차세대 APT 이상징후
탐지 및 대응(APT SOAR) 솔루션

SentryAIR

차세대 APT 이상징후 탐지 및 대응(APT SOAR) 솔루션

SentryAIR

비정상행위에 대한 위협 프로파일링을 통해
[탐지-대응-분석]의 일체화된 위협대응 및 처리방법을 제공하는
차세대 보안 위협 탐지 및 대응 솔루션

브로슈어 구매문의

제품소개

SentryAIR는 비정상 행위에 대한 위협 프로파일링을 통해 [탐지]-[대응]-[분석]의 일체화된 위협대응 및 처리방법을 제공하는 차세대 APT 이상징후 탐지 및 대응(APT SOAR) 솔루션입니다.

· APT 공격이 이루어지는 위협 단계별 행위를 식별하고 사전에 이를 저지하기 위한 실질적인 방안 필요

  • 침투 (C&C/Malware)
  • 탐색 (Recon)
  • 수집/확산 (Literal)
  • 유출 (Exfilt)
  • 초기침투
    경로확보
  • 권한상승
  • 내부정탐
    내부확산
  • 연결유지

    반복/지속

    데이터
    유출/파괴
  • 파일 송 · 수신 / Web / E-Mail
  • SQL인젝션, 취약점 기반,
    익스플로잇
  • 제로데이 취약점 이용
  • 사회공헌 / 스피어피싱을 통한
    감염 등
  • 공격 툴, 해킹 툴 다운로드
  • Run Silent 기술 (은밀히 보안 탐지 등을 회피)
  • 프로세스 검색 회피 (은닉)
  • 중요 서버(DB)또는 대고객 서비스 서버 장악
  • 중요 서버의 기밀 데이터 수집
  • 중요 내부 데이터, 기밀자료 등의 외부 전송(원격접속 또는 FTP 파일전송 등)
  • 로그 및 흔적 삭제
  • 대상 서버 파괴
< SentryAIR (APT Kill Chain) >
  • 서버
  • 방화벽
  • DB서버
  • PC
다양한 보안장비 및 애플리케이션 서버

시스템로그, 애플리케이션 로그, 보안로그 ...

로그 수집 및 이벤트 축적
  • 대량의 데이터를 안정적으로 수집·저장
  • 비교/분석을 위한 원본로그 제공
빅데이터 기반의 머신러닝 기법 적용
  • Baseline 값을 기반으로 비교/분석
  • 데이터 분류 및 그룹핑
  • 장기적, 대량의 데이터 처리
행위기반 위협 프로파일링

파일접근, 프로세스 생성 로그인 시도,
외부통신, 파일전송, 포토스캔...

의심행위

이상행위 탐지 룰셋

위협행위

위협 점수화를 통한 비정상행위
정의 및 대응
< 3 Tier Architecture >

[콘솔]-[서버]-[에이전트]의 3-Tier 아키텍처로서 대부분 상용서버 및 PC 운영체제를 에이전트 대상으로 지원

SentryAIR 시스템구성
비교항목 서버 운영체제
지원		 Windows
PC 환경 지원		 알려진 위협의
정적분석 지원		 비정상 행위
탐지 기능 지원		 가시성 확보 제공 실질적인 대응/
조치기능 제공
기존 Sandbox
Post-Sandbox
기존 Sandbox
Post-Sandbox
제품들의 지원범위		 상용 Unix, Linux
서버에 대한 APT
위험탐지 및 대응이
극히 제한적임 		Post-Sandbox
제품 대부분은
Windows PC
이외에는 지원하기
어려움 		알려진 위협,
악성패턴 기반의
정적분석 위주만
제공함 		APT 유형의 비정상
행위 등의 잠재위협
탐지기능이 미흡함 		은밀하고 장기간
이루어지는 위협행위
에 대한 인지방법이
제한적임 		은밀통제, 차단 등의
실효성 있는 대응기능
이 부족함
SentryAIR 대부분의 상용 UNIX, Linux 및 Windows 서버 지원 Windows PC 이외에 상용 Unix, Linux, Windows 서버 지원 알려진 위협 외에 비정상 행위 기반의 분석 기능 지원 비정상 행위 기반의 탐지/대응/분석기능 지원 APT 킬체인 매핑, 위협 레벨링을 통한 가시성 지원 프로세스 Kill, 접근통제 등의 실질적인 대응기능을 지원

주요기능

서버보안 기술력 기반의 실질적인 대응방법 제공
  • 서버 접근제어 기술
  • 비정상, 악성 프로세스 Kill
  • 명령어 통제, 세션 통제
  • 중요 파일/데이터 접근 차단
대부분의 주요 상용 운영체제 지원
  • 상용 Unix & Linux

    - Solaris, HP-UX, AIX

    - RedHat(CentOS), Oracle Linux, SUSE, Asianux

  • MS Windows Server & Desktop
시스템 내 비정상 행위에 대한 상세정보 수집
  • 로그 수집
  • APT 킬체인 단계, 식별, 매핑
  • 위협 프로파일링, 위협 레벨링
  • 룰셋 기반의 탐지
  • 빅데이터 기반 머신러닝 지원
서버 상의 네트워크 통제영역 지원
  • 네트워크 레벨 모니터링 및 통제

    - Server Firewall 기능 활용

    - 네트워크 인터페이스 송수신 정보

  • 서버 내에서 직접적인 모니터링
엔드포인트 보안 기술력 반영
  • PC 내 악성패턴 유입 탐지
  • 다양한 행위에 대한 위협 분석
  • Signature Pattern 분석, 추출 및 DB화
엔드포인트 기반 대응방안 제공
  • 에이전트 기반 대응
  • 바이러스, 웜, 악성코드

    - 격리, 삭제, 치료 등

  • 악성정보 데이터베이스 업데이트(Signature Pattern Update)

도입효과

최신 보안위협 대응
  • 위협에 대한 지속적인 탐지 방안을 제공하며 최신 보안위협인 APT에 대응함으로써 알려진 보안위협뿐만 아니라 잠재적인 보안위협까지 탐지/제거
서버 및 PC의 실질적인 위협 탐지 · 대응
  • 서버 및 PC에 대해 보안위협 분석 · 탐지뿐만 아니라 서버상의 위협 탐지 결과에 따른 대응 정의 및 대응 실행을 통해
    위협행위에 대해 명확한 차단 등의 대응 가능
전통적인 관제시스템 대체
  • 빅데이터 · 머신러닝 기반의 진보적인 방법을 통한 APT 보안위협 탐지 및 분석·대응체계 제공
Value of SentryAIR
  • APT와 같은 최신 보안위협에 적극적인 대응과 유연한 확장성을 가진 차세대 위협대응 보안 솔루션

지원환경

구분 제품명 지원플랫폼 권장사양
관리서버 For Console Windows 7 64bit 이상 (Java설치)
  • CPU: lntel(R) i5 2GHz 이상
  • Memory: 16GB 이상
  • HDD: 1TB이상
For Server
  • H/W x86계열
  • OS: Linux CentOS 6.x 64bit
  • DBMS: PostgreSQL 9.x
  • CPU: lntel(R) Xeon(R) CPU X5650@ 2.67GHz 24 Core
  • Memory: 32GB 이상
  • HDD: 실용량 4TB 이상(RAID 5 기준)
데이터서버 For Master(1식)
  • H/W x86계열
  • OS: Linux CentOS 6.x 64bit
  • CPU: lntel(R) Xeon(R) CPU X5650@ 2.67GHz 16 Core
  • Memory: 32GB 이상
  • HDD: 실용량 4TB 이상(RAID 5 기준)
For Data(3식)
  • H/W x86계열
  • OS: Linux CentOS 6.x 64bit
  • lntel(R) Xeon(R) CPU E5-2603@ 1.80GHz 8 Core
  • Memory: 16GB 이상
  • HDD: 4TB 이상 (보관주기에 따라 HDD 용량 산정)
에이전트 For Server
  • Oracle Solaris 9(Sparc, x86) 이상
  • IBM AIX 5.3 이상
  • HP HP-UX 11.11(1A, PA) 이상
  • RHEL 4 이상
  • Oracle EL 5.6 이상
  • SUSE Linux 10 이상
  • Asianux 2 이상
  • MS Windows Server 2003, 2008, 2012, 2016
  • Agent 동작 권장사양
  • RAM 1 GB, HDD 1 GB 이상의 여유공간
For PC
  • MS Windows 7 이상
  • Redhat RHEL 4.8 64bit 이상(CentOS, Fedora)
  • Agent 동작 권장사양
  • RAM 1 GB. HDD 1 GB 이상의 여유공간