IT의 모든 것, 코아아이티

보안 솔루션 센티넬원(SentinelOne)과 DeepACT - 파고네트웍스 본문

코아아이티 솔루션

보안 솔루션 센티넬원(SentinelOne)과 DeepACT - 파고네트웍스

코아아이티 2024. 1. 19. 16:28
반응형

 

 안녕하세요. 코아아이티입니다. 오늘은 파고네트웍스 기업과 보안 솔루션인 센티넬원, 그리고 DeepACT 서비스에 대해 알아보도록 할게요.

파고네트웍스(PAGO NETWORKS)

 

 매니지드 탐지 및 대응 전문 기업으로 고객과 협업 및 위협 공동 탐지, 대응 플랫폼을 구축해 프로텍션을 극대화하고 위협 클리닝, 높은 보안성과를 제공합니다. 탐지된 모든 위협을 분석 후 다른 보안 제품과 연동 및 커뮤니티 가입 고객을 위한 정보 공유 역할과 고객의 가상 보안팀으로 직접 능동 대응하는 서비스를 제공하는 기업입니다.

 

최근 공격의 주요 특징

 

 악성코드의 진화 - 타겟화, 고도화 및 다양한 우회 기술을 탑재하여 개인에서 기업으로 공격 목표를 전환하고 지능형 표적 공격을 활용하며 대량 데이터를 목표하고 암호화 이전에 유출이 되기도 하며 RaaS 서비스형 랜섬웨어 또한 발달되었습니다.

 

기존 안티바이러스의 한계

 

 악성코드 실행 이력에 대한 가시성이 부족해 악성코드 탐지 전 수행한 실행 이력 및 변경사항에 대한 가시성 확보가 불가하였습니다. 그리고 시그니처 기반의 한계로 알려지지 않은 악성코드가 탐지 불가하고 자동 치료 및 복구 기능의 부재로 보안 전문가에 의한 수동 복구 또는 엔드 포인트 포맷이 필요해 랜섬웨어/악성코드 감염 시 복구가 불가하였습니다. 또한 업데이트로 인한 네트워크 부하, 리소스 소모 증가 등 시그니처 DB 사이즈 증가로 관리가 어려워졌습니다.

 

센티넬원(SectinelOne)

 

 IT, Cloud, 데이터센터, PC, Server 엔드포인트 보안 PC, 클라우드 서버 보호를 위한 AI 머신러닝 기반 EPP + EDR 통합 플랫폼으로 액티브 EDR, 클라우드 평판 엔진, 정적/동적 AI 엔진 기반 디바이스 컨트롤 애플리케이션 취약점 파악, 악성코드로 인해 손상된 시스템을 롤백하는 기능이 있으며 PAGO DeepACT MDR 서비스와 함께 지속적인 보안성 강화 방안을 제공합니다.

 

기술 개요

 

 실시간으로 파일, 행위 기반을 분석하여 자동화된 대응 조치하고 EDR 및 대응을 합니다. 처리시간은 대응까지 수초 내 처리가 가능하고 로그 저장 기간은 14일부터 최대 1년을 지원하며 단일 및 가벼운 에이전트로 지원 범위 또한 넓습니다.

(Windows, Mac, Linux, VDI, Cloud, Kubernetes/Docker)

 

탐지 엔진

 

클라우드 평판 엔진(REPUTATION)

 해쉬값 기준 악성코드 차단 - OS 별 최적화된 해쉬 DB 제공

 

정적 AI 엔진(STATIC AI)

 AI 데이터 모델 기반 파일 속성을 추출하여 비교

 

동적 AI 엔진(BEHAVIORAL AI)

 MITRE framework 기반 실시간 악성 활동 탐지

 

액티브(EDR DEEP VISIBILITY)

 데이터 가시성 Storyline 기반 위협 헌팅

 

SentinelOne, CylanceProtect로 백신 대체가 가능한가요?

 

 가능합니다. 악성코드를 탐지하고 차단하는 기반 기술이 시그니처로 SentinelOne이 악성코드를 탐지하고 차단하는 기술은 클라우드 패턴, 머신 러닝, 행위기반입니다. 악성코드를 방어하는 입장에서 기반 기술이 다를 뿐, 기존 백신 영역과 동일한 영역으로 가트너에서 안티바이러스(백신), EPP, EDR을 통합했으며 파고네트웍스 고객사 100%는 기존 안티바이러스를 SentinelOne / CylanceProtect로 대체하였습니다.

 

엔드 포인트 보호 플랫폼(EPP)란 무엇인가요?

 

 Gartner가 정의한 EPP(Endpoint Protection Platform)는 파일 기반 멀웨어(악성코드)를 방지하고, 신뢰할 수 있는 애플리케이션과 신뢰할 수 없는 애플리케이션의 악의적인 활동을 탐지 및 차단하고, 보안 사고 및 경보에 능동적으로 대응하는 데 필요한 조사 및 치료 기능을 제공하기 위해 엔드 포인트 장치에 배포되는 솔루션입니다.

 

DeepACT 서비스(PAGO NETWORKS)

 

 PAGO DeepACT는 파고네트웍스가 직접 개발한 MDR(Managed Detection & Response) 서비스 브랜드이며, 파고네트웍스가 제공하는 AI 기반 보안 솔루션과 함께 모든 고객사를 대상으로 '지능형 위협 탐지 및 대응 서비스"를 제공합니다.

 

위협 클리닝 서비스(Threat Zero / Threat Cleaning)

 파고네트웍스 프로젝트의 제일 기본 서비스로 CylancePROTECT, SentinelOne, Stellar Cyber 솔루션 최초 설치 후, 탐지 및 방어된 모든 위협을 상세 분석하고 위협을 제거합니다.

 

정책 설정 서비스(Policy Configuration)

 CylancePROTECT, SentinelOne, Stellar Cyber 솔루션 적용 후, 고객과 논의된 프로세스에 의해서 제품의 보안정책 설정을 직접 수행하는 서비스를 제공합니다.(고객의 정책 관리 시간 최소화)

 

능동적 긴급 위협 대응 서비스(Proactive Urgent Threat Response)

 CylancePROTECT, SentinelOne, Stellar Cyber 솔루션에서 탐지 및 방어된 모든 위협 상세 분석 후, 크리티컬한 목적의 위협으로 판단된 경우, '위협 목적, 영향도, IOC/IOA 기반 추가 대응 정책 가이드'가 포함된 긴급 분석 및 대응 보고서를 즉시 제공하며 고객의 타 보안 솔루션에서 적용할 수 있는 가이드라인을 제시합니다.

 

온-디맨드 위협 분석 및 대응 서비스(ON-Demand Threat Analysis and Response)

 파고네트웍스에서 제공한 보안 솔루션 탐지, 방어 여부와 상관없이 모든 고객은 파고네트웍스에 '특정 위협 파일 및 이벤트' 분석을 의뢰할 수 있고, 파고네트웍스는 상세 분석 후 보고서를 작성하고 제출합니다.

 

파고 위협 인텔리전스 DB 생성(PAGO TIDB - Threat Intelligence DB)

 파고 DeepACT 위협 분석가는 CylancePROTECT, SentinelOne, Stellar Cyber 솔루션이 탐지/방어 성공한 모든 위협을 다시 분석하는 과정에서 'IOC/IOA'가 나온 경우, PAGO TIDB로 저장 및 고객사에 공유합니다.

 

파고 DeepACT 커뮤니티(PAGO DeepACT Community)

 커뮤니티에 가입한 고객사간에 TIDB 상호 공유 서비스 제공. 즉, A, B 고객사에서 각각 발생한 IOC/IOA는 상호 공유되며, 타 보안 솔루션에서 적용할 수 있습니다. 단, 커뮤니티에 가입하지 않은 고객은 다른 고객사와 IOC/IOA 정보를 상호 공유하지 않습니다.

 

위협 헌팅 서비스(Threat Hunting)

 CylanPROTECT, SentinelOne, Stellar Cyber 솔루션에서 최종 위협 이벤트 Alert이 발생하지 않은 경우에도, 능동적으로 위협 존재 여부 헌팅 서비스를 제공합니다. 특히 공격 초기 단계의 정상 이벤트처럼 보여지는 '의심 이벤트' 인지 후, 조치에 중점을 둡니다.

 

타겟팅 침해 여부 판단 서비스(Targetted Compromise Assessment Service)

 사회적으로 또는 특정 산업군에 발생한 '크리티컬한 공격 사례'를 바탕으로, 동일한 침해가 있었는지 여부를 진단해 주는 서비스입니다.

 

타겟팅 사고 대응 서비스(Targetted Incident Response Service)

 고객사의 특정 서버/시스템 침해 사고 발생 시, 고객이 사고 대응 서비스를 의뢰해 온 경우, 사고 분석 및 대응 서비스를 제공합니다.

 

OSINT 기반, 노출된 자산 탐지 서비스(Attact Surface Management)

 OSINT 기반으로 고객사가 인지 못한 채 노출되어 있는 모든 자산 정보, 조치 및 대응 방안을 제공합니다.(IP, URL, 서브도메인, 포트, 취약점 정보 등)

 

보안 연동 서비스(Automated Response Service)

 Managed FW 정책 서비스, TI Exchange 서비스, SOAR 연동 서비스


 

기타 보안 솔루션과 코아아이티에서 제공하는 IT 토탈 솔루션에 대해

보다 더 자세한 내용이 알고 싶으시다면

메일이나 전화를 통해 말씀 주세요.

친절히 답변드리도록 하겠습니다.

 

IT의 모든 것 코아아이티

반응형