Platform & Architecture

AI Hunting Engine

Cybereason AI Hunting Engine : 엔드포인트내 악성행위 탐지를 위한 사이버리즌의 특화된 위협탐지 기술

복잡한 IT 생태계를 보호한다는 것은 끊임없이 성장하는 다양한 사람들과 사물의 활동, 관계, 역할, 그리고 무엇이 좋으며 무엇이 나쁜지 파악하여 보호하고 발생하는 공격을 감지하며 피해가 발생하기전에 대응하는 것을 의미합니다. 사이버리즌 헌팅 엔진은 스트리밍, 엔티티 상관 관계 분석을 수행하는 In-Memory 기반 데이터 저장소입니다. 헌팅 엔진은 매초 수백만 개의 데이터 조각을 가져오며 데이터 사이에 수천만 개의 상관관계를 분석하고 유지합니다. 헌팅 엔진은 빠르고, 확장할 수 있는 Graph 데이터베이스입니다. Memory Graph는 노드, 링크 및 속성을 사용하여 데이터와 해당 관계를 나타냅니다. 디스크에서 데이터를 검색하는 전통적인 데이터베이스 처리 기술 대신 사이버리즌 헌팅엔진은 메모리 내에서 대량의 데이터베이스를 처리합니다. 메모리 기반 작업은 디스크 기반 데이타베이스 처리 요청보다 수천 배 빠른 속도로 수행되므로 헌팅 엔진이 훨씬 신속하게 쿼리에 응답 할 수 있습니다. 또한 최근의 컴퓨팅은 많은 양의 메모리를 비용 효율적으로 사용할 수 있게 하여 단일 시스템에서 대형 환경정보를 그래프로 표현할 수 있으며 여러 시스템이 함께 작동하여 데이터베이스 간 관계를 설정하고 표현할 수 있습니다.

Cybereason AI Hunting Engine의 특징

  • 보다 효율적이고 효과적인 Hunting

    AI Hunting은 피해가 발생하기 전에 보안 팀이 사건에 대응할 수있는 시간을 줄 수 있도록 사이버 위협을 탐지하도록 설계되었습니다. 인공 지능 사냥 플랫폼은 캡처 한 모든 데이터를 자동으로 조사합니다. 플랫폼은 초당 8 백만 건의 쿼리를 수행합니다. AI Hunting은 가장 숙련 된 보안 분석가조차도 묻지 않을 질문에 대한 해답을 제시합니다. 이를 통해 플랫폼은 보안 사고의 근본 원인은 물론 관련 악의적 인 활동을 신속하게 찾을 수 있습니다.

  • 대규모 위협 사냥

    수천 명의 직원과 엔드 포인트가 있는 기업에서 사냥의 복잡성은 기하 급수적으로 증가합니다. AI Hunting을 사용하면 회사의 사용자 및 엔드포인투 수가 증가함에 따라 조직의 헌팅 프로그램을 확장 할 수 있습니다. 인공 지능 사냥은 모든 규모의 조직을 지원하도록 제작되었으므로 이 증가분을 처리 할 수 ​​있습니다.

  • 보안 관제 담장자의 시간 절약

    AI Hunting을 사용하면 보안 담당자가 보안 rull 작성 시간을 줄이고 공격 해결 시간을 늘리고 위협을 쉽게 완화 할 수 있습니다. AI Hunting은 전체 공격 라이프 사이클과 다양한 공격 기술 및 도구를 다루는 쿼리로 미리 구성되어 있습니다. AI Hunting은 분석가에게 완전한 공격 스토리를 제시함으로써 침해 조사를 둘러싼 시간을 절약합니다.

  • 완전한 공격 스토리를 분석/제공

    AI Hunting은 악의적인 활동을 탐지하면 전체 공격 스토리를 모으고 분석가가 위협을 쉽고 빠르게 이해하고 대응할 수 있게합니다. 분석가들은 벡터 침입자가 네트워크에 침투하기 위해 어떤 공격을했는지, 공격을받은 시스템이 무엇인지, 공격자가 다른 시스템으로 이동했는지를 쉽게 알 수 있습니다. AI Hunting은 보안 분석가가 악의적인 조작에 대해 알아야 할 사항을 이해하고 전체 공격 현황과 모든 공격의 관련 요소를 자동으로 결합하여 분석가가 상황을 신속하게 파악하고 대응할 수 있도록합니다.

  • 공격 대상에 대한 완벽한 가시성 제공

    AI Hunting은 모든 관련 이벤트를 연결하여 공격이 전체 엔터프라이즈에 미치는 영향을 보여주고 시스템별 컴퓨터가 아닌 전체 조직에서 일괄적으로 대응 작업을 수행 할 수 있도록합니다. 감염 노드를 기계로 자동으로 치료하면 분석가가 공격 캠페인의 일부를 놓치고 공격을 완전히 치료하지 못할 가능성이 있습니다. 전체 공격 이야기를 표시하고 공격행위가 모든 엔드포인트에 미치는 영향을 보여 주면 분석가가 공격의 모든 캠페인을 종료 할 수 있습니다.

  • 위협 요소 사전 차단

    인공 지능 헌팅 엔진은 악의적인 활동이 언제 발생하는지 사전에 파악하고 사람의 개입없이 이를 차단할 수 있습니다. 예를 들어, AI Hunting은 특정 앤드포인트 동작이 ransomware 공격을 나타내는지 여부를 결정하고 해당 활동을 수행하는 프로세스를 일시 중단 할 수 있습니다.

Cybereason 악성 행위 탐지 모델

이 모델은 공격의 초기 침입, C&C, 측면 이동, 권한 상승 및 정보 유출 또는 피해등 일련의 전체공격 라이프사이클 탐지 합니다.
보안사고를 가장 효과적으로 탐지하기 위해 사이버리즌은 아래와 같이 보안 위협 정보를 수집하고 분석하는 데이터를 정의하고 구성합니다.

초당 8백만번 빅데이터 분석. 아래 설명 참고

  • Malop™

    악의적인 조작 또는 "Malop"은 사이버 공격에 대한 완전한 스토리입니다. 전체 상황 분석가는 조직의 보안 사고를 식별해야합니다.
    Malop은 보안 사고의 일부 일 가능성이 있는 의심스러운 활동의 모음입니다.
    Malop은 분석가가 불필요한 분석과 과탐에 허비하는 시간을 최소화하도록 고안되었습니다.

  • Suspicions

    헌팅 엔진이 보다 악성일 가능성이 있다고 판단하는 활동입니다.
    때로는 연결성이 없는 독립적인 의심스러운 활동일 수도 있으며 여러개의 관련 증거가 모여서 야기되는 경우도 있습니다.
    Suspicions가 되는 증거 판단의 임계 치는 공격을 놓칠 가능성을 최소화하기 위해 의도적으로 낮습니다.

  • Evidence

    사이버리즌 헌팅 엔진이 흥미롭고 변칙적이거나 공격이 진행되고 있다고 암시하는 사실의 모음입니다.
    추가적으로 연루된 데이터가 없을 경우에 분석가의 상세 조사를 필요로 하지는 않습니다.

  • EndPoint Facts

    사이버리즌 센서가 수집 한 원시 정보이며 프로세스, 사용자, 호스트, 메모리, 레지스트리 및
    기타 이벤트의 변경을 결정하는 데 사용되는 상세한 정보 입니다.

Top