한드림넷(대표 서현원)의 차세대 통합 보안 위협 분석 시스템 ’VIPM-USM(Unified Security Analytics Manager)’은 네트워크 트래픽 정보와 보안 위협 정보를 머신러닝/AI 기술로 분석하여, 고도화된 보안 위협을 실시간으로 탐지하고, 보안스위치와 연동하여 적극적인 액세스 레벨 보안을 수행해, 안전한 네트워크 환경을 제공하는 NDR(Network Detection and Response) 솔루션이다.
비즈니스를 위한 IT에 대한 의존도와 IT 자산 규모가 증가되면서 IT 인프라에 대한 사이버 위협 또한 증가하고 있다. 더욱이 IT와 보안 기술의 발전으로 사이버 공격의 방식이 복잡해지면서, 전통적인 네트워크 경계 보안으로는 대응하기 더 이상 충분하지 않다. 또한, 보안 담당자는 긴급한 위협 대처에 대부분의 시간을 할애하고 있으며, 강력한 보안 체계를 만들어 통제함에도 네트워크상에는 여전히 보안 사각지대가 존재하며, 수많은 데이터로 인해 상호 연관 관계 파악과 보안 사고의 추적·측정이 쉽지 않다.
데이터 유출과 같은 보안 사고는 비즈니스 중단, 막대한 경제적 손실, 기업 신뢰도 하락으로 이어질 수 있고, 적절한 보안 및 제어가 없으면 공격 표면이 증가해 새로운 보안 취약점이 노출될 수 있다. 이러한 보안 위협으로부터 기업을 보호하려면 엔드포인트 데이터와 기타 로그를 확인할 수 없는 네트워크, 장치, SaaS 애플리케이션, 사용자 행동 등을 분석하고 대응할 수 있어야 한다. 이를 위해서는 트래픽 정보와 보안 위협 정보를 분석하여 가시성을 제공하고, 보안 위협을 탐지하고 대응할 수 있는 방안이 필요하다.
한드림넷의 NDR 솔루션 ‘VIPM-USM’은 빅데이터와 머신러닝·AI엔진을 활용해 상관관계 분석을 통한 실질적인 보안 위협을 파악하고, 위협의 우선순위를 제공한다. VIPM-USM은 MITRE ATT&CK의 Kill Chain을 기반으로 보안 위협 현황을 단계별로 식별하고, 네트워크 위협의 영향도를 시각화하여 분석한다. 또한, 네트워크에서 이동하는 보안 위협을 탐지·구분하고, 한드림넷 보안스위치 서브게이트(SubGate)와 연동하여 위협 단말을 즉시 네트워크에서 격리하는 등 자동화된 보안 대응을 수행한다.
◆정형, 반정형, 비정형 데이터의 연관성을 자동 분석하여 드러나지 않는 위협까지 탐지
VIPM-USM은 네트워크 트래픽 정보와 보안 위협 정보를 Interflow 데이터 레코드를 이용한 원본 데이터를 최대 100:1 비율로 경량화 및 보강 후 빅데이터에 저장, 머신러닝/AI의 고도화된 분석 기술로 보안 위협을 탐지한다. 또한, 전체 네트워크의 트래픽을 수집하여 East-West, South-North 전방위적 보안 위협의 파악하고, 지속적인 최신 시그니처 업데이트를 통한 ML-IDS(Intrusion detection System) 탐지 수행과 트래픽 재조립을 통한 악성코드 탐지, 이상행위 검사를 수행한다. 지능형 Aggregation TAP 스위치를 통한 패킷 중복 제거를 수행하고, 동일한 액세스 스위치에 연결된 자산 간의 위협 확산도 탐지가 가능하여, 네트워크 전반의 보안 위협을 확인할 수 있다.
◆보안 위협을 Kill Chain화 하여 전술 및 침해 단계의 가시성 제공
MITRE ATT&CK 모델링 기반의 최신 위협 분석 모델링을 제공하여 악성코드, 위험 파일 등에 의한 실질적인 위협에 즉각적인 대응이 가능하고, 실시간 TI(Threat Intelligence) 정보 연동을 통해 피싱, 위협 사이트 접속에 대한 분석하여 실제 위협에 대한 대처 방안을 제공한다. 또한, ML/AI 분석을 통해 실시간 보안 위협에 영향을 받은 내부 자산 현황 및 회사 보안 위협 추이 변화를 지속적 추적하고, 자산 별 Kill Chain 단계의 Risk를 한눈에 파악할 수 있는 파노라마 뷰를 제공한다. VIPM-USM의 네트워크 가시화 기능은 네트워크 서비스 현황을 전체 요약, 네트워크, 서버, 데이터베이스, DNS, 애플리케이션, HTTP, 터널 애플리케이션 등으로 세분화하여 네트워크 서비스의 상태 파악이 용이하다.
◆빅데이터 기반의 머신러닝/AI 분석으로 위협의 상관관계를 자동 탐지
VIPM-USM은 비지도 학습 및 지도학습 ML 모델링으로 AI를 통한 다양한 Alerts들의 상관관계 분석하여 공격 전체에 대한 흐름을 파악하여 통합된 사건으로 연관 처리한다. 전체 공격 수행 관계에 대한 히스토리 분석 및 상관관계 분석을 통해 현재 공격에 노출된 내부 자산 및 공격 흐름을 명확하게 파악할 수 있도록 도식화하여 제공하며, 관련 있는 각각의 보안 이벤트를 AI를 통해 하나의 사건으로 처리하여 효율적인 대응이 가능하다.
VIPM-USM은 네트워크로 전송되는 파일에 대한 머신러닝(File AV) 탐지 및 Sandbox 기반 행위 분석을 통해 악성코드를 탐지하며, 악성코드로 의심되는 파일을 직접 Sandbox로 업로드하여 분석할 수 있다. 또한, Threat Hunting, 자산 분석, 사용자 행위 분석, 파노라마 뷰, Kibana 플러그인 등의 기능을 통해 신속하고 정확한 보안 위협 조사 방법을 제공한다. 빅데이터에 Interflow로 저장된 데이터 레코드의 정보를 기반으로 신속한 조사 수행이 가능하고, 보안이벤트 인덱스(Index) 구분하여 조사 단계의 용이성을 높이고 위협의 상관관계 조사 기능 등을 제공하여 고도화된 위협 헌팅을 수행 할 수 있다
◆가시성 및 분석, 자동화 및 통합 위협분석
VIPM-USM은 머신러닝/AI 기반의 상관관계 분석을 통한 실질적인 보안 위협 탐지로 업무 효율성 높일 수 있다. 보안 위협을 Kill Chain 중심의 단계 별 위협의 식별 및 경고의 심각성을 실시간 제공하여, 위협의 진행 단계를 한눈에 식별이 가능하다. VIPM-USM은 사전 제공되는 200개 이상의 PlayBook을 통해 쉬운 대응 정책 수립과 사용자 정의 Playbook을 통해 보다 세밀한 정책 구현이 가능하다. 더불어 한드림넷의 VIPM(Visual IP Manager)과 연동을 통해 모든 IP 단말 제어 및 격리 조치로 보안 위협의 확산을 완화할 수 있다.
한드림넷, VIPM-USM에 대한 보다 상세한 내용은 데일리시큐 자료실에서 다운로드 가능하다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
