Enterprise Immune System

실시간으로 사이버 위협 탐지 및 차단
실시간 위협 탐지 및 자율 대응
머신 러닝 및 AI
규칙이나 사용자 인증 없음

Enterprise Immune System은 사이버 보안을 위한 세계 최고의 인공지능형 머신 러닝 기술입니다. 이 새로운 기술은 정교한 사이버 위협이 퍼져 있는 보안 취약의 시대에 맞도록, 인간 면역 체계의 자가 학습 인텔리전스를 응용하여 자체적인 보안 기술을 근본적으로 변화시켰습니다.

인간의 면역 체계는 놀랍도록 복잡하며, 끊임없이 돌연변이를 일으키는 바이러스 DNA와 같은 새로운 형태의 위협에 지속적으로 대응합니다. 신체의 정상 상태를 학습하고 정상 패턴에 맞지 않는 이상 요소를 식별해 무력화합니다.

Darktrace는 이와 동일한 원리를 엔터프라이즈 및 산업용 환경에 적용합니다. 머신 러닝과 AI 알고리즘을 기반으로 한 Enterprise Immune System 기술은 네트워크 상의 모든 디바이스 및 사용자 고유의 '행위 패턴'을 반복적으로 파악하고, 다른 방식으로는 탐지하기 어려운 새로운 위협을 식별하기 위해 이러한 세부 정보의 상관성을 분석합니다.

인간의 면역 체계와 마찬가지로 Enterprise Immune System은 위협이나 활동 패턴의 잠재적 위협 가능성을 파악하기 위해 이를 사전에 경험할 필요가 없습니다. 사전 지식이나 사용자 인증 없이 자동으로 동작하며, 네트워크 내에서 탐지하기 어려운 은밀한 공격을 실시간으로 탐지하고 차단합니다.

Darktrace의 Enterprise Immune System 덕분에 오늘날 고도화된 공격에 맞설 준비가 되어 있다고 확신하게 되었습니다.
Dane Sanderson, Global Security Director, Trek
Darktrace 위협 보고서 2018

Darktrace Threat Visualizer

네트워크를 한 눈에 파악

Threat Visualizer는 Darktrace의 실시간 3D 위협 알림 인터페이스입니다. Threat Visualizer는 위협 알림을 표시하고 네트워크의 일상적인 활동에 대한 개요를 시각적으로 제공합니다. 이는 사용하기 쉬울 뿐만 아니라, 보안 전문가와 회사 경영진 모두가 이용할 수 있습니다.

Threat Visualizer 사용자 인터페이스(UI)는 최첨단 시각화 기술을 이용해 분석팀에 중요 사고 및 위협을 자동으로 알려, 분석팀이 사전대응적으로 인프라의 특정 영역을 조사할 수 있도록 합니다.

이점
  • 전체 네트워크 구성을 3D로 시각화
  • 엔터프라이즈 위협 수준에 대한 실시간 글로벌 개요
  • 이상 징후를 지능적으로 클러스터링
  • 전체 스펙트럼 보기 – 상위 네트워크 구성, 특정 클러스터, 서브넷 및 호스트 이벤트
  • 검색 가능한 로그 및 이벤트
  • 과거 데이터 재생
  • 디바이스 및 외부 IP의 전반적인 행위에 대한 간략한 요약 정보
  • 경영진 및 보안 분석 팀을 위한 설계

100% 가시성

시각화 기술은 경영진에게 회사 네트워크의 전체적인 개요를 제공하여, 기술 전문가와 경영진의 효율적인 커뮤니케이션을 통한 의사 결정이 가능합니다. 경영진은 네트워크 환경에 대한 인식과 이해도를 높이고 경영상의 의사결정 능력을 개선해, 보안 문제를 수월하게 감독할 수 있습니다.

Darktrace는 시스템 내부의 상황을 보여주는 시각적 개요를 제공해 한눈에 파악할 수 있습니다.
Conor Claxton, COO, Macrosynergy

인공지능(AI) 및 머신 러닝

조직의 '기본 구조'를 자동으로 파악

인공지능(AI) 및 머신 러닝은 사이버 보안 업계에 막대한 가능성을 제시하고 있습니다. 오늘날 새로운 머신 러닝 방식은 처리할 수 있는 컴퓨팅 기반 분석의 양이 광범위하기 때문에, 위협 탐지의 정확성을 대폭 개선하고 네트워크 가시성을 향상시킬 수 있습니다. 또한 새로운 자율 대응의 시대를 예고합니다. 즉 컴퓨터 시스템은 실시간으로 위협을 차단하는 방식과 시점을 효율적으로 파악할 수 있습니다.

Darktrace는 처음부터 과거 공격과 관련된 데이터로 미래에 일어날 공격을 예측할 수 있다는 가정을 받아들이지 않았습니다. 그 대신 Darktrace의 사이버 AI 플랫폼은 자율 학습 (Unsupervised) 방식의 머신 러닝을 사용해 확장 가능한 네트워크 데이터를 분석하고, 확인된 증거를 바탕으로 확률에 기반해 수십 억 번의 계산을 수행합니다. 이는 과거 위협에 대한 지식에 의존하는 대신, 데이터를 독립적으로 분류하고 눈에 띄는 패턴을 탐지합니다.

Darktrace가 자랑하는 세계 최고의 사이버 AI는 전세계 수 천 개 조직이 모든 종류의 위협을 식별하고 이에 대응할 수 있도록 하며, '정상' 행위에서 벗어나 주의가 필요한 비정상 상태를 강조합니다. 이는 오늘날 기업에서 사용되는 것 중 가장 정확하고 확장성이 뛰어나며 가장 잘 입증된 인공지능 플랫폼으로 꼽히고 있습니다.

사이버 AI 시대의 머신 러닝
Darktrace AI는 다른 솔루션이 놓치는 위협을 탐지합니다.
William Reid, Director of IT, Wyndham New Yorker
다른 솔루션이 놓치는 위협을 탐지하고 차단하는 Darktrace AI

사이버 보안을 위한 Darktrace AI는 영국 케임브리지 대학교 출신 수학자들이 개발한 독보적인 머신 러닝 기술로 동작하며, 전 세계 수천 개 조직에서 이를 사용하고 있습니다.

Darktrace의 Enterprise Immune System은 사이버 위협이 확산되기 전, 이를 식별해 실시간으로 위협을 탐지합니다. 뿐만 아니라 Darktrace의 자가 학습 기술을 통해 컴퓨터 속도로 전개되는 위협을 차단할 수도 있습니다.

내부자 위협 또는 장기적 보안 침해에 직면하거나, 랜섬웨어의 표적이 되거나, 또는 연결된 객체가 해킹을 당하는 경우에도, Darktrace는 비정상 활동을 나타내는 미세한 지표를 확인하고 가장 핵심이 되는 시스템을 방어합니다.

세계적 수준의 전문가

Darktrace가 보유한 영국 케임브리지 대학 출신의 머신 러닝 전문가

Darktrace의 소프트웨어 엔지니어 전문가는 수학 및 머신 러닝 분야의 전문 지식을 보유하고 있습니다. Darktrace 전문가들은 베이지언 순환 확률(RBE) 모형을 선구적으로 활용해, 뛰어난 Enterprise Immune System 기술과 사이버 위협을 식별하는 확률적 접근 방식의 기초를 마련했습니다.

베이지언 수학 모형은 대량의 대규모 데이터 세트에서 추출된 의미와, 더 많은 정보가 관찰되는 경우에 업데이트 되어야 하는 특정 이벤트에 대한 확률을 고려합니다. RBE 모형을 활용하면 슈퍼 컴퓨터 없이도 이러한 접근 방식을 적용할 수 있습니다.

영국 케임브리지의 Darktrace 연구개발 팀은 지속적으로 사이버 보안 소프트웨어 엔지니어링 및 AI 분야의 가능성을 확장하는 새로운 혁신을 만들어가고 있습니다.

위협 활용 사례

Darktrace가 탐지한 실시간 위협

Darktrace는 IoT 해킹에서 범죄 활동, 내부자 위협 또는 잠재적 취약점에 이르기까지, 다양한 실시간 위협과 보안 침해 및 취약점을 탐지할 수 있습니다. 활용 사례에 선정된 예는 심각한 피해가 발생하기 전 Darktrace가 실시간으로 식별한 다양한 위협 시나리오를 소개합니다.

클라우드 서버에 대한 외부 공격

Darktrace는 실수로 인터넷에 노출된 클라우드 인프라 내 서버에 대한 무차별 공격을 탐지했습니다.

클라우드와 물리적 네트워크 세그먼트 간 연결은 공격이 성공했을 경우 네트워크 전체의 보안이 침해될 수 있었다는 것을 뜻했습니다. 그러한 활동으로 중대한 보안 위험이 초래됐을 뿐 아니라, 지속적인 연결 시도가 수없이 이루어지면서 서버에 영향을 주는 서비스 거부(DoS)가 발생할 수도 있었습니다.

Darktrace가 발견한 사항:
  • 4주에 걸쳐 8천 번이 넘는 액세스 시도가 100가지 이상의 소스 주소에서 관찰 되었습니다.
  • 이러한 주소는 단일 사용자 이름을 사용해 조직적으로 클라우드 기반 RDP 서버 액세스를 시도하고 있었습니다. 사용자 이름은 바로 “hello”였습니다.
  • 그러한 활동은 서버에서 송수신되는 트래픽의 대부분에 해당했습니다.
고도의 랜섬웨어 공격

Darktrace는 통신사 네트워크에서 고도의 랜섬웨어 유형을 새롭게 발견했습니다. 이는 일반적인 랜섬웨어에 비해 공격이 빠르게 자동으로 이루어졌습니다. 직원이 개인 이메일에 접속해 기업 보안 프로토콜을 우회하면서 랜섬웨어 공격이 시작됐고, 그 과정에서 악성 파일을 다운로드 한 것이 원인이었던 것으로 보입니다. 몇 초 후 디바이스가 Tor 네트워크의 외부 서버에 연결되기 시작했습니다.

SMB 암호화 활동이 시작된지 9초 후 Darktrace는 조사가 필요한 이상 징후를 나타내는 알림을 발송했습니다. 이후 24초 간 행위가 지속되자, Darktrace는 심각한 위협으로 판단해 지속적으로 비정상 상태에 대한 내용을 수정했습니다. 주말에는 보안 팀이 출근하지 않았기 때문에 Darktrace Antigena가 개입해 네트워크 파일 공유에 암호화된 파일을 쓰려는 모든 시도를 자동으로 중단시켰습니다.

Darktrace가 발견한 사항:
  • 해당 직원의 디바이스가 흔하지 않은 외부 도메인으로 일련의 비정상적인 HTTP 요청을 실행했습니다.
  • 디바이스는 의심스러운 .exe 파일을 다운로드했습니다.
  • SMB 공유에서 읽기 및 암호화가 성공적으로 이루어지기 시작했습니다.
표적이 된 생체 인식 스캐너

다국적 제조업체에서 공격자는 생체 인식 스캐너의 보안을 침해하기 위해 알려진 취약점을 공격했습니다. 스캐너는 장비 및 산업용 플랜트에 대한 액세스를 제한하는 데 사용되었기 때문입니다. 공격자는 디바이스에 저장된 지문 데이터를 변경하기 시작했습니다.

위협이 탐지되지 않았더라면 공격자는 자신의 지문 데이터를 데이터베이스에 추가해 산업용 플랜트에 물리적으로 액세스할 수 있었을 것입니다. 일반적인 악성코드 차단 및 사용자 인증 솔루션은 눈에 잘 띄지 않아 보안 침해로 이어지는 활동을 탐지하지 못했습니다.

Darktrace가 발견한 사항:
  • Darktrace가 설치된 후 외부 컴퓨터의 의심스러운 텔넷(Telnet) 연결을 탐지했습니다.
  • 외부 컴퓨터는 기본 자격 증명을 사용해 스캐너에 액세스했고 CPU 정보 검색을 위한 루트(root) 권한을 사용했습니다.
  • 이후 공격자는 다른 내부 시스템에 도달하기 위해 우회를 시도했습니다.
  • 추가 조사를 통해 텔넷 포트 23에서 스캐너의 가용성이 IP 데이터베이스 Shodan.io에 기록됐다는 사실이 밝혀졌습니다.
보안에 취약 한 화상 회의 시스템

한 글로벌 스포츠 기업이 세계 각지에 연이어 새로운 사무소를 열고, 일상 업무를 위한 팀 간 의사소통을 원활히 하기 위해 화상 회의 장비를 도입 했습니다. 조직의 '행위 패턴'을 학습하면서 Darktrace는 네트워크 상의 한 특정 디바이스, 즉 중역 회의실에 설치된 화상 회의 시스템에서 이상 행위를 탐지했습니다. 공격자가 무단 원격 액세스를 악용해 조직 외부로 오디오 데이터를 전송하기 시작했던 것입니다.

공격자는 비공개 회의실의 오디오 스트림을 수집해 민감한 기업 정보를 구축하기 시작했습니다. 공격자는 들키지 않고 내부에서 이동해 POS 디바이스를 찾아 추가 피해를 유발할 수도 있었습니다.

Darktrace가 발견한 사항:
  • 그러한 디바이스 중 하나는 텔넷을 통해 외부로 연결하는 유일한 내부 디바이스였습니다.
  • 비정상적으로 많은 양의 정보가 6대의 등록되지 않은 외부 컴퓨터로 업로드 되었습니다.
  • 백도어 트로이목마가 Darktrace 설치 전에 디바이스에 업로드 되었던 것입니다.
  • 해당 디바이스는 FTP, 텔넷 및 HTTP를 통해 의심스러운 외부 서버에 연결되었습니다.
비정상적인 프라이빗 클라우드 데이터 전송

불만을 품은 직원이 퇴사 전날 Dropbox에 대량의 고객 데이터를 업로드해 훔치려 했습니다.

Dropbox는 이 회사에서 널리 사용되는 앱이었기 때문에 해당 직원은 그러한 활동이 눈에 띄지 않을 거라 생각했던 것으로 보입니다. 기존 툴은 그러한 행위를 위협적이라 인식하지 않았지만, Darktrace의 자가 학습 방식은 정상 범위에서 조금만 벗어나도 이를 정확히 탐지할 수 있었습니다. 그 결과 해당 직원이 정보를 훔치기 전 비정상적인 전송이 일어난 것을 확인했습니다.

Darktrace가 발견한 사항:
  • 회사 서버에서 평소보다 훨씬 많은 17GB의 데이터를 Dropbox에 업로드했습니다.
  • 사무실 내 Dropbox 연결은 흔히 있는 일이었지만 문제가 된 서버에서는 없던 일이었습니다.
  • 해당 데이터 내에는 회사 고객의 지리적 위치 정보가 포함되어 있었습니다.
자동화된 자격 증명 도난

한 의료 기관 네트워크가 사용자 자격 증명을 훔치기 위해 설계된 악성코드에 감염 되었습니다. 악성코드가 일단 네트워크에 침투하면 다른 디바이스의 민감한 폴더로 프로그램을 복사하고 로그인 세부 정보를 추측해 확산됩니다.

공격자는 네트워크에서 사용자 자격증명 추출을 시도하고 있었습니다. 사용된 악성코드는 기존의 위협 데이터베이스에서는 볼 수 없는 유형이었고 자동으로 실행되었습니다. 그로 인해 보안 팀은 신속히 대응할 수 없었고 기존의 보안 체계로는 이를 식별할 수 없었습니다. Darktrace의 AI 기반 솔루션은 사용자 및 조직의 정상적인 활동에 대한 지식을 바탕으로, 복사된 프로그램과 패스워드 관리자의 강제 액세스를 비정상으로 인식했습니다.

Darktrace가 발견한 사항:
  • 감염된 디바이스는 프로그램을 민감한 파일로 전송하고 있었습니다.
  • 파일은 사용자의 대응 속도보다 더 빠르게 전송되고 있었습니다.
  • 해당 디바이스는 의심스러운 서드 파티 인프라와 통신을 시도 중이었습니다.
자체 수정 기법을 이용하는 Keylogger

Darktrace가 찾아낸 가장 정교한 공격 중에 기존의 보안 시스템의 탐지를 피하는 '액티브 보안 메커니즘'이 있었습니다. 이러한 공격은 자체 수정 기법을 이용하는 악성코드를 사용해 주요 대학 네트워크에 은밀히 침투했습니다. 공격자는 ‘스모크 로더(Smoke Malware Loader)’ 툴을 사용해 사용자 패스워드를 자동으로 추출했습니다. 악성코드는 사용자 인증을 동적으로 변경하고 위장용 가짜 오류 메시지를 생성해, 네트워크에서 자신의 존재를 감추려 시도했습니다.

기존의 무차별 공격에 비해 표적화 된 공격을 나타내는 악성코드는 속임수를 동원했습니다. Darktrace는 즉각적인 조치가 필요한 심각한 이상 징후의 존재 여부를 확인하기 위해 일련의 비정상적인 행위를 종합하여, 이처럼 고도로 발전된 공격을 면밀히 파악했습니다.

Darktrace가 발견한 사항:
  • 최초 파일 다운로드는 흔치 않은 외부 소스에서 발생했습니다.
  • 패스워드가 포함되었을 가능성이 있는 파일이 비정상적인 목적지로 전송되었습니다.
  • 파일 전송에 이어 연결 실패를 나타내는 오류 메시지가 연달아 표시됐습니다.
  • 비커닝(beaconing) 활동을 통해 디바이스가 정상적인 활동에서 한참 벗어나 있음을 알게 되었습니다.
내부자의 비트코인 채굴 작업

금융 서비스 회사에서 일하는 한 소프트웨어 엔지니어는 회사 서퍼 팜에 액세스 권한이 있었는데, 그가 가진 회사 디바이스는 희귀한 외부 엔드포인트와 통신하고 있는 것으로 관찰되었습니다.

곧이어 해당 직원이 수익성 높은 비트코인 채굴 작업을 계획하고 있었다는 사실이 드러났습니다. 보기 드문 IP와 호스트 이름, RDP 활동, SMB 쿼리 사이에서 Darktrace는 이러한 지표들이 위협을 나타내는 더 큰 패턴의 일부라고 판단해 실시간으로 이러한 활동을 식별했습니다.

Darktrace가 발견한 사항:
  • 비정상적인 RDP 활동 및 SMB 쿼리가 해당 직원의 디바이스에서 관찰 되었습니다.
  • 디바이스는 FTP 서버를 사용중인 사용자의 홈 네트워크로 연결 중이었습니다.
  • 서버에는 회사 이름이 표시된 폴더가 포함되어 있었습니다.
  • 폴더 내부에서는 트로이 목마에 감염된 파일들이 악성 비트코인 채굴 작업중이었습니다.
산업용 전력망에서 데이터 유출

Darktrace는 중동 지역의 한 SCADA 에너지 네트워크로 작업을 수행하던 중 보안 침해가 일어나 외부 공격자에게 데이터를 유출하는 내부 서버를 발견 했습니다.

해당 전력망은 눈에 띄기 쉬운 표적이어서 데이터 유출이 특히 우려되는 상황이었습니다. Darktrace는 자가 학습 방식을 통해 이 정교한 사이버 공격 대응을 주력할 수 있었고, 보안 팀에서 신속하고 단호한 조치를 취해 핵심 정보가 네트워크에서 유출되는 상황을 막을 수 있었습니다.

Darktrace가 발견한 사항:
  • 비정상적인 SSH 서버 연결이 이전에 해당 서버와 통신한 적 없는 외부 디바이스에서 관찰 되었습니다.
  • 해당 서버는 ICMP 연결을 통해 평소보다 훨씬 많은 양의 정보를 네트워크 외부로 전송 중이었습니다.
  • 공장 기본값으로 기재된 액세스 코드를 사용한 온라인 SSH 연결이 수 차례 실패 한 후에 SSH 연결이 이루어졌습니다.
은밀히 진행되는 데이터 도난

Darktrace는 기업 네트워크에 배포된 후 회사 데이터 센터에서 비정상적인 '비인가' 디바이스를 탐지했습니다. 한편, 보안 팀은 해당 디바이스가 존재하는지도 몰랐습니다. Darktrace가 비정상 활동에 대해 2주 이상 반복적으로 알림을 전송한 후 해당 기업은 조사에 나서기로 결정했습니다. 보안 팀은 데이터 센터 내에 몰래 설치된 작은 컴퓨터를 발견했습니다. 문제가 된 디바이스 서버 뒤에는 플러그가 꽂혀 데이터를 추출하고 있다는 사실을 발견하게 되었습니다. 악의적인 공격이 의심되어 조사가 시작되었습니다.

Darktrace 위협 보고서 2018
다음: 산업군