공격이 갈수록 정교해지고 공격 가능 지점이 확장되면서, 위협 요소가 비즈니스에 영향을 미치기 전에 신속하게 발견하고 대응하기가 불가능할 정도에 이르렀다. RSA NetWitness(넷위트니스)는 조직의 모든 네트워크 트래픽을 수집해 저장하고 실시간으로 모니터링함으로써 이 같은 정교한 공격을 빠르게 탐지하고 조사할 수 있도록 한다.

네트워크 보안 상태 완벽 파악

RSA NetWitness(넷위트니스)의 고유한 아키텍처는 실시간으로 데이터 소스를 캡처해 보안 컨텍스트(Context)를 보강한다. 또한, 보강된 데이터에 위협 인텔리전스를 적용해 APT 도메인, 의심스러운 프록시, 악성 네트워크 등의 고위험 지표를 확인한다. 이 같은 방식으로 대량의 데이터 소스를 실시간으로 처리하기 때문에 네트워크상의 보안 상태를 완벽하게 파악할 수 있다.

분석가는 행동 분석, 데이터 과학 기법, 위협 인텔리전스를 RSA만의 고유한 방식으로 결합 및 적용하는 고급 분석을 활용하고, 이미 알려진 기존 공격과 새롭게 등장한 신종 공격을 반복적으로 찾아냄으로써 정교한 공격의 탐지·조사와 공격을 전면적으로 파악할 수 있다.

RSA NetWitness를 활용하면 실시간으로 고도화된 위협을 탐지하고 공격 전반에 대한 내용을 빠르게 파악할 수 있기 때문에, 공격이 비즈니스에 실질적인 영향을 미치기 전에 실효적인 대응을 할 수 있다.

네트워크 모니터링 및 포렌식

RSA NetWitness는 전체 네트워크 패킷 데이터를 캡처하고 내용을 보강한다. 공격을 재구성해 전 방위에서 이해하고, 이를 토대로 공격자가 목적을 달성하지 못하도록 차단할 효과적인 해결 방안을 제공한다. RSA NetWitness는 캡처 시점에 다음과 같이 데이터 유형을 처리한다.

■ 데이터 내용 보강 - 정규화된 직관적 메타데이터를 원시 데이터와 연결해 보안 분석가가 데이터 해석이 아닌 보안 조사에 집중할 수 있도록 도와준다.

■ 위협 인텔리전스 적용 - 캡처 시점에 위협 인텔리전스를 적용하고, 원시 데이터와의 상관관계를 분석해 정교한 공격을 초기 단계에서 빠르게 확인한다.

■ 원시 패킷데이터 파싱 및 세션화 – 캡처 시점에 원시패킷 데이터가 파싱되고 세션화되기 때문에 조사 중에 이벤트를 가져와 재구성하는 속도가 더욱 빨라진다.

공격자의 네트워크 행동은 RSA NetWitness를 통해 완벽하게 재구성되므로 보안 운영팀은 효과적인 대응 방안을 수립할 수 있다.

실시간 상관관계 분석, 탐지 및 대응

ESA(Event Stream Analysis) 모듈은 여러 이벤트 유형의 상관관계를 분석할 수 있는 강력한 분석 및 경보 엔진이다. ESA는 즉시 사용 가능한 상태로 제공되는 탐지 룰을 사용하거나 기본 이벤트 처리 언어 또는 탐지 룰 생성 마법사로 맞춤형 탐지 룰을 만들어 실시간으로 생성되는 트래픽 메타데이터를 가져와 분석할 수 있다. 분석가는 ESA 기능을 활용해 공격자의 TTP(Tactics, Techniques, Procedures)가 킬 체인을 따라 움직일 때 이를 파악하고 경계할 수 있다.

행동 분석

RSA NetWitness의 고급 분석 엔진은 행동 분석을 토대로 공격 활동을 탐지해 신속하게 위협에 대응한다. 이 엔진은 모듈식 머신 러닝 기법을 사용하는데, 특정 작업에 대한 고급 지식이 필요하지 않고 서명, 규칙, 분석가의 튜닝 또한 필요하지 않다.

이 실시간 행동 분석 엔진은 기업의 트래픽을 관찰하면서 비정상적인 트래픽 활동이 확인되면 조사를 위한 인시던트를 생성한다. 기업에서는 실시간 행동 분석 엔진을 활용해 고위험 활동을 파악하고, 위협을 신속하게 탐지하며, 대응에 집중할 수 있다.

예를 들어 일련의 공격자 활동과 함께 사용자와 개체의 이례적 활동이 탐지되는 경우 이는 C&C(명령제어) 통신이 진행되고 있음을 나타내는 대표적인 징후이므로, 추가 조사를 통해 공격을 저지하기 위한 반격에 나서야 한다.

RSA NetWitness는 적절한 데이터에 액세스해 공격자의 행동을 분석하고, 머신 러닝을 통해 이례적 활동을 탐지함으로써 C&C 탐지를 자동화한다. ESA에서 알림이 발생되면 RSA NetWitness의 인시던트 관리 기능이 인시던트를 할당해 분류, 조사, 해결을 위한 대응 워크플로우를 제공한다.

실용적인 위협 인텔리전스

RSA는 RSA Live(라이브)를 통해 고객에게 위협 인텔리전스를 제공한다. RSA Live를 통해 제공되는 위협 인텔리전스는 최신 위협을 탐지하는데 유용하게 활용된다. RSA Live는 이러한 위협 인텔리전스를 상관관계 분석 규칙 및 원시 데이터를 보강하는 피드로 변환해 정교한 공격을 탐지할 수 있는 정보를 제공한다.

RSA Live 위협 인텔리전스는 RSA Research(리서치), 인시던트 반응팀, 엔지니어링 및 외부 소스를 통합적으로 활용해 생성된다.

RSA LIVE CONNECT

공격자는 기업이 구축해 놓은 방어막을 뚫기 위해 다른 공격자와 힘을 모아 왔다. 이들은 정보를 공유하는 능력이 탁월하며 해킹 서비스, 봇넷, 멀웨어, 악용 기술 등을 사고파는 ‘오픈 마켓’까지 만들었다. 기업들이 여기에 맞서기 위해서는 최초의 공격이 관찰된 후 커뮤니티 전체에 인식되기까지 소요되는 시간을 줄이기 위해 활발하게 협업하고 인텔리전스를 공유해야 한다. 이는 공격자의 잠입 시간을 줄이고 조직의 운영 및 지적 자산을 위태롭게 하는 공격을 차단하는데 매우 중요하다.

기업에서는 RSA Live Connect(라이브 커넥트)를 통해 RSA Community(커뮤니티)의 실시간 크라우드 소싱 위협 인텔리전스를 운영에 활용할 수 있다. 분석가는 동료 분석가는 물론 공공 및 민간 부문 파트너와 협조함으로써 자사를 공격 대상으로 삼은 최근의 위협들을 신속하게 파악할 수 있다. 또한, 조사 후 위협 요소에 대해 익명으로 위험 진단 결과를 제공할 수도 있다.

이처럼 RSA Live Connect는 보안팀과 협력하고 위협에 대한 통찰력을 활용해 공격이 처음 관찰된 시점부터 커뮤니티 전반에 인식되기까지 걸리는 시간을 크게 줄인다.