주요기능

ThreatTracker Analysis for Enhancing Security

Next generation analysis system. Automated Threat Hunting perfect collaborative analysis platform between humans and machines.

수집 탐지 조사 대응 Process

수집

다양한 IT 인프라 환경 전반의 광범위한 데이터 수집

탐지

수집 정보 정형화 및 머신러닝/AI 기반 위협 행위 탐지

조사

위협의 근거 및 공격자/공격 형태/히스토리 등 상세 분석 방안 제공

대응

위협 탐지 시 알림 및 통신/계정 차단 등 자동화된 대응 체계 수립 지원

ThreatTracker 위협 처리 프로세스 - 수집

ThreatTracekr는 수집, 탐지, 조사, 대응 총 4단계의 위협 처리 프로세스로 동작합니다. 수집 단계에서는 트래픽의 메타데이터와 로그를 수집하고 로그 추가 작업 및 머신러닝을 합니다.

1단계 수집

  • 네트워크 트래픽의 메타데이터와 로그를 수집하며, GEO 위치, 호스트 네임, 유저 정보 등을 더 추가하여 수집합니다.

ThreatTracker 위협 처리 프로세스 - 탐지

탐지 단계는 네트워크 트래픽과 로그 정보를 수집하여 평상시 상태를 실시간 학습하여 특이 사항을 탐지하며, 기본으로 내장된 위협 헌팅룰과 보안 기능을 이용하여 자동으로 위협을 탐지합니다.

2단계 탐지

  • 사이버킬 체인    멀웨어 샌드박스    ML-IDS 탐지    UBA 탐지    피싱 탐지    네트워크 트래픽 분석    기타 탐지   

ThreatTracker 위협 처리 프로세스 - 조사

조사 단계는 자동으로 유저의 행위 분석, 위협 헌팅, 보고서, 서비스 상태, 네트워크 상태, KIBANA, PANORAMIC (누가 누구에게 어떤 공격을 하는지 보여주는 기능)을 통하여 위협 행위의 상태와 결과를 보여주는 기능입니다.

3단계 조사

  • 유저 행위 분석    서비스 상태    KIBANA    쓰렛헌팅    네트워크 상태    파노라마   

ThreatTracker 위협 처리 프로세스 - 대응

대응 단계는 위협 행위에 대해서 알람 발생 및 보안 장비를 대상으로 자동 차단 명령을 하는 단계입니다. 플레이북 설정을 통해서 위협에 대해서 자동 대응도 지원합니다.

4단계 대응

  • Automation(플레이북)    설정 수행    리포트    스케줄 된 리포트   

ThreatTracker 위협 처리 프로세스 - 방화벽 자동 차단

자동 대응에서 가장 많이 사용하는 것은 알려진 C&C 서버 등을 방화벽에서 자동 차단하는 정책입니다. ThreatTracekr가 차단된 정책은 관리자게 쉽게 인지할 수 있습니다.

방화벽 자동 차단

  • 자동 차단 정책으로 인해서 보안 담당자들은 관리자 또는 자동 정책 솔루션 중 누가 적용한 정책인지 확인을 어려워합니다. ThreatTracekr는 이런 문제를 같은 자동 정책 프로세스로 해결하였습니다.
  • ThreatTracekr가 자동 차단할 룰을 최상단에 생성하고, 소수 객체와 목적지 객체는 Group으로 미리 설정하면, ThreatTracekr는 해당 Group에 속할 객체만을 추가하고 삭제하므로 다른 룰은 설정하지 않습니다.

한국형 Cyber Threat Intelligence 탑재

TI LAB의 역할

  • 국내 포함하여 전 세계 17개 사의 TI DB 등록
  • 등록된 DB를 분석하여 정제
    - 각 TI 별로 교차 검증 작업 진행하여 최신 정보 유지
  • 실시간 Feed 상태 업데이트
  • 전 세계 고객사에 최신 TI 정보 실시간 제공
    - TI 업데이트 관련 주기 설정 가능(시간/일간/주간)

전체 트래픽의 메타 데이터를 저장하고 신속한 머신러닝 분석 수행

전체 트래픽의 메타데이터를 저장하고 출발지와 도착지 간의 통신을 기존에 학습된 154 학습 모델로 이상 행위를 탐지 (해당 모델은 벤더에 의해 지속적으로 업데이트됨)

출발지와 도착지 간의 통신을 모두 저장하고 모니터링

출발지와 도착지 간의 트래픽을 모두 분석(L4, L7 통신, 연결 상태, DNS 요청, 터널 어플리케이션 등)

방대한 프로토콜 지원으로 우회 가능성 최소화

  • 약 4,000 여개의 프로토콜 실시간 분석 가능 (카카오톡, 라인, youtube, cloud 서비스, 각종 프로토콜 등)
  • OT/SCADA(Modbus, CIP, ICCP, Honeywell, Rockwell, Yokogawa 등) 다양한 산업 프로토콜 분석 지원 MMS, SCADA, PLC, BAC, RTU, SICS 계열 등의 제어 프로토콜 분석 지원

멀티 테넌트 지원으로 다양한 환경에서 적용 가능

  • 지사 / 계열사 및 각 사업장별 구분 가능
  • 멀티 테넌트 지원을 통해 각 계열사 / 지사 별 데이터 구분
  • 각 테넌트 별 위협 탐지 제공
Top