MDR 서비스 보안위협 공동대응 방향성 제시

(1)

권영목 대표 / Paul Kwon

파고네트웍스 / PAGO Networks, Inc.

PAGO

MDR 서비스

보안위협 공동대응 방향성 제시

매니지드 탐지 및 대응(MDR) 센터

(2)

파고네트웍스 ?

(3)

PAGO 제안 전략

글로벌 벤더 #1 #1

혁신적 실용 기술 프로젝트 방법론

탐지 및 대응 매니지드 서비스

고객

기획 정책 운영

+

관제 보안제품

가상 MDR . 가상 SOC

Protecting Enterprise For “IT, OT/ICS” Security

Trusted Security Advisor

글로벌 벤더

(4)

매니지드 탐지 및 대응 센터

MDR-as-a-Service | SOC-as-a-Service

Machine Learning AI 엔드포인트 프로텍션 플랫폼

PAGO 포트폴리오 - 제품 + MDR 서비스

NW 트래픽 이벤트 로그 원시데이터

Open XDR 플랫폼

Deep Learning AI

엔드포인트 프로텍션 플랫폼

(5)

PAGO – MDR 서비스 기반 모듈

DeepACT 대쉬보드/콘솔 (현재, 프로토타입 개발 및 파고 리서치팀 사용중, 향후 상품화 예정)

• 위협에 대한, 실질적인 정보

• 위협 카테고리 정확한 정보

• 위협에 대한, 추가 정보

• IOC 추출 및 DB화

DeepACT IOC, TIDB

타 보안 솔루션 연동 체계

제안한 보안 솔루션이 탐지/방어한 모든 위협에 대해서, 다시..

• 추가 분석

• 추가 조사

• 크리티컬 IOC 추출

• 대응 방법론 제시

• 치료 방법론 제시

DeepACT 커뮤니티

(IOC/위협정보 상호공유)

TIDB (Threat Insight DB) / IOC 추출 및 연동

(고객사 타 보안 솔루션)

•

목적 – 빠른 위협 탐지 및 대응 For ...

ü Unmanaged 디바이스 ü Invisible 디바이스

• Firewall

• EPP / EDR

• NTA / NDR

• SIEM / SOAR

• Email Security

• Asset Mgmt

• NAC

• HR DB

• Active Directory

멀웨어 정보 상호공유 커뮤니티 구성

(90% 고객 – 커뮤니티 가입 및 에코시스템 구축)

• Threat Intelligence DB

• IOC DB

• Threat Analysis Reports

•

For

PAGO Customers

(DeepACT Community)

•

For

Non-PAGO Customers

DeepACTOR

(Threat Research /분석가)

DeepACT 대쉬보드 / 콘솔

(6)

PAGO 특허 (Patent)

PAGO DeepACT

매니지드 탐지 및 대응 서비스 플랫폼

엔드포인트에 기반한 관리형 탐지 및 대응

시스템과 방법

(7)

PAGO DeepACT – MDR 서비스 레퍼런스

(8)

보안고도화

다양한 솔루션 부문

(9)

오늘 주제를 위한, 위협대상 생각해 봅시다

위협(공격) 기반

^è

MALxx with File-xx Threat

• MAL ware

• MALicous Activities

with • File-based Threat

• File-less Threat

(10)

EPP (Endpoint Protection Platform)

EDR (Endpoint Detection & Response)

NDR (Network Detection & Response)

XDR (eXtended Detection & Response)

SOAR (Security Orchestration, Automation & Response)

TIP (Threat Intelligence Platform)

TH (Threat Hunting) // Investigation

MDR (Managed Detection & Response)

위협 대비, 보안고도화 솔루션 부문

제품 솔루션 플랫폼

추가 기능 서비스

(11)

보안 운영팀 / 보안 기술팀 / 보안관제센터(SOC) / IR팀

Investigation

(조사)

Threat Intelligence

(위협 인텔리전스) Threat Hunting

(위협 헌팅)

보안고도화 솔루션 – 알기 쉽게 배치

보호할

정보 / 자산 / 인프라 위협

“예방, 차단 // 탐지, 조사, 대응” 솔루션

EPP EDR NDR XDR SOAR

MDR-as-a-Service

(by MDR 서비스 전문 프로바이더) 공동 대응 / 협업 능동 대응 기업

고객사

외부 전문

서비스

(12)

보안고도화

방향성 및 동향 솔루션

(13)

EPP / EDR 부문 - 1

•

EPP / EDR 제품 통합, 또는 병행 사용 추세

(14)

EPP / EDR 부문 - 2

•

EPP / EDR 제품 구성 사례

(15)

NDR 부문 - 1 (가트너 재정의)

•

탐지(Detection) 부문, 제품 역량 재정의

o Non-Signature 기술

o 머신러닝 또는 별도 정황 분석(Analytics) 기술 o Raw 트래픽 또는 Flow 레코드 분석

o 의심스러운 트래픽 패턴 발생 시, 경고(Alert) 발생 o North/South

+

East/West 트래픽, 모두 모니터링 o 위협 모델링 (Threat Modeling)

•

대응 (Response) 부문, 제품 역량 재정의

o 자동 대응 (방화벽 연동 및 트래픽 차단 등)

o 수동 대응 (위협헌팅 및 인시던트 분석 기능 제공)

2019년

2020년

(16)

NDR 부문 – 2 (벤더사별 확장 방향성)

•

NDR 솔루션 벤더의 추가 기능 방향성 인정

o Encrypted Suspicious Traffiic 탐지 기능 채택

ü Without Decryption (대부분의 NDR 벤더에서 채택) ü 의심스러운 SSL / TLS 서버 인증서 탐지

ü 개별 TLS 패킷 사이즈 검사

ü 개별 TLS 패킷 사이의, 통신 시간 검사 ü TLS 세션 연결 시간 검사

o 대응 (

Response) 부문의 기능 확장

ü Firewall(트래픽 차단), NAC(Quarantine), EDR(Containment), SOAR(Playbook)

ü 자체

Threat Hunting

기능,

Incident Response(IR) 기능

(17)

eXtended

???

•

eXtended Detection & Response

XDR 부문

(18)

• EPP / EDR

NTA / NDR

XDR 부문

(19)

XDR 부문

•

(20)

SOAR 부문

• Security Orchestration, Automation & Response

ü 단일 플랫폼 기반, 사고 대응

ü 오케스트레이션 자동화 (기존 워크플로우 조정 및 자동화) ü 위협 인텔리전스 연동, 공유, 관리

ü 각종 보안솔루션 보안이벤트 분석 효율화 ü 보안 분석업무 / 대응 효율화 및 자동화 목적 ü 시나리오 기반, 대응 매뉴얼 수립

ü 전담 인력 / 전문가 필요

(21)

보안고도화 솔루션

자체만으로 충분한가?

고려사항 존재하는가? 아니면,

(22)

다시 한번 짚어 보겠습니다.

보안 운영팀 / 보안 기술팀 / 보안관제센터(SOC) / IR팀

Investigation

(조사)

Threat Intelligence

(위협 인텔리전스) Threat Hunting

(위협 헌팅)

보호할

정보 / 자산 / 인프라 위협

“예방, 차단 // 탐지, 조사, 대응” 솔루션

EPP EDR NDR XDR SOAR

MDR-as-a-Service

(by MDR 서비스 전문 프로바이더)

공동 대응 능동 대응

기업 고객사

외부 전문 서비스

수년간 생각보다 도입 및 적용이 저조합니다.

최근 도입이 증가하고는 있습니다.

혹시 다른 고려할 사항이 있어서 일까요?

(23)

보안고도화 솔루션 - 도입 전제조건과 목적 ?

(Endpoint Detection & Response) EDR

(Network Detection & Response) NDR

(Security Orchestration, Automation & Response) SOAR

(eXtended Detection & Response) XDR

이미 진행/침투중인 위협을 빠르게 탐지 정확, 신속, 능동적으로 대응

위협의 체류시간 (Dwell-Time) 최대한 단축 / 제거

MDR

도입 전제조건

위협은 이미 침투했다 위협은 이미 진행중이다

(24)

보안고도화 솔루션 – “R” 의미는 무엇일까요?

(Endpoint Detection & Response) EDR

(Network Detection & Response) NDR

(Security Orchestration, Automation & Response) SOAR

(eXtended Detection & Response) XDR

(Managed Detection & Response) MDR

시스템 관점

R

Response (Automation)

• Alert

• Playbook

• Quarantine

• Kill-Process

• Logout

• Containment

전문가 관점 Response

(Manual)

• Investigation

• Threat Hunting

• Forensic

• Actionalble Answer

• Manual Response

• Alert

• Playbook

• Quarantine

• Kill-Process

• Logout

• Containment

도입 전제조건

위협은 이미 침투했다 위협은 이미 진행중이다

고려할 사항.

적용 쉽지않다.

도입 걸림돌.

(25)

보안고도화 솔루션 도입 시, 고려 사례 1

•

EDR 도입 전, 현혹시키는 데모 시나리오

• 테스트 당자사는 “이미 알고 있는 멀웨어 사용” (예 : 랜섬웨어)

• Fileless Attack 의 경우도, “이미 알고 있는 시나리오 사용” (예 : 위 그림)

• 어떤 위협이,

• 어떤 메뉴 경로에,

• 어떤 단계로 헌팅(?)하면 되는지 ...

• 모두 알고 있음

(26)

보안고도화 솔루션 도입 시, 고려 사례 2

•

EDR – 위협 탐지 이벤트를 모두 위협으로 간주할 수 없으나, 들여다 보는 프로세스는 필요하다.

(27)

솔루션 도입 시, 고려해볼 사례 3

•

NDR –

”저희 솔루션이 아래와 같이 위협을 탐지했습니다”

그리고 “끝^”

Not Only 위협 트래픽 가시성 확보

But Also

사후조사 방안 대응액션 가이드

•

고객은 “정확한 사유, 침투과정, 대응방안 수립이 더 고민 !!”

(28)

보안고도화 솔루션

MDR 서비스 +

(29)

보안제품 벤더사는 ? (제품 + MDR)

(30)

MDR 플랫폼 및 서비스 전문 프로바이더

(31)

MDR 서비스 프로바이더는 ....

[Sid Deshpande - Research Director, Gartner]

Gartner Security and Risk Management Summit 2018

•

기존 보안관제서비스(MSSP)와 차별화

ü 이벤트 모니터링 및 대응 (Near-realtime-Remediation) ü Managed EDR à MDR 의 일부임

ü Remidation / Recovery + “정확한 분석과정” 제공 필요 ü Quarantine / Process Kill 등이, Response 역할을 다했다고

정의하면 안됨

•

MDR 프로바이더, 보유해야 할 아키텍쳐

ü 다양한 분야 위협탐지/대응 기술, 제품 ü 1차 탐지 이후, 2차 분석 플랫폼/역량 ü 이벤트, 로그, 트래픽 수집/필터링/검색 ü 상관관계 분석 기술

ü 위협 헌팅(Threat Hunting) 기술

(32)

MDR 서비스 대상 고객

보안에 투자할 여력이 없는 SMB (중소기업)

기존

NW보안 위주 보안관제서비스

중견 / 대기업

기존

SIEM / Event 위주 모니터링

중견 / 대기업

고객 내부 전문가

&

MDR 서비스 프로바이더

공동 위협 대응 프로세스 정립시키는 과정

급변하는 위협에 대한, 실질적인 탐지 및 방어 서비스 상호 협력

(33)

매니지드 탐지 및 대응

(34)

PAGO 꾸준히 나아가는 방향성

(35)

(36)

(37)

매니지드 탐지 및 대응 센터

MDR-as-a-Service | SOC-as-a-Service

Machine Learning AI 엔드포인트 프로텍션 플랫폼

PAGO = 제품,플랫폼 + MDR 서비스

NW 트래픽 이벤트 로그 원시데이터

Open XDR 플랫폼

Deep Learning AI

엔드포인트 프로텍션 플랫폼

(38)

플랫폼 1 – BlackBerry Protect

(39)

플랫폼 2 – Deep Instinct

(40)

플랫폼 3 – Stellar Cyber

EPP / EDR

NTA / NDR

이기종정형

데이터,

비정형

트래픽, 이벤트,

로그,

빅데이터 + AI + MDR SOC 플랫폼 Open XDR

플랫폼

(41)

•

2021년 1월부터, “PAGO DeepACT" MDR 센터 오픈

• BlackBerry, Deep Instinct, Stellar Cyber 플랫폼 기반... MDR 서비스 제공

• Cloud / Remote 기반 MDR 서비스

• 탐지된 위협에 대한, 능동적인 대응 서비스 제공

• 자체 Threat Intelligence 플랫폼 고도화 중 (상용 제품화 예정)

• DeepACT 커뮤니티 운영

• 살아있는 Threat Intelligence DB 공유 (DeepACT 커뮤니티)

• 모든 탐지/차단된 위협에 대한, 2차 분석 시스템 가동

• 고객사와 지속적인 “커뮤니케이션 및 협업 대응 채널” 운영

PAGO – ^특징

(42)

PAGO – MDR 서비스 기반 모듈

DeepACT 대쉬보드/콘솔 (현재, 프로토타입 개발 및 파고 리서치팀 사용중, 향후 상품화 예정)

• 위협에 대한, 실질적인 정보

• 위협 카테고리 정확한 정보

• 위협에 대한, 추가 정보

• IOC 추출 및 DB화

• 고객 보고서 자동 생성

DeepACT IOC, TIDB

타 보안 솔루션 연동 체계

제안한 보안 솔루션이 탐지/방어한 모든 위협에 대해서, 다시..

• 추가 분석

• 추가 조사

• 크리티컬 IOC 추출

• 대응 방법론 제시

• 치료 방법론 제시

DeepACT 커뮤니티

(IOC/위협정보 상호공유)

TIDB (Threat Insight DB) / IOC 추출 및 연동

(고객사 타 보안 솔루션)

•

목적 – 빠른 위협 탐지 및 대응 For ...

ü Unmanaged 디바이스 ü Invisible 디바이스

• Firewall

• EPP / EDR

• NTA / NDR

• SIEM / SOAR

• Email Security

• Asset Mgmt

• NAC

• HR DB

• Active Directory

멀웨어 정보 상호공유 커뮤니티 구성

(90% 고객 – 커뮤니티 가입 및 에코시스템 구축)

• Threat Intelligence DB

• IOC DB

• Threat Analysis Reports

•

For

PAGO Customers

(DeepACT Community)

•

For

Non-PAGO Customers

DeepACTOR

(Threat Research /분석가)

DeepACT 대쉬보드 / 콘솔

(43)

(참고)

PAGO DeepACT 서비스 접근 방식

•

Deep Instinct가 방어한 모든 멀웨어 대상으로 다시 분석, “Critical IOC” 추출

• 정확한 멀웨어 정보 제공

• 멀웨어에서 추출한 IOC 종류

• IP, URL, C2

• Process

• Script

• 추가/수정된 Registry

• 추가된 Schedule

• 추가된 Powershell

•

추출된 “PAGO DeepACT IOC” 공유

è

고객사의 타보안 장비와 연동 및

에이전트가 설치되지 않은 단말의 멀웨어 신속 탐지 및 추가 대응방안 제시

• Firewall

• NAC

• Asset Management Solution

BlackBerry 방어

Unknown Known

PAGO DeepACT 매니지도 보안 서비스 특장점

•

이미 방어된 모든 멀웨어 다시 분석 및 IOC 추출

•

이미 방어된 모든 멀웨어 정보 상세 분석

•

비 관리 대상의 단말을 보호하기 위한 방법론 제공

•

타 고객사와 멀웨어 정보 교환 서비스 제공 (커뮤니티)

DeepACTPAGO 추가 진행

IOC 공유

고객사 타 보안솔루션 추가 대응 방안 제시

IOC & Info.

추출 가시성

확보

Unknown Known

Unmanaged 단말 Invisible 단말

(44)

PAGO DeepACT –

모든 위협 2차 분석 제공

• 보안솔루션이 이미 방어 완료한 위협에 대한, 추가 분석 및 Readable 상세정보 제시 (서비스의 출발점)

(45)

정기 보고서 (월간 / 년간)

• 보안 솔루션이 탐지/차단한 모든 위협 정보 관련, 정기 보고서 제출

• 구체적인 위협 방어 현황 및 보안 지표 제공 (명확한 위협 가시성 제공)

(46)

^{IOC 상호공유} ^{(커뮤니티 기반)}

• PAGO DeepACT 커뮤니티 가입 및 위협 인텔리전스 정보 상호공유를 희망하는 고객 대상

• 타 고객사에서 탐지한 크리티컬 위협에서 추출한 IOC 공유 서비스 (고객사 타 보안 솔루션 연동 제시)

[위 크리티컬 멀웨어에 대한, 특징/IOC 샘플]

• 멀웨어가 통신 시도하는 C&C – IP

• 멀웨어가 통신 시도하는 C&C – URL

• 멀웨어가 생성한 “서비스 이름”

• 멀웨어가 생성한 “서비스 경로”

• 멀웨어가 추가/변경한 “레지스트리” 정보

• 멀웨어가 추가한 ”스케쥴러” 정보

(47)

긴급 위협 대응 서비스

• 고객사에서 랜섬웨어와 같은 크리티컬 악성 위협 탐지/방어된 경우, 긴급 위협 대응 서비스(보고서) 제공

• 고객사의 다른 보안 솔루션에 적용 가능한 “대응 권고 방안” 제시 è 보안 에코 시스템 구현

(48)

온디맨드 멀웨어 분석서비스

• 고객 요청에 의한, PAGO DeepACT 온디맨드 상세 멀웨어 분석 서비스 제공

• 멀웨어 종류와 특징에 따라서, 짧게는 수시간 이내, 길게는 수일에 걸쳐서 상세 분석 서비스.

(49)

^{고객 피드백}

(50)

^{고객 피드백}

(51)

기업 업무 환경에

이미 침투해 있는

위협(멀웨어) 탐지, 능동대응

기업 업무 환경에 새로이 위협(멀웨어)

침투하는

탐지/격리, 능동대응

고객과 협업 및 위협 공동대응 플랫폼 구축

프로텍션 극대화, 위협 클리닝, 지속적인 보안성

PAGO – ^목적

(52)

PAGO – ^제안

지능형 보안위협 공동대응 플랫폼

(53)

MDR-as-a-Service

SOC-as-a-Service Provider

Sales@pagonetworks.com / Tech@pagonetworks.com

매니지드 탐지 및 대응