NextG Series
NextG Series는 알려지지 않은 공격, 변조된 공격을 탐지하는 딥러닝 기술을 적용하여 실시간으로 위협 정보를 이용해
학습된 데이터로 신종 위협을 탐지할 수 있는 AI 머신러닝 기반 인텔리전스를 제공합니다.
제품소개
SentryAIR는 비정상 행위에 대한 위협 프로파일링을 통해 [탐지]-[대응]-[분석]의 일체화된 위협대응 및 처리방법을 제공하는 차세대 APT 이상징후 탐지 및 대응(APT SOAR) 솔루션입니다.
· APT 공격이 이루어지는 위협 단계별 행위를 식별하고 사전에 이를 저지하기 위한 실질적인 방안 필요
-
침투 (C&C/Malware)
-
탐색 (Recon)
-
수집/확산 (Literal)
-
유출 (Exfilt)
-
초기침투
경로확보
-
권한상승
-
내부정탐
내부확산
-
연결유지
반복/지속
데이터
유출/파괴
- 파일 송 · 수신 / Web / E-Mail
- SQL인젝션, 취약점 기반,
익스플로잇 - 제로데이 취약점 이용
- 사회공헌 / 스피어피싱을 통한
감염 등
- 공격 툴, 해킹 툴 다운로드
- Run Silent 기술 (은밀히 보안 탐지 등을 회피)
- 프로세스 검색 회피 (은닉)
- 중요 서버(DB)또는 대고객 서비스 서버 장악
- 중요 서버의 기밀 데이터 수집
- 중요 내부 데이터, 기밀자료 등의 외부 전송(원격접속 또는 FTP 파일전송 등)
- 로그 및 흔적 삭제
- 대상 서버 파괴
< SentryAIR (APT Kill Chain) >
- 서버
- 방화벽
- DB서버
- PC
다양한 보안장비 및 애플리케이션 서버
시스템로그, 애플리케이션 로그, 보안로그 ...
로그 수집 및 이벤트 축적
- 대량의 데이터를 안정적으로 수집·저장
- 비교/분석을 위한 원본로그 제공
빅데이터 기반의 머신러닝 기법 적용
- Baseline 값을 기반으로 비교/분석
- 데이터 분류 및 그룹핑
- 장기적, 대량의 데이터 처리
행위기반 위협 프로파일링
파일접근, 프로세스 생성 로그인 시도,
외부통신, 파일전송, 포토스캔...
의심행위
이상행위 탐지 룰셋
위협행위
위협 점수화를 통한 비정상행위
정의 및 대응
< 3 Tier Architecture >
[콘솔]-[서버]-[에이전트]의 3-Tier 아키텍처로서 대부분 상용서버 및 PC 운영체제를 에이전트 대상으로 지원
| 비교항목 | 서버 운영체제 지원 |
Windows PC 환경 지원 |
알려진 위협의 정적분석 지원 |
비정상 행위 탐지 기능 지원 |
가시성 확보 제공 | 실질적인 대응/ 조치기능 제공 |
|---|---|---|---|---|---|---|
| 기존 Sandbox | ||||||
| Post-Sandbox | ||||||
| 기존 Sandbox Post-Sandbox 제품들의 지원범위 |
상용 Unix, Linux 서버에 대한 APT 위험탐지 및 대응이 극히 제한적임 |
Post-Sandbox 제품 대부분은 Windows PC 이외에는 지원하기 어려움 |
알려진 위협, 악성패턴 기반의 정적분석 위주만 제공함 |
APT 유형의 비정상 행위 등의 잠재위협 탐지기능이 미흡함 |
은밀하고 장기간 이루어지는 위협행위 에 대한 인지방법이 제한적임 |
은밀통제, 차단 등의 실효성 있는 대응기능 이 부족함 |
| SentryAIR | 대부분의 상용 UNIX, Linux 및 Windows 서버 지원 | Windows PC 이외에 상용 Unix, Linux, Windows 서버 지원 | 알려진 위협 외에 비정상 행위 기반의 분석 기능 지원 | 비정상 행위 기반의 탐지/대응/분석기능 지원 | APT 킬체인 매핑, 위협 레벨링을 통한 가시성 지원 | 프로세스 Kill, 접근통제 등의 실질적인 대응기능을 지원 |
주요기능
-
서버보안 기술력 기반의 실질적인 대응방법 제공
-
- 서버 접근제어 기술
- 비정상, 악성 프로세스 Kill
- 명령어 통제, 세션 통제
- 중요 파일/데이터 접근 차단
-
대부분의 주요 상용 운영체제 지원
-
-
상용 Unix & Linux
- Solaris, HP-UX, AIX
- RedHat(CentOS), Oracle Linux, SUSE, Asianux
- MS Windows Server & Desktop
-
상용 Unix & Linux
-
시스템 내 비정상 행위에 대한 상세정보 수집
-
- 로그 수집
- APT 킬체인 단계, 식별, 매핑
- 위협 프로파일링, 위협 레벨링
- 룰셋 기반의 탐지
- 빅데이터 기반 머신러닝 지원
-
서버 상의 네트워크 통제영역 지원
-
-
네트워크 레벨 모니터링 및 통제
- Server Firewall 기능 활용
- 네트워크 인터페이스 송수신 정보
- 서버 내에서 직접적인 모니터링
-
네트워크 레벨 모니터링 및 통제
-
엔드포인트 보안 기술력 반영
-
- PC 내 악성패턴 유입 탐지
- 다양한 행위에 대한 위협 분석
- Signature Pattern 분석, 추출 및 DB화
-
엔드포인트 기반 대응방안 제공
-
- 에이전트 기반 대응
-
바이러스, 웜, 악성코드
- 격리, 삭제, 치료 등
- 악성정보 데이터베이스 업데이트(Signature Pattern Update)
도입효과
-
최신 보안위협 대응
-
- 위협에 대한 지속적인 탐지 방안을 제공하며 최신 보안위협인 APT에 대응함으로써 알려진 보안위협뿐만 아니라 잠재적인 보안위협까지 탐지/제거
-
서버 및 PC의 실질적인 위협 탐지 · 대응
-
-
서버 및 PC에 대해 보안위협 분석 · 탐지뿐만 아니라 서버상의 위협 탐지 결과에 따른 대응 정의 및 대응 실행을 통해
위협행위에 대해 명확한 차단 등의 대응 가능
-
서버 및 PC에 대해 보안위협 분석 · 탐지뿐만 아니라 서버상의 위협 탐지 결과에 따른 대응 정의 및 대응 실행을 통해
-
전통적인 관제시스템 대체
-
- 빅데이터 · 머신러닝 기반의 진보적인 방법을 통한 APT 보안위협 탐지 및 분석·대응체계 제공
-
Value of SentryAIR
-
- APT와 같은 최신 보안위협에 적극적인 대응과 유연한 확장성을 가진 차세대 위협대응 보안 솔루션
지원환경
| 구분 | 제품명 | 지원플랫폼 | 권장사양 |
|---|---|---|---|
| 관리서버 | For Console | Windows 7 64bit 이상 (Java설치) |
|
| For Server |
|
|
|
| 데이터서버 | For Master(1식) |
|
|
| For Data(3식) |
|
|
|
| 에이전트 | For Server |
|
|
| For PC |
|
|