시간/장소
2020년 5월 28일 / K호텔 2F 가야금홀
주최자
데일리시큐. 관련 기업들이 참여 자신들의 회사와 제품을 설명하는 그러니까 영업의 장. 어쩐지 참가비가 없더라니. 중식은 제공 안하지만 1일 주차 제공 및 각종 편의 시설이 좋았습니다. 주최자 및 참여사 여러분들 수고하셨습니다.
어제 큰 기대 없이 참여, 중간에 튀어야 겠다 생각했으나 내용이 좋아서 끝까지 남아 모두 참관하고 왔습니다. 결코 경품이 탐나선 아닙..
인공지능을 활용한 Unknown Unknowns 탐지 방법 및 사례 소개
DARKTRACE/윤용관 차장
DARKTRACE 인공지능 분석가 기능? 제품? 에 대해서만 설명. 일반 보안 회사 분석가가 수작업으로 하던 분석 작업을 인공지능 기반, 자동으로 분석하는 시스템.
캠브리지 대학교 수학자 200명으로 연구진이 구성된 인공지능에 바탕을 둔 제품(캠대는 왜 이리 수학자가 많은거냐)
관찰형 행위정보/측량형 행위정보/암시형 행위정보
악성행위 탐지라기 보다 포괄적으로 평소와 다른 이상 행위, 미세한 변화와 징후를 보안 관점에서 탐지하는 DARKTRACE 인공지능.
사용자가 마음대로 조작할 수 있는 인공지능(AI) 분석가 제공 기기간 lateral movement 와 같은 것도 인공지능으로 관찰.
인공지능
인공지능
정보들의 다차원 분석
시나리오, 룰 없이 인공지능이 현재 상황에 맞는 행위들의 추론, 분석, 탐지.
네트워크 IP, 자원 자동 분석
패킷만으로 서버, 일반 장비 유형별로 자동 파악.
특정 시점 서버간 이상 통신 행위 같은 것도 자동으로 분석 됨.
희귀IP – 평소 사용되지 않던 IP통신이 이루어지고 주고 받은 내용이 비트코인 채굴과 관련. 이런 것이 자동으로 탐지됨.
장비별로 그전과의 비교를 통해 이상 행위 탐지.
비슷한 행동 유형을 보이는 장비들 간의 자동 그룹핑.데스크탑이면서 서버 그룹과 유사한 행동을 한다면 의미있다고 판단하여 탐지.
뭐니 넌. 진짜야? 미래의 시스템 이야기 하는 느낌이야.
딥러닝을 이용한 혁신적인 악성코드 탐지 기술
타이거팀 황석훈 대표(블루헥사곤)
블루헥사곤 – 네트워크 기반의 악성코드 탐지 제품 개발사
머신러닝에 대한 설명
Deep Learning – Perceptron, CNN, ..
머신러닝 강의해주심.
지난 15년간 바이러스토탈에 등록된 모든 악성 코드를 신경망에 학습시킴.
탐지율 99.5% 오탐율 0% 탐지속도 125ms 탐지 처리량 10Gb/초
강력한 엔드포인트 보안을 위한 더 확장된 접근
위드네트웍스 박동준 차장 / 사이버리즌 벤더
- 사이버리즌
- 사이버리즌
- 사이버리즌
EDR, SIEM, SOAR 로 나누어서 설명.
사이버리즌은 각 시스템별로 콘솔을 별도로 제공했던 기억.
이벤트 모니터링 & 탐지에 있어 네트워크 장비, SIEM과의 연동 강조. 자동 연동되는 FortiSIEM (FORTINET)
침해 대응 자동화(SOAR)
반복적인 프로세스를 매번 수행해야 하는가?
동일한 일처리 자동화 / 운영 리소스 극대화
간단하고 보기 쉬운 GUI기반 플레이북 빌더을 이용하여 쉽게 사용자 시나리오 진단/차단.
싱글 에이전트 엔드 포인트 보안 전략
소만사 김대환 대표
엔드 포인트 보안, 글로벌 시장 진입을 위해선 MAC OS 지원 필수.
윈도용으로 개발해서 100억을 번다면 MAC으로는 똑같이 투자해도 5억 번다.
MAC 개발자를 구하는 것도 어렵지만 소만사는 하고 있다.
10년전에도 10개가 넘는 보안 에이전트가 PC에 설치되어 있다. 다수의 에이전트들을 통합한 싱글 에이전트가 필요. 에이전트를 쪼개면 매출이 늘어날 수도 있지만 대세는 그렇다.
왜 EDR인가?
기존 백신:
- 변종에 약하고, 제로데이 취약점에 취약하다.
- 패턴 기반 백신은 죽었다.(몇 년 전 모 백신사에서 나온 이야기. 시만텍이었던가?)
- 그래서 행위 기반이 중요하다.
네트워크 장비 - 샌드박스
- 우회할 수 있는 방법(10분후 악성행위 시작, 샌드박스일 경우 작동 중지)이 많다.
- 성능지표 - 동시에 생성할 수 있는 샌드박스 개수 – 의 제한점
네트워크에선 정적 분석만 하고 동적 분석은 엔드포인트에서.
EDR의 KPI: 부하는 줄이면서 성능은 어떻게 높이냐.
일반 프로그램, 보안 프로그램의 악성 프로그램과 유사한 행위 탐지에 대한 바이패스 필요.
ATT&CK(마이터 어택 이라 발음) 중요
처음엔 Detection 위주에서 이젠 Response 위주로 발전하고 있다.
GandCrap이 1조원을 벌었다는 설이 있다.
소만사 EDR에 대한 설명:
- 처음 한번은 랜섬웨어에 의해 당할 수 있지만 해당 행위 정보가 서버로 저장, 이후엔 실행이 차단된다. 이 과정은 사람의 개입 없이 자동화 되고 있다.
- 우리 나라는 망 분리로 인해 문제점이 없는 편. 이로 인해 보안 기술 발전 저해. 그래서 EDR 도입의 필요성을 아직은 못 느낄 수 있지만 망 분리되어 있어도 언젠가 당한다.
- DLP중심에서 EDR을 만들었다. DLP라서 중요한 파일을 알기에 중요 파일 중심으로 처리하여 부하를 줄이고 빠르게 처리할 수 있다.
- ATT&CK에 대한 집중을 많이 한다. 30% 정도 커버리지
'감상 > 세미나' 카테고리의 다른 글
22년 하반기 증권강연회 (0) | 2022.07.11 |
---|