한국HP(대표 함기호)는 빅데이터 기술을 접목한 SIEM 솔루션 ‘아크사이트’의 새로운 포트폴리오를 공개했다. 신제품은 통합 보안 분석 기능을 지원하며, 아이덴티티 모니터링 기능을 10배 강화했다.
신제품 중 ‘아크사이트 위협 감지 2.0’은 적용 후 바로 사용 가능한 아웃-오브-더-박스 보안 위협 대상 프로필과 인텔리전스를 갖췄다. 경험 기반 기법을 활용해 반복적인 이벤트 패턴을 파악한 후 패턴 분석을 통해 향후 발생하는 제로 데이 위협과 느리고 반복적인 공격에 대한 실시간 모니터링 규칙을 생성해 위조된 서명을 통한 공격을 감지한다.
또한 휴리스틱 분석 기법을 추가해 검색 패턴과 분산 공격을 탐지하고, 초기 단계의 공격을 빠르게 알아차리며, 활동 자료를 수집할 수 있다. 이를 통해 보안 전담 조직을 갖추지 못한 기업도 APT 공격에 대응할 수 있도록 한다.
IAM, 싱글 인스턴스 모니터링 10배 강화
계정 및 접근관리(IAM) 솔루션 ‘아크사이트 아이덴티티뷰 2.5’는 모든 계정과 애플리케이션, 시스템에 걸친 사용자 활동자료를 수집하고, 사용자와 역할 데이터를 통합해 내부자로 인한 위협을 방지할 수 있다.
더불어 사용자 및 역할 정보를 통해 로그 이벤트를 보강해 공유 계정, 고위험 계정, 특별 권한을 갖는 계정 등의 사용자 활동을 파악할 수 있으며, 내부자 위협 위험도를 낮추고, 액세스 관리를 용이하게 한다.
이와 함께 싱글 인스턴스가 모니터링할 수 있는 사용자의 수를 10배 확장해 사용자 기반 전체에 걸쳐 보안 사고와 이벤트 데이터의 상관성을 파악해 내부자 위협 위험도를 낮출 수 있도록 지원한다.
네트워크 상에서의 사용자 활동이 허용된 액세스 제어 및 과거 데이터를 토대로 한 기준과 부합하지 않을 경우 추가 조사를 위한 프로필 검토를 진행한다. 그 결과 회사의 보안운영팀은 의도적인 활동과 의도치 않은 활동을 비교 파악할 수 있으며 잠재적인 위협을 실시간으로 탐지·차단할 수 있다.
클라우드 지원으로 신속한 APT 대응
지능형 지속위협 공격에 대응할 수 있도록 클라우드 기반 위협정보를 제공하는 ‘아크사이트 위협 대응 매니저(TRM) 5.5’는 아크사이트 보안 정보 및 이벤트 관리(SIEM) 플랫폼에 클라우드 지원 애드온 애플리케이션으로 제공된다.
TRM은 제어 수단과 공격 대응을 자동화해 위협 대응 프로세스를 높은 수준으로 진행할 수 있으며, 추가비용 없이 위협대응 시간을 단축시킬 수 있도록 한다. 사용자는 전체적인 위협 대응 프로세스의 자동화로 인해 보안 담당 직원 추가 배치에 대한 부담을 줄일 수 있다.
HP는 데이터센터를 넘어 클라우드까지 HP 아크사이트TRM의 기능을 확장했다. HP 아크사이트TRM은 VM웨어 상에서 가상 어플라이언스 형태로 제공돼 고객은 유연하게 배치할 수 있으며, 동시에 자체적으로 고유한 보안 필요사항을 처리하는 데 도움을 받을 수 있다.
하이얀 송(Haiyan Song) HP 아크사이트 제품 담당 부사장은 “단 한번의 공격으로도 기업은 개인 데이터, 중요 서비스 제공 능력, 명성에 심각한 타격을 받을 수 있다”며 “대용량 데이터에 대한 보안 분석 기능 개선을 통해 위협 감지 능력을 강화하도록 설계된 솔루션을 바탕으로, HP 아크사이트 포트폴리오는 고객들이 잠재적인 공격자를 신속히 파악해 선제적으로 조치를 취함으로써 사업 영향을 최소화하고 중요한 고객 서비스 중단 사태를 방지할 수 있도록 지원한다”고 말했다.
