사이버안 장의 강자 네트워크수집분석강자 아무 ... · 1 day ago · 1)...
TRANSCRIPT
사이버 보안 시장의 강자
아무도 가지 않은 길을 갑니다.
네트워크 수집 분석 강자
서울특별시 강남구 테헤란로 138 성홍타워 3층02.548.1124 | http://www.quadminers.com
01 개요 02 문제점 및 해결방안 03 제품소개
04 활용사례 05 구축 예제
06 기타
• 네트워크 블랙박스Network Detection & Response
• 문제점
• 해결방안
• 기대효과
• 주요기능
• 풀패킷 NIDS
• 컨텐츠 추출
• 네트워크 포렌식
• 3rd Party 연동
• 기본 구성도
• 비정상 행위 분석
• 위협관리분석
• 이메일 내용 및 첨부 파일 분석
• 검색어 및 파일 업로드/다운로드 분석
• 문제점
• 해결방안
• 기대효과
개요
Network Detection and Response (NDR)개요
기업의 네트워크에서 발생하는 모든 종류의 사이버 보안 위협을 탐지하고 대응하는
차세대 네트워크 탐지 및 대응 솔루션입니다
모든 패킷을 100% 저장하고 분석하기 때문에
모든 종류의 사이버 보안 위협을 탐지하고 대응할 수 있습니다
Network Detection and Response (NDR)개요
NDR 시장은 기존 네트워크 보안솔루션의 역활을 많이 포함하고 있습니다.
쿼드마이너 네트워크 블랙박스는 NDR 제품입니다.
NDR
Belo
wSecu
rity
Analy
tics
La
yer
Above
RESPONSE ANDORCHESTRATION
Security Incident Response
Security Orchestration
External Threat Monitoring Services
HIGH-VALUE INSIGHTS
Risk and VulnerabilityPrioritization
Governance,Risk, and Compliance
Threat Actor and Campaign Intelligence
THREAT INTELLIGENCE
Hunting and Investigation ToolsThreat Intelligence
Platform
NEAR SIEMSECURITY ANALYTICS
User and EntityBehavior Analytics
Network Analyticsand Anomaly Detection
SECURITY ANALYTICS Security Analytics (SIEM)
LOG COLLECTIONAND MANAGEMENT
Log Management Data Lakes (3rd Party)
NEW SECURITY OPERATIONS TOOLS
Endpoint Detectionand Response (EDR)
Network Forensics
100% Full Packet : Collect / Analysis / Saving / Indexing / Meta data / Compression (Raw Level)
*Reference : IBM SOAR framework
Network Blackbox개요
네트워크 블랙박스 제품은 풀-패킷 분석 기반으로 모든 패킷을 수집+분석+저장하여 놓치는 부분이 없습니
다.
네트워크 패킷 실시간 재조합개요
어플리케이션 계층(L7)까지 재 조합하여 네트워크에서 벌어지는 행위를 가시화 합니다.
IP Flow Application Metadata Geo IP Device
메일 게시판 SNS 거래내역 번역
HTML렌더링 POST통신 모든 종류의 파일 거래내역
…
…
…
80+데이터셋
50+컨텐츠 파싱
100+추출/재현
0111001100110110PacketStream
심층적인 네트워크 트래픽 분석개요
고도로 정제된 데이터베이스를 통해 사이버 위협을 분석하고, 단순 로그가 아닌 실제 패킷까지 확인할 수 있습니다.
Payload Flow 컨텐츠 탐지내역
20종류 이상의 분석 데이터 셋
통계 이벤트
Flow 뿐만아니라80종류이상의조건으로상관분석
임계치기반분석및다수의장비에서수집한이벤트분석
시나리오 기반상관분석
사용자행위위협탐지
실시간 지능형 위협 탐지개요
탐지된 내역을 다각도로 분석하여 악성 여부에 대한 명확한 가시성을 제공합니다.
25000+Cyber Threat
Hunting
최신 위협 탐지 룰 실시간으로 이상 징후 탐지시그니처 기반 공격 탐지
행위 기반 공격 탐지
C&C, 악성코드, 웜 탐지
시나리오 기반 공격 탐지
고도화된 위협 대응
RealtimeAnomaly Detection
Position of Technology개요
네트워크 블랙박스는 모든 영역을 수집하고 저장 분석하기 때문에 놓치는 부분이 없습니다.
Network Threat - Detection & Response Level
Flow Packet Analysis
Payload Packet Analysis Full Packet Analysis
Powerful
Full-Packet
전체 패킷 수집 분석 솔루션
Packet-Flow
샘플링 패킷 저장 기반으로데이터 흐름에 대해서만 학습하는 솔루션
Payload
헤더/트레일러를 제외한 데이터의 일부분(특정 바이트의 데이터)만을 저장하며이를 기반으로 이벤트를 분석하는 솔루션
Payload
Flow
Full packet
Secu
rity
Leve
l
FLOW
NIDS/TMS Network Forensic
지도학습 기반의 인공지능개요
4가지 분석 엔진, 30개 이상의 위협 분석 카테고리, 2만5천개 이상의 탐지 이벤트를 학습하여 가장 정확하게 탐지합니다.
탐지 된 이유와 원인을 정확하게 알 수 있도록 설명이 가능한 지도학습 기반의 인공지능 솔루션 입니다.
NetworkBehaviorAnalysis알고리즘
NetBlack Engine
Suricata Engine
컨텐츠 분석
학습 결과통계 이벤트 시그니처 기반 공격 탐지
행위 기반 공격 탐지
C&C, 악성코드, 웜 탐지
시나리오 기반 공격 탐지고도화된 위협 대응
011010010Packet
Stream
제품 소개
모든 패킷을 저장하고분석합니다.
실시간 이상징후를탐지하고 내·외부위협에 대한 명확한분석을 제공합니다
주요기능
Avant-garde
Network Detection and Response
다양한 이상 행위에 대한 룰을
정의하여 탐지할 수 있습니다.
25,000+ Rule 기반
위협탐지를 제공합니다.
위협/이상 행위 탐지
메일, 파일, 게시판, 검색 등
다양한 컨텐츠를 추출하고
분석/재현합니다.
컨텐츠 추출
페이로드부터 플로우 영역까지
네트워크 및 패킷 전반에
대한 분석이 가능하며,
풀-패킷을 통한 명확한
증적 자료를 제공합니다.
네트워크 포렌식
API/EAI/JDBC 등 다양한
인터페이스를 통해 고객사에서
보유하고 있는 다양한 솔루션과
연계를 통한 상세 분석 기능을
제공합니다.
3rd Party 연동
주요 기능제품소개
1) 랜섬웨어 사이트에 접속한 내부 사용자
랜섬웨어 사이트에 접속한 내부 사용자 탐지 및 분석
1. 랜섬웨어 사이트에 접속 시도 - 출발지 IP10.149.181.180을 사용하는 내부사용자의 행위 분석 화면을 확인한 결과 다량의 랜섬웨어 사이트, 원격공유 디렉토리 사용 및 파일 전송 등이 확인
2. 첨부파일 안에 Crypto관련 Global Rule에 탐지 된 파일을 다운받은 행위 확인
3. 사용자가 랜섬웨어 사이트에 접속을 시도, 접속만하고 서버측에서 408 Timeout을 발생시켜 세션이 종료 되어 데이터 통신이 없음 확인
4. 랜섬웨어 접속 이전에 접속했던 행위를 확인한 결과 비슷한 URL(lunrac.com/api/test)로 반복 접속하는 행위를 확인하였으며 해당 사이트는파이어폭스 브라우저에 설치되어 하이제킹을 시도하는 바이러스로 알려져 있음
1
2
3 4
탐지 사례
2) 정보유출 1
내부 사용자가 외부로 정보를 유출하는 행위
1. 10.93.200.237을 사용하는 내부 사용자가 mailadmin.ideal.kr에 “계정정보.txt” 파일을 업로드하는 행위를 확인
2. 파일 안에는 각종 계정정보와 비밀번호가 포함되었음을 확인
1
2
탐지 사례
3) 정보유출 2
내부 문서를 외부로 업로드하기 위해 화면캡쳐를 이용하여 업로드 하는 행위
1. 10.149.181.171을 사용하는 내부 사용자가 네이트온을 이용하여 화면캡쳐 파일을 업로드 하는 행위를 확인
2. 엑셀을 캡쳐하여 올린 행위로 확인
3. 10.156.81.193을 사용하는 내부 사용자가 ipdisk.co.kr 에 이미지 파일을 업로드 하는 행위 확인
4. 해당 파일은 CCTV 관련 화면 캡쳐 파일로 확인
1
2
3
4
탐지 사례
룰, 출발지 IP, 목적지 IP 기준으로 룰 탐지내역을 확인할 수 있으며 Risk Score Calculator를 통하여 높음, 중
간, 낮음 3단계로 위험도를 표시합니다.
위협에 대한 탐지내역에 대한 패킷 리스트를 보여주며, 각 개별 패킷에 대한 상세분석으로 연결됩니다.
또한 시계열 기반의 Heatmap을 제공하여 시간대별위협 발생 현황을 한눈에 확인할 수 있습니다.
네트워크 위협탐지제품소개
25,000+ Rule (Suricata, Snort) 기반 위협 탐지를 제공합니다.
50+종의 탐지 조건을 기반으로 룰, 출발지 IP, 목적지IP 기준으로 룰 탐지내역을 확인할 수 있습니다.
탐지 내역에 대한 패킷 리스트를 보여주며,각 개별 패킷에 대한 상세분석으로 연결됩니다.
또한 시계열 기반의 Heatmap을 제공하여 시간대별탐지 현황을 한눈에 확인할 수 있습니다.
사용자 정의룰 탐지제품소개
50+종의 탐지 조건을 기반으로 다양한 이상 행위에 대한 룰을 정의하여 탐지합니다.
01110001100111000110
컨텐츠 추출제품소개
80종의 파일, SMTP/POP3 메일, 웹메일, POST 통신부터 포탈검색, 번역까지 다양한 컨텐츠를 하나도 놓치지 않고 모두 추출합니다
PacketStream
파일
메일
메모
쪽지
POST
은행거래스케줄
게시판결제
검색
A 가
번역
컨텐츠 추출 및 분석제품소개
메일, 결제, 게시판 등 10여가지의 컨텐츠 추출을 지원하며,
해당 패킷의 Flow, Request/Response, Metadata, Handshake, HEX 등 상세분석을 제공합니다.
컨텐츠 추출 및 분석 (예시화면)
제품소개
80종의 파일, SMTP/POP3 메일, 웹 메일, POST 통신부터 포탈검색, 번역까지 다양한 컨텐츠를 하나도 놓치지 않습니다.
발신자, 출발지, 목적지는 물론 메일 원문부터 실제 사용자 화면 복원까지 완벽하게 컨텐츠를 추출 합니다.
컨텐츠 추출 Rule제품소개
다양한 컨텐츠를 추출하기 위한 룰을 손쉽게 설정하거나 변경할 수 있기 때문에
컨텐츠들의 통신규약이 변경되어도 빠르게 대응할 수 있습니다.
통신 변경 추출 룰 변경
컨텐츠 추출Rebuild를 통한 과거 컨텐츠 추출
기존 솔루션
Network Blackbox
컨텐츠 추출컨텐츠 추출 추출 실패
컨텐츠 추출 및 분석 Rebuild제품소개
기존 솔루션은 메일, 검색, 은행거래 등의 컨텐츠의 경우 통신규약이 변경되면 추출하지 못합니다.
Network Blackbox는 지난 모든 패킷을 저장하기 때문에 언제든지 원하는 기간의 컨텐츠를 다시 추출할 수 있습니다.
네트워크 포렌식제품소개
55종의 검색 조건을 기반으로 빠른 검색을 제공하며, 상세 정보부터 사용자 화면까지 패킷의 모든 것을 분석할 수 있습니다.
55종의 검색 조건
Flow 정보
Network Handshake
Metadata
Request/Response
HEX
웹 화면 복원
파일 추출
패킷 격리
Pcap download
Deta
il Pack
et
Analy
zer
빠른 검색
패턴기반색인처리
기술을기반으로
빠른검색을제공합니다
(특허 10-2019-0073261)
다양한 통계
세션및Bytes 기반
트래픽은물론출발지,
목적지, 국가, Port 등
다양한통계를제공합니다
다양한 조건
25종의Header/
Meta/Session 조건과
30종의웹Meta 조건을
제공합니다.
네트워크 포렌식 (예시화면)
제품소개
55종의 검색 조건을 기반으로 빠른 검색을 제공하며, 상세 정보부터 사용자 화면까지 패킷의 모든 것을 분석할 수 있습니다.
머신러닝기반위협탐지솔루션과의연동을통한Fraud Detection
AI
위협이벤트발생시패킷상세분석을통한정오탐확인및
네트워크블랙박스탐지내역연동
SIEM
CallBack EventIP악성URL, 파일HASH 정보연동을통한다각도분석
APT
복호화트래픽을통한네트워크패킷상세분석
SSL
대표 연동 사례
DTI대표 연동 사례
QRadar대표 연동 사례
FireEye대표 연동 사례
Blue Coat
SIEM
3rd party 연동제품소개
Network Blackbox와 연동함으로써단순 로그밖에 없었던 기존 솔루션의한계를 넘어 해당 장비의 탐지 내역의 정오탐 확인은 물론,
첨부된 파일을 복원하여 다운로드하고실제 패킷을 열어 다각도로 분석하는등 유연하고 확장 가능한 아키텍처를 제공합니다.
기본 구성도제품소개
Traffic Mirror
Internet
Router
Firewall
TAP
Switch
직원망 DMZ DB
SSL/TLS decoder
• 별도로 PC에 프로그램(에이전트)을
설치할 필요가 없습니다.
• 패킷을 미러링하기 때문에
네트워크 망에 어떠한 영향도 없습니다.
빠른 구축 / 시스템 영향 無
• 복호화 프록시 장비가 있을 경우,
해당 장비로부터 복호화된 패킷을
미러링하여 저장 가능합니다
복호화 프록시 장비 연동
Network Blackbox위협 현황 대시보드
네트워크 블랙박스는 내부에 존재하는 고위협 디바이스와 이상 트래픽을
자동으로 식별하고 위협현황 대시보드를 통해 명확한 가시성을 제공합니다.
Network BlackboxCyber Kill Chain 대시보드
네트워크 블랙박스는 Cyber Kill Chain 기준으로 탐지 이벤트를 자동으로 분류하며 우리 내부의 특정 디바
이스에서 발생하고 있는 위협 상황을 단계별로 제공합니다.
아무도 가지 않은 길을 갑니다.
서울시 강남구 학동로45길 3, 성우빌딩 704호 | 02.548.1124 | http://www.quadminers.com
기타
가트너기타
글로벌 리서치 가트너와 파트너쉽 계약 체결 및 NDR시장에 대하여 등재 되었습니다.
글로벌조달등록
인증 특허
ISO 국제표준을기준으로SW의기능성,
신뢰성, 효율성, 사용성, 유지보수성,
이식성,, 성능, 상호운용성, 연동성및
적합성을시험/테스트하여인증을부여
GS인증 1등급 획득
• APAC CIO Outlook에서 2019년
사이버 보안 부문 Top 10에 선정
• 가트너와 전략 파트너쉽 체결
전 세계가 주목하는 솔루션
국내특허
⚫ 고성능패킷스트림저장시스템및 … (10-2019-0073260)
⚫ 패턴기반색인처리시스템및… (10-2019-0073261)
⚫ 시나리오중심실시간공격감지시스템… (10-2019-0073262)
국제특허
⚫ 네트워크포렌식시스템및 …(PCT-KR2019-008860)
국내 특허 3건, 국제 특허1건
통신 소프트웨어, 쿼드마이너,
넷블랙 2.0, 네트워크분석솔루션
(43232902-23613516)
조달 등록
특허 및 인증개요
Network Blackbox는 여러 방면으로 기술력을 인정받고 있으며, 이를 기반으로 글로벌 시장 진출을 진행하고 있습니다.
Cloud Blackbox기타
Cloud 기반 네트워크 블랙박스를 준비하고 있으며, 현재 Prototype 을 개발하여 시범운영을 하고 있습니다.
https://www.networkblackbox.com
APAC CIO Outlook Magazine 기타
Top 10 Cyber Security Solution Providers - 2019
홍보영상기타
Network BlackboxBelieve in humans. Blackbox does the doubt
New York
Network BlackboxThe Blackbox already knows Truth
Tokyo
https://www.youtube.com/channel/UCyZ_JRl7LaQ2gIb_xbNYa9w
활용사례
비정상 행위 분석활용사례
User Behavior Analysis / Fraud Detection System
위협관리분석 (TMS - Threat Management System)
활용사례
글로벌 Emerging Threats Rule 적용, 탐지 이벤트 기준으로 풀패킷 x 모든 Raw 패킷 정보 분석 가능
위협관리분석 (TMS - Threat Management System)
활용사례
NIDS x TMS x Network Forensic 기능 제공으로 강력한 이벤트 분석 및 신속한 원인 해결 가능
검색어 및 파일 업로드/다운로드 분석활용사례
구축 예제
Internet
Router
Firewall
TAP
Switch
Traffic Mirror
• 내부적으로 일어나는 데이터 유출에 대한 대응
• 내부 트래픽 증가로 인한 원인 분석 방안
기존 구성의 약점
• 기 사용중인 B/B에 Mirror 설정을 통하여
모든 데이터를 Network Blackbox로 전송
보안 구성 유형
• 데이터 유출에 대한 Raw data 확인 가능
• 내부 트래픽 가시성 확보와 원인 분석 가능
• 동일 문제 재발 방지 가능
기대 효과
구축 예제데이터 유출 및 문제 추적
SSL Proxy
Tap
AAA - IDC인터넷 뱅킹
Sensor & Node
Mirror
Decryption
SSL Proxy
Tap
BBB - IDC인터넷 뱅킹
Sensor & Node
Mirror
Decryption
패킷수집이중화
Management
AIAI 학습자료 분석
알려지지 않은 위협에 대한분석결과 검증 작업
• 기 사용중인 B/B에 Mirror 설정을 통하여
모든 데이터를 Network Blackbox로 전송
보안 구성 유형
• AI 학습기간/분석시간 단축
• AI 분석 결과에 대한 검증
• 모바일 구간 모니터링
기대 효과
구축 예제금융 네트워크 구축
SSL Proxy
Tap
Internal
Mirror
Decryption
바이러스 탐지 리스트syslog 로 전송
FireEye
C&C IP, Malware URL, MD5 정보 취합.해당 내용일 기준으로 평판Database 구축.
유출 데이터 확보정황증거 수집바이러스 유입 경로 추적
• FireEye에서 미탐지 또는 우회하는 첨부파일 확인
• 탐지되었던 정보를 기준으로 과거 데이터도 조사
• 바이러스 탐지 이전 행위를 심층 분석
보안 구성 유형
• 첨부파일 심층 분석
• 바이러스 원인 분석 고도화
• 상관분석 룰 제공
기대 효과
구축 예제3rd 파티 솔루션 FireEye 연동을 통한 구축
SSL Proxy
Tap
내부망
Mirror
Decryption
• 통합로그 솔루션 연동
• 기존 보안 시스템이 탐지하지 못한 네트워크
이상징후 등 새로운 위협에 대한 대응
SIEM 장비 연동 및 이상징후 모니터링 체계 확립
• SIEM 장비 연동
• SIEM 솔루션 통합 관리
• 분석을 위한 Raw-Data 제공
• 데이터 유출 검증
기대 효과
구축 예제SIEM 연동 구축
실제 발생했던 트래픽 확인정오탐 구분 및 유출 데이터 확인
트래픽 분석 및 이상행위 룰에탐지된 트래픽 정보를 syslog로 전송
Alarm
Tap
Internal
Mirror
인사 DB 연동IP, 사번, Mac, 조직도 제공
구축 예제컨텐츠 조사를 통한 기대 효과
유출 데이터 확보정황증거 수집
이직/퇴직 예상자리스트 제공
• 내부 정보 유출 데이터 확보
• 인사 DB연동
내부정보 유출 관리
• 인사 DB 연동을 통한 실 사용자 정보 확인
• 정보 유출 데이터 확보 및 원본 파일 확보
• 이직자 또는 예상자 Rule 적용을 통한
특정 기간 데이터 조회
기대 효과
구축 예제유연한 데이터 공간 확장
Tap
Internal
Sensor
Management
DataNode
Mirror
저장 공간 부족으로 추가 저장 공간 필요
AS-IS원활한 Hardware Node 추가 (2대 → 6대 증설)
유연한 저장 공간 확보
• 저장공간 1개월 → 3개월로 확장
• 단순 연결 설정으로 가용성 확보
TO-BE
Tap
Internal
Sensor
Management
DataNode
Mirror
구축 예제풀패킷 분석 기술을 활용한 다양한 네트워크 보안 기술 대체
Sensor
ManufacturingNetwork
Management
DataNode
OfficeNetworks
Sensor
Vendor A
Vendor B(Web Security)
Vendor C(Messenger & DLP)
Vendor D(Flow Analysis)
Vendor E(Network Forensic)
Multi Vendors
SSL Proxy
Tap
Internet
Mirror
• Web Protocol 분석 기능
• 메신져 및 DLP 기능
• Data Flow analysis
• Network Forensic
NDR 장비 구축 및 다양한 기능 제공
• Web Protocol 분석 기능 (웹메일, 번역, 검색 및 SNS 활동)
• 메신저 및 DLP 기능 (메신저 통신 이력 및 DLP)
• Data Flow Analysis (Metadata 기반 Data Flow 분석)
• Network Forensic (Full-Packet 기반 원본 데이터 저장 및 분석)
기대 효과