• 검색 결과가 없습니다.

인공신경망

N/A
N/A
Protected

Academic year: 2022

Share "인공신경망"

Copied!
33
0
0

로드 중.... (전체 텍스트 보기)

전체 글

(1)

1

인공신경망 (ANN) 기반의 악성코드 탐지 AI 솔루션과 차세대 방화벽 (NGFW) 솔루션 적용 방안

> 네트워크 ATP, 이메일 ATP와 AI 탐지 솔루션 비교 및 최적 적용 방안

> SIEM과 SOAR 연동 방안 제시

Fortinet Korea

(2)

CONFIDENTIAL

2

아젠다

© Fortinet Inc. All Rights Reserved. 2

01

보안위협 탐지 기술의 역사

02

인공지능 보안 분석가 FortiAI 데모: -AI와 NGFW 연동 사례

-인공지능 보안 분석가 기능

03

SOAR 연동 방안

04

세션 요약

포티넷 솔루션체험센터

안내

(3)

© Fortinet Inc. All Rights Reserved. 3

© Fortinet Inc. All Rights Reserved. 3

CONFIDENTIAL

인공 지능(Artificial Intelligence)의 역사

Nearing a Century of AI

© Fortinet Inc. All Rights Reserved. 3

CONFIDENTIAL

Turing, Kleene and Church propose machine learning solution

McCullouch and Pitts create formal design of Turing’s

‘artificial neurons’

AI research heavily funded by the U. S. military

Proliferation of Expert Systems Lisp vs. PC

IBM Deep Blue beats Grand Master Kasparov in chess

AI research formally founded as a discipline at Dartmouth College

The First AI Winter

Difficulty resulted in funding cuts in US and Britain

AI applied to data mining, medical diagnosis with increased CPU power

Deep learning is achieved using faster computing, large data structures

Fortinet started product research in AI technology, first iteration of machine learning in Cybersecurity

2,700+ AI projects in place at Google

Elon Musk calls for the regulation of AI before we hit 100 years

Fortinet

FortiAI Ready to launch as a product IBM Watson

application for management decisions of lung cancer treatment

Fortinet

AutoCPRL– using ML for malware detection i.e.

machine

generated CRPL

Fortinet introduce AI in Web application Security

Fortinet

acquires Zonefox

사이버 보안 분야에서 AI 기술 적용

(4)

© Fortinet Inc. All Rights Reserved.

진화되는 공격과 패러다임의 변화

사이버 공격 패러다임

Record Stolen Reference – Breach Level Index Ransomware stats - Statista

1990-1999 2000-2001 2002-2003 2004-2005 2006-2007 2008-2009 2010-2011 2012-2014 2015-2017 2018-2019 2020+

공격 피해 산출 누적 금액

주요 사고 키워드

바이러스악성코드 네트워크 웜 스팸

피싱 웹 해킹 랜섬웨어

DDoS 봇넷 ATP Insider M2M AI-enabled

825.8M 604.2M

3.2M 1B+

연간 랜섬웨어 공격 누적 수

VPNFilter Swarmbot Wannacry

Cryptolocker Stuxnet

Conficker Zeus

Sasser Slammer

Code Red Melissa

49억 81억 89억 170억 300억

5.7조

5.4조

45억

5.7조+

6.9조+

40억

하트 블리드

쉘 쇼크 DNS 캐쉬

포이즈닝 XSS

LSASS 버퍼 오버플로우 SQL 서버

IIS 서버 SQL 버퍼

오버플로우

푸들 & SSL AI 멜트다운

블루킵

(5)

© Fortinet Inc. All Rights Reserved. 5

© Fortinet Inc. All Rights Reserved. 5

보안 위협 탐지 기술의 혁명

방법과 문제점

시그니처 기반

© Fortinet Inc. All Rights Reserved. 5 세대

• 정적 분석

• 빠른 감지 및 대응

• 알려진 공격에 대한 효과적 탐지

(6)

© Fortinet Inc. All Rights Reserved. 6

© Fortinet Inc. All Rights Reserved. 6

보안 위협 탐지 기술의 혁명

방법과 문제점

ATP 툴킷

© Fortinet Inc. All Rights Reserved. 6 세대

• 진화된 멀웨어 탐지

• 자동 멀웨어 대응

• 긴 분석 소요 시간(분 단위)

세대

(7)

© Fortinet Inc. All Rights Reserved. 7

© Fortinet Inc. All Rights Reserved. 7

보안 위협 탐지 기술의 혁명

방법과 문제점

인공지능

© Fortinet Inc. All Rights Reserved. 7 세대

• 진화된 멀웨어 탐지

• 머신 러닝 / 코드 블록 수준 분석

• 수 초 이내 분석 / 고속 분석

• 자동화된 인공지능 보안 분석

세대 세대

(8)

© Fortinet Inc. All Rights Reserved. 8

© Fortinet Inc. All Rights Reserved. 8

보안 위협 탐지 기술의 혁명

방법과 문제점

© Fortinet Inc. All Rights Reserved. 8

세대 세대 세대

Artificial Intelligence

• 진화된 멀웨어 탐지

• 머신 러닝 / 코드 블록 수준 분석

• 수 초 이내 분석 / 고속 분석

• 자동화된 인공지능 보안 분석

기존 기술로 해결할 수

없는 문제를 해결하기 위해 새로운 기술을 만듭니다 .”

M. Xie, CTO Fortinet

(9)

인공지능 보안 분석가 FortiAI

-제품 개발 목표

-동작 방법

(10)

© Fortinet Inc. All Rights Reserved. 10

© Fortinet Inc. All Rights Reserved. 10

FortiAI 제품 비전 / 목표

© Fortinet Inc. All Rights Reserved. 10

ML/AI 기능을 사용한

고품질 데이터 학습 및 활용

• E.g. 분석가의 멀웨어/사건 분석

• 5년 경력의 분석가가 세부적인 분석을 위해서는 1~2주 수준의 분석시간이 걸릴 수 있음

고도화된 학습

감지 시간을 몇 분에서 몇 초 미만으로 단축

감지 시간

대폭 단축

(11)

© Fortinet Inc. All Rights Reserved. 11

FortiAI

인공지능 보안 분석가 TM

Powered by FortiAI’s Artificial Neural Networks (ANN), detects Zero Days

malware and finds Patient Zero

수 초 이내 탐지

네트워크 처리량 특징 탐지

탐지 율*

2000 억 10G

99.9% <100 ms

공격시나리오

20+

* Measured by Breaking Point malware strike pack

제공 모델: 하드웨어 GPU 어플라이언스 (또는) VM-16/32

(12)

© Fortinet Inc. All Rights Reserved. 12

© Fortinet Inc. All Rights Reserved. 12

Forti AI 동작 방식

특허 # U.S. Serial No.: 16/053,479

Single Layer of Neural Network

• Pre-trained with 20mil+ clean and malicious files

• Billions of clean and malicious features learnt

Each node (middle circles) represents an “Analyst

• Job function - to determine if they match a single malware feature

• Current features DB consists:

• PE features (Portable Executables) & Non-PE features

• Via techniques such as file analysis of registry values, stack status, execution flow etc.

FortiAI does not require to ‘run’ the file (versus. Sandbox needs to run the file)

Input layer (Code blocks)

Output layer (Verdict of file, Clean / Malicious)

1 Layer of ANN 6 mii+ nodes

(13)

© Fortinet Inc. All Rights Reserved. 13

© Fortinet Inc. All Rights Reserved. 13

FortiAI 동작 방식

멀웨어 탐지 워크 플로우

13 파일

바이너리 스크립트

특징 추출

(Feature Extraction)

• Text Parser (script), Disassembler (PE) engines

• De-obfuscate (난독화 제거)

• Unpack malware (멀웨어 종류별 언팩 노하우 기술력 중요)

코드 블록

코드 블록

• 파일 당 평균적 3000+

코드 블록으로 세분화 시킴 (어셈블리 / 기계 명령어 수준으로 세분화 시킴)

Input Layer Output Layer

Neural Networks (PreTrained NN)

• 특징 DB

• 6백만+ 특징 분석

• GPU/하드웨어 가속화 (HW 어플라이언스 경우이며, VM은 하드웨어 가속 불가)

특징 비교

• 비교

• 갯수

• 우선순위화

평결

Downloader

결과 = 악성 (or 클린)

특징 탐지 # e.g.

• Downloader = 26

• Trojan features = 5

• Ransomware = 2

(14)

© Fortinet Inc. All Rights Reserved. 14

© Fortinet Inc. All Rights Reserved. 14

속임수

합법적인 프로그램을 사용하여 PC를 감염시킴.

(예: using Javascript, PowerShell)

탐지 회피 악성

FortiAI 파일리스 멀웨어 탐지

파일리스 멀웨어란?

하드 드라이브에 파일 / 로그와 같은 흔적을 남기지 않음.

(예: 파일리스)

스크립트를 통해서 추가적인 악성 코드가 메모리에서 실행됩니다

(15)

© Fortinet Inc. All Rights Reserved. 15

© Fortinet Inc. All Rights Reserved. 15

FortiAI가 효과적으로 탐지하는 코드 블록 타겟 예시 : 다운로더, 드롭퍼

FortiAI 파일리스 멀웨어 탐지

파일리스 공격 단계

1. 피싱 링크

Internet

4. 다운로드

scripts/executables

SMB

6. 네트워크 전파 2. 익스플로잇 대상

프로그램 (MS 워드, VBA, 자바 스크립트 등)

3. 파워쉘 실행,

 다운로더가 멀웨어 추가 코드를 다운로드 시도

 메모리로 다운로드하여 encrypt와 decrypt 자체 실행 (많은 보안벤더사가 기술 개발 노력하는 부분)

5. 감염된 PC

자동 실행 레지스트리 및 지속화를 위한 조치

(16)

© Fortinet Inc. All Rights Reserved. 16

© Fortinet Inc. All Rights Reserved. 16

FortiAI 학습 데이터

클린과 악성 패턴 내장한 특징 DB (Features DB)

OUTPUT INPUT

선택된 샘플 파일

(알려진 클린과 악성 파일)

특징

• FortiGuard 연구소에서 이미 학습된 클린과 악성 파일을 포함한 2천만 개 이상의 파일을 이용하여 사전 학습 수행

• 신규 출현한 멀웨어 악성코드 학습 결과물에 대한 업데이트 제공

 

Neural Network

FortiGuard 서비스를 통해서, FortiAI의

Features DB 업데이트 (기본: Weekly-based)

(17)

© Fortinet Inc. All Rights Reserved. 17

© Fortinet Inc. All Rights Reserved. 17

3c. New Clean/Malicious extracted

into Customers Features DB (new features learnt)

2a. Customer

Clean or Malicious files

왜 온프레미스 자가 학습이 필요한가?

목적: 오탐 최소화 &

새로운 Indicators * 탐지 (악성 및 클린 코드)

1.

알려진 악성코드를

이미 학습된 Features DB를 통하여 탐지

2.

클린/악성 파일을 탐지

3.

사용자 특징 DB 업데이트 됨 (새로운 특징을 배울 때)

4.

새로운 특징 DB 를 이용하여

FortiAI DB 와 같이 악성코드 탐지

”On-Prem” 자가 학습 (차별화 포인트)

‘클라우드 기반 AI’ 적용이 불가능한 고객 환경 지원 (예: 폐쇄망) 2b. Verdict =

Clean / Malicious

1b. FortiAI Customers Features DB

(empty initially)

1a.

FortiAI with Clean and Malicious

Features DB

3a Feature

Extraction

(FortiAI가 내장한 코드블록에 일치하지 않는 Feature를 가진 파일이 발견될 경우)

3b. Customers

Features DB Updated

3d. Discard seen/unqualified Features

* 예: 48시간 후 5개 이상의 워너크라이 변종 악성코드가 출현한 케이스와 같은 상황에서 유효한 기술입니다

(18)

© Fortinet Inc. All Rights Reserved. 18

© Fortinet Inc. All Rights Reserved. 18

FortiAI 인공지능 버추얼 보안 분석가 TM

시나리오 기반의 멀웨어 분석 기능

버추얼 보안 분석가 20+ 공격 시나리오 탐지

• 랜섬웨어, 드로퍼, PWS (비밀번호 탈취 악성코드), CoinMiner, 은행 트로잔, 파일리스 공격, 등

• 아래 질문에 대한 답을 제시합니다 :

• 어떤 유형의 멀웨어 공격을 받고있나요?

• 멀웨어의 의도는 무엇인가요?

• 왜 악의적인가요?

(바이러스토탈과 같은 외부 평판DB은 클린/악성 여부 판단에 참조할 수 있지만, 해당 멀웨어가 과거 어떤 캠페인에

이용되었고, 목적이 무엇이었는지를 알려줄 수 없습니다.

FortiAI는 오랜 경험과 숙련된 기술력을 가진 악성코드

분석가의 노하우를 반영한 ANN 기술을 통하여 버추얼 보안 분석가 역할을 수행합니다)

• 로그에 특징 “Tagging” 가능

© Fortinet Inc. All Rights Reserved. 18 Downloader Redirector Dropper Ransomware Worm

Password

Stealer RootKit Banking

Trojan InfoStealer Exploit

Clicker Virus Application CoinMiner DoS

BackDoor WebShell

Search Engine Poisioning

Proxy Trojan

Phishing Fileless Wiper Industroyer

(19)

© Fortinet Inc. All Rights Reserved. 19

© Fortinet Inc. All Rights Reserved. 19

Finding “Patient Zero”

악성코드 전파가 시작된 출발지 분석

• 워너크라이 랜섬웨어와 같이 SMB 네트워크를 통해 멀웨어가 다른 PC로 확산

• FortiAI 버추얼 보안 분석가(VSA)의 시나리오 기반 엔진 (악성코드 동작 방식과 시간대별 공격 패턴을 인지) 을 통해서 네트워크 경로를 통한 시간대별 감염 패턴 분석

• 버추얼 보안 분석가(VSA) 기술을 통해서, 수 초 이내 공격 출발지 추적 결과 제시

FortiAI 버추얼 보안 분석가 TM

공격 출발지 추적 기술

Worm Spread Patient Zero SMB

(20)

© Fortinet Inc. All Rights Reserved. 20

© Fortinet Inc. All Rights Reserved. 20

보안 분석가 또는 보안의 비용 – 사람 vs FortiAI

사람 vs FortiAI 탐지 성능 시계열 그래프

FortiAI Artificial Neural Network

사전 교육 되어 있음

Further learning 사용자 환경 학습

Training phase(s) Goal 높은 탐지율

낮은 오탐율 false +ve FortiGuard Updates ANN 업데이트

최신 위협 탐지

*Detection Rate on FortiGuard QA samples

(21)

데모 :

-AI 탐지 결과와 NGFW 차단 정책 연동 사례

-인공지능 보안 분석가 기능 Virtual Security Analyst

TM

(22)

CONFIDENTIAL

© Fortinet Inc. All Rights Reserved. 2222

데모 시나리오

1. 수 초 이내 악성코드 탐지 소요 시간과 격리 시키기

• 자동화 탐지+차단 업무 연동을 위한 프레임워크

2. 최신 악성코드 멀웨어 공격 사고 검색 기능과 유사 이벤트 연관 분석 기능 (AI 기반 가상 보안 분석가 TM )

• 최신 보안 사고 관련성 검색

• 유사 이벤트 연관 분석 Similarity Engine

3. 신속한 멀웨어 샘플 업로드 및 분석 기능

• 수동 업로드

• REST API 업로드

내부 직원 망 서버 팜

스위치 라우터

차세대방화벽

(Threat Protection enabled) 트래픽 미러링

(Sniffer Input)

인공지능 보안 분석가

HTTP/SMBv2 SMTP/POP/IMAP

보안 인시던트 분석 대응팀

(포티넷 방화벽 경우) SSL 복호화 / API 연동으로 악성코드

파일 수집

악성코드 샘플 업로드 API

Outbound API로 방화벽 차단 정책 수행

감염 PC 차단

(23)

CONFIDENTIAL

23

(24)

© Fortinet Inc. All Rights Reserved. 2424

참고 자료 : 데모 화면

(25)

SOAR 연동 방안 제시

(26)

26

Security Operations Center(SOC) Challenge

Icon made by Sherzod Mirzaakhmedovfromwww.flaticon.com

 Ecosystem Complexity Slows Response and Mitigation

Questions

조직 내 모든 경고를 분석 할수 있도록 SOC 팀 인원을 확보 할 수 있는가?

업무 프로세스를 추가하면 모든 경고를 대응 할 수 있는가?

 SOC 업무 자동화가 가능한 지능형 보안관제 플랫폼 필요

조직 내 보안 시스템의 지속적인 증가

너무 많은 이벤트

전문 인력 부족

반복 업무 증가, 수동 & 느린 대응

Too many Alert Disparate tools

Advanced Threat Staff shortages

Repetitive tasks

빠르게 복잡해지고 고도화 되는 위협

(27)

27

Icon made by Sherzod Mirzaakhmedovfromwww.flaticon.com

 SOC Incident Response Workflow#1 : 탐지된 침해정보 분석 업무(Network IOC Analysis)

FortiSOAR Human

SOAR 사용 시, 최대 98% 효율 증가

10 ~ 70 Minutes

~ 1 Minute

1~5 Mins 1~5 Mins 1~10 Mins 1~10 Mins 1~10 Mins 0~20 Mins 5~10 Mins

FortiSOAR Human

!!

3rdParty

Solutions

Alert 발생

IOC 추출 (Attacker IP, Domain etc) Alert 유형

분석, 우선 순위 파악

외부 평판 분석

Geolocation IP 분석

Whois IP 분석

타 장비 연계 분석

차단 정책 적용

Automation

Mean Time To Response

1 10 20 30 40 50 60 70

Min Finish

Finish

 MTTR(Mean Time To Response) 소요 시간 비교

TOTAL TIME Start to Finish

Time(Minutes)

유즈케이스: SOAR를 통한 탐지 대응 시간 단축 효과

(28)

28

포티넷 FortiSOAR와 차세대방화벽 연동 플레이북

 SOC Incident Response Workflow#1 : 탐지된 침해정보 분석 업무(Network IOC Analysis)

악성 판단 분기

정보 취합 승인 및 차단

평판 조회

시작

차단 액션

 차단 액션 API를 이용한, 차세대방화벽 URL 차단 정책 적용 화면

(29)

29 Automation

Icon made by Sherzod Mirzaakhmedovfromwww.flaticon.com

Sandbox

 SOC Incident Response Workflow#3 : 알려지지 않은 의심스러운 파일 분석 업무(Unknown File Analysis)

EPP 자동 격리

AV 벤더사 분석 결과

수령 AV 벤더사

샘플 제출 Suspicious

File 탐지

IOC 추출 (URL, Hash,

etc)

예외처리 또는 치료 및 차단

1~2 Mins 2~5 Mins 1~10 Mins 1~10 Mins 120~1440 Mins 5~20 Mins

FortiSOAR Human

외부 평판 분석

130 ~ 1487 Minutes

~ 6 Minutes

TOTAL TIME Start to Finish X

X

FortiSOAR Human

FortiSOAR 사용 시, 최대 99% 효율 증가

Mean Time To Response

10

Min Finish

Finish

 MTTR(Mean Time To Response) 소요 시간 비교

Time(Minutes)

30 50 70 . . . . 1100 1300 1500

유즈케이스: 악성코드 탐지에 소요되는 샌드박스 시간

(30)

30 Automation

Icon made by Sherzod Mirzaakhmedovfromwww.flaticon.com

Sandbox

 SOC Incident Response Workflow#3 : 알려지지 않은 의심스러운 파일 분석 업무(Unknown File Analysis)

EPP 자동 격리

AV 벤더사 분석 결과

수령 AV 벤더사

샘플 제출 Suspicious

File 탐지

IOC 추출 (URL, Hash,

etc)

예외처리 또는 치료 및 차단

1~2 Mins 2~5 Mins 1~10 Mins 1~10 Mins 120~1440 Mins 5~20 Mins

FortiSOAR Human

외부 평판 분석

130 ~ 1487 Minutes

~ 6 Minutes

TOTAL TIME Start to Finish X

X

FortiSOAR Human

FortiSOAR 사용 시, 최대 99% 효율 증가

Mean Time To Response

10

Min Finish

Finish

 MTTR(Mean Time To Response) 소요 시간 비교

Time(Minutes)

30 50 70 . . . . 1100 1300 1500

유즈케이스: 악성코드 탐지 결과 소요 시간 비교 ‘샌드박스 vs. AI 분석가’

AI 탐지 기술을 통해서 1분 이내로 단축 AI 악성코드

탐지 분석가

(31)

© Fortinet Inc. All Rights Reserved. 31

© Fortinet Inc. All Rights Reserved. 31

요약

내부 직원 망 서버 팜

스위치 라우터

방화벽

트래픽미러링

인공지능 보안 분석가

HTTP/SMBv2

샌드박스

보안 인시던트 분석 대응팀 SOAR

• 급부상 하고있는 악성코드 APT 공격 탐지용 인공지능 보안 탐지 분석 솔루션 필요성.

• ‘샌드박스 vs. 인공지능 보안분석가’ 악성코드 탐지 및 대응 시간 차이점의 이해 필요.

• 인공지능 보안과 차세대방화벽 차단 기능 필요.

• 일반 방화벽: 악성코드 탐지 기능/차단 정책 미지원

• 차세대 방화벽: 악성코드 탐지 기능/차단 정책 지원

• SOAR 유즈케이스:

• 인공지능 보안분석 탐지 결과에 대한 정합성 검증

• 인시던트 처리와 보안 오케스트레이션 자동화를 통한 신속한 대응 시간 확보

포티넷 방화벽일 경우, SSL 복호화 및 API

연동 지원

(32)

© Fortinet Inc. All Rights Reserved. 32

© Fortinet Inc. All Rights Reserved. 32

포티넷 코리아, 솔루션 체험 센터, 신청 안내

FortiAI FortiSOAR

(33)

감사합니다.

참조

관련 문서

BeyondTrust 엔드포인트 권한 관리 솔루션은 관리 권한을 제거하고 패스워드 없는 접근 방식을 취함으로써 공격 경로를 대폭 줄이고 보안 침해 가능성을

차세대 방화벽 보안 웹 게이트웨이 ATP: 지능형 위협 방어 클라우드 및 모바일 보안 Cloud 최적화. WAN 최적화 Global Route 최적화

제생에너지발전비중 Case별 태양광, 풍력용 량, 시간대별 재생에너 지 발전량 추정. Case별 시간대별

즉, 기존의 전략 교수에서는 상위인지 지식의 일부인 전략만을 학습 자에게 제시하고 이를 모방하도록 한 반면, 인지 점검 모형은 전략을 포 함한

본 연구의 주요 내용은 여러 APT 공격 전후 상황 정보들을 분석하여, APT 공격 온톨로지를 설계하며, 설계된 온톨로지를 기반으로 APT 공격 추 론 규칙을 적용하여

기존 유사 도 분석 방법은 변종 악성코드 추론의 한계성을 보이지만 본 논문에서 제안한 API 함수 패턴을 프로세스 마이닝을 이용한 방법은 비정상 행위 패턴 추출

결과적으로 본 연구를 통해서 개발된 이온빔 분석 시스템은 양성자 방사화 분석(PAA) 을 이용한 암석 중 동위원소 존재비 측정을 통해 지질학적 이용 분야에 활용 가능할 것이며

이에 관련 공공기관(BPA) 및 유관기관(포워딩, 선사, 운영사, 운송사 등)의 인터뷰를 통해 부산항 환적 화물 흐름 패턴 분석, 부산항 환적화물 이상 감지