공격의 배후와 인사이트에 대한 세부 정보를 분석가 질의를 통해 습득


Expertise�on�Demand�서비스흐름도

19

의심스러운 도메인을발견했을때, FireEye가무엇을 알고 있는지 알고

싶습니다.

해당 도메인은 특정 멀웨어그룹에 포함되어 있습니다.

당신은 위협을 충분히인지했으며, 엔드포인트를조사하고자 합니다.

사용자 시스템이 감염된 사실을알았고, 침해사고 대응이필요합니다.

당신의 팀은 APT대응에 대한경험이 부족합니다..

Context�Inquiries

• 컨텍스트및개요를제공• 유용한인사이트리포트

하이라이트

Insights

• 연관된인텔리포트에 접근• 또는분석가의간략한 설명

Analyst�Investigations

• 악성코드또는침해지표에대한분석가평가요청

• 엔드포인트조사*

Full�Service�Portfolio

• IR 전환• 맞춤형 위협브리핑 제공• 보안상황검토를 위해

Mandiant와 계약

Single�Report�/�Answer

Fixed�Scope�

Variable�ScopeSelf-service

*�Cloud�HX 필요


분석전문가서비스 질문예시

20

•공격자 /공격그룹속성 :�“최근APT28�캠페인을조사중이며,최근활동,캠페인,목표가되는산업군및국가,새롭게개발된기능또는TTP변경을찾고있습니다.”

•도메인또는 IP주소에대한인텔정보요청 :�“몇개월동안 [도메인]으로발생되는의심스러운트래픽을관찰했습니다. 도메인은등록이되어있는것으로확인되고,다른도메인을호스팅하지않은두개의 IP로확인이됩니다.이도메인에대한추가정보나

의심스러운트래픽을유발할수있는정보가있을까요?”

•고객이제공한네트워크트래픽분석 :�“Struts�익스플로잇을시도하는PCAP파일이첨부되었습니다.우리는아래 IP주소에서11월 2일시작되는CVE-2017-5638의광범위한시도에주목했습니다.��분석가를위한질문 :�

• 문자열 [???]의의미는무엇입니까?예상되는위협은무엇입니까?

•다른캠페인과연관이있습니까?�• 공격시도된페이로드와관련된 IOC는무엇입니까?”

• Drive-by�exploitation�캡쳐 /분석 :�“우연히URL을클릭한사용자가있습니다.악성코드가설치되어있다면분석을요청하고이URL의세부적인내용을더알고있습니다.”

•바이너리와도메인에대한위험도조사 :�“임원중한명이산업기획위원회의일원이며,위원회의활동과관련된제목을가진수상한PDF를받았습니다(혹은열었습니다). VirusTotal에서는위험도가없는것으로확인이되지만,일부자바스크립트의인스턴스와확인되지않은 “자동동작”에대한위험도를체크하십시오 ”�

FireEye�Expertise�on�Demand서비스를 어떻게 활용할 수 있을까?


보안운영자의고민

22

현재 우리 조직은 정보보안 업무를 잘

수행하고 있는 것일까?

수시로 보안시스템들에서 이벤트들이 발생하고 있는데,실제 공격에 성공해서 내부로 유입된 위협은 없을까?

서버 운영자 시스템에서 의심스러운 파일이 확인되었는데,악성파일인지 어떻게 확인할 수 있을까?

우리도 악성코드 분석전문가, 인텔리전스 전문가,침해사고 대응 전문가가 모두 필요한데,

모든 역할을 다 할 수 있는 인력을 충원할 수 있을까?


Expertise�on�Demand�90�units

23

Q1 Q2 Q3 Q4 Renewal

분석 전문가에게추가적인 위협정보를확인-2개의 악성코드 분석 요청-2개의 캠페인에 대한정보를 요청

침해사고로 의심되는사고가 발생

분석가 침해사고 조사-3대의엔드포인트사고조사-2개의 악성코드분석-1개의 공격자분석

내부 직원의전문역량을 강화-2명의분석가가 EIR

전문가훈련코스에참가

임원진을 위한 위협브리핑 준비

3대의 추가적인침해사고 조사

레드팀 평가 참여-사용자정의범위

(20�units�추가계약)

아래 내용을 포함하여150 units으로업그레이드:

-IR�SLA�and�IRPS�-연간 레드팀평가

-12Units

-54Units

-24Units

+20Units

90Units

-0Units

+150Units

§ 1명의 직원을 채용한 것보다 다양한 분야에 걸쳐 전문가 서비스를 활용하여 보안강화


보안기획자의고민

24

보완을 해야 할 부분이 너무 많은데, 어떤보안솔루션을 가장 먼저 도입해야 할까?

내년도 침해사고 대응을 위한 예산을 받을 수 있을까?

어렵게 예산을 받았는데, 침해사고가 발생하지 않으면어떻게 해야할까?

외부의 누군가가 우리 조직을 대상으로

공격을 진행하고 있지는 않을까?

EDR을 도입해야 하는데, 사고 대응을 위한

침해사고 분석가를 또 채용해야 하는게 아닐까?

직원들의 역량을 효과적으로 향상시킬 수는 없을까?


적용가능한서비스분류

25

분석전문가서비스 위협인텔리전스사용 보안대응현황수준분석

보안전문분석가조사• 특정위협공겨자, 이벤트/캠페인연관

위험평가• 공격자및공격그룹속성• 언론관련내용대응• 위협활동에대한문의• 웹사이트/도메인소유권및콘텐츠분석

고객위협조사• 고객이원하는특정위협정보에대한

분석또는조사및보고서제공

침해사고대응서비스• Incident Response SLA • Incident Response Preparedness

Service (IRPS)

위협인텔리전스정보검색(포함됨)• 인텔리전스포털검색• 위협관련추가인사이트확보를위한

내부정보• 분석이완료된위협정보사용• 공격자및그룹, 악성코드패밀리에

대한세부정보확인

악성코드분석• 고객이분석의뢰한악성코드확인및

분석, 세부데이터제공

위협동향보고서제공• 주요언론기사사실여부확인• 이슈가되는공격그룹정보제공• 분기위협동향보고서

Tabletop Exercises (상황대응훈련)• 경영관점또는기술관점• 사후개선보고서

맨디언트교육(per seat)• Windows Enterprise Incident Response• Malware Analysis Crash Course

온사이트맨디언트교육• Windows Enterprise Incident Response• Network Traffic Analysis • Malware Analysis Essentials

사이버위협인텔리전스워크샵• 위협인텔리전스활용및분석, 헌팅업무를

위한현업워크샵

§ Unit을 사용하여 필요한 다양한 전문가 서비스를 받을 수 있으며, 남은 Units으로 맨디언트 교육 진행

4Units

20Units

48Units

4Units

4Units

36Units

4Units

44Units

24Units

FireEye�Expertise�on�Demand왜 Expertise�on�Demand를선택해야하는가?


전문가와 공동작업

탁월한 사이버보안경헝과기술을폭넓게 제공하는신뢰할수있는단일파트너와 공동작업

능동적인 위협 헌팅

누가어떤 기술과도구, 전략으로당신의조직을 노리고있는지에대한포괄적인 인텔리전스를통해헌팅임무를디자인

신속한 사고 대응

침해사고가발생되면대기하고있는Mandiant 컨설턴트의신속한지원을받을수있음

보안 프로그램 향상

기술, 도구 및 프로세스를 평가하는상황훈련을 통해현재 조직의 프로그램을평가하고 수준을향상

팀 역량 강화

위협분석, 헌팅 및사고조사 및대응에대한실무자 주도의교육을통해팀의 역량을향상

트랜드 인식 향상

공격자들의실제활동에대한헤드라인정보와분기별위협브리핑에참여하여글로벌위협동향이해

Expertise On Demand

Thank You

28

2019.04.25 expertiseondemand jspark - fireeye...

Documents