WIXLIB

FireEye Security Suite보안의 단순화와 효율성 제고

목차 및 목표 현재 문제점과 요구사항 보안 운영상의 위협 환경 FireEye Security Suite 소개(Network, Email, Endpoint) Q&A & Follow Up 2018 FireEye

3어떠한 보안 이슈가 있는가? 지속적인 랜섬웨어 공격 스피어 피싱 메일을 받고 일부 호스트 감염 CEO / 거래처 사칭메일 피해 엔드포인트 기능을 강화 (EPP EDR) 현재 보안 솔루션에서 너무 많은 경고로 인한 미탐 2018 FireEye

4현재 위협 환경복잡함다단계 Exploits, Sandbox, 난독화 등 다양한 회피 기법의 증가체계적프로그래밍된 자동화 공격, 무제한 공격 기능, 지속적인 공격 기능 개선 2018 FireEye9180101이메일로 시작되는사이버 범죄 비율악성코드가 한 번이라도탐지된 비율APT공격을 찾기 위해소요되는 평균시간

현재 보안 운영의 문제점 2018 FireEye가시성 부족너무 많은 이벤트전문 인력 부족인텔리전스 부족너무 많은 보안 장비효율성 감소 및 비용 증가

귀사의 보안 운영 효율성은?WHATHOWWHEREis going on?important is it?should you focus?위협이 차단되었음을어떻게 알 수 있습니까?일반적인 고객은 차단된 위협에 대한 정보와가시성을 알 수없습니다.위협의 우선 순위를지정하고 조치를취하는 데 필요한컨텍스트를 가지고있습니까?공격자가 무엇을 하려고하는지, 어디로 갔는지,남겨진 것이 무엇인지를확인할 수 있습니까? 2018 FireEye

보안의 재정의As-IsTo-BeAV와 같은 기존 보안 솔루션은 알려진위협에 대해서만 효과적인 보안 기능 제공Sandbox 및 행위기반 분석 엔진이 알려지지않은 공격 감지보안 솔루션이 정교한 위협을 해결하지 못함여러 보호 엔진이 진화된 공격을 탐지각각 분리된 기술기반의 솔루션여러 솔루션과의 시너지 효과점점 더 복잡해지는 기술 솔루션위협 인텔리전스를 통해 운영 문제를단순화하고 경고의 우선 순위 지정아웃소싱 파트너에 대한 전문성이나의존성이 높음다양한 기술을 활용할 수 있는 지침이 포함된간소화된 도구(Tools) 2018 FireEye

Introducing FireEye Security Suite

9Introducing – FireEye Security SuiteFireEyeNetwork Security 2018 FireEyeFireEyeEmail SecurityFireEyeEndpoint SecurityFireEyeHelix

10FireEye Security Suite 구성FSSHelix 2018 FireEyeSIEM기능 제외,통합운영 및 관리기능VA-NXS2500 (100M)VA-NXS2550 (250M)FireEye Email SecurityCloud EditionAnti SPAM/Virus 포함FireEye Endpoint SecurityEssentials EditionLive ResponseEnt. Search 제외Network Security NX EditionVA-NXS1500 (50M)성능별 요구사양VMWare ESXi 6.0이상VA-NXS4500 (500M)Virtual ApplianceVA-NXS6500 (1G)FE ApplianceNX1500 (50M)SubscriptionorPerpetual HWNX2500 (100M)※ Network Security- Hybrid 구성 가능(Virtual Appliance)- 최대 성능치는 합계 1GbpsNX2550 (500M)Deployment OptionsNX3500 (1G)

11FireEye Network 가상서버 요구사양VA-NXS 1500VA-NXS 2500VA-NXS 2550VA-NXS 4500VA-NXS 0Mbps최대1Gbps1 8개1 8개1 8개1 8개1 8개1개 또는 2개1개 또는 2개1개 또는 2개1개 또는 2개1개 또는 32GB드라이브 용량384GB384GB384GB512GB512GB성능NW 모니터링 포트NW 관리 포트CPU 코어 OS지원 : MS windows, Mac OS X Network Adapter : VMXNet3, vNic 하이퍼바이저 지원 :VMWare ESXi 6.0이상 2018 FireEye

FireEye Security Suite 구성도HelixHX사용자PCNX SensorVirtualorAppliance(Option)사용자PCEmail Server사용자PC 2018 FireEyeFirewallMVXETP

FireEye Network SecurityIncluded in FireEye Security Suite

FireEye Network Security

MVX를 활용한 동적 분석개요MVXShow the capability graphically안전한 가상환경에서 동적 시그니처리스분석으로 제로데이, 멀티플로우 및 기타우회 공격을 탐지. 또한 전에 알려지지않은 익스플로잇과 악성코드를 식별하여사이버 공격 킬 체인의 감염 및 침해단계를 저지장점 2018 FireEyeAPT 탐지만을 위해 특화된 가상 머신알려진/알려지지 않은 Exploit 탐지파일 기반이 아닌 Multi Flow 기반 탐지경쟁사 대비 10배이상의 가상머신 보유Revert Time 3초 이내(경쟁사 수분 걸림)

Malware Callback 탐지 및 차단개요Exploit콜백은 멀웨어가 데이터를 수집하거나원격으로 위협을 제어하기 위해 생성하는네트워크 동작의 한 tion 2018 세스 중단장점콜백 통신을 하는 봇넷, 백도어 및 기타멀웨어를 빠른 시간에 탐지

다양한 위협 - Riskware Detection개요High RiskInternetPUP/Adware와 같은 중요도가 낮은악성코드 이벤트에 대해서는별도로‘Riskware’로 만들어진 Tab으로분류하여, 중요도를 직관적으로 표시할 수있게 하였고, PUP/Adware에 대한탐지범위도 확장Less Risky장점실제로 위협적인 이벤트에 보안팀이 집중 2018 FireEye

계층형 보안 - 통합 IPS개요알려진 위협에 대한 실시간 위협 보호제공하고 MVX엔진의 작업 부하를 줄여효율성을 향상시키고 미탐 오류를 줄임장점통합 IPS를 통해 비용을 절감하고 관리를간소화하며 보안 상태를 개선 2018 FireEye

FireEye Network Security

Lateral Network Traffic 감지 - SmartVision개요SmartVision은 네트워크 내에서 내부(east/west)공격을 감지하는 상관 관계분석 엔진InternetFirewallFireEye NXCore SwitchFireEyeVirtualSensorDistributionSwitches 2018 FireEye장점FireEyeVirtualSensor 네트워크 내에서 의심스러운 Lateral트래픽 탐지 시간 단축 네트워크 전체에 걸친 멀웨어 확산 감소 데이터 도난 위험을 최소화하도록 지원

FireEye Email SecurityIncluded in FireEye Security Suite

FireEye Email Security

23Spam & Virus 방어IncomingEmailFireEye ETP Cloud개요 스마트 DNS기반으로 이메일 관련 위협을 평판 관계 분석 튜닝된 Heuristic 엔진을 통한 메시지내용 분석 2018 FireEye(Cloud-based)Email Service장점전자 메일 보안 서비스를 통해 새로운캠페인이 발견되는 즉시 전자 메일 차단End User

24MVX 행위기반 분석을 통한 탐지개요거의 발견된 적이 없는 고위험성 공격을행위기반 분석을 통해 탐지- 첨부파일- 본문 내 URL- 첨부파일 내 URL장점MVX 행위기반 분석을 통해 숨겨진멀웨어 및 URL기반 위협을 차단하고위협에 대한 우선순위 지정 및 미탐률감소 2018 FireEye

25Email 시스템 구성방안 DNS MX 레코드 변경– 메일 수신 경로 외부메일 ETP 메일서버 On-premise 및 Cloud Mail지원– Office 365, Google등 적용 Mode– Inline(MTA) Mode : 탐지, 차단– BCC Mode : 탐지만 가능 2018 FireEye

FireEye Email Security

27Spear Phishing 탐지 (URLs & Content)개요 제로 데이, 고도로 타게팅 된 피싱 공격에대한 URL 탐지 전체 피싱 사이트 (링크, 콘텐츠 등)를스캔하여 웹 사이트 콘텐츠의 악성 행위를분석장점 2018 FireEyeURL 기반 피싱 사이트로부터 보호검출 효율성 향상을 위해 전체사이트(URL뿐만 아니라) 분석자격 증명 피싱 사이트는 처음 발견되었을 때식별

FireEye URL 탐지 (FAUDE)Hard 2018 FireEyeHarderHardest

FireEye Email Security

권한 도용 – No Malware To DetectUser CredentialsCompromisedInitial URL NotMalicious‘Post’ actionis malicious 2018 FireEye

31비정상적인 발송자 탐지개요Mobile Client정상(?)적인 발송자Spoofed EmailAddressDesktop Client비정상(!)적인 발송자공격자의 Spoofing을 감지하기 위해필터 조합하고 Newly ExistingDomains(NED) 필터가 메시지 분석을수행장점CEO 사칭 탐지 및 전자 메일을 통한공격으로부터 보호 2018 FireEye

FireEye Endpoint SecurityIncluded in FireEye Security Suite

33Endpoint의 다양한 엔진시그니처 기반 분석 : Malware Protection시스템 학습(머신러닝) : Malware Guard행위 기반 분석 : Exploit Guard위협 인텔리전스 기반 분석 : IOC탐지 및 대응 도구(EDR) 2018 FireEye

FireEye Endpoint Security

Malware Protection Engine - 정적 분석 바이러스 트로이목마 웜 스파이웨어 애드워드 키로거 루트킷 피싱 소프트웨어 불필요한 프로그램(PUPs) 2018 FireEye

FireEye Endpoint Security

ExploitGuard Engine - 행위기반 분석3IntegerOverflow4 ROP ExploitExploitGuard Flow2 Heap Spray5 ShellcodeNtCreateFile:push ebpmov ebp, esp 1 Adobe Reader6 Payload1.Packaging (PDF)2.Pre-Exploit (Heap Spray)3.Exploit (Integer Overflow) 15 points4.Control Flow (ROP)20 points5.Malicious Activity (Shellcode)10 pointsTotal Score공격 페이로드 차단 2018 FireEye0 points5 points50 points

FireEye Endpoint Security

39MalwareGuard Engine - 시스템 학습(머신 러닝) 우수한 속도 높은 정확도 보완 서명 동적 모델 하나의 Agent에서 제공 2018 FireEye

FireEye Endpoint Security

Workflow Engine - EDRAcquireAlertContainTriageSweep 2018 FireEyeInvestigate

FireEye HelixSecurity Operations PlatformIncluded in FireEye Security Suite

43FireEye Helix 장점가시성 확대신속한 대응ALERT PRIORITIZATION경고 위험 수준의 자동 할당CONTEXTUALINTELLIGENCE최전방의 상황별 인텔리전스TOOL CONSOLIDATION통합 대시보드 제공3-RD PARTYINTEGRATIONS300개 이상의 보안 툴 및데이터 통합AUTOMATION사전 구축된 플레이북을 통한자동 대응FLEXIBLE DEPLOYMENTCloud, On-prem 및Hybrid 구축 모델INTELLIGENCEMATCHING알림을 포함한 상황별인텔리전스INVESTIGATIVE TIPS사전에 정의된 침해조사 팁제공TEAM EFFICIENCIES자동화 및 인텔리전스로생산성 향상 20182018 FireEyeFireEye PrivatePrivate && ConfidentialConfidential비용 절감

44Integrated Alert & Case Management개요 이벤트 데이터를 수집하고 위험 수준을 할당 작업을 할당하고 완료할 진행 상황을 추적 SOC 팀에게 대응 및 협업 툴 제공장점 환경의 중요한 위협에 대한 즉각적인 파악 중요한 위협의 우선 순위를 지정하여 팀 효율성 및 위험관리 향상 뛰어난 가시성 20182018 FireEyeFireEye PrivatePrivate && ConfidentialConfidential

45상황별 정보개요16M 가상 센서ALERT상대 추적침입자 조사CONTEXTUALINTELLIGENCE 매시간 50-70K의 확인된 악성 이벤트를 찾아내는 16M 가상시스템 센서의 위협 데이터 1,000만 명 이상의 APT 그룹 추적 70개 이상의 정교한 침입 그룹에 대한 보고서 450건 이상의 지능형 보고서 월간 간행물 월 50,000개 이상의 지표 발행 800명의 전방 사이버 보안 전문가장점 각 위협에 대해 "누가"와 "왜"를 제공 공격자의 동작을 예측보고 정보 20182018 FireEyeFireEye PrivatePrivate && ConfidentialConfidentialIOC 침해 조사 팁을 통해 대응 가속화

46PlayBook을 활용한 자동화개요데이터PROCESSPLAYBOOKS 간소화되고 자동화된 반복 가능한 작업(예: 경보 계층 - 평균20분에서 1분 미만) FireEye 전문가가 사전 구축된 Work-Flow 및 모범 사례 코드화된 응답 작업 보안 인프라로의 원활한 통합장점 제한된 보안 직원의 반복 가능한 수동 작업 간소화CollectAnalyzeCreate 20182018 FireEyeFireEye PrivatePrivate && ConfidentialConfidential 위험 노출 시간 단축 및 공격 지속성 SOC 분석가의 효율성과 성능을 높이는 강제 승수

ServicesFireEyeThreat AnalyticsAdvancedIntelligenceExpertiseOn-Demand3rd PartyAppsMandiant ServicesFireEye HelixCommunityStrategic AdvisoryTechnical AssessmentIncident seManagementInvestigativeWorkbenchOrchestration& AutomationCentralManagementAnswersResearch ToolsIdeasFireEyeNetwork Security 2018 FireEyeFireEyeEmail SecurityFireEyeEndpoint Security3rd PartySolutions

48FSS 가격체계X # 사용자 2018 FireEye가격

49FireEye Security Suite Per UserUP TO2,000 2018 FireEyeUSERSFireEyeSecurity Suite