IT 솔루션
오랜 경험으로 고객에게 최고의만족과 서비스를 제공합니다.
보안 솔루션
Server BlackBox v3.0™
각 호스트 시스템 변조 불가 로그 저장 및 인공지능 엔진을 통한 비정상 행위 감시
침해사고 증거 보전 : 위ᆞ변조 방지 호스트 로그 저장
- · 저장 로그의 무결성 보증을 통한 침해사고 증적 확보
- · 와이퍼 공격에 대한 포렌식(Forensic) 데이터 확보
- · 무결성에 대한 국제 특허 보유 (15/023,521 US, 14/515.947 US)
- · 저장 로그 데이터에 대한 네트워크 접근 차단 하드웨어
- · SIEM 및 백업 장비와의 연계 지원
- · 자체 Manager를 통한 침투 시도 및 침입 정보 제공
악성코드 이상징후 탐지 : 비정상 행위 검출 – Dual AI Engine
- · 기존 시그니처(Signature) 방식 배제로 최신 공격 검출
- · 시퀀스 및 아규먼트 엔진 상관분석을 통한 높은 검지율
- · 변종 악성코드, 내부 위협 및 APT 탐지 지원
- · 권한 상승, Fileless, 와이퍼 공격에 대한 탐지 지원
- · 시스템 콜 정보 저장을 통한 추적 정보 제공
Server BlackBox v3.0™ 저장 로그 무결성
서버블랙박스에 전송되어진 로그는 네트워크를 통해 삭제하거나 변조할 수 없음
기존 로그 수집 장치 vs 서버블랙박스
- · 대상 호스트가 로그를 파일에 기록하기 전에 커널 수준에서 수집, 서버블랙박스로 전송
- · 분산형 로그 수집 방식으로 중앙 집중형 로그 수집시 발생하는 병목현상 및 로그 분실 미발생
Server BlackBox v3.0™ System Call 기반 딥러닝
변조된 로그등을 통한 침해 여부 판단이 아닌 시스템 콜 기반의 딥러닝 엔진
Fileless, Wiper 공격의 대안 – 시스템 콜 분석
- · 일부 삭제 또는 변조된 시스템 로그 기반의 인공지능 학습은 오탐의 가능성 높음
- · 파일리스(Fileless) 공격의 경우 시스템에 악성 코드가 남아있지 않아 시그니처 분석 기반의 악성코드 인지 불가능
- · 와이퍼(Wiper) 공격의 경우 시스템 로그가 남아있지 않아 포렌식할 수 없으며 학습 불가능
- · 시스템 콜(System call)의 경우 악성코드가 메모리에서 동작하거나 로그를 지우려 하여도 모든 동작이 나타남
Appendix I – HIDS vs NIDS
주요 솔루션 비교 : Server Blackbox vs D product
HIDS vs NIDS 주요 기능 비교
- · D 제품의 경우 정상 System log(파일리스 공격의 경우 정상 시스템 로그로 기록됨)로 기록되는 경우 부정확한 학습을 하기 때문에 효과적인 이상 행위 탐지가 어려움
| Server BlackBox™ | D product | |
|---|---|---|
| 구성 방식 | 1:1 직접 연결 | 네트워크 인라인 |
| 위협 영역 | HOST | Network, PC, HOST 트래픽 |
| 위협의 종류 | 모든 이상 행위 | 네트워크 이상 행위 |
| 탐지 범위 | OS 커널단에서 어플리케이션, 메모리, CPU, Disk | 트래픽, System Log |
| 파일리스 공격 | 탐지 가능 | 탐지 불가 |
| 공격 세부 분석 | 분석 가능 | 분석 불가 |
| 탐지 기술 | 딥러닝 | 머신러닝(통계적 분석) |
| 학습 방법 | 비지도 학습 | 비지도 학습 |
| 무격성/정확성 | 무결성 보장 / 위변조 전 데이터 학습 및 탐지 | 위변조 가능한 System Log 사용으로 정확도 낮음 |
| 분석 대상 | System Call 무결성 로그 | 패킷 로그, System Log(위변조 가능) |
| 도입 및 운영 비용 | 상대적 저렴(국산) / 유지보수 비용 저렴 | 상대적 고가(외산) / 높은 유지보수 비용 및 Subscription |