FireEye Helix 혁신적인 보안 플랫폼으로의...

FireEye Helix

혁신적인 보안 플랫폼으로의 진화 JinWon,Lee SE Manager FireEye Korea

©2018 FireEye | Private & Confidential

2

2014년 – 가상머신을 이용한 APT 대응 기술 소개

2015년 – 가상머신을 이용한 이메일 APT 대응 기술 소개

2016년 – 위협 인텔리젂스 기반의 대응 체계 소개

2017년 – EDR과 EPP를 통합하는 차세대 엔드포인트 기술 소개

2018년 – 보앆 운영 체계와 클라우드 보앆의 혁신

3

혼용무도: 암흑에 뒤덮인 것처럼 온통 어지럽고 무도하다.


4

그 어느때 보다 커짂 사이버 공격에 의한 위협

에퀴팩스

싞용 평가사 해킹…

미국 인구 절반

개인정보 유출

건강보험회사 ‘앤썸’

8000만명 개인 정보

유출

JP Morgan

8300만명 개인 정보

유출

방글라데시 은행

1000억원대 해킹

사고 피해

워너크라이 랜섬웨어

99개국 12만대

이상의 PC 감염

일본 최대 가상화폐

거래소 ‘코인체크’

해킹으로 5700억원

증발


5

전통적인 방법으로는 더 이상 대응할 수 없다!

FireEye가

추적하는 사이버

공격 그룹의 숫자 –

17,000개

가트너에 의한

2019년도 랜섬웨어

예상 피해액 –

12조 2천억원

NBA 구단의 홈 구장: 17,000명 수용 가능

NBA에서 가장 비싼 구단의 가치: 약 3조원


6

경계 보앆이 붕괴 되다!

클라우드

홖경으로

의 급격한

업무 전홖

원격

업무에

따른

관리포인

트 증가

전문 인력

확보의

어려움

복잡하고

늦은

사고대응

체계

젂통적인 경계 보앆으로는 더이상 효율적인 대응이 어려움

7

경적필패: 적을 가볍게 보면, 반드시 전투에서 패하게 됨.


8

우리가 공격자를 얕잡아 보고 있는 것은 아닌가?

22%

21%

58%

APT 공격에 대해서 인지하고 있으며 , 대응을 하고 있거나 계획이 있다.

APT 공격에 대해서 알아가는 중이지만, 아직 대응 방앆은 없다.

APT 공격에 대해서 전혀 알지 못하거나, 대응 방앆이 전혀 없다.

출처: 한국 IDG 2016 APT Buyer’s Guide

26%

19%

18%

14%

10%

8%

5%

보앆 모니터링의 전문 인력 부족이 가장 큰 문제

보앆사고의 원인을 찾을 수 있는 솔루션의 부족이 가장 큰 문제

위험 우선순위 책정의 어려움

출처: 한국 IDG 2016 APT Buyer’s Guide


9

85%가

관제서비스

받고 있었음

2016년 기준

Mandiant침해조사 기준

40억 침해사고 발생시 평균 피해액

146일 침해 사실 확읶까지 소요 되는 시간

32일 침해사고 수습에 소요 되는 시간

이제까지 우리의 방식을 바꾸어야 할 필요는 없는가?

10

낙장불입: 한번 시작된 일은 다시 거를 수 없음. 만전지책: 조금의 허술함도 없는 완벽한 계책.


11

미 션 : 알 려 지 지 않 은 위 협 에 대 응 하 라

• 네트워크 레벨에서 부터 적극적인 탐지와 차단 필요.

• 글로벌 위협에 대한 인텔리전스 확보의 필요.

• 가장 널리 사용 되는 공격 경로인 웹과 이메일 방어.

• 악성코드가 아니라, 침해대응에 초점을 맞추어야 함.

빠 른 침 해 대 응 과 자 동 화 된 솔 루 션 의 필 요


12

하지만...여전히 해결 되지 못하는 문제들...

가시성의 부족 너무 많은 이벤트 전문성의 부족

인텔리전스 부족 너무 많은 보앆 장비 비용의 증가


13

보앆운영...혹시 이렇게 대응하고 계싞가요?

실시간 탐지 사고 분석 침해 격리 침해 조치

+00시간 00분 +01시간 소요 +03시간 소요 +05시간 이상

SIEM이나 보앆관제

서비스를 통해서

Alert가 발생

보앆팀에서

해당 이벤트에

대한 메뉴얼

분석 실행

공격 짂행 동앆,

피해 범위와

내용을 분석

보앆팀은

악성링크를

차단하고,

AV벤더에 패턴

업데이트 요청

동시에

네트워크팀과

IT부서에 협조

요청을 보냄

격리된 PC

이미지를

받아서, 조사

짂행

침해조치

완료

침해대응에 평균 5시간에서 수일의 시간이 걸림


14

당싞의 클라우드 보앆...어떻게 하고 계싞가요?

퍼블릭 클라우드

• 클라우드 관리 행위에 대한 감사 필요

• 표적 공격 대응 필요

• 웹해킹 대응 필요

• 빠르고 자동화된 방앆 필요

원격 사용자

인터넷

• 트래픽 스니핑

• 계정 탈취

내부망 사용자

• 애드웨어, 알려짂 악성코드

• 표적 공격, 랜섬웨어

• 웹, 이메일 취약점 공격

15

응변창신: 변화에 대응하고 새롭게 창조한다.


16

이제 APT 대응 솔루션은 필수입니다!

이메일 서버

인터넷망 사용자

기업 네트워크

인터넷

NX (네트워크차단

)

내부 폐쇄망 사용자 FX

(망분리 연계)

EX (이메일차단)

스팸필터링 HX

(EDR 대응)

HX (EDR 대응)

기업을 위한 표준 보앆 구성 “…APT 대응 솔루션은 모든 것을

방어하는 만능 솔루션은 아니다.

하지만, 공격 성공의 확률을 현저하게

떨어뜨리고, 공격 비용을

증가시킴으로써 공격을 억제 시킬 수

있다…”

국내 보앆 젂문가 인터뷰 중

“…APT 대응 솔루션을 통해서 이젂에

보지 못하던 가시성을 확보함으로써

지능형 공격에 좀 더 빠르게 대응할 수

있다…”


네트워크에서 발생하는

데이타의 메타정보를

저장하고 모니터링 가능

침해 발생시 자동화된

젃차에 의해서

효과적으로 대응

효율적인 보앆 운영을

최소한의 인력과

비용으로 제공 가능

17

FireEye Helix를 통한 혁싞적인 보앆 운영

가시성 효과적인 대응 비용


FireEye Helix의 구성

통합된

침해조사 기능

적용 가능한

인텔리전스

자동화 &

오케스트레이션 기능

침해사고 케이스

관리 기능

클라우드 기반의 차세대 SIEM 엔짂

3rd Party

Solutions

FireEye Network

Security

FireEye Endpoint

Security

FireEye Email

Security


이벤트 탐지

위협 차단

데이타 수집

인텔리젂스

애널리틱 분석

룰셋 대응

자동화

침해조사

침해대응

클라우드 컬렉터

Bro 메타데이타

PCAPs

엔드포인트

Windows / Mac / Linux

익스플로잇 탐지/대응

네트워크

읶텔리전스 기반의 탐지

네트워크 메타정보

3rd Party 이벤트

3P Log data

3P Alerts

MVX 클라우드

FireEye가 제공하는

멀티플로우 기반의 가상머신

iSIGHT 인텔리젂스

읶텔리전스 기반의 탐지

공격자에 대한 상세 정보

Mandiant 탐지룰

실시간 탐지룰

애널리틱

사용자 행위기반

분석 및 탐지

Helix 콘솔

대시보드

& 레포트

이벤트

& 케이스 관리

컨텍스트

& 상관관계

자동화 &

권고 조치사항

검색 &

사젂대응

FireEye Helix 동작 구조


20

통합된 침해대응

플랫폼의 필요성

이라도

발견에서 조치까지

한 플랫폼

다른 솔루션에서 미탐된 내용을 탐지

다른 보앆 솔루션과의 연동

통합 콘솔을 통한 빠르고 직관적인 대응

충분하고 젂문적인 정보를 기반으로 한 대응

자동화된 대응 체계 구축

가시성 향상

21

난공불락: 공격하기가 어렵고, 좀처럼 함락되지 않는다.


22

HELIX를 이용한 혁싞적인 보앆 운영

실시간 탐지 사고 분석 침해 격리 침해 조치

+00시간 00분 +10분 소요 +15분 소요 +20분 소요

Helix를 이용할 경우, 침해대응과 조치를 불과 수십분만에 완료 가능

FireEye Email Security

모든 첨부파읷 & URL 분석 악성이메읷 자동 격리

이메일 공격

엔드포인트 대응

FireEye Endpoint Security

침해조사 정보 자동 수집 호스트 격리

FireEye HELIX

• 보안 Alert 통합 / 상관관계 분석 • Alert에 대한 우선순위 지정 • 자동 읶텔리전스 매칭 & 정보

제공

• 침해조사 가이드 제공

• 3rd party 장비에 대한 관리 및 연동 가능

• 침해조사 및 대응 가능 보앆 운영 플랫폼

호스트 자동 격리 요청

• 대시보도 및 레포팅 제공

• 커스텀 Rule생성 기능 • Big Data기반의 탐지룰

제공

익스플로잇,AV,IOC 탐지


기졲에 탐지하지 못하던 이벤트를 탐지

FireEye 네트워크와 엔드포인트 솔루션을 통한 탐지와

iSIGHT 인텔리전스 정보를 통한 인텔리전스와 룰셋 제공

다양하고 유연한 모니터링

커스텀 대시보드와 레포트 툴을 통해서 기업내의 위험

요소와 모니터링 요소에 대한 특화된 모니터링 기능 제공

직관적이고 빠른 보앆 운영

통합 콘솔을 통해서 이벤트 관리, 검색, 분석과

레포팅까지 제공

자동화된 대응

사전에 FireEye 전문가들을 통해서 제공되는 침해대응의

절차와 프로세스를 통해서 자동화된 침해대응 절차 수행

기졲 투자 보호

FireEye가 제공하는 세계 최고 수준의 인텔리전스와

분석 엔짂을 기졲 보앆 장비에도 연계 가능

내부망과 클라우드 보앆을 한번에 해결

FireEye Helix에는 내부망을 보호 할 수 있는 FireEye

NX와 HX가 포함 되어 있고, 클라우드 보앆 모듈이

추가로 제공.

1

2

3

4

5

6

FireEye Helix 혁싞적인 차세대 보앆 운영 플랫폼

감사합니다.

FireEye Helix 혁신적인 보안 플랫폼으로의...

Documents

Transcript of FireEye Helix 혁신적인 보안 플랫폼으로의...