인공지능(AI) 머신러닝 기반 보안 솔루션 알아보기 (다크트레이스, 사일런스)

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019.02.26 08:00 / 카테고리 : 사일런스 프로텍트



사이버 보안은 공격자와 방어자의 싸움이라고 할 수 있습니다. 보통 창과 방패의 싸움에서는 창이 유리합니다. 예방이 가장 좋긴 하지만, 현실적으로 취약점을 찾아내어 공격하는 방식을 일일히 미리 방어하는 것은 불가능에 가깝습니다. 


최근에는 계정 탈취를 이용해 공격을 하는 방식이 많아지고 있습니다. 실제로도 최근 발견된 악성코드에서 가장 많이 포함되어 있는 기능은 바로 계정의 탈취입니다. 악성코드 은닉사이트 탐지 동향 보고서 : 2018년 상반기’에 따르면 올해 상반기 탐지된 악성코드의 25.3%가 정보유출(계정정보)이라는 조사 결과가 있습니다. 


사이버 공격자들은 악성코드 뿐만 아니라 파일 없는 공격 도구, 기존에 탈취한 계정으로 접근, CCTV, 가정용 공유기, IOT 디바이스 등 다양한 경로로 침투하고 있습니다.


사람이 일일히 대응하기 힘들고, 매번 새롭게 변종되고 개발되는 사이버 공격을 막아내기 위해서 인공지능을 사이버 보안에 도입하고 있는 추세입니다. 



기존의 공격도구 분석 솔루션은 코드의 일부만 바꿔 신종 코드로 만들면 탐지하기 어렵다는 단점이 있습니다. 또한, 유사도 분석 기법 등을 이용해 신변종 코드를 탐지하는 기술을 사용하면서 탐지율을 높여왔지만, 자동화된 분석 툴이 정확하게 동작하지 않으면, 실질적으로 사용이 어렵습니다. 


하지만, AI는 자동화된 분석에 전문가의 통찰력을 얹기 때문에 이전의 위협 탐지 기술 수준을 능가하는 성능을 보여주며, 오탐지 비율도 줄어듭니다.


IBM의 2016년 보고서에 따르면 현재 사이버 보안에 있어 가장 위협이 되는 것으로 CIO의 45%가 사고 탐지와 대응 시간을 줄이는 것을 꼽았으며, 2~3년 후에 위협이 되는 것으로 53%가 속도, 52%가 복잡성을 꼽았습니다. 인공지능 기반 솔루션들은 대응시간이 빠른게 특징입니다.


현재, AI(인공지능)을 통한 보안 탐지 및 대응 보안 솔루션의 활용 용도는 아래와 같습니다.

  • 상금융거래 탐지(FDS)

  • 네트워크 침입 탐지

  • 악성코드 분석

  • 소프트웨어 취약점 분석

  • 비정상·악성 행위 탐지와 공격 저지

  • 사람의 분석 능력과 결과 보강

  • 보안 반복 작업 자동화 등


인공지능 보안 솔루션으로 유명한 제품은 다크트레이스(DarkTrace)와 사일런스(Cylance) 제품이 있습니다. 하지만 100% 인공지능에 의존해서는 안되며, 인공지능 + 사람의 판단력이 적절하게 조화되었을때 인공지능 보안 솔루션은 최상의 성능을 보여줄 수 있습니다.






인공지능 보안솔루션 소개



1. 다크트레이스 (DarkTrace)



▣ 다크트레이스 소개

네트워크 인프라를 통해서 발생하는 모든 사용자 및 디바이스의 이상 징후를 머신러닝, 인공지능 기법을 활용하여 실시간으로 자동 분석하고 그 이상여부를 판별하여, 현행 보안장비 및 관리체계가 탐지 할 수 없는 지능적인 내부/외부의 사이버 위협을 감지하고 분석하는 차세대 위협 감지 솔루션입니다. 


▣ 왜 다크트레이스가 필요한가요? -> 기존 사이버보안 대응 체계의 한계

  • 현재 도입되고 있는 보안솔루션은 외부에서 내부로의 공격과 방어에만 초점을 두고 있으며, 시그니쳐 및 룰 기반 시나리오에 기반하여 공격을 차단하고 있습니다.

  • 샌드박스 기반의 APT 대응 솔루션도 파일 사전 실행을 통해서 악성코드의 탐지 자체에만 초점을 두고 있습니다.

  • 모든 내부 사용자와 네트워크, 그리고 호스트의 비정상적인 이상행위를 감지할 수 있는 사이버 대응체계가 없습니다.

  • 최근, 사이버 위협이 고도화, 자동화, 지능화 됨에 따라서 네트워크 인프라에서 발생되는 모든 행위로의 위협의 식별되고 관리될 필요가 있습니다.




▣ 다크트레이스 특장점 소개
  • 비지도 학습기반의 머신러닝 기법을 활용한 이상행위 탐지 솔루션
  • 인간의 면역체계와 유사하게 네트워크 트래픽을 통해서 단말, 서버 등 모든 디바이스에 대한 데이터 흐름을 통해서 정상행위를 학습하고 이에 위반하는 이상행위를 판별
  • 수학적 모델링에 근간하고, 시그니처와 룰에 의존하지 않기에 지속적으로 발생하는 지능적이고 고도화된 공격에 대처 가능


▣ 다크트레이스 주요 기능

  • 정상 상태의 단말, 서버, 네트워크의 데이터 흐름을 자동으로 학습하고 분류

  • 비정상 징후 및 행위의 데이터 흐름에 대한 실시간 탐지 및 이벤트 시각화

  • 데이터 흐름에 대한 3D 기반의 직관적인 분석 화면 제공 및 플레이백 지원



 구분

 다크트레이스 

 기존 솔루션 

 탐지 / 분석 방식

 트래픽 메타데이터를 기반으로 한 머신러닝 

 패턴, 시그니쳐, 룰, 샌드박스 등 

 탐지 / 분석 범위 

 모든 비정상적 이상 행위 

 악성코드 및 알려진 외부로부터의 공격 

 솔루션 적용 범위 

 네트워크 전 구간 적용 가능

 (망분리 환경 내부망 및 ICS 산업제어망도 적용 가능) 

 외부망 및 경계 구간 






2. 사일런스 프로텍트


▣ 사일런스 소개

머신러닝 기반 악성코드 탐지 솔루션인 CylancePROTECT는 기존에 수집된 악성코드의 특성을 다양한 머신러닝 알고리즘을 적용하여 학습하고, 이 학습데이터를 기반으로 전혀 새로운 형태의 악성코드도 분류해 낼 수 있는 인공지능을 탑재하고 있습니다. 




이러한 인공지능은 알려지지 않은 신종, 변종 악성코드를 정확히 탐지해 낼 수 있으며, 기존의 시그니처 기반, 휴리스틱 기반, 샌드박스 기반, 평판조회 기반 AV 솔루션 대비 훨씬 높은 탐지율을 보장합니다.


CylancePROTECT의 인공지능은 헤더정보, 서명, 각종 스트링, 임포트, 섹션 권한, 패커, 컴파일러 등에 이르기까지 700만개 이상의 파일 특징(feature)을 0.1초 이내에 종합하여 소위 “파일의 DNA”를 분석해 그 의도를 정확히 파악하고 악성여부를 판단합니다.



▣ 사일런스 특장점 소개

◈ 악성코드 실행전 차단 (Malware Execution Control)

- 프로세스 신규 생성 또는 라이브러리 로딩시 해당 파일을 검사하여 악성일 경우에는 실행전 차단

- 기존, 신종, 변종 악성코드, 랜섬웨어 등의 실시간 사전 차단


◈ 메모리 공격 실시간 제어 (Memory Protection)

- 익스플로잇 방지

- 코드 인젝션 방지 (메모리 원격할당, 매핑 등)

- 권한 상승 방지 (LASS 읽기, 제로할당 등)


◈ 스크립트/익스플로잇 실시간 제어 (Script Control)

- 악성 PowerShell / 액티브 스크립트 차단

- MS Office 문서 내 악성 VBA 매크로 차단

- File-less 기반의 공격탐지 및 차단


◈ 앱 제어 (Application Control)

- 실행 가능한 앱 리스트 관리

- 앱 변경 제어


◈ 디바이스 제어 (Device Control)

- USB 저장장치 이용 로깅 및 통제

- 외부 저장장치를 통한 정보유출 방지



▣ 사일런스 특징


  구분

  세부 내용

  AI-Based Detection & Prevention

 No 시그니처, No 휴리스틱, No 샌드박스, No 행위분석, YES 지도학습 기법을 활용한 머신러닝

  Context-aware OS, Application, Network, File, Registry, Memory, Process와 같은 엔드포인트 호스트 정보를 통해 다양한 Context 활용
  Light-weight 1-3% CPU / ~40MB Memory
  OS Coverage Windows, Mac, Linux(RedHat, CentOS)
  Advanced Threat Prevention PREdictive, PREvention, PRE-execution






※ CylanceProtect로 WannaCry 랜섬웨어를 탐지하는 데모 영상




인공지능 기반 보안솔루션인 다크트레이스(Darktrace)사일런스프로텍트(CylancePROTECT) 제품에 대한 문의나 견적은 아래의 아이마켓코리아 담당자에게 연락주시기 바랍니다.



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

Blog Information

아이마켓코리아

보안솔루션, HSM, 인증보안, DLP 솔루션, 암호화 장비, 기업서버 판매, 보메트릭, 센스톤, 다크트레이스

공지사항

블로그 검색

Calendar

«   2019/07   »
  1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31      

방문자 통계

  • 전체 : 353,450
  • 오늘 : 267
  • 어제 : 321
(주) 아이마켓코리아
주소 : 서울시 강남구 삼성로 512 삼성동빌딩 16층
대표이사 : 남인봉 | 사업자등록번호 : 104-81-58502
TEL : 02-3708-8254 | Mail : raykim7@imarketkorea.com
Copyright © imarketkorea.Co,Ltd All Rights Reserved.