RSA, 국내 총판 (주)코마스
APT 공격은 악성코드, Exploit kit, 터널링, 스테가노그라피 등 다양한 공격 기법을 복합적으로 사용해 정교하게 이뤄지는 특성을 가진다. 이를 대응하기 위해서는 최신 보안 공격 기법에 대한 원활한 분석과 현실적인 대안 제시가 필요하다. 이를 적절히 수행할 수 있는 솔루션으로는 EMC RSA의 'NetWitness'가 대표적이며, 국내에서 EMC RSA 솔루션을 유통하는 대표기업으로는 (주)코마스(www.comas.co.kr)를 꼽을 수 있다.
개요
NetWitness NextGen은 Decoder, Concentrator 그리고 Broker 등 세가지 핵심 구성 요소를 통해 네트워크 상황을 정확하게 파악하여 그에 대한 정확한 대책을 강구하고 상황을 인식하며 지속적인 모니터링 능력을 확보할 수 있는 단일 코어 보안 플랫폼이다.
전사적 네트워크 데이터 기록 및 분석 인프라의 토대이자 핵심 요소인 Decoder는 다양한 사용자 설정을 지원하는 네트워크 어플라이언스로서 모든 네트워크 데이터를 실시간으로 수집, 분류 및 분석할 수 있도록 해준다. 기존 여타 패킷 수집 제품이나 네트워크 모니터링 제품과 달리 Decoder는 전체 세션을 실시간으로 분석할 수 있도록 OSI 모델의 모든 계층에서 네트워크 트래픽을 완전하게 재구성하여 전체적으로 표준화한다.
모든 네트워크 계층과 사용자 애플리케이션에서 검색 가능한 메타데이터로 구성된 완벽한 체계를 탄력적으로 생성하는 네트워크 모니터링 특허 기술이 적용된 Decoder는 분석에 필요한 메타데이터를 Decoder에서 실시간으로 수집하는 Concentrator 및 네트워크 전체에 대한 포괄적인 실시간 모니터링 능력을 제공하는 Broker와 연동되도록 설계되어 있다.
Concentrator는 메타데이터를 계층적으로 수집하여 기업 전용 네트워크 토폴로지 및 물리적 장소에서 확장성과 유연성을 확보할 수 있도록 설계되어 있다. 필요한 계층에 구성할 수 있으므로 다수의 Decoder 수집 장소에 대한 가시성과 고가용성이 보장된다는 특징이 있다. Broker는 NextGen 인프라의 최상위 계층에서 가동된다. Broker는 다수의 Concentrator가 사용되는 전사적 구성 환경에서 원활하게 쿼리를 처리한다. 모든 NextGen 메타데이터에 대한 단일 접속점(single point of access)을 제공하며 네트워크 지연 시간, 처리 속도 및 데이터 볼륨에 구애 받지 않고 모든 네트워크 환경에서 운용 및 확장할 수 있도록 설계되어 있다.
네트워크 토폴로지와 필요한 성능에 따라 NextGen의 구성 요소 전체 혹은 일부를 이용하여 인프라를 유연하게 구축할 수 있다.
플랫폼 옵션
NetWitness는 다음과 같이 다양한 고성능 NextGen플랫폼 옵션을 제공한다.
Portable(소규모 시스템 용)
NetWitness Eagle은 NetWitness Decoder의 휴대형 컴팩트 버전이다. Eagle은 서류 가방 크기의 제품으로 현장에서 즉시 사용이 가능한 NetWitness 네트워크 모니터링 플랫폼이다. 또한 Eagle은 다른 휴대형 솔루션과 달리 NetWitness 사용자의 기대를 충족할만한 수준의 포렌식 분석(forensic analytic) 능력과 더불어 와이파이 모니터링 기능도 지원한다.
Branch(고정된 용량)
NetWitness NextGen Hybrid는 단일 플랫폼을 기반으로 브랜치의 성능을 극대화하고 총소유비용을 줄이는데 적합한 Decoder/Concentrator 결합형 플랫폼이다. NextGen Hybrid를 이용하는 브랜치나 소규모 보안팀은 차세대 환경에 적절히 대응할 수 있음은 물론 즉각적으로 사고관리 및 위협에 대응할 수 있다.
Data Center(고성능)
NetWitness NextGen Decoder, Concentrator 그리고 Broker 어플라이언스는 가용성이 뛰어나 전사적 환경에 적합한 대역폭 및 스토리지 성능 요건을 충족할 수 있는 유연한 구성을 보장한다. NextGen의 계층적 아키텍처는 지리적으로 분산된 데이터 센터들이 실시간으로 상황 인식에 관한 표준 운영 절차를 유지하는 한편 필요에 맞게 규모를 조정할 수도 있다.
Service Provider(무한 확장성)
NetWitness NextGen 플랫폼은 무한한 확장성과 글로벌 네트워크 모니터링을 필요로 하는 환경에 적합하도록 업계 최고의 기술과 노하우를 활용해 모든 유형의 보안팀 및 부서를 지원한다. NextGen플랫폼은 자체적으로 백본을 운용하는 다국적 기업에서부터 어떤 국가의 전국 서비스 프로바이더에 이르기까지 모든 조직에 적합한 플랫폼으로 보다 나은 리스크 관리 및 비즈니스 의사결정을 하는데 필요한 성능을 제공하고 투자 가치를 극대화한다.
NextGen의 모든 구성 요소는 확장성이 뛰어나며 기업의 성능 목표를 달성하는데 있어 저마다 중대한 역할을 한다. 데이터센터 및 Service Provider 수준에서 애플리케이션 계층 트래픽을 실시간으로 분석하려면 필요에 따라 차세대 컴퓨팅 아키텍처를 확장할 수 있어야 한다. 분산과 계층적인 NetWitness NextGen 인프라의 특성 덕분에 기업은 트래픽 처리 데이터베이스 및 스토리지 용량을 필요에 따라 단계적으로 확장할 수 있다.
데이터를 수집하는 조직에서 하나의 솔루션이 모든 것을 해결하는 환경은 네트워크 트래픽과 분석 쿼리를 동시에 처리하고 시스템 무결성과 성능을 유지하는데 적합하지 않다. 특히 트래픽을 기록만 할 뿐 제대로 활용하거나 분석하지 못하면 고객의 기대치를 충족할 수 없다.
NextGen 인프라는 NextGen AppSuite 제품인 Investigator, Informer, Visualize, Live 및 SIEMLink와 직접 호환되도록 설계되어 있다. 사용자는 NetWitness의 개방형 API/SDK를 활용함으로써 운영 요건과 비즈니스 요건을 충족하는 맞춤형 애플리케이션을 직접 생성하여 NextGen 플랫폼과 원활하게 통합하고 기존 보안 투자를 보호할 수 있다. 고객은 모든 정보에 즉시 접근할 수 있으므로 신종 위협에 대응하고 비즈니스 프로세스에 발생한 문제를 파악하는 한편, 의도적인 데이터 유출을 막을 수 있다.
NextGen은 네트워크 데이터와 리치 애플리케이션(rich application) 계층의 컨텐츠 및 컨텍스트를 취합함으로써 NetWitness만의 차별점을 제공한다.
제품의 주요 장점
•비즈니스 및 보안의 필요에 따라 인프라를 확장할 수있다.
•확장 및 투자보호 차원에서 모듈형 데이터 용량을 제공한다.
•데이터가 레코딩 및 처리될 때마다 실시간 분석이 가능하다.
•다양한 사용자 설정을 지원하는 64비트 리눅스 기반의 네트워크 어플라이언스
•최대 40Gbps의 처리 성능
•효율적인 색인, 저장 및 검색을 위해 메타데이터 활용
•확장이 용이하여 분산형 레코딩 프레임 워크를 구축하기에 효과적인 아키텍처
•파일 내보내기(.exe, .pdf, .doc, .gif,.jpeg, .wav, .mps 등 다수)
•확장형 DAS 스토리지와 EMC 스토리지를 비롯한 SAN 솔루션과 통합
•NetWitness Live와 통합하여 NetWitness Profiler를 비롯한 목록 기반 컨텐츠 및 컨텍스트(지표, 파서(parser), 보고서 및 규칙)를 기존에 기록된 네트워크 정보에 추가할 수 있다.
•맞춤형 애플리케이션 구성이 가능하도록 개방형 API/SDK 지원
•신속한 사용자 정의 방식 파싱(parsing) 및 모델링을 지원하는 FlexParse
•RSA SecurID 및 LDAP 인증 지원
•SNORT 시그니처(signature) 지원
•프로토콜 및 애플리케이션 활용 : HTTP, FTP, TFTP, TELNET, SMTP, POP3, NNTP, DNS, SOCKS, HTTPS, SSL, SSH, Vcard, PGP, SMIME, DHCP, NETBIOS, SMB/CIFS, SNMP,
NFS, RIP, MSRPC, Lotus Notes , TDS(MSSQL), TNS(Oracle), IRC, Lotus Sametime, MSN IM, RTP, Gnutella, Yahoo Messenger, AIM, SIP, H.323, Net2Phone, Yahoo Chat, SCCP(CiscoⓇ Skinny), Bittorrent, GTALK, Hotmail, Yahoo Mail, GMail, TOR, Social Networking, Fast Flux, VLAN 태깅 등 다수
Informer
네트워크 보안 분석 기술의 새로운 표준 제시
RSA NetWitness Informer는 네트워크 보안 분석 기술의 새로운 표준을 제시한다. NetWitness AppSuite의 구성 요소 중 하나인 Informer는 전사적 시각화, 경보, 보고 및 실시간 상황 분석용 애플리케이션이다. Informer는 전통적인 네트워크 보안 제품이 안고 있는 많은 문제를 해결해준다.
Informer는 모든 세션, 통신, 서비스, 애플리케이션 및 사용자의 활동을 분석할 수 있어 적용분야가 무궁무진하다.
Informer의 규칙 기반 접근법과 대시보드를 이용하면 제로데이(Zero day) 악성 코드, 봇넷, 정책 회피 전술, 의도적인 데이터 유출, 변칙적인 통신, 규정 허점 및 네트워크의 기타 동향을 쉽게 파악할 수 있다. Informer는 양방향 웹 기반 사용자 인터페이스(UI)를 지원하여 경보기록 보기, 도표 작성 및 타일 방식 보기가 가능하다. Informer의 사용자 인터페이스를 이용할 경우 사용자의 기술 수준에 관계없이 자신만의 맞춤형 경보, 조회, 보고 및 규칙을 쉽게 구축할 수 있다.
Informer는 기존의 보안 작업 프로세스와 통합되며 이전과 다른 수준의 실시간 상황 인식 기능을 제공하도록 설계되어 있다.
Visualize
획기적인 방식으로 애플리케이션 및 사용자 정보를 제공하는 Visualize는 마우스나 손가락(멀티-터치 모니터가 설치된 경우)으로 사용자(예: 분석가, 사고 대응 담당자, 조사관)가 수집한 트래픽을 확대/축소하고 시간별로 발생한 사건을 정확히 분석 및 확인할 수 있는 분석 솔루션이다.
사용자는 NextGen이 포착한 음성, 문서, 이미지 및 동영상과 같은 대량의 객체를 신속하고 효율적으로 검사하고 특정 이벤트의 타임라인을 시각적으로 렌더링하며 모든 활동(예: 통신, 송수신된 데이터, 오디오 전송 등)을 심층 조사하고 각 객체와 관련된 리치 컨텍스트(rich context)를 파악할 수 있다. Visualize를 이용할 경우 또한 Informer에서 구축한 모든 규칙, 키워드 검색 및 기타 필터를 활용해 확보한 정보를 처리 할 수 있다. 이런 이유로 보안 관리의 효율성과 정확도가 크게 개선된다.
제품의 장점
•경보, 조회, 보고 및 규칙을 사용자가 원하는 대로 구축할 수 있다.
•Visualize를 이용하여 음성, 문서, 이미지 및 동영상과 같은 대량의 객체를 효율적으로 검사할 수 있다.
Visualize 이용 사례
주요 정보 유출
휴대전화로 촬영하여 기업 네트워크 외부에서 전송한 도표, 도식, 화이트보드 그림 혹은 기타 이미지를 비롯한 모든 이미지를 모니터링 및 검사할 수 있다.
직원 조사
직원이 어떤 문서를 다운로드, 전송 또는 수신했는지 알 수 있고, 재무 정보와 같은 문서 형식의 기업 기밀 정보가 분기별 보고서 공개 이전에 노출되었는지 확인할 수 있다. 이외에 인사 고과 정책 도입 이후에 직원의 생산성이 향상됐는지도 확인이 가능하다.
데이터 유출 모니터링
일간 보고서를 생성하여 포트나 프로토콜에 관계없이 지난 24시간 동안 네트워크를 통해 송수신된 모든 문서를 검사할 수 있다. 기업 정책 위반, 인터넷 사용 모니터링 또는 공격 활동을 조사할 수 있다.
제품의 주요 특징
•실시간으로 포착한 데이터를 통일된 화면으로 볼 수 있는 유연한 대시보드, 도표 및 요약 보기 기능
•다양한 보고 및 경보 조합이 가능하고 완벽하게 맞춤화할 수 있는 XML기반의 규칙 및 보고서 라이브러리
•SIEM에 통합할 수 있도록 SNMP, syslog, 및 SMTP 데이터 스트리밍과 네트워크 보안 모니터링 기술 지원
•드래그& 드롭 방식의 유연한 WYSIWYG 보고서 작성 도구 및 스케줄링 엔진
•역할 기반의 접근 통제
•HTML 및 PDF 보고서 출력 형식 지원
•특정 기준의 범위 및 시간별 보기를 통해 세션 검토 가능
•각 이미지의 필요한 세션 정보를 확대/축소할 수있는 직관적인 UI 제공
•멀티-터치 모니터를 이용하여 인터랙티브 방식의 제어 가능
•NetWitness Investigator와 양방향 통합 가능
•Windows 소프트웨어나 통합형 어플라이언스 지원
Investigator
실시간으로 조사 결과를 알 수 있는 분석 솔루션
RSA NetWitness Investigator는 NetWitness AppSuite의 핵심 양방향 분석 애플리케이션이다.
Investigator는 NetWitness NextGen 인프라에 수집된 대량의 정보를 다양한 방식으로 분석할 수 있다. 179개국 5만 명 이상의 보안 전문가들이 NetWitness Investigator를 이용하고 있다.
이해하기 어려운 네트워크 전문 용어로 네트워크 트래픽을 표시하고 IP를 적용하는 여타 제품과 달리 Investigator는 NextGen Metadata Framework를 이용한다.
이 프레임워크는 명사, 동사 및 형용사로 구성된 어휘 목록으로서 데이터 수집 시점에 세션을 재구축하면서 NextGen이 분석한 실제 애플리케이션 계층의 내용과 상황에 대한 지표 역할을 한다.
Investigator는 맞춤형 사용자 인터페이스와 뛰어난 분석 능력으로 사용자가 범위 제약 없이 네트워크 트래픽을 분석할 수 있다.
복잡한 보안 문제에 대한 양방향 분석을 자동으로 수행할 수 있도록 해주는 Investigator는 클릭 한 번으로 NetWitness 분석기능에 직접 접근할 수 있는 유틸리티 애플리케이션인 NetWitness의 SIEMLink를 이용함으로써 기존의 IDS 또는 SIEM 콘솔에서 시작된 이벤트를 취소하거나 포렌식 확인 작업을 수행할 수 있다. NetWitness Live와 함께 사용할 경우 오늘날 비즈니스 환경이 필요로 하는 문제를 철저하게 조사할 수있다.
구성
NetWitness Investigator는 모든 네트워크 수집 디바이스에서 실시간 트래픽을 로컬로 수집해 패킷 파일을 처리할 수 있을 만큼 유연해 쉽게 분석할 수 있다. Investigator는 모든 NetWitness NextGen 제품과 통합되며 사용하는 컴퓨터 호스트 대수를 기준으로 라이선스 비용이 책정된다. Investigator를 이용하면 패킷 파일을 로컬로 처리하고 네트워크 탭 또는 스팬 포트에서 트래픽을 실시간으로 기록, 네트워크 트래픽의 상황을 즉시 파악할 수 있다.
제품의 장점
•네트워크 세션의 내용 및 상황을 실시간으로 분석할 수 있어 수일이 걸리던 위협 분석 작업을 단 몇 분만에완료할수있다.
•명사, 동사 및 형용사 등이 수록된 Investigator의 어휘 목록이 지원되므로 네트워크 트래픽을 더욱 쉽게 이해할 수 있다.
•다양한 방식으로 고유 네트워크 데이터의 배경을 분석하여 완벽하게 상황을 파악할 수 있다.
제품의 주요 특징
•특허를 획득한 OSI 계층 2~7 분석 기술
•사용자, 이메일, 주소, 파일 및 작업과 같은 애플리케이션 계층의 객체를 비롯해서 데이터를 효율적으로 분석
•범위 제약 없이 다양한 방식으로 분석 실시
•컨텐츠 기점
•무선 또는 유선 인터페이스에서 실시간으로 데이터포착
•프로토콜 및 애플리케이션 역캡슐화(decapsulation)에 특허를 획득한 기술 사용
•인터랙티브 표준시 일람도 및 요약 보기
•인터랙티브 패킷 보기 및 디코드
•개선된 컨텐츠 보기
•특허를 획득한 포트 독립적인 서비스 식별 기술
•광범위한 네트워크 및 애플리케이션 계층 필터링(예: MAC, IP, 사용자, 키워드)
•IPv6 지원
•Regex 지원으로 전체 컨텐츠 검색 가능
•악성 코드 분석 및 컨텐츠 검사 목적으로 pcap 파일 형식으로 데이터 내보내기
• HPE(Hash Pcap on export) 지원
•모든 패킷 시스템(예: 오픈 소스, 맞춤형 또는 상업용시스템)에서.pcap 파일형식으로 패킷 가져오기
•북마크및이력추적기능
•Google Earth를 통해 지리적으로 시각화된 트래픽이 암호화된 트래픽에 대한 SNORT 규칙 식별
* 서버 인증을 통해 SSL 해독
Spectrum
자동으로 악성 코드 분석, 대책 우선 순위 결정
RSA NetWitness Spectrum은 기업 네트워크를 노리는 악성 코드 기반의 공격을 획기적인 방법으로 파악 및 분석하고 취해야 할 조치의 우선순위를 결정하는 분석 플랫폼이다. RSA NetWitness Spectrum은 악성코드를 차단하는 기술로 감지하지 못할 심각한 문제를 파악하여 피해를 최소화해준다.
Spectrum이 특별한 이유는 분석 전문가들이 이벤트를 조사하고 취해야 할 조치의 우선순위를 결정하는데 사용하는 네 가지 개별적인 조사 기법을 활용하여 각종 공격을 감지하고 네트워크에 존재하는 모든 데이터를 분석할 수 있는 능력 때문이다.
Spectrum은 네트워크를 통과하는 모든 실행 파일을 자동으로 분석하며 네트워크 환경에서 이뤄지는 모든 파일의 활동을 파악할 수 있다. 이런 특별한 접근법 덕분에 보안 담당자들은 '어떤 파일이 의심스러운가?', '어느정도 악성인가?', '어떤 시도를 하고 있는가?', '네트워크의 어디에 존재하는가?',' 어떤 파일을 특히 눈여겨봐야 하는가?'등과 같은 의문 사항을 이전에 비해 훨씬 더 신속하고 정확하게 파악할 수 있다.
Spectrum은 NetWitness 네트워크 보안 플랫폼을 기반으로 구현되며 모든 네트워크 트래픽을 기록 및 분석하여 위협에 보다 철저히 대비할 수 있다. Spectrum은 악성 코드와 관련한 위협을 분석 및 감지하고 취해야 할 조치의 우선순위를 결정하는 가장 강력한 플랫폼인 것이다.
Spectrum 작동 원리
•모든 네트워크 데이터 및 활동을 분석하여 전체적인 공격 배경 정보를 제공한다.
•시그니처나 알려진 악성 코드 정보가 없어도 차단솔루션에서 탐지하지 못하는 공격을 인지할 수 있다.
•샌드박스(sandbox), 커뮤니티 정보, 파일 컨텐츠 및 네트워크 활동 분석과 같은 각기 다른 네 가지 조사 기법을 동원하여 가장 광범위한 위험도를 기준으로 분석 결과를 보여준다.
•공격자의 의도, 잠재적 공격 대상, 해당 공격의 위협 수준을 보다 철저히 파악할 수 있도록 수천 가지의 질문을 기준으로 모든 실행 파일과 관련 네트워크 활동을 분석한다.
•작업 시간을 절약하고 가장 중요한 이벤트에 관심을 기울일 수 있도록 분석가들의 워크플로우를 자동화한다.
제품의 장점
•광범위한 유형의 악성 코드 관련 공격을 감지한다.
•광범위한 조사 기법을 활용하여 공격 수법을 분석한다.
•조사 속도 및 정확도를 개선한다.
제품의 주요 특징
•프로토콜에 관계없이 모든 네트워크 세션에 대해 미심쩍은 활동이나 파일을 찾아낸다. 의심이 되는 네트워크 활동 및 파일을 감지해 낸다.
•처리해야할파일또는네트워크세션을가져온다.
•치료 우선순위를 정할 수 있도록 위험도를 기준으로 점수를 매긴다. 점수의 근거 역시 구체적으로 제시한다.
•SIEM과 쉽게 통합할 수 있다.
•심층적인 분석을 위해 NetWitness Investigator 및 Visualize와 양방향 통합이 가능하다.
•NetWitness Profilers(indicator, parser, report 및 rule)와 같은 목록 기반의 위협 내용 및 배경 분석 용도로 NetWitness Live를 활용할 수 있다.
•NetWitness Live를 통해 화이트 리스트/블랙리스트, 신뢰도 평가 서비스, 동적/정적 분석 서비스 등의 분석 목적으로 보안 커뮤니티에 익명으로 파일을 제출할 수 있다.
•SIEM에 통합할 수 있도록 SNMP, syslog, 및 SMTP 데이터 스트리밍을 지원한다.
Live
보안 운영 센터 수준을 높여주는 위협 정보 전달 시스템
RSA NetWitness Live는 문제 발생시 식별, 평가 및 사건에 응답하는 데 걸리는 시간을 최소화해 보안운영 센터의 수준을 한 단계 높여주는 위협 정보 전달 시스템이다. 단일 소스 인텔리전스에 초점을 둔 여타서비스와 달리 RSA NetWitness Live는 사용자들이 자신의 독특한 환경과 위협 프로파일에 따라 적절한 인텔리전스를 구축할 수 있도록 해준다. NetWitness은 가장 강력하면서도 포괄적인 위협 인텔리전스 서비스를 제공한다.
제품의 장점
•현재 IT 환경이 처해있는 위협에 대한 통찰력을 제공한다.
•이슈 발생시 식별, 접근, 응답하는데 걸리는 시간을 줄여준다.
•문제 해결까지 걸리는 시간이 줄어들고 직원들의 생산성이 향상된다.
•실시간 해결, 신뢰할 수 있는 multisource threat intelligence