외부로부터의 공격을 감지하고 차단하는 것도 중요하지만 조직 내부의 위협을 방어하는 것 또한 중요하다. 네트워크 월드는 내부자 위협을 막을 수 있
포트스케일(Fortscale)은 전통적인 네트워크 보호 능력이 뛰어났다. 머신 학습 기능, 액세스 및 인증 로그에 초점이 맞춰진 기능의 정확도가 아주 높았다.
클라우드 환경에서 발생하는 내부자 위협은 감지가 특히 어려울 수 있지만, 아바난(Avanan)은 고유한 방법으로 이를 방어하는 것이 인상적이었다.
PFU 시스템스(PFU Systems)의 iNetSec 시스템은 모바일 장치를 대상으로 한 내부자 위협 보안 도구였다. 각각의 주요 기능과 성능을 살펴보면 다음과 같다.
◆ 포트스케일
포트스케일(Fortscale): 머신러닝 기술 탑재
포트스케일은 거의 완성된 도구이다. 즉시 사용할 수 있도록 준비되어 있다. 네트워크에 하나의 서버 형태로 설치돼, 기존에 활용되고 있는 SIEM(Security Inforamtion and Event Management) 시스템과 연결된다. 관리자가 별도로 설정하거나 프로그래밍해야 할 규칙이 없다는 점이 인상적이다. 포트스케일이 머신러닝과 복잡한 알고리즘을 이용해 내부자 위협과 관련이 있는 이상 동작 및 위험 동작을 찾기 때문이다.
포트스케일의 ‘Followed User’ 대시보드
특정 사용자를 로그인 스플래시 페이지에 고정시켜 추가로 자세히 조사할 수 있도록 하는 유용한 기능이다. ‘Followed User’는 대시보드 가장 오른쪽 칸에 추가시킨 사람들이다. 추가 정보가 있을 경우 사진과 직책, 네트워크 그룹을 집어 넣는다.
‘Followed User’ 집단에 추가시킬 사람을 결정할 때 적용해야 하는 기준이 정해져 있지 않다. 조사자가 특정 이유로 직원을 의심할 경우 넣을 수 있으며, 포트스케일 관리자가 특정 계정과 연결된 저수준의 이상 동작을 감지해 추가시킬 수도 있다. Followed User 집단의 사용자를 클릭하면 포트스케일이 일정 시간 동안 수집한 정보가 표시된다.
포트스케일의 프린터 포착
포트스케일의 경고 관련 인터페이스는 정말 훌륭하다. 이번 테스트에서 포트스케일 프로그램은 사용자가 오라클 데이터베이스에 ‘모든 레코드’를 최초로 호출, 350여 페이지를 인쇄한 동작을 감지했다. 이는 퇴사를 계획한 직원이 데이터를 훔치는 초기 단계에 흔히 해당한다. 이런 기본적 수준의 내부 위협조차 포트스케일의 감시망을 벗어날 수 없었다.
아바난(Avanan): 클라우드 기반 도구
아바난은 100% 클라우드에서 실행된다. 따라서 물리적으로 셋업해야 할 요소가 없다. 또 아마존, 구글, 마이크로소프트 등 대형 클라우드 공급업체의 기술을 모두 지원한다. 테스트 클라우드의 설정에는 단 몇 분만이 소요됐다.
오늘날 대부분의 클라우드 공급업체가 클라우드에 프로그램 및 사용자의 다양한 동작에 관한 데이터를 1년 이상 유지하고 있는데, 아바난은 이들 데이터를 즉시 이용해 심지어 몇 달 전 발생한 의심스러운 내부자 위협 동작도 식별해낸다.
아바난의 추가 장점
아바난은 그 자체적으로 내부자 위협 방어에 강력한 성능을 발휘하는 도구이다. 그러나 또 다른 장점이 있다. 유명 보안 프로그램 상당수를 간단히 설치해 사용할 수 있다는 것이다. 사용자가 직접 클라우드에 이런 앱을 설치할 필요가 없다. 사용자는 그저 이용하려는 보안 프로그램 벤더가 부과하는 요금만 지불하면 된다. 그러면 아바난이 클라우드 배치까지 담당한다. 테스트 동안 체크 포인트(Check Point), 팔로 알토(Palo Alto), 시만텍(Symantec) 소프트웨어를 테스트 클라우드에 설치했다. 모두 완전한 클라우드 기능성을 획득할 수 있었다.
셰도우 IT를 식별하는 아바난
아바난 메인 콘솔은 기본적으로 SIEM과 유사하다. 또 우수한 셰도우 IT 관련 기능을 갖고 있다. 클라우드에 설치된 애플리케이션, 이를 사용하는 사람들, 이를 사용한 작업 등을 보여준다. 내부자 위협 요소가 되는 것을 막기 위해, 또는 금지된 파일 전송이나 데이터 공유 도구로 사용되는 것을 막기 위해, 사용자 수와 상관 없이 모든 애플리케이션의 액세스를 거부 및 제거 할 수 있다.
◆iNetSec 스마트 파인더
iNetSec 스마트 파인더(iNetSec Smart Finder): 에이전트 없이 모바일 장치를 스캔
후지쯔(Fujitsu)의 자회사인 PFU 시스템스는 증가하고 있는 모바일 분야 내부자 위협 관리에 유용한 INetSec 시스템을 공급하고 있다. iNetSec 스마트 파인더 시스템은 네트워크 LAN과 모바일 사용자가 이용하는 VLAN 사이에 위치하는 네트워크 어플라이언스로 배포된다. 배포가 끝나면, iNetSec 스마트 파인더 어플라이언스는 네트워크 액세스 정책을 적용하기 위해 모든 모바일 장치를 발견, 분류, 관리한다.
장치만 관리하는 것이 아니다. 대역폭이 악용되는 것을 막고, 위험도가 높은 애플리케이션이 실행되지 않도록 모든 애플리케이션 트래픽을 장치 별로 세분화해 시각화하고, 그래프로 보여준다.
iNetSec: APT 보호
iNetSec은 주로 내부자 위협을 방어하는 기능을 제공한다. 그러나 동작의 상관관계를 분석, APT(Advanced Persistent Threat) 존재 여부를 파악하기 위해 내부 네트워크 트래픽을 스캔 하는 기능 또한 지원한다.
한편 이를 위해 모바일 장치에 에이전트를 설치할 필요가 없다. 테스트용 iNetSec을 가동하자, 그 즉시 네트워크에 연결된 모든 모바일 장치를 스캔 했다. 이 어플라이언스는 MAC 주소로 라우터와 VoIP 전화기를 포함, 모든 장치를 발견했다. 네트워크 게이트웨이를 통과해 이동하는 트래픽을 모니터링하기 위해서다. 또 APT가 존재함을 알려주는 신호일 수도 있는 측면 이동(Lateral movement)을 감지하기 위해서이기도 하다.
iNetSec: 거부와 차단
iNetSec은 장치를 승인 또는 거부할 수 있고, 연결하려는 새 장치에 보안 정책을 적용한 후 이들 장치와 사용자의 동작과 행동을 모니터할 수 있다. 메인 대시보드는 연결된 모든 장치와 동작을 보여준다. 관리자는 이를 이용, 애플리케이션의 네트워크 이용을 승인 또는 금지할 수 있다.
이를 통해 모바일 장치에서 애플리케이션을 제거할 수는 없을지라도, 보호하고 있는 네트워크와 대화하거나 파일을 전송하는 것을 막을 수 있다. 또 주의 경계가 필요한 경우, 장치의 특정 프로그램이나 맬웨어를 규정해 네트워크 접근을 차단할 수 있다. dl-ciokorea@foundryco.com
