PASCON 2021
- 파고네트웍스, 파고 DeepACT MDR 서비스 통한 지능형 위협 탐지 및 대응 사례 공유

▲ PASCON 2021에서 파고네트웍스 권표 팀장이

‘파고 DeepACT MDR 서비스 통한, 지능형 위협 탐지 및 대응 사례 공유’를 주제로 키노트 강연을 진행하고 있다.

하반기 최대 정보보안&개인정보보호 컨퍼런스 PASCON 2021이 11일위드코로나 상황에서 안전하게 성황리에 개최됐다.

PASCON 2021은 정보보안 전문 미디어 데일리시큐가 주최하고 개인정보보호위원회, 한국인터넷진흥원, 한국정보보호산업협회 후원으로 개최됐으며 공공, 금융, 기업 각 분야 정보보안 및 개인정보보호 책임자, 실무자들이 대거 참석했다.

이 자리에서 파고네트웍스(대표 권영목) 권표 팀장은 ‘파고 DeepACT MDR 서비스 통한, 지능형 위협 탐지 및 대응 사례 공유’를 주제로 키노트 강연을 진행했다.

권팀장은 글로벌에서 정의하고 있는 매니지드 탐지 및 대응과 파고네트웍스 MDR 센터 구성요소를 소개하고, 사고 대응, 침해 여부 조사, 위협 헌팅, 인프라 취약성 점검, 이벤트 노이즈 제거에 대한 실제 사례에서 조사, 분석, 대응이 이뤄지는 과정과 MDR이 서비스하는 범위와 영역에 대해서 참관객들과 공유하는 시간을 가졌다.

더불어 기업과 공급사는 MDR 서비스를 위해 고려해야 될 사항에 대해서 안내했다.

파고네트웍스 주요 솔루션과 서비스는 다음과 같다.

▲  PASCON 2021 파고네트웍스 전시부스

◆ DeepACT MDR: Managed Detective & Response

'DeepACT MDR'은 MDR 벤더인 파고네트웍스가 제공하는 서비스의 명칭으로, 스텔라사이버(Stellar Cyber) Open XDR와 EPP 제품인 블랙베리(Blackberry) Protect, 딥인스팅크트(DeepInstinct)를 활용해 고객에게 제공하는 서비스 모델이다.

기존 솔루션 납품 기업에서 제공하는 서비스와는 차별적인 서비스로 납품한 제품의 정상적인 운영에만 목적을 두지 않고, 고객의 보안유지, 강화에 그 목적을 두고 있다는 점이 특징이다.

DeepACT MDR은 기존의 보고서, 참고자료를 제공하는 서비스를 포함해, 한 단계 나아가 직접적인 문제해결을 위해 대응방안, 해결방안, 긴급위협 대응 서비스 등을 포함하여 제공한다.

파고네트웍스의 DeepACT 서비스는 ▲DeepACTOR(분석전문가 그룹) ▲자체제작한 DeepACT 콘솔 ▲DeepACT IOC, TIDB, 타보안 솔루션연동 체계 ▲ECO-system을 위한 DeepACT 커뮤니티로 구성된다.

DeepACT MDR은 개별제품을 도입시에도, 제공되는 서비스 형태는 동일하지만 제공가능한 정보의 범위는 도입된 제품에 제한을 받을 수 있다.

파고네트웍스의 DeepACT MDR의 대표적서비스 내용은 다음과 같다.

▲위협 클리닝 서비스 ▲정책 설정 서비스 ▲긴급 위협 대응 서비스 ▲온-디맨드 위협 분석 및 대응 서비스 ▲Threat Insights DB정보 활용 ▲DeepACT 커뮤니티 운영 ▲위협 헌팅 서비스 ▲타겟팅 침해여부 진단 서비스 ▲타겟팅 사고대응 서비스 ▲보안 연동 서비스등이다.

◆ Stellar Cyber Open-XDR

고객사 환경의 모든 정보를 기반으로 분석해 위협에 대응한다는 것이 XDR의 목적이다.

모든 정보를 수집하기 위해, 물리적 네트워크 정보수집을 위한 NTA(Network Traffic Analyze)모듈과 Connector, Agent 그리고 사용자 정의 방식의 정보 수집을 위한 Custom Phaser를 제공한다.

수집되는 정보들은 연관분석을 위해 데이터 표준화, 데이터의 상호연관성을 파악하기 위한 분석엔진이 제공되며, 이어서 DataLake로 모든 데이터를 수집하게 된다.

이 데이터를 대상으로 의미있는 데이터를 추출하기 위하여 A.I(인공지능) 엔진에 의해서 다시 정리된다.

정리된 데이터는 제공되는 보안 모듈(IDS, SandBox, UEBA, Threat Hunting)과 각 분석엔진에 의해서 위협을 탐지하도록 구성되어 있으며, 위협 분석이 완료된 위협에 대해서 자동 대응할 수 있도록 SOAR 모듈을 제공하는 것이 XDR 의 특징이다.

일반적으로 XDR은 네트워크 정보를 기반으로 실시간 분석을 이벤트의 시작점으로 잡는다. 따라서 보안장비에서 발생하는 이벤트에 종속적으로 동작하는 기존의 통합로그 시스템과는 다른 특징을 가지며, 상호보완 적인 형태로 구성되는 것이 일반적이다.

또한, XDR은 모든 정보를 수집한 이후에 이를 연관분석한 이후에 의미있는 이벤트만을 별도로 제공하므로, 모든 로그를 보관하는 기존의 통합로그 시스템이나 SIEM과는 다르게 분석이 완료된 이벤트는 의미있는 데이터만 남게되어 이벤트 개수가 줄어드는 것이 일반적이다.

과거 1세대 XDR은 정보 수집을 위한 제품의 구성요소가 동일한 제조사에 국한되었으나, Stellar Cyber XDR은 Open XDR로 기존 도입된 제품에 종속되지 않은 구성이 가능해, 고객사에 납품된 보안제품과 연동되어 동작하는 것이 특징이다.

PASCON 2021 발표자료는 아래 링크에서 다운로드 가능하다.(프로그램란 참조)

- 발표자료 다운로드

​

​

o 원문 기사 링크 --> [PASCON 2021] 파고네트웍스, 파고 DeepACT MDR 서비스 통한 지능형 위협 탐지 및 대응 사례 공유

​