=
unnamed.png

Advanced Identity Security & Action-Based Adversary Detection
기만 기술을 활용한 APT 공격 대응 솔루션 


" 만약 내부 시스템으로 어떻게 공격이 들어 왔는지 알 수 없다면, 기만 기술 기반 탐지 솔루션이 좋은 해결책이다 "
If you don’t know what threats are inside your network, then deception-based detection is your answer.

Augusto Barros, Gartner, Inc.
ATTIVO   | 현황 및 문제점
보안 솔루션 많아도…  “기업, 사이버공격 절반 이상 탐지 못해”
attivo_nn_003.png
※ 발생 공격에 대한 집계 데이터 수치가 100%를 초과하는 이유는 “경보 생성"이  “탐지“의 하위 집합이고, 공격은 탐지되는 동시에 방어될 수 있기 때문입니다.
  1. 이번 조사를 통해 여러 기업이 생각과 달리, 그들이 인지하지 못한 채 공격에 노출돼 있었음을 알 수 있음
  2. 공격의 절반 이상(53%)은 탐지되지 않고 기업 내 환경에 성공적으로 침투했다.  침투 후 보안 툴에 의해 탐지된 공격은 26%, 완전히 차단된 공격은 33% 정도였다. 
      또한, 경보를 발생시킨 공격은 단 9%에 지나지 않았다.
  3.  많은 기업과 기업의 보안 팀이 SIEM(중앙보안정보이벤트관리) 시스템, SOAR(보안 오케스트레이션 자동화 및 대응) 솔루션, 기타 보안 분석 플랫폼을 사용하고 있음에도
      불구하고, 심각한 위협에 대한 가시성을 확보하지 못하고 있음
    을 보여준다.
※출처 : Fireeye ‘맨디언트 보안 효과성 보고서’ 중 내용 발췌 (https://byline.network/2020/06/10-111/)
ATTIVO   |  기만기술이란?
attivo_hologram_p1_1.png
울타리, 대문, 자물쇠 등 
다양한 보안 기술을 통해 침입을 감시하지만,
충분하지 않음
arrow222.png
attivo_hologram_p1_2.png
내부 침입 시 수많은 문과 자물쇠를 통해
침입자를 내부 자산으로부터 격리시키고 공격을 어렵게 하며, 
기만 기술을 활용하여 공격 기법 분석
attivo_z.png
최신 사이버 공격을 막기 위한 새로운 전략
경계선 보안 및 사후 감사 및 대응은 불충분 : 보다 적극적이고 준비된 보안 필요
attivo_c0102.png
Exploit Their Trust, Create Uncertainty, Change The Game!


해커 기만 : 진짜/거짓 자산 혼합

공격기법 파악/분석
공격 소요 시간/비용 증가

기만 기술을 통한 공격자 속임
공격자를 더 힘들고 복잡하게

가장 쉬운 공격 대상으로 유도


attivo_z.png
Identities 보호 기술
attivo_q1.png
attivo_z.png
실제 운영 장비에 Decoy 계정 등 관련 정보 삽입
attivo_q2.png
attivo_z.png
Active Directory 기만 기술
attivo_d01.png
ATTIVO   |  기만 기술 솔루션 아키텍처
attivo_z.png
기만 기술 솔루션 구성
Sentinelone_hologram_attivo_009_01.png
attivo_z.png
기만 기술 동작 원리
Observe, Respond, Report
Sentinelone_hologram_attivo_006_(1).png
attivo_z.png
솔루션 구성 요소
attivo_solution_111_(1).png

Active Directory 보호 및 점검

에이전트/에이전트 없이 모두 지원
AD관련 취약점이나 설정 오류 점검 및
AD 도메인 서버 공격 행위 탐지
-
 -
 -  
attivo_solution_222_(1).png

IDENTITY 탐지 및 대응(IDR)

에이전트 기반 기만 기술 활용
(Agentless로도 기만 기술 제공 가능)
실제 계정정보 보호 및
가짜 계정정보를통한 공격 유도,
AD 공격 탐지 및 가짜 AD 생성/
공격 유도, 공격 행위 가시화
 - 
attivo_solution_333_(1).png

어플라이언스 장비 Decoy VM 설치

하드웨어 장비
(3500, 5500, 7500 세가지 타입 지원)
생성 미끼 정보를 통한 공격자들이
접속한 deocy VM 운영 및 에이전트 관리
-
- 
-     
attivo_z.png
계정정보 및 AD는 해커들의 공격 대상
65%

복수의 계정에 동일한 비밀번호 사용
(Google 2019 security survey)
60%

계정 정보 및 비밀번호 분실을 통한 침해
(Verizon 2021 Data Breach Investigation Report)
81%

훔친 비밀번호 또는 약하게 설정된 비밀번호를 통한 침해
(Verizon 2021 Data Breach Investigation Report)
50%

지난 2년 동안 AD공격으로 고통을 당한 기업
(EMA Research AD is Under Siege 2021)
42%

AD공격이 성공한 비율
(EMA Research AD is Under Siege 2021)
86%

AD 보안 강화를 위해 예산을 편성한 기업
(EMA Research AD is Under Siege 2021)
" 2023년까지 75%의 클라우드 보안 실패는 적절하게 관리된 식별(identities), 접근 및 권한을 통해 발생할 것으로 예상 "
-Gartner-
ATTIVO   |  주요 기능

Decoy System
Sentinelone_hologram_attivo_121212.png
•     고객사 환경에 맞는 최적화 구성 가능

Decoy System
attivo_zz_002.png
•    Decoy VM으로 생성하기 위한 다양한 OS 지원(Custom OS 제작 가능)
•    TDEP의 기능을 통한 고객사의 모든 네트워크 대역에 Decoy VM 배포 가능
•    Decoy 생성 후 고객이 원하는 Web Page 제작 후 적용 가능

Decoy System
attivo_zz_001.png
•    Decoy VM으로 생성하여 공격자의 Scan 활동 시 초기 탐지 및 대응 가능
•    내부 네트워크에서 발생하는 모든 Broadcast Packet에 대하여 수집

Lure 정보 생성
attivo_g.png

AD Secure
attivo_zz_003.png

Deflect
attivo_zz_004.png
•     정책을 관리하여 Proxy Server등의 내부 보안 규정을 지키지 않은 패킷에 대하여 Decoy VM으로 접속 유도

Anti-Ransomware
attivo_zz_005.png

Anti-Ransomware
attivo_zz_006.png
•     네트워크 드라이브 및 중요 데이터 저장 폴더 및 데이터를 정책 기반으로 숨김 및 보호

Anti-Ransomware
attivo_zz_007.png
•    공격자가 내부 침투 후 Credential 정보 이용하여 횡 이동이 가능한 모든 경로에 대하여 Report 제공
•    Threat Path에서 탐지된 항목에 대하여 저장 정보 삭제 지원
•    Endpoint Agent가 소유한 취약점 정보 제공
attivo_z.png
Active Directory 기만 기술
attivo4.png
ATTIVO   |  Deception과 EDR의 차이점
attivo_z.png
Deception과 EDR의 차이점
새_프로젝트_(8).png
attivo224.png