1
인공신경망 (ANN) 기반의 악성코드 탐지 AI 솔루션과 차세대 방화벽 (NGFW) 솔루션 적용 방안
> 네트워크 ATP, 이메일 ATP와 AI 탐지 솔루션 비교 및 최적 적용 방안
> SIEM과 SOAR 연동 방안 제시
Fortinet Korea
CONFIDENTIAL
2아젠다
© Fortinet Inc. All Rights Reserved. 2
01
보안위협 탐지 기술의 역사
02
인공지능 보안 분석가 FortiAI 데모: -AI와 NGFW 연동 사례
-인공지능 보안 분석가 기능
03
SOAR 연동 방안
04
세션 요약
포티넷 솔루션체험센터
안내
© Fortinet Inc. All Rights Reserved. 3
© Fortinet Inc. All Rights Reserved. 3
CONFIDENTIAL
인공 지능(Artificial Intelligence)의 역사
Nearing a Century of AI
© Fortinet Inc. All Rights Reserved. 3
CONFIDENTIAL
Turing, Kleene and Church propose machine learning solution
McCullouch and Pitts create formal design of Turing’s
‘artificial neurons’
AI research heavily funded by the U. S. military
Proliferation of Expert Systems Lisp vs. PC
IBM Deep Blue beats Grand Master Kasparov in chess
AI research formally founded as a discipline at Dartmouth College
The First AI Winter
Difficulty resulted in funding cuts in US and Britain
AI applied to data mining, medical diagnosis with increased CPU power
Deep learning is achieved using faster computing, large data structures
Fortinet started product research in AI technology, first iteration of machine learning in Cybersecurity
2,700+ AI projects in place at Google
Elon Musk calls for the regulation of AI before we hit 100 years
Fortinet
FortiAI Ready to launch as a product IBM Watson
application for management decisions of lung cancer treatment
Fortinet
AutoCPRL– using ML for malware detection i.e.
machine
generated CRPL
Fortinet introduce AI in Web application Security
Fortinet
acquires Zonefox
사이버 보안 분야에서 AI 기술 적용
© Fortinet Inc. All Rights Reserved.
진화되는 공격과 패러다임의 변화
사이버 공격 패러다임
Record Stolen Reference – Breach Level Index Ransomware stats - Statista
1990-1999 2000-2001 2002-2003 2004-2005 2006-2007 2008-2009 2010-2011 2012-2014 2015-2017 2018-2019 2020+
공격 피해 산출 누적 금액
주요 사고 키워드
바이러스악성코드 네트워크 웜 스팸
피싱 웹 해킹 랜섬웨어
DDoS 봇넷 ATP Insider M2M AI-enabled
825.8M 604.2M
3.2M 1B+
연간 랜섬웨어 공격 누적 수
VPNFilter Swarmbot Wannacry
Cryptolocker Stuxnet
Conficker Zeus
Sasser Slammer
Code Red Melissa
49억 81억 89억 170억 300억
5.7조
5.4조
45억
5.7조+
6.9조+
40억
하트 블리드
쉘 쇼크 DNS 캐쉬
포이즈닝 XSS
LSASS 버퍼 오버플로우 SQL 서버
IIS 서버 SQL 버퍼
오버플로우
푸들 & SSL AI 멜트다운
블루킵
© Fortinet Inc. All Rights Reserved. 5
© Fortinet Inc. All Rights Reserved. 5
보안 위협 탐지 기술의 혁명
방법과 문제점
시그니처 기반
© Fortinet Inc. All Rights Reserved. 5 세대
• 정적 분석
• 빠른 감지 및 대응
• 알려진 공격에 대한 효과적 탐지
© Fortinet Inc. All Rights Reserved. 6
© Fortinet Inc. All Rights Reserved. 6
보안 위협 탐지 기술의 혁명
방법과 문제점
ATP 툴킷
© Fortinet Inc. All Rights Reserved. 6 세대
• 진화된 멀웨어 탐지
• 자동 멀웨어 대응
• 긴 분석 소요 시간(분 단위)
세대
© Fortinet Inc. All Rights Reserved. 7
© Fortinet Inc. All Rights Reserved. 7
보안 위협 탐지 기술의 혁명
방법과 문제점
인공지능
© Fortinet Inc. All Rights Reserved. 7 세대
• 진화된 멀웨어 탐지
• 머신 러닝 / 코드 블록 수준 분석
• 수 초 이내 분석 / 고속 분석
• 자동화된 인공지능 보안 분석
세대 세대
© Fortinet Inc. All Rights Reserved. 8
© Fortinet Inc. All Rights Reserved. 8
보안 위협 탐지 기술의 혁명
방법과 문제점
© Fortinet Inc. All Rights Reserved. 8
세대 세대 세대
Artificial Intelligence
• 진화된 멀웨어 탐지
• 머신 러닝 / 코드 블록 수준 분석
• 수 초 이내 분석 / 고속 분석
• 자동화된 인공지능 보안 분석
“ 기존 기술로 해결할 수
없는 문제를 해결하기 위해 새로운 기술을 만듭니다 .”
M. Xie, CTO Fortinet
인공지능 보안 분석가 FortiAI
-제품 개발 목표
-동작 방법
© Fortinet Inc. All Rights Reserved. 10
© Fortinet Inc. All Rights Reserved. 10
FortiAI 제품 비전 / 목표
© Fortinet Inc. All Rights Reserved. 10
ML/AI 기능을 사용한
고품질 데이터 학습 및 활용
• E.g. 분석가의 멀웨어/사건 분석
• 5년 경력의 분석가가 세부적인 분석을 위해서는 1~2주 수준의 분석시간이 걸릴 수 있음
고도화된 학습
감지 시간을 몇 분에서 몇 초 미만으로 단축
감지 시간
대폭 단축
© Fortinet Inc. All Rights Reserved. 11
FortiAI
인공지능 보안 분석가 TM
Powered by FortiAI’s Artificial Neural Networks (ANN), detects Zero Days
malware and finds Patient Zero
수 초 이내 탐지
네트워크 처리량 특징 탐지
탐지 율*
2000 억 10G
99.9% <100 ms
공격시나리오
20+
* Measured by Breaking Point malware strike pack
제공 모델: 하드웨어 GPU 어플라이언스 (또는) VM-16/32
© Fortinet Inc. All Rights Reserved. 12
© Fortinet Inc. All Rights Reserved. 12
Forti AI 동작 방식
특허 # U.S. Serial No.: 16/053,479
Single Layer of Neural Network
• Pre-trained with 20mil+ clean and malicious files
• Billions of clean and malicious features learnt
Each node (middle circles) represents an “Analyst ”
• Job function - to determine if they match a single malware feature
• Current features DB consists:
• PE features (Portable Executables) & Non-PE features
• Via techniques such as file analysis of registry values, stack status, execution flow etc.
FortiAI does not require to ‘run’ the file (versus. Sandbox needs to run the file)
Input layer (Code blocks)
Output layer (Verdict of file, Clean / Malicious)
1 Layer of ANN 6 mii+ nodes
© Fortinet Inc. All Rights Reserved. 13
© Fortinet Inc. All Rights Reserved. 13
FortiAI 동작 방식
멀웨어 탐지 워크 플로우
13 파일
바이너리 스크립트
특징 추출
(Feature Extraction)
• Text Parser (script), Disassembler (PE) engines
• De-obfuscate (난독화 제거)
• Unpack malware (멀웨어 종류별 언팩 노하우 기술력 중요)
코드 블록
코드 블록
• 파일 당 평균적 3000+
코드 블록으로 세분화 시킴 (어셈블리 / 기계 명령어 수준으로 세분화 시킴)
Input Layer Output Layer
Neural Networks (PreTrained NN)
• 특징 DB
• 6백만+ 특징 분석
• GPU/하드웨어 가속화 (HW 어플라이언스 경우이며, VM은 하드웨어 가속 불가)
특징 비교
• 비교
• 갯수
• 우선순위화
평결
Downloader
결과 = 악성 (or 클린)
특징 탐지 # e.g.
• Downloader = 26
• Trojan features = 5
• Ransomware = 2
© Fortinet Inc. All Rights Reserved. 14
© Fortinet Inc. All Rights Reserved. 14
속임수
합법적인 프로그램을 사용하여 PC를 감염시킴.
(예: using Javascript, PowerShell)
탐지 회피 악성
FortiAI 파일리스 멀웨어 탐지
파일리스 멀웨어란?
하드 드라이브에 파일 / 로그와 같은 흔적을 남기지 않음.
(예: 파일리스)
스크립트를 통해서 추가적인 악성 코드가 메모리에서 실행됩니다
© Fortinet Inc. All Rights Reserved. 15
© Fortinet Inc. All Rights Reserved. 15
FortiAI가 효과적으로 탐지하는 코드 블록 타겟 예시 : 다운로더, 드롭퍼
FortiAI 파일리스 멀웨어 탐지
파일리스 공격 단계
1. 피싱 링크
Internet
4. 다운로드
scripts/executables
SMB
6. 네트워크 전파 2. 익스플로잇 대상
프로그램 (MS 워드, VBA, 자바 스크립트 등)
3. 파워쉘 실행,
다운로더가 멀웨어 추가 코드를 다운로드 시도
메모리로 다운로드하여 encrypt와 decrypt 자체 실행 (많은 보안벤더사가 기술 개발 노력하는 부분)
5. 감염된 PC
자동 실행 레지스트리 및 지속화를 위한 조치© Fortinet Inc. All Rights Reserved. 16
© Fortinet Inc. All Rights Reserved. 16
FortiAI 학습 데이터
클린과 악성 패턴 내장한 특징 DB (Features DB)
OUTPUT INPUT
선택된 샘플 파일
(알려진 클린과 악성 파일)
특징
• FortiGuard 연구소에서 이미 학습된 클린과 악성 파일을 포함한 2천만 개 이상의 파일을 이용하여 사전 학습 수행
• 신규 출현한 멀웨어 악성코드 학습 결과물에 대한 업데이트 제공
Neural Network
FortiGuard 서비스를 통해서, FortiAI의Features DB 업데이트 (기본: Weekly-based)
© Fortinet Inc. All Rights Reserved. 17
© Fortinet Inc. All Rights Reserved. 17
3c. New Clean/Malicious extracted
into Customers Features DB (new features learnt)
2a. Customer
Clean or Malicious files
왜 온프레미스 자가 학습이 필요한가?
목적: 오탐 최소화 &
새로운 Indicators * 탐지 (악성 및 클린 코드)
1.
알려진 악성코드를이미 학습된 Features DB를 통하여 탐지
2.
클린/악성 파일을 탐지3.
사용자 특징 DB 업데이트 됨 (새로운 특징을 배울 때)4.
새로운 특징 DB 를 이용하여FortiAI DB 와 같이 악성코드 탐지
”On-Prem” 자가 학습 (차별화 포인트)
‘클라우드 기반 AI’ 적용이 불가능한 고객 환경 지원 (예: 폐쇄망) 2b. Verdict =
Clean / Malicious1b. FortiAI Customers Features DB
(empty initially)1a.
FortiAI with Clean and MaliciousFeatures DB
3a Feature
Extraction(FortiAI가 내장한 코드블록에 일치하지 않는 Feature를 가진 파일이 발견될 경우)
3b. Customers
Features DB Updated3d. Discard seen/unqualified Features
* 예: 48시간 후 5개 이상의 워너크라이 변종 악성코드가 출현한 케이스와 같은 상황에서 유효한 기술입니다
© Fortinet Inc. All Rights Reserved. 18
© Fortinet Inc. All Rights Reserved. 18
FortiAI 인공지능 버추얼 보안 분석가 TM
시나리오 기반의 멀웨어 분석 기능
버추얼 보안 분석가 – 20+ 공격 시나리오 탐지
• 랜섬웨어, 드로퍼, PWS (비밀번호 탈취 악성코드), CoinMiner, 은행 트로잔, 파일리스 공격, 등
• 아래 질문에 대한 답을 제시합니다 :
• 어떤 유형의 멀웨어 공격을 받고있나요?
• 멀웨어의 의도는 무엇인가요?
• 왜 악의적인가요?
(바이러스토탈과 같은 외부 평판DB은 클린/악성 여부 판단에 참조할 수 있지만, 해당 멀웨어가 과거 어떤 캠페인에
이용되었고, 목적이 무엇이었는지를 알려줄 수 없습니다.
FortiAI는 오랜 경험과 숙련된 기술력을 가진 악성코드
분석가의 노하우를 반영한 ANN 기술을 통하여 버추얼 보안 분석가 역할을 수행합니다)
• 로그에 특징 “Tagging” 가능
© Fortinet Inc. All Rights Reserved. 18 Downloader Redirector Dropper Ransomware Worm
Password
Stealer RootKit Banking
Trojan InfoStealer Exploit
Clicker Virus Application CoinMiner DoS
BackDoor WebShell
Search Engine Poisioning
Proxy Trojan
Phishing Fileless Wiper Industroyer
© Fortinet Inc. All Rights Reserved. 19
© Fortinet Inc. All Rights Reserved. 19
Finding “Patient Zero”
악성코드 전파가 시작된 출발지 분석
• 워너크라이 랜섬웨어와 같이 SMB 네트워크를 통해 멀웨어가 다른 PC로 확산
• FortiAI 버추얼 보안 분석가(VSA)의 시나리오 기반 엔진 (악성코드 동작 방식과 시간대별 공격 패턴을 인지) 을 통해서 네트워크 경로를 통한 시간대별 감염 패턴 분석
• 버추얼 보안 분석가(VSA) 기술을 통해서, 수 초 이내 공격 출발지 추적 결과 제시
FortiAI 버추얼 보안 분석가 TM
공격 출발지 추적 기술
Worm Spread Patient Zero SMB
© Fortinet Inc. All Rights Reserved. 20
© Fortinet Inc. All Rights Reserved. 20
보안 분석가 또는 보안의 비용 – 사람 vs FortiAI
사람 vs FortiAI 탐지 성능 시계열 그래프
FortiAI Artificial Neural Network
사전 교육 되어 있음
Further learning 사용자 환경 학습
Training phase(s) Goal 높은 탐지율
낮은 오탐율 false +ve FortiGuard Updates ANN 업데이트
최신 위협 탐지
*Detection Rate on FortiGuard QA samples
데모 :
-AI 탐지 결과와 NGFW 차단 정책 연동 사례
-인공지능 보안 분석가 기능 Virtual Security Analyst
TMCONFIDENTIAL
© Fortinet Inc. All Rights Reserved. 2222데모 시나리오
1. 수 초 이내 악성코드 탐지 소요 시간과 격리 시키기
• 자동화 탐지+차단 업무 연동을 위한 프레임워크
2. 최신 악성코드 멀웨어 공격 사고 검색 기능과 유사 이벤트 연관 분석 기능 (AI 기반 가상 보안 분석가 TM )
• 최신 보안 사고 관련성 검색
• 유사 이벤트 연관 분석 Similarity Engine
3. 신속한 멀웨어 샘플 업로드 및 분석 기능
• 수동 업로드
• REST API 업로드
내부 직원 망 서버 팜
스위치 라우터
차세대방화벽
(Threat Protection enabled) 트래픽 미러링
(Sniffer Input)
인공지능 보안 분석가
HTTP/SMBv2 SMTP/POP/IMAP
보안 인시던트 분석 대응팀
(포티넷 방화벽 경우) SSL 복호화 / API 연동으로 악성코드
파일 수집
악성코드 샘플 업로드 API
Outbound API로 방화벽 차단 정책 수행
감염 PC 차단
CONFIDENTIAL
23© Fortinet Inc. All Rights Reserved. 2424
참고 자료 : 데모 화면
SOAR 연동 방안 제시
26
Security Operations Center(SOC) Challenge
Icon made by Sherzod Mirzaakhmedovfromwww.flaticon.com
Ecosystem Complexity Slows Response and Mitigation
Questions
• 조직 내 모든 경고를 분석 할수 있도록 SOC 팀 인원을 확보 할 수 있는가?
• 업무 프로세스를 추가하면 모든 경고를 대응 할 수 있는가?
SOC 업무 자동화가 가능한 지능형 보안관제 플랫폼 필요
조직 내 보안 시스템의 지속적인 증가너무 많은 이벤트
전문 인력 부족
반복 업무 증가, 수동 & 느린 대응
Too many Alert Disparate tools
Advanced Threat Staff shortages
Repetitive tasks
빠르게 복잡해지고 고도화 되는 위협
27
Icon made by Sherzod Mirzaakhmedovfromwww.flaticon.com
SOC Incident Response Workflow#1 : 탐지된 침해정보 분석 업무(Network IOC Analysis)
FortiSOAR Human
SOAR 사용 시, 최대 98% 효율 증가
10 ~ 70 Minutes
~ 1 Minute
1~5 Mins 1~5 Mins 1~10 Mins 1~10 Mins 1~10 Mins 0~20 Mins 5~10 Mins
FortiSOAR Human
!!
3rdPartySolutions
Alert 발생
IOC 추출 (Attacker IP, Domain etc) Alert 유형
분석, 우선 순위 파악
외부 평판 분석
Geolocation IP 분석
Whois IP 분석
타 장비 연계 분석
차단 정책 적용
Automation
Mean Time To Response
1 10 20 30 40 50 60 70
Min Finish
Finish
MTTR(Mean Time To Response) 소요 시간 비교
TOTAL TIME Start to Finish
Time(Minutes)
유즈케이스: SOAR를 통한 탐지 대응 시간 단축 효과
28
포티넷 FortiSOAR와 차세대방화벽 연동 플레이북
SOC Incident Response Workflow#1 : 탐지된 침해정보 분석 업무(Network IOC Analysis)
악성 판단 분기
정보 취합 승인 및 차단
평판 조회
시작
차단 액션
차단 액션 API를 이용한, 차세대방화벽 URL 차단 정책 적용 화면
29 Automation
Icon made by Sherzod Mirzaakhmedovfromwww.flaticon.com
Sandbox
SOC Incident Response Workflow#3 : 알려지지 않은 의심스러운 파일 분석 업무(Unknown File Analysis)
EPP 자동 격리
AV 벤더사 분석 결과
수령 AV 벤더사
샘플 제출 Suspicious
File 탐지
IOC 추출 (URL, Hash,
etc)
예외처리 또는 치료 및 차단
1~2 Mins 2~5 Mins 1~10 Mins 1~10 Mins 120~1440 Mins 5~20 Mins
FortiSOAR Human
외부 평판 분석
130 ~ 1487 Minutes
~ 6 Minutes
TOTAL TIME Start to Finish X
X
FortiSOAR Human
FortiSOAR 사용 시, 최대 99% 효율 증가
Mean Time To Response
10
Min Finish
Finish
MTTR(Mean Time To Response) 소요 시간 비교
Time(Minutes)
30 50 70 . . . . 1100 1300 1500
유즈케이스: 악성코드 탐지에 소요되는 샌드박스 시간
30 Automation
Icon made by Sherzod Mirzaakhmedovfromwww.flaticon.com
Sandbox
SOC Incident Response Workflow#3 : 알려지지 않은 의심스러운 파일 분석 업무(Unknown File Analysis)
EPP 자동 격리
AV 벤더사 분석 결과
수령 AV 벤더사
샘플 제출 Suspicious
File 탐지
IOC 추출 (URL, Hash,
etc)
예외처리 또는 치료 및 차단
1~2 Mins 2~5 Mins 1~10 Mins 1~10 Mins 120~1440 Mins 5~20 Mins
FortiSOAR Human
외부 평판 분석
130 ~ 1487 Minutes
~ 6 Minutes
TOTAL TIME Start to Finish X
X
FortiSOAR Human
FortiSOAR 사용 시, 최대 99% 효율 증가
Mean Time To Response
10
Min Finish
Finish
MTTR(Mean Time To Response) 소요 시간 비교
Time(Minutes)
30 50 70 . . . . 1100 1300 1500
유즈케이스: 악성코드 탐지 결과 소요 시간 비교 ‘샌드박스 vs. AI 분석가’
AI 탐지 기술을 통해서 1분 이내로 단축 AI 악성코드
탐지 분석가
© Fortinet Inc. All Rights Reserved. 31
© Fortinet Inc. All Rights Reserved. 31
요약
내부 직원 망 서버 팜
스위치 라우터
방화벽
트래픽미러링
인공지능 보안 분석가
HTTP/SMBv2
샌드박스
보안 인시던트 분석 대응팀 SOAR
• 급부상 하고있는 악성코드 APT 공격 탐지용 인공지능 보안 탐지 분석 솔루션 필요성.
• ‘샌드박스 vs. 인공지능 보안분석가’ 악성코드 탐지 및 대응 시간 차이점의 이해 필요.
• 인공지능 보안과 차세대방화벽 차단 기능 필요.
• 일반 방화벽: 악성코드 탐지 기능/차단 정책 미지원
• 차세대 방화벽: 악성코드 탐지 기능/차단 정책 지원
• SOAR 유즈케이스:
• 인공지능 보안분석 탐지 결과에 대한 정합성 검증
• 인시던트 처리와 보안 오케스트레이션 자동화를 통한 신속한 대응 시간 확보
포티넷 방화벽일 경우, SSL 복호화 및 API
연동 지원
© Fortinet Inc. All Rights Reserved. 32
© Fortinet Inc. All Rights Reserved. 32
포티넷 코리아, 솔루션 체험 센터, 신청 안내
FortiAI FortiSOAR