[답변] 안녕하세요, 트래픽 부하의 경우 고객사 환경별로 차이가 많기 때문에, 혹시 나중에 POV 진행 예정이시라면 그 때 자세하게 설명드릴 수 있을 것 같습니다.
[답변] 모든 고객사에 같은 솔루션이 판매되지만, 각 고객사별 환경에 맞도록 최적화하는 온보딩 프로그램이 구매 후에 진행됩니다. 따라서 같은 모듈이더라도, 각 고객사에 맞춤화된 솔루션으로 궁극적으로 나아간다고 이해하시면 좋을 것 같습니다. 보안 비용 절감의 경우 지금 윤광택 본부장님께서 말씀해 드리고 있습니다.
[답변] 저희는 인텔리전스 전문 회사로서 랜섬웨어 사이트에 올라오는 정보 분석 또는 협력사/공급사의 랜섬웨어 감염 징후 등을 제공해 드릴 수 있습니다. 직접적인 해킹 공격과 장애시 서비스 복구의 경우 전문 업체와 상담해 보시면 좋을 것 같습니다.
[답변] 무료로 공개되는 Insikt 보고서는 당사 공식 홈페이지를 통해서 공개되며 (바로가기: https://www.recordedfuture.com/research), 고객사분들께만 제공되는 보고서가 별도로 존재합니다.
[답변] "현재 계정을 잘 관리한다면"이란 현재 적절한 계정 관리 보안 정책이 실행되고 있는 상황인데요, 예를 들어 30일마다 사원 비밀번호 변경을 강제하는 정책 등이 있겠습니다. 하지만 Identity 인텔리전스에서 확보하는 유출 계정은 빠르면 오늘 유출된 계정까지 포함하기 때문에, 좀 더 능동적인 대응이 가능합니다. 조회는 API와 당사 플랫폼 웹 사이트 열람 두 가지 방식으로 가능합니다.
[답변] 다양한 업계의 고객사분들께서 이용 중입니다. IT분야 뿐만 아니라, 건설업계, 에너지업계, 법조계 등 IT 시스템을 운용 중인 모든 업계에서 사용 중이라고 보시면 될 것 같습니다. 공격 대비 효과는 당사 홈페이지의 성공 사례들을 참고해 주세요: https://www.recordedfuture.com/clients
[답변] 탐지 분석 소요 시간은 아까 다른 답변에서 말씀을 드렸지만, 인텔리전스 출처별로 천차만별입니다. 예를 들어 특정 다크웹 포럼은 게시글 열람을 위해 2차 인증과 포럼 활동 내역을 요구합니다 (예: 댓글 50개 이상, 게시글 10개 이상 등). 이러한 새로운 다크웹 포럼이 발견될 경우, 이를 새로운 출처로 당사 DB에 추가하는데는 다소 시간이 소요될 수 있습니다. 데이터 수집 절차가 안정화되면 실시간에 가깝게 수집/가공되어 고객사에 제공됩니다. 오탐과 과탐의 경우 자동으로 수집되는 인텔리전스뿐만 아니라 Insikt Group이 직접 분석/입력하는 인텔리전스도 있으므로, 사람이 직접 검증하여 줄여나가는 부분이 있습니다.
[답변] 윤광택 본부장님께서 방송 초기에 설명해 주신 Identity 인텔리전스는 Okta나 Azure AD와 같은 계정증명 솔루션과 연동이 가능합니다. 말씀하신 ID 및 액세스 관리 솔루션에 있는 계정 정보 중 유출된 정보가 있을 경우, Identity가 경보를 생성하고, 고객사가 설정한 후속 조치(예: 비밀번호 자동 리셋 및 감염 기기 격리 조치)가 실행되도록 할 수 있습니다.
솔루션 도입으로 예방 효과를 기대할 수 있지만, 도입에 이어 솔루션을 고객사 환경에 맞게 최적화하고 보안팀원들의 숙련도를 높이는 것이 매우 중요하다고 볼 수 있습니다. 레코디드 퓨처는 솔루션 구매 후에도 지속적으로 고객사 지원을 하고 있습니다.
네 맞습니다. 필요한 모듈만 먼저 구매하시고, 추후 다른 인텔리전스 모듈을 추가 구매하시는 고객사분들도 많이 계십니다.
[답변] 작년 레코디드 퓨처는 "쿠쿠 샌드박스"로 많이 알려진 맬웨어 분석툴을 개발한 hatching.io사를 인수했습니다. 고객사에 제공되는 유료 샌드박스 외에도 대중에게 공개된 tria.ge라는 무료 샌드박스가 존재하는데요, 여기에 제출되는 맬웨어 샘플을 분석하면서 탐지하게 되는 C2 서버 정보 등을 레코디드 퓨처 DB에 추가하게됩니다. 또한 APT 공격의 경우 분석에 많은 시간과 자원이 소모됩니다. 따라서 레코디드 퓨처의 자체 연구팀인 Insikt Group에서 직접 분석을 수행하고, 그 결과를 레코디드 퓨처 플랫폼에 업로드하여 고객사에 전파합니다.
[답변] 고객사분들께서 가장 많이 구매하시는 모듈은 SecOps(보안운영을 위한 연동), Threat (위협 인텔리전스), Brand(브랜드 모니터링) 이렇게 세가지가 있습니다. 1) SIEM과 같은 보안운영 솔루션에 연동하는게 주 목적이라면 SecOps를, 2) 이에 더해 인텔리전스 분석가가 직접 정보를 찾고 분석하는 업무까지 하시는 경우에는 Threat 인텔리전스를, 3) 마지막으로 브랜드 보호(인터넷에서 언급되는 우리 회사의 브랜드 이름, 로고, 도메인 등)에 중점을 두신다면 Brand 인텔리전스를 선택하시면 좋습니다.
답변: 위협 인텔리전스 솔루션 도입 전과 후로 나눠서 설명을 드리겠습니다. 솔루션 도입 전에는 보안관제분석가들이 OSINT(공개 정보)에 의존하여 악성지표들을 분석하고 업무에 적용하는 경우가 많습니다. 도입 전에는 OSINT 출처를 하나씩 확인해야했다면, 도입 후에는 다양한 OSINT 출처 정보뿐만 아니라 레코디드 퓨처가 직접 분석한 정보까지 한 페이지에서 열람이 가능합니다. 즉 같은 정보보안 업무를 하는데 소요되는 시간이 많이 줄어든다고 보시면 될 것 같습니다.
질문 1) 위협 탐지 엔진을 바탕으로 자동화 및 실시간 업데이트 수행이 가능한가요? 답변: 실시간 인텔리전스 데이터 수집/가공/전파의 실시간 자동화 및 업데이트가 가능한지 문의주셨습니다. "실시간에 가까운" 데이터 수집 및 인덱싱이 이뤄지고 있다고 이해하시면 되겠습니다. 실시간에 가까운이라고 표현하는 이유는 데이터 소스마다 수집 및 인덱싱에 소요되는 시간이 다르기 때문입니다.
안녕하세요, 레코디드 퓨처입니다. 방송 시청하시면서 궁금하신 점 채팅으로 남겨주시면 답변드리겠습니다.