공격벡터 및 이상 징후 (통신 확인) 시스템 변경시 아키텍처 구성 확인 데이터 베이스→ 인터넷 통신 확인 및 차단으로 보안 강화 PCI-DSS등 audit과 관련 심플하게 리포팅 가능 등이 있습니다.
마이크로 세그멘테이션의 적용은 첫 스텝으로 먼저 보안 강화 -> 환경 분리 및 중요 자산 보호 순서등으로 생각 하실 수 있을거 같아요. 여기서 보안 강화는 예를 들어서 인터넷에 오픈 되어 있는 자산들 및 포트 확인, 정책 설정 차단. 등으로 보실 수 있고. 정책들의 경우 수동 적용도 가능 하지만 에이전트 설치 이후 발생하는 트래픽을 확인 하여 가디코어에서 추천 정책을 (eg. AD segmentation, WIn RM segmentation등) 을 활용해 주시면 공수를 줄일 수 있습니다. 또한 보안 사고가 일어났을때 기존 방화벽등 로그들을 확인 하는 대신 가디코어 콘솔에서 확인이 가능하며, 과거의 특정 시간에 맵을 통해 정책 위반등의 케이스 확인이 가능 합니다
최근 랜섬웨어 공격을 받았던 글로벌 보험사에 저희가 투입 되었을때. 에이전트를 설치하여 공격벡터 확인 및 격리를 하고 디셉션 서버 및 모듈을 사용하여 악성 연결시도 트래픽을 허니팟 서버로 유도 트래픽을 고의 지연연결 시키며 행위 Recording Guardicore Policy 에서 승인된 트래픽만 허용 그 외 트래픽은 모두 자동 차단 스크린샷 기능도 제공하며, 향후 Audit & Forensic 데이터로도 활용 가능 하였습니다
최근 랜섬웨어 공격을 받은 글로벌 보험사에 저희 투입 되었을때 디셉션 서버 및 모듈을 사용하여 악성 연결시도 트래픽을 허니팟 서버로 유도 트래픽을 고의 지연연결 시키며 행위 Recording Guardicore Policy 에서 승인된 트래픽만 허용 그 외 트래픽은 모두 자동 차단 스크린샷 기능도 제공하며, 향후 Audit & Forensic 데이터로도 활용 가능
인더스트리와 관련 없이 많은 기업군에서 사용 하고 있으며 글로벌 유명 은행들 (산탄델 은행등)에서 사용 하고 있습니다. 미국 정부 기관등, 대학교, 연구기관등에서도 사용 하고 있습니다
기존 방화벽은 ips, ids 등의 기능을 제공, 경계보안을 위해 필요한 부분 입니다. 마이크로 세그멘테이션의 경우 내부 확산을 막을 수 있는 부분이고, 랜섬웨어를 막기 위해서 저희가 제안 드리는 부분은 EDR 솔루션과 마이크로 세그멘테이션 (PC, 중요 자산등)을 함께 적용을 추천 드립니다.
라벨링을 기반으로 정책을 설정을 하며, 제어를 할때 latency가 발생 하지 않습니다. 다른 예로 ip table을 기반으로 정책을 설정 할때 latency가 규모가 커지면 발생 하는 latency가 발생 하지 않는다고 보시면 좋을거 같아요
실제 고객사중 CISO분이 말씀 해주신 것이 cyber resilience 및 defense의 수립시 조언 주신 바는 가장 먼저 중요하게 생각 하시는 것이 전체 시스템, 플랫폼의 가시성 확보가 가장 중요 하다고 하십니다. 특히 클라우드로 많은 환경이 옮겨 가고 CISO 로서 컨트롤 할 수 있는 부분등이 줄어 들며 전체 환경에 대한 가시성 즉, 시스템간의 통신; 레거시 - 클라우드간 혹은 협력사의 접속 등 이러한 부분이 먼저 해소 되는 것이 중요하다고 말씀 해주셨었어요
가능 합니다 - 다양한 OS를 지원 하고 있어, 가능 하며, 예를 들어서 PC의 경우 pc- pc 간의 통신을 아예 저지 하는 방법이 있고 랜섬웨어등의 공격 확산 차단을 위해 노트북의 특정 어플리케이션만 특정 서버로 연결을 허용 하고, 집에서 노트북에 대한 RDP 엑세스를 막는등 보안 강화를 하는 방법이 있습니다. 또한 중요 서버들에 특정 위치, 유저, 환경에서 어떤 포트를 타고만 접근이 가능한지 등의 세세한 설정이 가능합니다. 또한 디셉션 서비스 (허니팟) 역시 제공 하고 있어 공격자들의 세션 리코딩도 보실 수 있습니다
두가지 경우로 보실 수 있을 것 같습니다. 1. 랜섬웨어 방지 - 중요 자산들의 화이트 리스팅 등으로 보호를 하는 방법, 허용된 트래픽/유저만의 자산 접근등이 있고, 스캐닝 방지, 프로세스 및 포트 제어,PC간 통신 차단 등이 있으며 미국에 있는 통신 업체가 poc 중 가디코어를 설치한 상태에서 다크사이드 공격을 받은것을 확인, 내부 확산을 막을 수 있었습니다. 2. 랜섬웨어 공격을 받았을때 사후 처리 :글로벌 보험사, 가디코어를 설치 하지 않은 상태에서 침해 당함 감염된 시스템은 랜섬웨어를 전파 하기 위해 탐지 되지 않은 채 네트워크 스캔 -> 가디코어 에이전트 설치, Patient Zero 및 벡터 파악 고객은 시스템이 네트워크의 다른 시스템을 감염시키려는 것을 알아 차리고 IOC 확인
ip등 변경이 일어나더라도 자산에 대한 라벨링을 기반으로 정책을 설정 하기 때문에 같이 따라간다고 보시면 될거 같아요 예) “포트 22- 어드민을 제외한 모든 매니지먼트 포트” 차단 데이터 베이스→ 인터넷 통신" 차단 부서간 혹은 특정 환경에서의 RDP허용 예 IT부서에서 정기적으로 RDP를 통해 서버에 접근 해야 하는 경우에 이는 허용하는 정책을 설정 (TCP 3389 로만 ) 또한 윈도우즈 서비스 레벨에서 정책 설정 및 차단이 가능합니다.
제로 트러스트 아키텍처를 강조 하는 것이 경계 보안 만으로는 현대화 된 IT 환경의 보호가 어려운 것의 해소인데요. 서비스 중심으로 마이크로 세그멘테이션을 적용 하는 것으로 해소 할 수 있습니다. 마이크로 세그멘테이션 적용은 일단 기업의 중요 자산을 파악한 후 (예를 들어 서비스 장애가 있을시 금전적 피해가 가장 큰 것들) 그것들 부터 보호 하는 방법이 있고, 데이터 베이스가 인터넷에 노출 된 것들을 확인 하는 등의 접근으로 차차 넓혀 나가는 방법이 있습니다. 솔루션을 적용 할때 소프트 웨어 기반 이기 때문에 따로 다운 타임이 발생 하지 않고, 데이터 센터의 물리적인 위치등에 제약이 없이 다 적용이 가능합니다.
국내에서는 IT-OT 환경의 랜섬웨어를 하고 보호 하기 위해 이용 및 금융권에서도 레거시를 포함한 여러 환경에서의 가시성 확보등을 위해 사용 하고 있습니다. 이를 통해 예를 들어 시스템 아키텍쳐를 바꿨을때 이전에 계획 했던 데로 디자인이 되었는지, 통신, 포트 설정등을 확인 하는 것이 가능합니다
김현진님 안녕하세요, 질문 감사드립니다. 퍼블릭, 프라이빗 클라우드, 레거시 서버, PC 단말등 하나의 콘솔에서 같은 정책을 설정 하고 각각 시스템간의 통신 가시성 확보등이 가능합니다. 적용 원리와 아키텍쳐는 같다고 보시면 될 것 같습니다. 매니지먼트 서버 - 아그리게이터 - 에이전트 구조 입니다
질문 감사드립니다. 세계 유명 이커머스 마켓플레이스, 물류 회사들에서도 사용을 하고 있습니다. 대규모 , 복잡한 IT 환경 ? 특히 클라우드로 많이 넘어 가면서 레거시- 클라우드간 가시성 확보 및 제어가 어려워 많은 툴들을 사용하고 있는데요. 이러한 상태에서 보안의 사각지대가 생기게 되고 전체 환경 가시성 확보 및 제어를 위해 사용 합니다. ERP등 중요 자산을 보호 할 수 있고 랜섬웨어 침투시 내부 확산을 막을 수 있습니다.
마이크로 세그멘테이션 솔루션은 제로 트러스트 중에서도 제로 트러스트 아키텍쳐 달성을 위해 필요한 필수 솔루션 입니다. 포레스트에서 최근 발표한 마이크로세그멘테이션 웨이브에서 리더로 선정 되었으며 베어메탈 서버 부터 컨테이너 까지 한 콘솔을 통해 정책을 배포 및 제어등이 가능한 솔루션입니다. 또한 화이트리스팅 블랙리스팅 두가지를 혼합하여 사용 하시는게 가능합니다.
안녕하세요. 아카마이 하지연 입니다 오늘 웨비나 참여 감사드립니다! 궁금 하신 점이 있으시면 댓글 남겨주세요 :)
안녕하세요