굿어스가 국내에 공급하는 ‘벡트라(Vectra)’는 AI 기반 침해 탐지 솔루션으로, 시장조사기관 가트너가 네트워크 IDPS 분야에서 유일하게 ‘비저너리(Visionaries)’로 인정했다. 벡트라는 AI 기반 탐지 기술을 이용해 보안 시스템을 통과하거나 우회해 기업 내부에 침투한 위협을 자동으로 탐지하는 솔루션이다. 다수의 네트워크 트래픽 수집 장비에서 네트워크 미러링 트래픽을 받아 내·외부 통신세션을 L7 레벨까지 분석하며, 기존 미관리 영역인 내부 영역의 위협 가시성을 확보한다.
호스트에 별도의 소프트웨어를 설치할 필요 없이 네트워크에서 IP를 가진 모든 호스트를 모니터링한다. 시그니처 없이, 관리자로부터 탐지 룰의 수정이나 튜닝을 요구하지 않으면서 자동화된 실시간 탐지를 제공한다.
벡트라는 AI 기술 뿐 아니라 행위와 상황에 맞게 복합적으로 사용해 효율을 극대화 시킨다. 사이버 킬 체인 기반 ▲C&C 접속 ▲봇넷 ▲내부스캔 ▲내부 악성코드 확산 및 정보수집 ▲정보유출 등 5단계에서 탐지하며 수십가지 탐지시나리오 를 기반으로 학습된 알고리즘을 사용한다.
SIEM은 상관분석 룰을 정의·관리하고 정탐률을 높이기 위해 룰을 튜닝하는 과정을 반복한다. 벡트라는 탐지된 결과 값 사이의 관계성, 중요도를 파악하는 상관분석룰과 통계학적 알고리즘(베이시안 네트워크)을 활용해 자동으로 가장 시급히 대응해야 할 위협을 순위화 한다. 관리자는 위협의 우선순위나 정탐율을 조정하기 위해 룰을 수정할 필요가 없으며 벡트라 본사에서 보안전문가들에 의해 상관분석 룰과 알고리즘이 업데이트 된다.
벡트라는 위협 탐지 정확도가 높으며 관리 업무를 최소화 할 수 있다. 지도학습·딥러닝 기술을 통해 획득한 탐지알고리즘을 활용해 지능적인 악성행위, 의심 프로토콜을 구분해 추가 분석 업무를 크게 줄일 수 있다. 추가 분석 없이 제공되는 탐지된 결과 내용만 보고 바로 대응할 수도 있다.
지속적으로 업데이트되는 자동-상관분석 룰과 탐지모델은 관리자의 튜닝이 필요 없어 제품 운영 및 관리 소요 시간이 매우 적다. 상위 관리자 또는 다음 단계의 관제 인원에게 보고하고, 전달할 내용이 분석·요약돼 보고 업무도 효율화 할 수 있다.
벡트라는 제조업, 공공기관, 금융기관 등 다양한 산업군에 공급됐다. 벡트라 사용 고객들은 기존 보안제품에서 탐지하지 못하는 숨겨진 공격을 탐지할 수 있었으며, 내부 네트워크 위협 가시성을 확보할 수 있게 됐다고 평가했다.
