델EMC RSA 보안사업본부의 ‘넷위트니스 스위트(NetWitness Suite)’는 중요한 자산과 네트워크의 보호를 담당하는 분석가를 위해 설계 됐다. 로그, 패킷, 엔드포인트, 네트워크 흐름의 데이터를 분석하고 활용해 비즈니스와 보안과 관련한 전후 사정(Context)을 보여준다.
사용자 인터페이스 전반에서 비즈니스와 보안 컨텍스트에 액세스할 수 있으므로 우선 순위를 지정해 더 빠르게 위협을 탐지하고 이에 대응할 수 있다. 자산 중요도 같은 비즈니스 컨텍스트, ID 솔루션의 사용자 정보, 그리고 위협 인텔리전스와 같은 적절한 정보를 손쉽게 액세스할 수 있으며 해당 정보가 분석가를 위해 우선순위를 보여준다.
넷위트니스 스위트는 ▲차세대 SIEM ‘넷위트니스 로그(NetWitness Log)’ ▲네트워크 포렌식 ‘넷위트니스 패킷(NetWitness Packet)’ ▲엔트포인트 분석 ‘넷위트니스 엔드포인트(NetWitness EndPoint)’로 구성되며, 보안진단 서비스인 RSA SOC, 침해대응 서비스인 RSA IR 등과 함께 사용되면 보안 효과를 극대화 할 수 있다.
‘보안 분석 역량 높이는 차세대 SIEM
사내 모든 로그를 수집하는 것이 이상적이지만 모든 것을 수집하면 보안팀에서 감당하기 어려울 뿐만 아니라 중요한 보안 상황에서 무시될 수 있다. 분석가에게는 쉽고 빠르게 더 많은 관련 알림을 강조 표시하고 알림 전체에 걸친 상관관계를 분석해 정보를 구조화함으로써 로그 보고서의 우선순위 지정을 돕는 툴이 필요하다.
‘넷위트니스 로그’ 솔루션은 로그 수집 시 구문 분석, 보강 메타데이터를 생성하고 인덱싱해 알림와 분석 속도를 획기적으로 높이며, 관련성이 가장 높은, 중요한 분석 대상을 식별한다.
네트워크서 모든 보안 이슈 분석
패킷 데이터에는 정상 사용자의 트래픽 뿐만 아니라 공격자의 사이버 위협 트래픽 전체가 포함돼 있다. 하지만 방대한 트래픽 데이터를 검토하는 것은 굉장히 어려운 미션이다. ‘넷위트니스 패킷’ 솔루션은 사내 모든 트래픽을 전달 받아 실시간으로 저장하고, 세션별로 분류하며, 패킷 페이로드에서 메타데이터를 추출와 인덱싱 해 분석가가 귀사 네트워크에서 발생하는 모든 보안 이슈를 조사 분석 할 수 있게 한다.
‘넷위트니스 패킷’은 패킷 파서(Parser) 기능을 통해 수집된 모든 패킷을 세션별로 분류하고, 물리 계층부터 애플리케이션 계층까지 세션 패킷 페이로드에서 메타 데이터를 추출한다. 수집된 세부 사항을 활용해 이벤트를 재구성하고 발생한 보안 활동을 정확하게 파악할 수 있도록 도와준다.
또한 침입을 분석하고, 멀웨어 리버스 엔지니어링 멀웨어 등의 공격으로 생성되는 트래픽을 분석한 후 이 동작 유형을 기반으로 생성되는 메타데이터를 선택해 추적한다. 새로운 공격과 알려지지 않은 위협을 실시간 연관성 분석하며, 데이터 머신러닝을 통해 여러 이벤트의 상관관계를 분석해 경보 알림을 제공한다.
고급 머신러닝으로 엔드포인트 분석
보안 팀이 직면한 최대 과제는 ‘이제까지 본 적이 없는 새로운 공격을 어떻게 효과적으로 방어하는가?’이다. ‘넷위트니스 엔드포인트’는 서버, PC 등 엔드포인트에서 위협을 탐지하고 대응한 솔루션이다. 시그니처 또는 규칙 활용 대신 엔드포인트 동작 모니터링와 고급 머신 러닝을 활용해 엔드포인트에 있는 모든 위협을 심층적으로 파악해 제로데이 공격, 새로운 위협 요소, 숨겨진 위협 요소, 알려지지 않은 멀웨어 공격을 정확하게 분석하고 식별한다. 이는 넷위트니스 엔드포인트의 실시간 메모리 분석, 직접적인 물리적 디스크 검사, 네트워크 트래픽 분석, 의심 사용자 행동 탐지, 엔드포인트 상태 진단과 같은 기술을 통해 제공 된다.
전문가 진단 서비스 연계해 완벽한 보안 제공
RSA의 ACD(Advanced Cyber Defense) 조직은 SOC 전략을 진단, 설계, 구현하는 서비스를 제공해 보안 준비 상태와 복구 능력을 파악하고, 고객이 세계최고 수준의 보안을 구현할 수 있도록 지원 한다. RSA의 침해 대응(IR) 조직은 인시던트와 보안 침해를 탐지하고 조사할 수 있도록 지원하며, 침해사고의 근본 원인을 파악하고 통제와 해결 계획을 수립할 수 있도록 지원한다.
