View
2
Download
0
Category
Preview:
Citation preview
1 | © 2013 Infoblox Inc. All Rights Reserved. 1 | © 2017 Infoblox Inc. All Rights Reserved.
Data Protection and Malware Mitigation정재원부장 | ㈜엑스퍼넷
2 | © 2013 Infoblox Inc. All Rights Reserved. 2 | © 2017 Infoblox Inc. All Rights Reserved.
컨트롤이 되지 않는 Gulfstream 650으로 비행이가능하십니까?
3 | © 2013 Infoblox Inc. All Rights Reserved. 3 | © 2017 Infoblox Inc. All Rights Reserved.
G650 비행 조작은 네트워크 보안과 같습니다. 만약한 개라도 잘못되면…
Securing DNS From Malware Is Often That One Thing Goes Wrong
4 | © 2013 Infoblox Inc. All Rights Reserved. 4 | © 2017 Infoblox Inc. All Rights Reserved.
고객 비즈니스 과제수많은 보안 도구가 있음에도 불구하고 맬웨어는 여전히 ...
현재 조직에는 데이터를 보호하고 맬웨어 완화를방지하는 여러 가지 솔루션이 있지만 부분적으로만
적용됩니다 ...
91%의 악성 코드가 DNS를 사용하여 공격을 시도
5 | © 2013 Infoblox Inc. All Rights Reserved. 5 | © 2017 Infoblox Inc. All Rights Reserved.
• 데이터 보호 및 맬웨어 완화(Data Protection & Malware Mitigation)는
ActiveTrust (또는 ATC), ADP, 데이터 커넥터, 네트워크 인사이트 및 에코
시스템을 결합한 솔루션입니다.
• 이 솔루션은 보안팀, 네트워크팀, 운영 부서가 맬웨어 공격을 방지하고
탐지하는 역할을 담당하는 조직을 위한 솔루션입니다.
• 이 팀의 주요 목표 중 두 가지는 DNS를 사용하여 맬웨어 확산 및 데이터
유출을 막는 것입니다.
6 | © 2013 Infoblox Inc. All Rights Reserved. 6 | © 2017 Infoblox Inc. All Rights Reserved.
• DNS가 맬웨어에 의해 악용되고 있습니다.
• DNS를 통해 C2 통신 및 데이터 유출이 허용되기전까지 보안팀과 네트워크팀은 DNS를 공격의경로로 생각하지 않았습니다.
• 데이터 유출 및 맬웨어 공격이 성공적일 때 다음과같은 피해를 입을 수 있습니다.
- 수익 손실
- 명성과 브랜드 손상의 손실
- 고객 이탈
- 개인 평판 및 고용 상실 가능성
• 솔루션을 통해 즉각적인 이점을얻을 수 있습니다.
Cyber Kill
Chain에서 악성
코드 공격의 신
속한 중단
맬웨어 공격 및 데
이터 유출로부터
의 위험 감소
신속한 사고
대응 및 개선
7 | © 2013 Infoblox Inc. All Rights Reserved. 7 | © 2017 Infoblox Inc. All Rights Reserved.
Data Protection and Malware Mitigation데이터 유출 및 악성 코드로 인한 브랜드 피해, 재정적 및 법적 영향을 피하십시오!
Disruption of Cyber Kill Chain Data Exfiltration Prevention Visibility• DNS 제어 평면에서 맬웨어 / APT 활동 차단
• 최신 보안 위협 정보로 정책 적용
• 사내 또는 사외 사용자 보호
• 위협의 측면 이동 방지
• DNS IoC를 생태계와 공유하여 개선촉진
• 다른 시스템에서 감지할 수 없는DNS 기반 데이터 유출 차단
• Big Data, 기계 학습 및 스트리밍분석을 사용하여 제로 데이위협을 탐지하고 방지합니다.
• 온 - 프레미스 및 클라우드의확장 가능한 적용
• 네트워크 상의 장치 및 호스트에대한 가시성
• 감염된 엔드 포인트에 대한가시성
• 우선 순위 지정을 위한 네트워크컨텍스트
• 위협 행위자, 위협 캠페인, 기타조직의 관련 위반에 대한 상황별 정보
8 | © 2013 Infoblox Inc. All Rights Reserved. 8 | © 2017 Infoblox Inc. All Rights Reserved.
DNS In The Kill Chain
1
Reconnaissance이메일 주소, 컨퍼런스
정보 수집 등
2
Weaponization백도어와 전달 가능한페이로드의 결합
3
Delivery이메일, 웹, USB 등을 통해공격툴로 묶은 번들을희생자에게 전달
4
Exploitation피해자 시스템에서 코드를실행하기 위한 취약점 악용
5
Installation자산에 악성 코드
설치
7
Actions on Objectives“Hands on Keyboard” 액세스로 침입자는 원래목표를 달성합니다.
6
Command & Control (C2)희생자의 원격 조작을 위한
명령 채널
DNS ReconnaissanceDNS InfiltrationDNS Tunneling
DNS DDoS
DNS TunnelingDNS Exfiltration
Internal DNS DDoS
DNS TunnelingDNS Callback
DNS Protocol AnomaliesDNS HijackingDNS Exploits
9 | © 2013 Infoblox Inc. All Rights Reserved. 9 | © 2017 Infoblox Inc. All Rights Reserved.
Industry Recommendations: SANS Critical Security Controls
Source: https://www.sans.org/critical-security-controls
12) Inventory of Authorized and Unauthorized Software
2 3) Secure Configurations for Hardware and Software
1) Inventory of Authorized and Unauthorized Devices
3
8 8) Malware Defenses
1112) Boundary Defense
11) Secure Configurations for Network Devices
1213) Data Protection 13
10 | © 2013 Infoblox Inc. All Rights Reserved. 10 | © 2017 Infoblox Inc. All Rights Reserved.
Data Protection and Malware Mitigation 사용사례
DNS 통신 지점에서C&C / botnet 통신
중지
에코시스템 통합(온 프레미스 옵션 포함)
통합 된 정책 관리, 분석 및 보고
위협 인텔리전스데이터 교환 및 위협
조사
머신러닝을이용한 데이터추출 방지
1. 사전에 예방하여 DNS를통한 맬웨어 및 데이터
추출 방지
2. 위협 정보를 수집하여 기존 인프라(방화벽 등)에 배포
3. 가시성 및 컨텍스트향상
11 | © 2013 Infoblox Inc. All Rights Reserved. 11 | © 2017 Infoblox Inc. All Rights Reserved.
솔루션 제안Data Protection & Malware Mitigation을 위한 솔루션 제안
12 | © 2013 Infoblox Inc. All Rights Reserved. 12 | © 2017 Infoblox Inc. All Rights Reserved.
ActiveTrust®
Infoblox DNS Firewall Infoblox Dossier
Infoblox Threat Intelligence
Data Exchange (TIDE)
Infoblox Threat Insight in the
Cloud
13 | © 2013 Infoblox Inc. All Rights Reserved. 13 | © 2017 Infoblox Inc. All Rights Reserved.
Infoblox DNS Firewall
• DNS를 통한 Malware C&C 통신 방어:
다중 Response Policy Zones (RPZs)
클라우드 보안 포털(CSP)을 통한 최신 위협
인텔리전스 피드
사이버 보안 에코시스템으로의 통합
14 | © 2013 Infoblox Inc. All Rights Reserved. 14 | © 2017 Infoblox Inc. All Rights Reserved.
Infoblox Threat Insight in the Cloud
DNS 기반 데이터 추출을 클라우드로 이동하여
대규모로 탐지
DNSMessenger, DGA 및 Fast Flux 감지
데이터 추출을 위한 평판, 서명 및 행동 분석을
결합한 DDI 기반 솔루션
15 | © 2013 Infoblox Inc. All Rights Reserved. 15 | © 2017 Infoblox Inc. All Rights Reserved.
TIDE: High Quality Data
• Timely - 데이터가 최신 상태인지 확인하고필요할 때 전달합니다.
• Reliable – 신뢰성 높은 연구팀에 의해데이터가 큐레이팅됩니다.
• Accurate – 정확한 데이터 세트 <.01 %의역사적인 오 탐지율
• Contextual - 위협과 관련이 있는 이유는무엇입니까?
• Easy-to-use - 타사 통합을 위해 다중 출력형식 (JSON, CSV, RPZ 등) 지원
16 | © 2013 Infoblox Inc. All Rights Reserved. 16 | © 2017 Infoblox Inc. All Rights Reserved.
Infoblox Dossier ® : 신속한 위협 조사
• 여러 소스에 대한 단일 중앙 뷰는 시간, 비용 및
자원을 절약합니다.
• 보다 쉬운 우선 순위 지정을 위해 위협에
컨텍스트 적용
• 신속한 재조정을 위해 위협 지표를 신속하게
분석합니다.
17 | © 2013 Infoblox Inc. All Rights Reserved. 17 | © 2017 Infoblox Inc. All Rights Reserved.
ActiveTrust® - 아키텍처
Threat intelligence Data Exchange(TIDE)
Easily provide outbound DNS indicators of compromise to third party system(s) to act on – out of the box
Pre-integrated, RPZ files ready
for use
Infoblox DNS Firewall
(on premise)
Cybersecurity ecosystem technologies: SIEM, NGFW, vulnerability scanner, NAC, endpoint security, e-mail filter, web proxy
Delivered via Cloud Security Portal (CSP)
Various output formats supported for third party systems - custom
Threat Insight in the cloud
Infoblox Data Connector
(free)Infoblox GridDNS, DHCP, IPAM
DNS Data
DNS data
Forward malicious domain names
18 | © 2013 Infoblox Inc. All Rights Reserved. 18 | © 2017 Infoblox Inc. All Rights Reserved.
Everywhere,,,
* 출처 : 소포스의 최근 원격 및 모바일 사용자 연구
사용자가 네트워크에연결되어 있지 않은
경우 데이터 유실 우려*
오프 네트워크 액세스에 대해동일한 수준의 보안을 제공할 수는 없을 것이라고 믿음*
악성 코드가 네트워크에침투할 수 있음*
75%70% 69%
2019년에는 57%의 근로자가사무실 책상에 앉지 않습니다. -
19 | © 2013 Infoblox Inc. All Rights Reserved. 19 | © 2017 Infoblox Inc. All Rights Reserved.
ActiveTrust Cloud - Workflow Scenarios
Connector
(No DNS Forwarding Proxy)
(With DNS Forwarding Proxy)
Encrypted DNS Query,Embeds Client ID and MAC
20 | © 2013 Infoblox Inc. All Rights Reserved. 20 | © 2017 Infoblox Inc. All Rights Reserved.
통합 정책 관리, 심층 가시성, 보고 및 분석온 - 프레미스 솔루션과의 완벽한 통합
• 중앙 정책 관리
• 온 프레미스 Infoblox Grid 데이터로 강화된 모든 보고서(데이터 커넥터 사용 가능)
• 온 프레미스(On-premise)와 로밍(Roaming) 상태 사이를이동하면서 장치 활동에 대한 통합된 전체 라이프 사이클보기
• 최종 호스트의 깊은 가시성 : MAC 주소, 장치 유형, device OS, DHCP 임대 내역, 사용자 ID, 부서, 위치 및 위험 프로필
• 자산의 위험 프로필을 기반으로 한 교정의 우선 순위 지정
On-premise Grid
Data Connector
Infoblox Cloud
21 | © 2013 Infoblox Inc. All Rights Reserved. 21 | © 2017 Infoblox Inc. All Rights Reserved.
• 작고 경량의 에이전트가 엔드포인트의 DNS를Infoblox 클라우드로 리디렉션합니다.
• 클라이언트 ID를 암호화하고 DNS 패킷에포함합니다. 로그인 한 사용자에 대한 정보를보냅니다.
• SCCM 또는 McAfee ePO와 같은 자동화된솔루션을 사용하여 장치/워크스테이션에 대량 배치가능
• Windows (7/8/10) 및 Mac OSX 10.10 - 10.12 *에서 사용 가능 *
• 온 - 프레미스 ActiveTrust로 보호되는 회사 내부네트워크가 바이 패스 모드로 전환되도록 구성할수 있습니다
로밍 클라이언트 : ActiveTrust Endpoint
* 1 단계는 Windows 및 Mac에 대한 지원을 제공합니다. 향후 Linux, iOS, Android를 지원 예정입니다.
22 | © 2013 Infoblox Inc. All Rights Reserved. 22 | © 2017 Infoblox Inc. All Rights Reserved.
네트워크, 장치 및 애플리케이션 모니터링, 분석 및 보안에 대한 통찰력
상황별 리포팅 제공 네트워크 관리자• 시간 기반 운영 및 사용 보고서• 활성 장치에 대한 정보
보안 관리자• 보안 정책 별 응답 적중률• 상위 악성 도메인, 조회수가 많은 상위 고객• 위협 범주, 하위 범주를 두 번 클릭• IP 메타 데이터
보안 연구원• 악의적인 활동, 장치 및 로그인 한 사용자의출처에 대한 세부 정보 드릴 다운
• 지정된 시간에 전자 메일로 보낼 보고서 예약
• Malware C&C• Malware download• Exploit kits• APT
• DGA and Fast Flux• DNS tunneling• Data Exfiltration• DNS Messenger
23 | © 2013 Infoblox Inc. All Rights Reserved. 23 | © 2017 Infoblox Inc. All Rights Reserved.
What’s In The Box: Data Protection and Malware MitigationDisruption of Cyber Kill Chain Data Exfiltration Prevention Visibility
ActiveTrust + Threat Insight
• DNS 통신 지점에서 맬웨어/APT 활동 감지• C&C/봇넷 통신 방지• 사내 구축 환경의 사용자 보호• 에이전트 없이 엔드 포인트 보호
• Big Data, 기계 학습 및 스트리밍 분석을사용하여 제로 데이 데이터 유출 방지
• 사내 구축 환경의 사용자 보호• 확장 가능한 집행
• 감염된 엔드포인트에 대한 가시성
ActiveTrust Cloud
• DNS 통신 지점에서 맬웨어/APT 활동 감지• C&C/봇넷 통신 방지• 사내 또는 사외에서 사용자를 보호합니다.• 신속한 위협 조사가 가능합니다.
• Big Data, 기계 학습 및 스트리밍 분석을사용하여 제로 데이 데이터 유출 방지
• 사내 또는 사외에서 사용자를 보호합니다.• 확장 가능한 집행
• 감염된 엔드포인트에 대한 가시성
Advanced DNS Protection • 시그니처를 사용하여 알려진 DNS 터널링공격 방지
Threat Intelligence:• TIDE• FireEye• Threat Connect
• Infoblox 및 타사 플랫폼에서 위협 정보를 배포할 수 있습니다.• FireEye NX Series 및 Threat Connect로부터 받은 위협 정보에기반한 정책 시행
Dossier • 신속한 위협 조사 및 자동화를 통해 보안 요원을 확보할 수있습니다.
• 위협 행위자, 위협 캠페인, 다른 조직의 관련위반에 대한 상황 별 정보
Data Connector
• SIEM의 데이터 저장 및 처리 비용 최적화• 보안 이벤트를 사용하여 네트워크 컨텍스트와 데이터의 상관관계를 자동화합니다. (Splunk)
• 감염된 로밍 장치 (IP, MAC 주소, 임대 내역, 장치 유형)에 대한 식별 정보 제공
• 온 - 프레미스 및 클라우드에 대한통합보고를 가능하게 합니다.
Network Insight
• 새로운 장치가 네트워크에 연결되면 ISE와공유
• Qualys와 통합하여 매주/매월 검색을기다리는 대신 새 장치를 발견한 경우즉각적인 취약성 검색
• Qualys는 가상 작업 부하가 증가할 때를감지하고 알림
• 네트워크상의 장치 및 호스트에 대한 가시성
Cybersecurity Ecosystem (SIEM, Cisco ISE, Qualys, Rapid 7, Carbon Black)
• 보안 시스템 연동을 통해 위협을 방지합니다.• 에코시스템 기술과의 절충 지표 공유 (Carbon Black, Cisco ISE,
Qualys, Rapid 7, SIEM)를 통해 개선. 우선 순위 부여
Reporting and Analytics
24 | © 2013 Infoblox Inc. All Rights Reserved. 24 | © 2017 Infoblox Inc. All Rights Reserved.
Why
25 | © 2013 Infoblox Inc. All Rights Reserved. 25 | © 2017 Infoblox Inc. All Rights Reserved.
우리가 고객에게 제공하는 가치
• 네트워크에서의 공격, 감염및 데이터 추출 시도 보기
• 관리되지 않는 네트워크 및장치 식별
• 데이터를 도용하려는감염된 장치 또는 잠재적인불량 직원을 찾아냅니다.
• DNS 공격, APT/악성프로그램, 데이터 유출 차단
• 안전한 플랫폼
• 자동화된 위협 인텔리전스피드
• 네트워크의 모든 부분에대한 데이터 추출 시도 및확장 보호의 활성 차단
• APT kill chain을방해하고, 감염된 장치와관련 사용자를 찾아냄
• 데이터 공유 및 중앙집중식 방어를 위해 업계표준 생태계와협력합니다.
VISIBILITY PROTECTION RESPONSE
• 운영 효율성
• 속도 / 시간 절약
• 비용 절감
• 직원 생산성
• 고객 만족
• 수익 보호
• 브랜드 보호
BUSINESS IMPACT
26 | © 2013 Infoblox Inc. All Rights Reserved. 26 | © 2017 Infoblox Inc. All Rights Reserved.
2000 2010 2015
가치 제안최초의 DNS 어플라이언스출하
네트워크 작업 자동화 및 자동변경 및 구성 관리를 보완하기위해 Netcordia 인수
인터넷 보안회사 인터넷아이덴티티 IID 인수완벽한 기능의 DNS 보호
의사 결정자 네트워크 어드민 네트워크 어드민 지능적인 위협에 대한분석가
니즈 고객은 엔터프라이즈급장비가 필요
변경으로 인한 네트워크 중단 신뢰할 수 있는 위협 정보를활용하여 네트워크 보호
이점
DNS 안정성 및 빠르고 쉽게관리되는 DHCP 장애 조치
네트워크에 대한 구성 데이터레코드 변경 사항을 자동으로수집하고 변경 사항과 전체네트워크 상태 간의 상관관계를 식별
사전에 보안 취약점을차단하고 데이터 손실을방지하기 위한 다른 조치를취할 수 있음
Why Infoblox
27 | © 2013 Infoblox Inc. All Rights Reserved. 27 | © 2017 Infoblox Inc. All Rights Reserved.
Next StepsPath to Engagement
• Free Trials/software• ActiveTrust Cloud eval• ActiveTrust (on-premises) eval• Security(PCAP) assessment
• Infoblox 전문가와상의하십시요.
• ActiveTrust 평가판 다운로드 링크: http://info.infoblox.com/resources-evaluations-activetrust-bundles• ActiveTrust Cloud 평가판 다운로드 링크http://info.infoblox.com/activetrustcloud
28 | © 2013 Infoblox Inc. All Rights Reserved. 28 | © 2017 Infoblox Inc. All Rights Reserved.
서울시 구로구 디지털로31길 38-21, 609호(구로동, E&C벤처드림타워3차) 08376
Tel. 02)3282-2300 / Fax. 02)6330-1505 / http://www.expernet.co.kr
Copyrightⓒ Expernet Co.,Ltd.All rights reserved.
Recommended