차세대 보안 솔루션

최근 BYOD 가 확산되면서 대두된 보안 이슈의 핵심인
모빌리티 보안 솔루션과 함께 점점 지능화되는 사이버 위협에 대응하기 위한
차세대 보안 솔루션을 만나보십시오.

차세대 보안솔루션

차세대 방화벽 솔루션 : Paloalto Networks 차세대 보안 플랫폼

팔로알토 네트웍스 차세대 보안 솔루션의 세가지 핵심 기술

APP-ID (Application의 구분 및 제어 가능)

  • 5개 대분류와 25개 소분류로 약 2,000여 개 이상의 Application 제어 및 차단
  • 비즈니스에 적합한 트래픽만 Application, 사용자 기반으로 허용
  • 프락시, 터널 프로그램 인지 및 제어
  • SSL 트래픽 디크립션, 압축파일 인지 및 제어

User-ID (사용자 구분이 가능 / IP Address ≠ User)

  • IP Address가 아닌 사용자구분이가능
  • 기존 인증 서버를이용하여 사용자 연동
  • 사용자 또는그룹 기반의 정책 적용 및 관리

Content-ID (송수신 Data Contents의 분석 및 제어 가능)

  • Threat Prevention (License Required)
    – IPS : 약 5,800여개 이상의시그니처
    – Anti-Virus : Stream-Base 탐지로 Real Perfomance 보장, 약 백만개의 바이러스 시그니처유지
    – Anti-Spyware : 실시간으로 탐지 및 차단이 가능하며 비인가 파일전송의 제한 혹은 비인가 웹서핑등에 대한 차단
  • URL Filtering (License Required)
    – 1억개 이상의 URL DB 보유, 62개의 URL 카테고리 분류 (Adult, Game, Gambling…)
  • Data Filtering
    – 단순 확장자가아닌 File 내용에 따른 규정된 File Type 기반 차단
    – 키워드 검색 기능 제공

팔로알토 네트웍스 차세대 보안 플랫폼 아키텍쳐

싱글패스 (Single Pass)

  • 패킷당 한번의 처리로 모든 보안 검색
    – 트래픽 분류 (애플리케이션 인지)
    – 사용자 및 사용자 그룹 매핑
    – 컨텐츠 스캐닝 (공격탐지, 바이러스, URL, 파일타입..)
  • 하나의 방화벽 정책으로 모든 보안 구현 가능

병렬 프로세싱 (Parallel Processing)

  • 각 기능별 고유의 병렬 프로세싱 하드웨어 엔진 보유 (보안 CPU, 네트워크 프로세서, 시그니처 매칭 Chip)
  • 데이터 플레인과 매니지먼트 플레인의 독립적인 구동

전통적인 방화벽의 패킷처리 방식

차세대 방화벽의 패킷처리 방식

팔로알토 네트웍스 차세대 보안 솔루션의 다양한 기능들

팔로알토 네트웍스의 차세대 APT 대응 솔루션, WildFire

APP-ID (Application의 구분 및 제어 가능)

  • 최신 악성 공격들은 매우 목표지향적인, 아직 알려지지 않은 신종 멀웨어를 사용하여 기존의 전통적인 보안 장비를 매우 쉽게 우회함
  • 이 문제의 해결을 위하여 팔로알토 네트웍스에서 개발한 WildFire는 수분 내 신종 멀웨어를 탐지
  • 가상 환경에서의 행위 기반 분석을 통해 실행파일 또는 다양한 문서파일 등의 수많은 의심스러운 파일들을 빠르고 정확하게 탐지 및 분석

Advanced Persistent Threat (APT) 국가차원 사이버범죄를 위해 계획된 매우 정교한 지능형 위협의 형태

APT 탐지부터 차단까지

  • 멀웨어 파일로 확인이 되면 WildFire는 자동으로 시그니처를 생성
  • 한 시간 내로 고객사의 방화벽으로 해당 시그니처를 자동 배포하여 자동 보호 매커니즘 작동시킴
  • 풍부한 포렌직 리포트 제공을 통해 누가, 어떤 애플리케이션을 통해, 어떤 방식을 통하여 공격을 당했는지에 대한 상세한 분석 자료 제공

WildFire의 APT 탐지 매커니즘

차세대 방화벽 플랫폼

가상 방화벽 플랫폼

WildFire (APT) 플랫폼

APT 보안 솔루션

APT 보안 솔루션 : FireEye 위협 방어 플랫폼

웹 객체, 의심스러운 첨부 파일, 모바일 어플리케이션 등을 기능화된 가상 환경 내에서 미리 실행 해보는 방법으로 제로데이 웹 익스플로잇, 스피어 피싱 공격,
가짜 모바일 어플리케이션을 탐지해내는 위협 방어 플랫폼

FireEye 플랫폼 수행 기능

네트워크의 트래픽 모니터링 및 분석을 통해 네트워크 성능/사용 어플리케이션 경향/사용자 경향 등을 분석 및 예측하며, 바이러스 / 웜 등에 의한 비정상 트래픽을
탐지 및 분석하고 예방하는 솔루션

  • Multi-Vector Virtual Execution (MVX) 엔진이 신종 사이버 공격을 탐지
  • Dynamic Threat Intelligence 클라우드가 MVX 분석에 의해 탐지된 알려지지 않은 위협 정보를 공유
  • 표준기반의 악성코드 메타데이터와 FireEye API를 사용함으로써 기존 인프라를 활용할 수 있는 보안 상호운용성 제공

FireEye 플랫폼 특징

FireEye 플랫폼의 두가지 핵심 기술

Multi-Vector Virtual Execution (MVX) 엔진 : FireEye의 특허기술인 고성능자체 Hypervisor 기반의 가상머신

  • APT 탐지만을 위해 개발된 가상머신
  • 보안에 특화된 가상머신 사용
  • 알려진/알려지지 않은 Exploit 탐지
  • 시간당 수십만개의 웹오브젝트 검사

Dynamic Threat Intelligence (DTI) 클라우드 : 전세계 최대의 APT 전용 빅데이타

  • 전세계 1백만개 이상의 VM을 통한 실시간 위협정보 분석
  • APT Alarming서비스를 통한 실시간 모니터링
  • 악성코드 트렌드 분석 정보 제공
  • 새롭게 탐지된 APT위협 정보 실시간 공유

FireEye 위협 방어 플랫폼 라인업

NX Series (네트워크를 통한 APT 대응)

업계 유일 완벽 차단 지원

  • Inline/OOB(Out-Of-Band)에서 모두 차단 지원
  • 네트워크에 설치하고, 차단설정만으로 APT 대응 가능

제로데이 Exploit 탐지 가능

  • 알려지지 않은 취약점을 통한, Exploit 탐지 가능
  • 워터링홀, Drive-by-download에 완벽 대처 가능

업계 최고의 VM 성능 지원

  • 경쟁사 대비 10배 이상의 VM 수 지원 (192개 VM)
  • 악성코드 분석 완료 후, 1~3초내로 Converting 완료

업계 유일의 자체 VM 지원

  • 업계 유일의 자체개발 VM을 사용
  • 상용 VM의 보안 취약점이 없음

EX Series (스피어피싱을 통한 APT 대응)

업계 유일 샌드박스 기반의 스피어피싱 대응

  • VM을 통한 분석 후에, 차단 여부 결정
  • 1% 미만의 신뢰성 높은 오탐율 제공

동적 URL분석 기능

  • 이메일 본문/첨부문서안에 포함되어 있는 URL까지도 검사 가능
  • 시간당 최대 10만개 이상의 URL 처리 가능

업계 최고의 VM 성능 지원

  • 경쟁사 대비 10배 이상의 VM 수 지원 (160개 VM)
  • 악성코드 분석 완료 후, 1~3초내로 Converting 완료

업계 유일의 자체 VM 지원

  • 업계 유일의 자체개발 VM을 사용
  • 상용 VM의 보안 취약점이 없음

FX Series (파일 공유를 통한 APT 대응)

내부 파일공유를 통한 악성코드 확산에 대응

  • USB/외장HDD등을 통해서 내부로 유입된 악성코드에 대응
  • 내부 파일 공유서버등에 접속해서 악성코드 검사

다양한 설치 시나리오

  • 파일을 Good/Bad로 분류하여서, 격리 가능
  • 내부 PMS등에 대해서, 주기적인 검사를 통해, 무결성 확보

업계 최고의 VM 성능 지원

  • 경쟁사 대비 10배 이상의 VM 수 지원 (192개 VM)
  • 악성코드 분석 완료 후, 1~3초내로 Converting 완료

업계 유일의 자체 VM 지원

  • 업계 유일의 자체개발 VM을 사용
  • 상용 VM의 보안 취약점이 없음

AX Series (망분리 구성에서의 APT 대응)

업계 유일 망분리에서의 APT 대응 솔루션

  • 망분리 구성에서도, 내/외부간의 파일 공유는 필요하지만, 백신 검사만으로는 안전하지 않음
  • FireEye AX는 실시간으로 내/외부망 간에 전송되는 파일들을 검사해서 무결성을 확보함

강력한 탐지 기능

  • 별도 비용 없이, VT(VirusTotal)연동 기능을 제공
  • VM분석과 VT연동을 통한 완벽 탐지 가능

업계 최고의 VM 성능 지원

  • 경쟁사 대비 10배 이상의 VM 수 지원 (96개 VM)
  • 악성코드 분석 완료 후, 1~3초내로 Converting 완료

업계 유일의 자체 VM 지원

  • 업계 유일의 자체개발 VM을 사용
  • 상용 VM의 보안 취약점이 없음

MTP (모바일 위협 방어 시스템)

문맥 상관분석

  • 앱 내부에 깊숙이 내장된 숨겨진 악성 행동 또는 원치 않는 행동을 밝혀내려는 앱의 의도와 관련된 전체적인 상황을 파악하기 위해 서로 다른 행위 연계

라이브 분석모드

  • 조직들이 앱이 수행하고 있는 작업과 악성행동 또는 원치않는 행동을 시각적으로 관찰할 수 있는 라이브 모드 제공

온디맨드 위협평가

  • 커스터마이징 앱과 대중 또는 기업 앱스토어에서 제공하는 앱을 모두 평가

공유위협 인텔리전스

  • FireEye DTI 클라우드와 통합하여 설치된 다른 FireEye 어플라이언스로부터 수집한 위협 인텔리전스 사용 및 공유

API 통합

  • 모바일 관리 및 엔드포인트 솔루션에 연결 가능

HX Series (End-Point 보안 솔루션)

호스트 기반의 APT 공격 징후 탐지

  • 호스트 기반의 방어 능력을 제공해 주는 IOCs(Indicators of Compromise) 기반의 플랫폼으로 기존 Anti-Virus제품에서 놓칠 수 있는 해킹 위협을 탐지. 이후 실시간 침해 대응 및 원인 파악을 할 수 있도록 침해 정보를 제공

자동 위협 인텔리전스 생성

  • FireEye 장비와 연동 시에 자동화된 대응과 침해 대응이 가능
  • 웹, 이메일 등 다양한 경로로의 FireEye 장비에서 탐지된 이벤트에 대해 자동 IOC 생성
  • 해당 위협과 동일한 현상이 발견되는 호스트 신속 탐지

앤드포인트 보안의 편의성

  • 기업 인트라넷과 연결되는 모든 구간에서 위협 탐지
  • 감염된 호스트에 대한 손쉬운 격리
  • SIEM과 같은 통합 보안 솔루션과의 연동 가능

FireEye 위협 방어 플랫폼을 이용한 최적의 적용 방안

FireEye 위협 방어 플랫폼 도입효과

고객 Profile

  • 도입 전, 주기적인 외부의 해킹시도가 자주 발생하고 있었음
  • 2013년 상반기 도입 완료
    – NX 시리즈 / EX 시리즈 / AX 시리즈
  • 파이어아이 장비를 통한 실시간 차단 운영

다양한 솔루션 적용을 통한 APT 종합 대응 방안

국내 Reference

모빌리티 보안솔루션

모빌리티 보안 솔루션 : Citrix XenMobile

모빌리티 보안 솔루션이 중요한 이유

XenMobile의 개요

모바일 기기 보안과 컴플라이언스 요구 사항을 충족하면서 사용자들이 장소와 기기의 제약없이 업무를 수행할 수 있도록 지원해주는 모바일 기기,
앱 및 데이터 관리 솔루션

XenMobile 종류

XenMobile MDM (모바일 기기 관리 솔루션)

업무용으로 활용하는 모바일 단말을 사용자 요구 사항에 따라 원격에서 통합 관리 및 제어할 수 있는 솔루션

MDM 기능 및 특징

모바일 기기 관리 콘솔 (Management Console)을 통한 중앙 관리

  • 전체 상황을 확인할 수 있는 대시보드 제공
  • Active Directory와 연동 가능
  • 다양한 보안정책 수립, 배포 및 리포팅 제공

분실/도난 대비 원격 데이터 보호

  • 비밀번호 강제설정, 공장 초기화

디바이스 기능 제어

  • 카메라, 녹음기 사용 차단, 와이파이 제어

안드로이드 Black/White 리스트 제어

  • Black list 기능 : 단말의 App. 통제 가능
    (특정 App만 사용 가능하게 하거나 특정 App을 사용하지 못하게 하는 정책 수립 가능)
  • White List 기능 : 통화/메세지 기능만 사용 가능 (스마트폰의 피처폰화)

XenMobile MAM (업무용 애플리케이션 관리 솔루션)

하나의 모바일 기기 안에서 업무와 개인영역을 구분해 애플리케이션을 관리하는 솔루션으로 업무용 앱에 대한 통합 관리 및 제어 가능

MAM 기능 및 특징

  • 암호화된 저장공간과 암호화된 네트웍을 통하여 업무영역과 개인영역을 완전히 분리
  • 모바일 OS 기존 시스템과 호환이 가능하여 효율적인 모빌리티 구축 지원
  • IT 정책에 따라 관리자가 자유로이 보안 정책 수립
  • 업계 최대 규모의 기업 통합 앱 스토어 Worx Mobile Apps 제공
    – 이메일 및 브라우저 등 네이티브와 동일한 성능의 다양한 업무용 앱 무상 지원
    – 업무용 앱에 MDX 보안 기술 적용 : 암호화, 보안 접속 (Micro VPN), 보안 연동 솔루션 제공
    – 싱글 사인 온 (Single Sign On)을 제공하여 한번의 로그인으로 모든 앱에 접속 가능
  • 웍스 앱 소프트웨어 개발 키트 (Worx App SDK)를 통하여 보안이 설정된 업무용 앱 개발 지원

XenMobile MCM (모바일 컨텐츠 관리 솔루션)

다양한 디바이스를 통해 언제, 어디서나 보안이 보장된 데이터를 사용할 수 있도록 지원하는 솔루션

MCM 기능 및 특징

실시간 백업 및 복구 솔루션

실시간 백업 및 복구 솔루션 : Dell Software AppAssure

x86 기반 서버의 서비스 전체(OS, Data, Application) 이미지 백업 및 즉시 복구 솔루션

AppAssure의 특징

AppAssure의 기능

  • 지속적인 증분 스냅샷 백업으로 Data 손실을 최소화한 자동 백업
  • 가상환경 및 물리 환경을 가리지 않는 서비스 보호
  • 어떠한 환경에서도 유연하고 완벽한 복원
    – Live Recovery : 복구 작업 시작 즉시 데이타 접근 가능
    – Virtual Standby : 지속적으로 업데이트 되는 백업 가상머신을 이용하여 수 초안에 장애 복구
  • 위치, 플랫폼의 의존성이 없이 클라우드까지 포함하는 복구 능력
  • 전체 중복 제거 및 압축
    – 인라인 중복 제거 및 압축은 중복 데이터를 제거하여 스토리지 비용을 절감하고 백업본의 WAN 복제 최적화
  • SQL Server, Exchange Server, SharePoint에 특화된 백업/복구

  • Disaster Recovery – 1:N, N:1, M:N 의 유연한 토폴로지로 백업 데이터를 원격 사이트로 복제함으로써 DR 구축

AppAssure 어플라이언스 사양

타사 제품과 비교한 AppAssure의 경쟁력