동작 분석
동작 분석이란?
동작 분석은 머신 러닝, 인공 지능, 빅데이터, 분석을 통해 정상적인 일상 활동 간의 차이를 분석하여 악성 동작을 식별합니다.
동작 분석의 정의
악성 공격의 공통점은, 모두 한 시스템이나 네트워크 내에서 정상적인 일상의 동작과는 다른 방식으로 작동한다는 점입니다. 기업은 잘 알려진 특정 유형의 공격과 직접적인 관련이 있는 서명을 통해 악성 동작을 식별할 수 있는 경우가 많습니다. 그러나 공격 기술이 더욱 정교해지면서 공격자들은 취약한 환경에 침입할 뿐만 아니라 탐지되지 않고 횡방향으로 이동할 수 있는 새로운 전략, 기술, 절차(TTP)를 지속적으로 개발하고 있습니다.
여기서 동작 분석이 등장합니다. 방대한 양의 필터링되지 않은 엔드포인트 데이터를 통해, 보안 담당자는 동작에 기반한 툴, 알고리즘, 머신 러닝을 사용하여 일상적인 사용자의 정상적인 동작과 그렇지 않은 동작을 파악할 수 있습니다. 동작 분석은 일상 규범의 한도를 벗어나는 현재 및 이전의 이벤트, 추세, 패턴을 식별할 수 있습니다.
보안 팀은 이러한 이상 현상을 집중적으로 관찰하여 공격 계획이 완전히 실행되기 전에 미리 가시성을 확보하고 예상치 못한 행동 전략을 파악할 수 있습니다. 또한 동작 분석을 통해 근본 원인을 밝히고 향후 유사한 공격을 식별하고 예측할 수 있는 통찰력을 확보할 수 있습니다.
관련 주제
동작을 통해 악의적인 활동에 대해 파악할 수 있는 것
일반적이지 않은 이벤트 발생 시점, 비정상적인 동작 순서 또는 데이터 이동 증가는 환경 내부의 악성 활동을 나타내는 몇 가지 징후에 불과합니다. 진행 중인 공격을 식별할 수 있는 비정상적인 동작의 몇 가지 구체적인 예시는 다음과 같습니다.
- 합법적인 것으로 보이는 파일의 링크가 메모리에 로드된 다음 스크립트를 원격으로 로드하고 기밀 데이터를 찾아 공격자에게 다시 전송합니다.
- 악성 코드는 Microsoft Word, Flash, Adobe PDF Reader, 웹 브라우저 또는 JavaScript 등 이미 설치된 애플리케이션에 침투하여 취약점을 타겟으로 악성 코드를 실행합니다.
- 일반적으로 신뢰도가 높은 것으로 간주되는 Microsoft WMI(Windows Management Instrumentation) 및 Microsoft PowerShell 스크립팅 언어와 같은 기본 시스템 툴은 스크립트를 원격으로 실행하기 위해 공격 대상이 됩니다.
Industry Pulse: "필수"로 자리 잡은 동작 분석
2016년 초 SANS Institute는 Using Analytics to Predict Future Attacks and Breaches(분석을 통한 향후 공격 및 침해 예측)라는 제목의 백서에서 동작 분석의 중요성을 강조했습니다. 저자는 "더 많은 고급 데이터 분석 플랫폼을 활용하여 보다 다양한 유형의 데이터를 더 많이 수집하고, 증가된 네트워크 위협 가시성에 집중하며, 감지 및 대응 작업을 자동화하면 보안 팀이 현재와 미래에 이러한 당면 과제를 해결할 수 있다"고 결론짓습니다.
그 미래가 지금 눈앞에 다가왔으며, 2018년에는 동작 분석이 기본적으로 고급 엔드포인트 보안에 필수적인 요구 사항이 되었습니다. 실제로 Gartner는 Magic Quadrant for Endpoint Protection Platforms(엔드포인트 보호 플랫폼 관련 매직 쿼드런트) 보고서에서 머신 러닝 및 동작 모니터링을 전략가와 리더의 강점으로 보고 있습니다. 또한 이 보고서에서는 "2018년과 2019년에는 [엔드포인트 감지 및 대응] 기능으로 수집한 데이터를 사용하여 고객에게 맞춤화된 실행 가능한 지침과 조언을 제공하는 벤더가 가장 앞선 기술로 선도하게 될 것"이라고 강조합니다.
17%의 2017년 발생한 침해가 악의적인 의도가 아닌 인적 오류로 인해 발생했습니다.
해결책: 클라우드
동작 분석을 완전하게 실현하기 위해 기업은 클라우드와 그에 따른 엄청난 컴퓨팅 성능, 무한한 확장성, 관리 용이성을 활용해야 합니다. 클라우드는 빅데이터와 강력한 분석을 결합하여 가장 위협이 되는 최신 공격을 앞지르는 사전 예방적 접근 방식을 제공합니다.
예를 들어 클라우드는 정상 및 비정상 엔드포인트 활동을 모니터링하고 필터링되지 않은 과거의 모든 엔드포인트 데이터와 비교할 수 있는 스트리밍 분석을 지원합니다. 클라우드는 이러한 이벤트 스트림을 분석하고 정상적인 이벤트 스트림과 비교함으로써 공격을 감지할 뿐만 아니라 이전에는 보지 못한 공격을 예측하는 글로벌 위협 모니터링 시스템을 구축합니다.
이 강력한 접근 방식은 서명 기반의 기존 AV 솔루션으로는 불가능하지만 차세대 바이러스 백신(NGAV) 소프트웨어가 있으면 가능합니다.
클라우드의 NGAV는 엔드포인트와의 양방향 통신을 제공하므로 필터링되지 않은 모든 엔드포인트 데이터를 모니터링하고 예측 분석으로 전환하여 정교한 공격으로부터 기업을 사전 예방적으로 보호할 수 있습니다.
또한 클라우드는 대부분의 기업이 다른 엔터프라이즈 소프트웨어를 통해 이미 경험하고 있는 인프라의 이점, 즉 운영 간소화 및 비용 절감, 배포 속도 향상, 가장 혁신적인 최신 기술을 제공합니다.
VMware 빅데이터 분석 관련 제품, 솔루션, 참고 자료
내재적 보안으로 애플리케이션 및 데이터 보호
새로운 보안 접근 방식 - 내재적 보안은 근본적으로 다른 비즈니스 보안에 대한 접근 방식입니다.
VMware NSX 서비스 정의 방화벽
NSX에 기반한 분산된 상태 저장 레이어 7 내부 방화벽을 사용하여 가상, 물리적, 컨테이너형 및 클라우드 워크로드 전체에서 데이터 센터 트래픽을 보호합니다.
최신 디지털 워크스페이스 플랫폼
인텔리전스 기반의 디지털 워크스페이스 플랫폼인 VMware Workspace ONE으로 기기에 관계없이 모든 애플리케이션을 간편하고 안전하게 제공하고 관리하십시오.