권영목 대표 / Paul Kwon
파고네트웍스 / PAGO Networks, Inc.
PAGO
MDR 서비스
보안위협 공동대응 방향성 제시
매니지드 탐지 및 대응(MDR) 센터
파고네트웍스 ?
PAGO 제안 전략
글로벌 벤더 #1 #1
혁신적 실용 기술 프로젝트 방법론
탐지 및 대응 매니지드 서비스
고객
기획 정책 운영
+
관제 보안제품
가상 MDR . 가상 SOC
Protecting Enterprise For “IT, OT/ICS” Security
Trusted Security Advisor
글로벌 벤더
매니지드 탐지 및 대응 센터
MDR-as-a-Service | SOC-as-a-Service
Machine Learning AI 엔드포인트 프로텍션 플랫폼
PAGO 포트폴리오 - 제품 + MDR 서비스
NW 트래픽 이벤트 로그 원시데이터
Open XDR 플랫폼
Deep Learning AI
엔드포인트 프로텍션 플랫폼
PAGO – MDR 서비스 기반 모듈
DeepACT 대쉬보드/콘솔 (현재, 프로토타입 개발 및 파고 리서치팀 사용중, 향후 상품화 예정)
• 위협에 대한, 실질적인 정보
• 위협 카테고리 정확한 정보
• 위협에 대한, 추가 정보
• IOC 추출 및 DB화
DeepACT IOC, TIDB
타 보안 솔루션 연동 체계
제안한 보안 솔루션이 탐지/방어한 모든 위협에 대해서, 다시..
• 추가 분석
• 추가 조사
• 크리티컬 IOC 추출
• 대응 방법론 제시
• 치료 방법론 제시
DeepACT 커뮤니티
(IOC/위협정보 상호공유)
TIDB (Threat Insight DB) / IOC 추출 및 연동
(고객사 타 보안 솔루션)
•
목적 – 빠른 위협 탐지 및 대응 For ...ü Unmanaged 디바이스 ü Invisible 디바이스
• Firewall
• EPP / EDR
• NTA / NDR
• SIEM / SOAR
• Email Security
• Asset Mgmt
• NAC
• HR DB
• Active Directory
멀웨어 정보 상호공유 커뮤니티 구성
(90% 고객 – 커뮤니티 가입 및 에코시스템 구축)
• Threat Intelligence DB
• IOC DB
• Threat Analysis Reports
•
For
PAGO Customers
(DeepACT Community)
•
For
Non-PAGO Customers
DeepACTOR
(Threat Research /분석가)
DeepACT 대쉬보드 / 콘솔
PAGO 특허 (Patent)
PAGO DeepACT
매니지드 탐지 및 대응 서비스 플랫폼
엔드포인트에 기반한 관리형 탐지 및 대응
시스템과 방법
PAGO DeepACT – MDR 서비스 레퍼런스
보안고도화
다양한 솔루션 부문
오늘 주제를 위한, 위협대상 생각해 봅시다
위협(공격) 기반
è
MALxx with File-xx Threat• MAL ware
• MALicous Activities
with • File-based Threat
• File-less Threat
EPP (Endpoint Protection Platform)
EDR (Endpoint Detection & Response)
NDR (Network Detection & Response)
XDR (eXtended Detection & Response)
SOAR (Security Orchestration, Automation & Response)
TIP (Threat Intelligence Platform)
TH (Threat Hunting) // Investigation
MDR (Managed Detection & Response)
위협 대비, 보안고도화 솔루션 부문
제품 솔루션 플랫폼
추가 기능 서비스
보안 운영팀 / 보안 기술팀 / 보안관제센터(SOC) / IR팀
Investigation
(조사)
Threat Intelligence
(위협 인텔리전스) Threat Hunting
(위협 헌팅)
보안고도화 솔루션 – 알기 쉽게 배치
보호할
정보 / 자산 / 인프라 위협
“예방, 차단 // 탐지, 조사, 대응” 솔루션
EPP EDR NDR XDR SOAR
MDR-as-a-Service
(by MDR 서비스 전문 프로바이더) 공동 대응 / 협업 능동 대응 기업
고객사
외부 전문
서비스
보안고도화
방향성 및 동향 솔루션
EPP / EDR 부문 - 1
•
EPP / EDR 제품 통합, 또는 병행 사용 추세EPP / EDR 부문 - 2
•
EPP / EDR 제품 구성 사례NDR 부문 - 1 (가트너 재정의)
•
탐지(Detection) 부문, 제품 역량 재정의o Non-Signature 기술
o 머신러닝 또는 별도 정황 분석(Analytics) 기술 o Raw 트래픽 또는 Flow 레코드 분석
o 의심스러운 트래픽 패턴 발생 시, 경고(Alert) 발생 o North/South
+
East/West 트래픽, 모두 모니터링 o 위협 모델링 (Threat Modeling)•
대응 (Response) 부문, 제품 역량 재정의o 자동 대응 (방화벽 연동 및 트래픽 차단 등)
o 수동 대응 (위협헌팅 및 인시던트 분석 기능 제공)
2019년
2020년
NDR 부문 – 2 (벤더사별 확장 방향성)
•
NDR 솔루션 벤더의 추가 기능 방향성 인정o Encrypted Suspicious Traffiic 탐지 기능 채택
ü Without Decryption (대부분의 NDR 벤더에서 채택) ü 의심스러운 SSL / TLS 서버 인증서 탐지
ü 개별 TLS 패킷 사이즈 검사
ü 개별 TLS 패킷 사이의, 통신 시간 검사 ü TLS 세션 연결 시간 검사
o 대응 (
Response) 부문의 기능 확장
ü Firewall(트래픽 차단), NAC(Quarantine), EDR(Containment), SOAR(Playbook)
ü 자체Threat Hunting
기능,Incident Response(IR) 기능
eXtended
???
•
eXtended Detection & ResponseXDR 부문
•
eXtended Detection & ResponseEPP / EDR
NTA / NDR
XDR 부문
XDR 부문
•
eXtended Detection & ResponseSOAR 부문
• Security Orchestration, Automation & Response
ü 단일 플랫폼 기반, 사고 대응
ü 오케스트레이션 자동화 (기존 워크플로우 조정 및 자동화) ü 위협 인텔리전스 연동, 공유, 관리
ü 각종 보안솔루션 보안이벤트 분석 효율화 ü 보안 분석업무 / 대응 효율화 및 자동화 목적 ü 시나리오 기반, 대응 매뉴얼 수립
ü 전담 인력 / 전문가 필요
보안고도화 솔루션
자체만으로 충분한가?
고려사항 존재하는가? 아니면,
다시 한번 짚어 보겠습니다.
보안 운영팀 / 보안 기술팀 / 보안관제센터(SOC) / IR팀
Investigation
(조사)
Threat Intelligence
(위협 인텔리전스) Threat Hunting
(위협 헌팅)
보호할
정보 / 자산 / 인프라 위협
“예방, 차단 // 탐지, 조사, 대응” 솔루션
EPP EDR NDR XDR SOAR
MDR-as-a-Service
(by MDR 서비스 전문 프로바이더)
공동 대응 능동 대응
기업 고객사
외부 전문 서비스
수년간 생각보다 도입 및 적용이 저조합니다.
최근 도입이 증가하고는 있습니다.
혹시 다른 고려할 사항이 있어서 일까요?
보안고도화 솔루션 - 도입 전제조건과 목적 ?
(Endpoint Detection & Response) EDR
(Network Detection & Response) NDR
(Security Orchestration, Automation & Response) SOAR
(eXtended Detection & Response) XDR
이미 진행/침투중인 위협을 빠르게 탐지 정확, 신속, 능동적으로 대응
위협의 체류시간 (Dwell-Time) 최대한 단축 / 제거
MDR
도입 전제조건
위협은 이미 침투했다 위협은 이미 진행중이다
보안고도화 솔루션 – “R” 의미는 무엇일까요?
(Endpoint Detection & Response) EDR
(Network Detection & Response) NDR
(Security Orchestration, Automation & Response) SOAR
(eXtended Detection & Response) XDR
(Managed Detection & Response) MDR
시스템 관점
R
Response (Automation)
• Alert
• Playbook
• Quarantine
• Kill-Process
• Logout
• Containment
전문가 관점 Response
(Manual)
• Investigation
• Threat Hunting
• Forensic
• Actionalble Answer
• Manual Response
• Alert
• Playbook
• Quarantine
• Kill-Process
• Logout
• Containment
도입 전제조건
위협은 이미 침투했다 위협은 이미 진행중이다
고려할 사항.
적용 쉽지않다.
도입 걸림돌.
보안고도화 솔루션 도입 시, 고려 사례 1
•
EDR 도입 전, 현혹시키는 데모 시나리오• 테스트 당자사는 “이미 알고 있는 멀웨어 사용” (예 : 랜섬웨어)
• Fileless Attack 의 경우도, “이미 알고 있는 시나리오 사용” (예 : 위 그림)
• 어떤 위협이,
• 어떤 메뉴 경로에,
• 어떤 단계로 헌팅(?)하면 되는지 ...
• 모두 알고 있음
보안고도화 솔루션 도입 시, 고려 사례 2
•
EDR – 위협 탐지 이벤트를 모두 위협으로 간주할 수 없으나, 들여다 보는 프로세스는 필요하다.솔루션 도입 시, 고려해볼 사례 3
•
NDR –”저희 솔루션이 아래와 같이 위협을 탐지했습니다”
그리고 “끝”
Not Only 위협 트래픽 가시성 확보
But Also
사후조사 방안 대응액션 가이드
•
고객은 “정확한 사유, 침투과정, 대응방안 수립이 더 고민 !!”보안고도화 솔루션
MDR 서비스 +
보안제품 벤더사는 ? (제품 + MDR)
MDR 플랫폼 및 서비스 전문 프로바이더
MDR 서비스 프로바이더는 ....
[Sid Deshpande - Research Director, Gartner]
Gartner Security and Risk Management Summit 2018
•
기존 보안관제서비스(MSSP)와 차별화ü 이벤트 모니터링 및 대응 (Near-realtime-Remediation) ü Managed EDR à MDR 의 일부임
ü Remidation / Recovery + “정확한 분석과정” 제공 필요 ü Quarantine / Process Kill 등이, Response 역할을 다했다고
정의하면 안됨
•
MDR 프로바이더, 보유해야 할 아키텍쳐ü 다양한 분야 위협탐지/대응 기술, 제품 ü 1차 탐지 이후, 2차 분석 플랫폼/역량 ü 이벤트, 로그, 트래픽 수집/필터링/검색 ü 상관관계 분석 기술
ü 위협 헌팅(Threat Hunting) 기술
MDR 서비스 대상 고객
보안에 투자할 여력이 없는 SMB (중소기업)
기존
NW보안 위주 보안관제서비스
중견 / 대기업
기존
SIEM / Event 위주 모니터링
중견 / 대기업
고객 내부 전문가
&
MDR 서비스 프로바이더공동 위협 대응 프로세스 정립시키는 과정
급변하는 위협에 대한, 실질적인 탐지 및 방어 서비스 상호 협력
매니지드 탐지 및 대응
PAGO 꾸준히 나아가는 방향성
PAGO 꾸준히 나아가는 방향성
PAGO 꾸준히 나아가는 방향성
매니지드 탐지 및 대응 센터
MDR-as-a-Service | SOC-as-a-Service
Machine Learning AI 엔드포인트 프로텍션 플랫폼
PAGO = 제품,플랫폼 + MDR 서비스
NW 트래픽 이벤트 로그 원시데이터
Open XDR 플랫폼
Deep Learning AI
엔드포인트 프로텍션 플랫폼
플랫폼 1 – BlackBerry Protect
플랫폼 2 – Deep Instinct
플랫폼 3 – Stellar Cyber
EPP / EDR
NTA / NDR
이기종정형
데이터,
비정형트래픽, 이벤트,
로그,
빅데이터 + AI + MDR SOC 플랫폼 Open XDR
플랫폼
•
2021년 1월부터, “PAGO DeepACT" MDR 센터 오픈• BlackBerry, Deep Instinct, Stellar Cyber 플랫폼 기반... MDR 서비스 제공
• Cloud / Remote 기반 MDR 서비스
• 탐지된 위협에 대한, 능동적인 대응 서비스 제공
• 자체 Threat Intelligence 플랫폼 고도화 중 (상용 제품화 예정)
• DeepACT 커뮤니티 운영
• 살아있는 Threat Intelligence DB 공유 (DeepACT 커뮤니티)
• 모든 탐지/차단된 위협에 대한, 2차 분석 시스템 가동
• 고객사와 지속적인 “커뮤니케이션 및 협업 대응 채널” 운영
PAGO – 특징
PAGO – MDR 서비스 기반 모듈
DeepACT 대쉬보드/콘솔 (현재, 프로토타입 개발 및 파고 리서치팀 사용중, 향후 상품화 예정)
• 위협에 대한, 실질적인 정보
• 위협 카테고리 정확한 정보
• 위협에 대한, 추가 정보
• IOC 추출 및 DB화
• 고객 보고서 자동 생성
DeepACT IOC, TIDB
타 보안 솔루션 연동 체계
제안한 보안 솔루션이 탐지/방어한 모든 위협에 대해서, 다시..
• 추가 분석
• 추가 조사
• 크리티컬 IOC 추출
• 대응 방법론 제시
• 치료 방법론 제시
DeepACT 커뮤니티
(IOC/위협정보 상호공유)
TIDB (Threat Insight DB) / IOC 추출 및 연동
(고객사 타 보안 솔루션)
•
목적 – 빠른 위협 탐지 및 대응 For ...ü Unmanaged 디바이스 ü Invisible 디바이스
• Firewall
• EPP / EDR
• NTA / NDR
• SIEM / SOAR
• Email Security
• Asset Mgmt
• NAC
• HR DB
• Active Directory
멀웨어 정보 상호공유 커뮤니티 구성
(90% 고객 – 커뮤니티 가입 및 에코시스템 구축)
• Threat Intelligence DB
• IOC DB
• Threat Analysis Reports
•
For
PAGO Customers
(DeepACT Community)
•
For
Non-PAGO Customers
DeepACTOR
(Threat Research /분석가)
DeepACT 대쉬보드 / 콘솔
(참고)
PAGO DeepACT 서비스 접근 방식•
Deep Instinct가 방어한 모든 멀웨어 대상으로 다시 분석, “Critical IOC” 추출• 정확한 멀웨어 정보 제공
• 멀웨어에서 추출한 IOC 종류
• IP, URL, C2
• Process
• Script
• 추가/수정된 Registry
• 추가된 Schedule
• 추가된 Powershell
•
추출된 “PAGO DeepACT IOC” 공유è
고객사의 타보안 장비와 연동 및에이전트가 설치되지 않은 단말의 멀웨어 신속 탐지 및 추가 대응방안 제시
• Firewall
• NAC
• Asset Management Solution
BlackBerry 방어
Unknown Known
PAGO DeepACT 매니지도 보안 서비스 특장점
•
이미 방어된 모든 멀웨어 다시 분석 및 IOC 추출•
이미 방어된 모든 멀웨어 정보 상세 분석•
비 관리 대상의 단말을 보호하기 위한 방법론 제공•
타 고객사와 멀웨어 정보 교환 서비스 제공 (커뮤니티)DeepACTPAGO 추가 진행
IOC 공유
고객사 타 보안솔루션 추가 대응 방안 제시
IOC & Info.
추출 가시성
확보
Unknown Known
Unmanaged 단말 Invisible 단말
PAGO DeepACT –
모든 위협 2차 분석 제공
• 보안솔루션이 이미 방어 완료한 위협에 대한, 추가 분석 및 Readable 상세정보 제시 (서비스의 출발점)
PAGO DeepACT –
정기 보고서 (월간 / 년간)
• 보안 솔루션이 탐지/차단한 모든 위협 정보 관련, 정기 보고서 제출
• 구체적인 위협 방어 현황 및 보안 지표 제공 (명확한 위협 가시성 제공)
PAGO DeepACT –
IOC 상호공유 (커뮤니티 기반)
• PAGO DeepACT 커뮤니티 가입 및 위협 인텔리전스 정보 상호공유를 희망하는 고객 대상
• 타 고객사에서 탐지한 크리티컬 위협에서 추출한 IOC 공유 서비스 (고객사 타 보안 솔루션 연동 제시)
[위 크리티컬 멀웨어에 대한, 특징/IOC 샘플]
• 멀웨어가 통신 시도하는 C&C – IP
• 멀웨어가 통신 시도하는 C&C – URL
• 멀웨어가 생성한 “서비스 이름”
• 멀웨어가 생성한 “서비스 경로”
• 멀웨어가 추가/변경한 “레지스트리” 정보
• 멀웨어가 추가한 ”스케쥴러” 정보
PAGO DeepACT –
긴급 위협 대응 서비스
• 고객사에서 랜섬웨어와 같은 크리티컬 악성 위협 탐지/방어된 경우, 긴급 위협 대응 서비스(보고서) 제공
• 고객사의 다른 보안 솔루션에 적용 가능한 “대응 권고 방안” 제시 è 보안 에코 시스템 구현
PAGO DeepACT –
온디맨드 멀웨어 분석서비스
• 고객 요청에 의한, PAGO DeepACT 온디맨드 상세 멀웨어 분석 서비스 제공
• 멀웨어 종류와 특징에 따라서, 짧게는 수시간 이내, 길게는 수일에 걸쳐서 상세 분석 서비스.
PAGO DeepACT –
고객 피드백
PAGO DeepACT –
고객 피드백
기업 업무 환경에
이미 침투해 있는위협(멀웨어) 탐지, 능동대응
기업 업무 환경에 새로이 위협(멀웨어)
침투하는탐지/격리, 능동대응
고객과 협업 및 위협 공동대응 플랫폼 구축프로텍션 극대화, 위협 클리닝, 지속적인 보안성
PAGO – 목적
PAGO – 제안
지능형 보안위협 공동대응 플랫폼
MDR-as-a-Service
SOC-as-a-Service Provider
Sales@pagonetworks.com / Tech@pagonetworks.com
매니지드 탐지 및 대응