Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
FireEye Security Suite 보안의 단순화와 효율성 제고
©2018 FireEye
목차 및 목표
현재 문제점과 요구사항
보안 운영상의 위협 환경
FireEye Security Suite 소개(Network, Email, Endpoint)
Q&A & Follow Up
©2018 FireEye
어떠한 보안 이슈가 있는가?
지속적인 랜섬웨어 공격
스피어 피싱 메일을 받고 일부 호스트 감염
CEO / 거래처 사칭메일 피해
엔드포인트 기능을 강화 (EPP EDR)
현재 보안 솔루션에서 너무 많은 경고로 인한 미탐
3
©2018 FireEye
현재 위협 환경
4
91 80 101
이메일로 시작되는 사이버 범죄 비율
악성코드가 한 번이라도 탐지된 비율
APT공격을 찾기 위해 소요되는 평균시간
복잡함
다단계 Exploits, Sandbox, 난독화 등 다양한 회피 기법의 증가
체계적
프로그래밍된 자동화 공격, 무제한 공격 기능, 지속적인 공격 기능 개선
©2018 FireEye
가시성 부족 너무 많은 이벤트 전문 인력 부족
인텔리전스 부족 너무 많은 보안 장비 효율성 감소 및 비용 증가
현재 보안 운영의 문제점
©2018 FireEye
귀사의 보안 운영 효율성은?
WHAT is going on?
위협이 차단되었음을 어떻게 알 수 있습니까? 일반적인 고객은 차단 된 위협에 대한 정보와 가시성을 알 수 없습니다.
WHERE should you focus?
공격자가 무엇을 하려고 하는지, 어디로 갔는지, 남겨진 것이 무엇인지를 확인할 수 있습니까?
HOW important is it?
위협의 우선 순위를 지정하고 조치를 취하는 데 필요한 컨텍스트를 가지고 있습니까?
©2018 FireEye
보안의 재정의
As-Is AV와 같은 기존 보안 솔루션은 알려진
위협에 대해서만 효과적인 보안 기능 제공
보안 솔루션이 정교한 위협을 해결하지 못함
각각 분리된 기술기반의 솔루션
점점 더 복잡해지는 기술 솔루션
아웃소싱 파트너에 대한 전문성이나
의존성이 높음
To-Be Sandbox 및 행위기반 분석 엔진이 알려지지
않은 공격 감지
여러 보호 엔진이 진화된 공격을 탐지
여러 솔루션과의 시너지 효과
위협 인텔리전스를 통해 운영 문제를
단순화하고 경고의 우선 순위 지정
다양한 기술을 활용할 수 있는 지침이 포함된
간소화된 도구(Tools)
Introducing FireEye Security Suite
©2018 FireEye
Introducing – FireEye Security Suite
9
FireEye Network Security
FireEye Endpoint Security
FireEye Email Security
FireEye Helix
©2018 FireEye
FireEye Security Suite 구성
10
FSS Helix
Network Security NX Edition
FireEye Email Security Cloud Edition
FireEye Endpoint Security Essentials Edition
Deployment Options
NX1500 (50M)
NX2500 (100M)
NX2550 (500M)
NX3500 (1G)
Virtual Appliance
FE Appliance
Subscription
or
Perpetual HW
성능별 요구사양
VMWare ESXi 6.0이상
SIEM기능 제외,
통합운영 및 관리기능
Anti SPAM/Virus 포함
Live Response
Ent. Search 제외
VA-NXS1500 (50M)
VA-NXS2500 (100M)
VA-NXS2550 (250M)
VA-NXS4500 (500M)
VA-NXS6500 (1G)
※ Network Security - Hybrid 구성 가능(Virtual + Appliance) - 최대 성능치는 합계 1Gbps
©2018 FireEye
FireEye Network 가상서버 요구사양
VA-NXS 1500 VA-NXS 2500 VA-NXS 2550 VA-NXS 4500 VA-NXS 6500
성능 최대50Mbps 최대100Mbps 최대250Mbps 최대500Mbps 최대1Gbps
NW 모니터링 포트 1~8개 1~8개 1~8개 1~8개 1~8개
NW 관리 포트 1개 또는 2개 1개 또는 2개 1개 또는 2개 1개 또는 2개 1개 또는 2개
CPU 코어 3개 6개 8개 8개 16개
메모리 10GB 16GB 16GB 32GB 32GB
드라이브 용량 384GB 384GB 384GB 512GB 512GB
11
OS지원 : MS windows, Mac OS X Network Adapter : VMXNet3, vNic 하이퍼바이저 지원 :VMWare ESXi 6.0이상
©2018 FireEye
FireEye Security Suite 구성도
MVX
Firewall
Email Server
HX
사용자 PC
사용자 PC
Helix
ETP
사용자 PC
NX Sensor Virtual
or Appliance (Option)
FireEye Network Security Included in FireEye Security Suite
FireEye Network Security
©2018 FireEye
MVX를 활용한 동적 분석
개요
장점
안전한 가상환경에서 동적 시그니처리스 분석으로 제로데이, 멀티플로우 및 기타 우회 공격을 탐지. 또한 전에 알려지지 않은 익스플로잇과 악성코드를 식별하여 사이버 공격 킬 체인의 감염 및 침해 단계를 저지 Show the capability graphically MVX
• APT 탐지만을 위해 특화된 가상 머신 • 알려진/알려지지 않은 Exploit 탐지 • 파일 기반이 아닌 Multi Flow 기반 탐지 • 경쟁사 대비 10배이상의 가상머신 보유 • Revert Time 3초 이내(경쟁사 수분 걸림)
©2018 FireEye
Malware Callback 탐지 및 차단
개요
장점
Exploit
Callback
Malware Download
Lateral Spread
Exfiltration
콜백을
검색,
차단하여
멀웨어
프로세스 중단
콜백은 멀웨어가 데이터를 수집하거나 원격으로 위협을 제어하기 위해 생성하는 네트워크 동작의 한 유형
콜백 통신을 하는 봇넷, 백도어 및 기타 멀웨어를 빠른 시간에 탐지
©2018 FireEye
다양한 위협 - Riskware Detection
개요
장점
Internet
High Risk
Less Risky
PUP/Adware와 같은 중요도가 낮은 악성코드 이벤트에 대해서는 별도로‘Riskware’로 만들어진 Tab으로 분류하여, 중요도를 직관적으로 표시할 수 있게 하였고, PUP/Adware에 대한 탐지범위도 확장
실제로 위협적인 이벤트에 보안팀이 집중
©2018 FireEye
계층형 보안 - 통합 IPS
개요
장점
통합 IPS를 통해 비용을 절감하고 관리를 간소화하며 보안 상태를 개선
알려진 위협에 대한 실시간 위협 보호 제공하고 MVX엔진의 작업 부하를 줄여 효율성을 향상시키고 미탐 오류를 줄임
FireEye Network Security
©2018 FireEye
Lateral Network Traffic 감지 - SmartVision
개요
장점
SmartVision은 네트워크 내에서 내부 (east/west)공격을 감지하는 상관 관계 분석 엔진
• 네트워크 내에서 의심스러운 Lateral 트래픽 탐지 시간 단축
• 네트워크 전체에 걸친 멀웨어 확산 감소
• 데이터 도난 위험을 최소화하도록 지원
Internet
Firewall
FireEye NX
Core Switch
Distribution
Switches
FireEye Virtual Sensor
FireEye Virtual Sensor
FireEye Email Security Included in FireEye Security Suite
FireEye Email Security
©2018 FireEye
Spam & Virus 방어
23
Incoming
Email FireEye ETP Cloud (Cloud-based) Email Service
End User
개요 장점
전자 메일 보안 서비스를 통해 새로운 캠페인이 발견되는 즉시 전자 메일 차단
• 스마트 DNS기반으로 이메일 관련 위협 을 평판 관계 분석
• 튜닝된 Heuristic 엔진을 통한 메시지 내용 분석
©2018 FireEye
MVX 행위기반 분석을 통한 탐지
24
개요
장점
거의 발견된 적이 없는 고위험성 공격을
행위기반 분석을 통해 탐지
- 첨부파일
- 본문 내 URL
- 첨부파일 내 URL
MVX 행위기반 분석을 통해 숨겨진
멀웨어 및 URL기반 위협을 차단하고
위협에 대한 우선순위 지정 및 미탐률
감소
©2018 FireEye
Email 시스템 구성방안
DNS MX 레코드 변경
– 메일 수신 경로
외부메일 → ETP → 메일서버
On-premise 및 Cloud Mail지원
– Office 365, Google등
적용 Mode
– Inline(MTA) Mode : 탐지, 차단
– BCC Mode : 탐지만 가능
25
FireEye Email Security
©2018 FireEye
Spear Phishing 탐지 (URLs & Content)
27
개요
장점
• URL 기반 피싱 사이트로부터 보호
• 검출 효율성 향상을 위해 전체 사이트(URL뿐만 아니라) 분석
• 자격 증명 피싱 사이트는 처음 발견되었을 때 식별
• 제로 데이, 고도로 타게팅 된 피싱 공격에 대한 URL 탐지
• 전체 피싱 사이트 (링크, 콘텐츠 등)를 스캔하여 웹 사이트 콘텐츠의 악성 행위를 분석
©2018 FireEye
FireEye URL 탐지 (FAUDE)
Hard Harder Hardest
FireEye Email Security
©2018 FireEye
권한 도용 – No Malware To Detect
User Credentials Compromised
Initial URL Not Malicious
‘Post’ action is malicious
©2018 FireEye
비정상적인 발송자 탐지
31
Mobile Client 정상(?)적인 발송자
Desktop Client 비정상(!)적인 발송자
개요
장점
공격자의 Spoofing을 감지하기 위해 필터 조합하고 Newly Existing Domains(NED) 필터가 메시지 분석을 수행
CEO 사칭 탐지 및 전자 메일을 통한 공격으로부터 보호
Spoofed Email Address
FireEye Endpoint Security Included in FireEye Security Suite
©2018 FireEye
Endpoint의 다양한 엔진
33
시그니처 기반 분석 : Malware Protection
시스템 학습(머신러닝) : Malware Guard
행위 기반 분석 : Exploit Guard
위협 인텔리전스 기반 분석 : IOC
탐지 및 대응 도구(EDR)
FireEye Endpoint Security
©2018 FireEye
Malware Protection Engine - 정적 분석
바이러스
트로이목마
웜
스파이웨어
애드워드
키로거
루트킷
피싱 소프트웨어
불필요한 프로그램(PUPs)
FireEye Endpoint Security
©2018 FireEye
ExploitGuard Engine - 행위기반 분석
ExploitGuard Flow
2 Heap Spray
1 Adobe Reader
3 Integer Overflow 4 ROP Exploit
5 Shellcode
NtCreateFile:
push ebp
mov ebp, esp
…
6 Payload
1. Packaging (PDF) 0 points
2. Pre-Exploit (Heap Spray) 5 points
3. Exploit (Integer Overflow) 15 points
4. Control Flow (ROP) 20 points
5. Malicious Activity (Shellcode) 10 points
Total Score 50 points
공격 페이로드 차단
FireEye Endpoint Security
©2018 FireEye
MalwareGuard Engine - 시스템 학습(머신 러닝)
우수한 속도
높은 정확도
보완 서명 + 동적 모델
하나의 Agent에서 제공
39
FireEye Endpoint Security
©2018 FireEye
Workflow Engine - EDR
Alert Triage
Investigate
Acquire
Sweep
Contain
FireEye Helix Security Operations Platform
Included in FireEye Security Suite
©2018 FireEye | Private & Confidential © 2018 FireEye | Private & Confidential
FireEye Helix 장점
43
가시성 확대 비용 절감 신속한 대응
TEAM EFFICIENCIES 자동화 및 인텔리전스로 생산성 향상
FLEXIBLE DEPLOYMENT Cloud, On-prem 및 Hybrid 구축 모델
TOOL CONSOLIDATION 통합 대시보드 제공
INTELLIGENCE MATCHING 알림을 포함한 상황별 인텔리전스
3-RD PARTY INTEGRATIONS 300개 이상의 보안 툴 및 데이터 통합
INVESTIGATIVE TIPS 사전에 정의된 침해조사 팁 제공
AUTOMATION 사전 구축된 플레이북을 통한 자동 대응
CONTEXTUAL INTELLIGENCE 최전방의 상황별 인텔리전스
ALERT PRIORITIZATION 경고 위험 수준의 자동 할당
©2018 FireEye | Private & Confidential © 2018 FireEye | Private & Confidential
Integrated Alert & Case Management
44
개요
◆ 이벤트 데이터를 수집하고 위험 수준을 할당
◆ 작업을 할당하고 완료할 진행 상황을 추적
◆ SOC 팀에게 대응 및 협업 툴 제공
장점
◆ 환경의 중요한 위협에 대한 즉각적인 파악
◆ 중요한 위협의 우선 순위를 지정하여 팀 효율성 및 위험
관리 향상
◆ 뛰어난 가시성
©2018 FireEye | Private & Confidential © 2018 FireEye | Private & Confidential
상황별 정보
45
16M 가상 센서 상대 추적 침입자 조사
보고 정보 IOC
CONTEXTUAL INTELLIGENCE
ALERT +
개요 ◆ 매시간 50-70K의 확인된 악성 이벤트를 찾아내는 16M 가상
시스템 센서의 위협 데이터
◆ 1,000만 명 이상의 APT 그룹 추적
◆ 70개 이상의 정교한 침입 그룹에 대한 보고서
◆ 450건 이상의 지능형 보고서 월간 간행물
◆ 월 50,000개 이상의 지표 발행
◆ 800명의 전방 사이버 보안 전문가
장점
◆ 각 위협에 대해 "누가"와 "왜"를 제공
◆ 공격자의 동작을 예측
◆ 침해 조사 팁을 통해 대응 가속화
©2018 FireEye | Private & Confidential © 2018 FireEye | Private & Confidential
PlayBook을 활용한 자동화
46
Collect Analyze Create
PROCESS PLAYBOOKS 데이터
개요
◆ 간소화되고 자동화된 반복 가능한 작업(예: 경보 계층 - 평균
20분에서 1분 미만)
◆ FireEye 전문가가 사전 구축된 Work-Flow 및 모범 사례
◆ 코드화된 응답 작업
◆ 보안 인프라로의 원활한 통합
장점
◆ 제한된 보안 직원의 반복 가능한 수동 작업 간소화
◆ 위험 노출 시간 단축 및 공격 지속성
◆ SOC 분석가의 효율성과 성능을 높이는 강제 승수
©2018 FireEye
FireEye Helix
47
Contextual
Intelligence
Alerts/Case
Management
Investigative
Workbench
Orchestration
& Automation
Central
Management
FireEye Network Security
FireEye Email Security
FireEye Endpoint Security
3rd Party Solutions
Managed Defense
Expertise Threat Intelligence
Partner Services
Community
Marketplace
Answers
Research Tools
Ideas
Mandiant Services
Strategic Advisory
Technical Assessment
Incident Response
FireEye Threat Analytics
Advanced Intelligence
Expertise On-Demand
3rd Party Apps
©2018 FireEye
48
X =
FSS 가격체계
# 사용자 가격
©2018 FireEye
FireEye Security Suite
49
2,000 UP TO USERS
$ Per User
FireEye Security Suite
©2018 FireEye
FireEye 판매 정책
가상 또는 클라우드 폼 팩터의 경우 하드웨어를 구입할 필요가 없음
Appliance HW는 Subscription 또는 Perpetual(영구사용)로 구매 가능
Appliances “Bare-Metal”, 하드웨어의 저렴한 가격
Subscription Appliances 도입은 최소 3년의 계약 기간 필요
– HW 유지보수에 대한 금액 포함
Hybrid 환경 지원
– 1 Gbps를 구매하면 하드웨어로 500Mbps, 가상 500Mbps를 나누어 사용 가능
50
Hardware
Appliances
Thank You ㈜아이티언 ES사업부