NETWORK

Network is the beginning of all connections.

SECURITY

Essential for the life of the Internet.

ANALYSIS

Improve the environment beyond Troubleshooting.

MANAGEMENT

It monitors all your resources efficiently.

Vigil

 

보안 침해 포렌식 어플라이언스 솔루션 새비어스 비즐

비즐은 IDS/IPS의 보안 이벤트와 연동하여 보안 조사에 유용한 패킷만을 선별.분류하여 지능적으로 패킷을 저장합니다네트워크 보안 장비의 보안 로그만으로 보안 조사를 하는 것은 한계가 있으며, 근본 원인을 파악할 수 없습니다비즐은 수개월간 장기간에 걸쳐 수행된 보안 침해 사고에 대해서 패킷 레벨의 보안 조사가 가능하게 합니다. 정보 보안 분야에서 새비어스 비즐은 침입 탐지 시스템과 연동하여 보안 사건에 대한 대응 능력을 획기적으로 향상시킵니다.

 

보안 침해 포렌식이 필요한 이유는 보안 침해는 피할 수 없고 그 손실이 크기 때문입니다. 최근 미국 내 보안 트렌드 보고서에 따르면, 피해자의 33%가 보안 침해 사실을 내부적으로 발견하였고 피해자의 67%는 외부의 제3자에 의하여 보안 침해 사실을 알게되었습니다. 

탐지 후 사이버 공격을 해결하는 평균 시간은 27일이고, 해커가 탐지되기 전 네트워크에 접근하는 기간은 229일이며, 매주 기업별 성공하는 보안 공격 사건은 1.4개이고, 매년 기업별 보안 침해에 관하여 드는 평균 비용은 85억원 입니다.

 

 

vigil1.png

 

 

 

비즐(Vigil)을 이용한 보안 조사

Firewall / IDS / IPS 와 같은 네트워크 보안 장비의 다양한 보안 이벤트 로그를 남깁니다.

보안 조사를 활용하기에는 너무 많은 이벤트가 발생이 되며 제한적인 데이터를 포함하고 있습니다때로는 여러 보안 장비가 다른 레벨의 이벤트를 보여줌으로써 보안 관리자에 혼돈을 주기도 합니다. 결국은 이런 방식으로는 근본 원인을 분석할 수 없습니다.

 

비즐(Vigil)네트워크 트래픽에서 패킷을 선별하기 위해서 Firewall/IDS/IPS 이벤트를 사용합니다. 보안 장비의 이벤트와 매칭하여 패킷을 저장합니다. 이벤트 로그만으로 보안 조사가 어려운 경우 즉시 관련 패킷을 분석할 수 있습니다.

 

vigil4.png

 

 

비즐의 동작 방법

새비어스 비즐은 기존의 보안 정보 및  이벤트 관리 솔루션(SEIM)의 침입 탐지 시스템/침입 방지 시스템(IDS/IPS) 기능들과 연동하여 보안 이벤트가 발생할 때만 네트워크 패킷들을 통합하여 운영합니다. 관련된 노드들 간의 트래픽은 이벤트 발생 전과 후 기간에 대해 캡처됩니다. 선택적으로 이벤트 내용의 IP주소에 의해 송신 및 수신된 모든 관련된 트래픽도 추가로 캡처 할 수 있습니다. 

 

 

vigil3.png

비즐(Vigil)은 모든 네트워크 트래픽을 버퍼링하고 있습니다.

(그림에서는 6개의 IP를 표현하였음)

 

비즐은 모든 네트워크 트래픽을 버퍼링하고 있습니다.

Step 1: 보안 이벤트가 들어오면 두 IP에 대해서 알람을 줍니다.

Step 2: 이들 IP주소의 전/후 최대 5분간의 모든 패킷들을 저장합니다.

Step 3: 선택적으로 이들 IP중에서 한 개라도 연관이 있는 IP의 패킷들도 저장 할 수 있습니다.

Step 4: 이들 두 패킷과 관련이 없는 패킷들은 무시됩니다.

 

 

비즐이 필요한 상황

보호할 자산이 있습니다.

예를 들어 금융 정보, 환자 기록 등과 같은 데이터가 곧 비즈니스 자신인 경우 네트워크 포렌식 솔루션의 운용이 필요합니다

주변 보안이 완벽하지 않습니다.

다양한 형태와 크기의 모든 조직에 지금 즉시 공격이 침투될 가능성이 있는 경우입니다.

일부 보안 사건들은 즉시 발견되지 않습니다.

평균적으로 데이터 침해는 발생 후 6개월 이산 지나서 발견됩니다. 장기간 패킷 저장은 이러한 침해 사고 발생에 대해 증거 취득이 가능하도록 합니다.

보안 조사를 위해서 네트워크 패킷은 중요한 가치를 갖습니다.

로그, 이벤트 및 기타 메타데이터 등은 보안 조사에 한계성이 있습니다. 패킷 레벨의 조사를 통해서만이 근본 원인과 파생 문제를 확인 할 수 있습니다.

수 개월 간의 네트워크 트래픽을 저장하는 것은 실현하기 어렵습니다

초고속 네트워크에서 한 달에 페타바이트의 데이터를 발생시킵니다. 보안 솔루션과 연동하여 선별적으로 패킷을 저장하는 비즐만이 수개월치의 유용한 패킷을 저장 할 수 있습니다.

 

 

비즐의 활용방법

선택과 정제(refine)

 날짜 범위, 이벤트, IP주소에 따라 선택

 소스, 심각도 및 다른 특성에 따라 정제

 

추출 및 패킷 뷰

 이벤트 전후의 시간을 선택하고 관련된 대화에 포함된 패킷을 선택

 옴니픽에서 저장, View

 표준 패킷 파일로 저장

 

벤더 및 솔루션 별 분석

 선택한 보안솔루션에 대한 분류

 보안 이벤트 레벨에 따른 분류

 

옴니픽을 이용한 정밀분석

 IP별 커넥션 수 및 세션 수, 세션 내용 정밀 분석
 DDoS, 포트스캔, Flooding 등 보안침해 행위 정밀 분석
 특정 IP에 대한 피어맵 지원을 통한 정밀 분석
 파일 및 데이터 내용에 대한 재현/재생을 통한 정밀 분석

비정상 과다 TCP/UDP 세션이 발생된 IP Pair 및 비정상 과다 IP 커넥션이 발생된 호스트IP를 확인하여, 각 IP Pair별 발생된 TCP/UDP 총 세션 수와 각 세션 내용을 감시/확인하고, 각 IP별 커넥션(Peers) 수를 확인하여, 특정 IP Pair에서 발생되는 포트 스캔 증상과 특정IP에서 유발하는 IP스캔 행위를 발견하여 조치할 수 있습니다. 

 

DDos, 비정상적인 포트스캔, IP스캔, TCP SYN Flooding, IP Flooding, MAC Flooding 등과은 보안 침해 행위를 정밀 진단하고, 그 원인이 되는 소스 IP 또는 MAC 주소를 확인할 수 있습니다.

 

 

비즐의 하드웨어 구성

성능

3Gbps CTD (Capture To Disk)

크기

132 x 437 x 648mm (H/W/D), 3U size

인터페이스

1G/10G 겸용 4Port (패킷수집전용)

디스크 용량

64TB (64TB 추가 옵션 지원)

RAID 6 구성

전원

Redundant 800W

 

 

 

 

 

 

LOGIN

SEARCH

MENU NAVIGATION