순수 네트워크 패킷을 수집하는 어플라이언스 형태의 제품으로 OS에 제약 사항이 없습니다.
랜섬웨어에 속수무책으로 당하는 이유중 하나가 해커가 배포하는 URL의 IP주소, 도메인, 호스트가 평판 시스템에 미등록된 상태며 또한 배포된 랜섬웨어 실행 파일이 팩킹되어 기존 시그니처, 동적 분석 장비에서 빠른 대응이 힘들기 때문입니다. 다크트레이스의 경우 이러한 의심 URL 연결후 자연스럽게 이뤄지는 드롭 동작들 모두 기존에 접속하지 않던 희귀성을 가진 주소에서 발생을 시킨다고 확인을 합니다. 따라서 이러한 희긔성을 가진 사이트 접속에 대한 경보가 발생할시 즉각 차단을 통하여 그 이후에 수반되는 악성코드 다운로드와 키를 받기위한 콜백등의 여러가지 랜섬웨어 부가 행위들을 사전 차단할수 있습니다. 정리하자면 대부분의 랜섬웨어 감염 전조 증상은 확률 기반에 의한 이상 외부 연결의 형태로 나타납니다.
일반적으로 백본 스위치에서 트래픽을 수집하는데 구간은 (사용자-인터넷, 사용자-서버 ) 간 트래픽을 실시간 수집을 합니다. 이기종 방화벽이나 IPS는 경계선에 있기에 일반적으로는 이들 밑의 내부 방향 구간을 보게 됩니다. 시간이 짧아 실제 시연을 보여드리진 못하였지만 단순 warning 을 넘어선 3D로 시각화된 위협 정보를 보여주게 됩니다.
일반적으로 탐지된 위협에 대한 대한 증거를 확실하게 보여 드리고 있습니다. 상세한 이벤트 로그와 여러가지 증적 자료를 통해서 말이지요. 만약 사용자에 판단에 의해 실제 오탐으로 분류되는 경우는 예외 처리를 통하여 동일 행동에 대한 부분을 보지 않게 됩니다. 중요한것은 학습이 진행되며 운영이 길어질수록 이러한 오탐율도 자연스럽게 줄어들게 됩니다.
확률 정확도를 수치로 나타냅니다. 100%면 100%의 독립적이며 새로운 신규 행위로 90% 정도로 낮아진다면 행위의 빈도수나 행위 주체가 좀더 많을수가 있습니다. 차단은 즉각 차단이 가능 합니다. 하지만 일반적으로 차단은 어느 정도의 충분한 학습 기간을 거쳐서 자동 차단 정책을 별도 차단 모듈 라이센스를 통하여 운용하게 됩니다.
방송때 잠깐 말씀 드린것과 같이 서로 다른 조직에 특화된 고유한 위협을 찾는데 중점이 있기에 서로 다른 조직의 학습 결과를 공유하는 부분은 큰 도움을 얻기에는 부족합니다.
기계 학습에 의한 결과값은 순수하게 수학적 확률 분석에 의해서 나타납니다. 따라서 최대한의 객관성을 가집니다. 하지만 사람의 주관적인 판단에 의한 오탐은 안나타날수가 없기에 몇가지 예외 처리 기능이 있습니다.