BLACKBERRY
CYLANCE PROTECT
머신러닝 기반 차세대 AV
Artificial
Intelligence
Real Threat
Prevention
랜섬웨어 차단
메모리공격 차단
스크립트 공격 차단
애플리케이션 LockDown
No 시그니쳐
No 휴리스틱
No 샌드박스
No 행위기반
No 업데이트
"인공지능과 머신러닝을 적용한 기술로 오늘날의 사이버 위협으로부터 기업을 보호하기 위한 모든 열정을 다하고 있습니다"
인공지능/머신러닝, 엔터프라이즈 레벨Endpoint Protection Platform
CylancePROTECT는 다양한 위협 요소가 시스템에 해를 가하기 이전에, 실시간으로 엔드포인트 및 서버를 보호하는 체계를 갖추고,
엔터프라이즈 레벨의 "예측(Predict), 차단(Prevent), 보호(Protection)"를 제공하는 지능적인 실시간 위협 차단 솔루션입니다.
인공지능 및 머신러닝 기반 모델링을 내장하고 있는 CylancePROTEC는, 엔드포인트에서 단지 위협을 탐지하고 보고하는
기능에만 그치는 것이 아니라, 파일 기반의 악성코드 공격, 파일 기반이 아닌 공격, 스크립트 공격, 메모리 기반 공격등이
실제로 실행되기 이전에 능동적으로 위협을 격리 및 차단하고 보안 담당자와 엔터프라이즈 보안 부서를 위해서 내부에 존재했던
위협 가시성에 대한 실질적인 대응 정보를 제공함으로써 엔터프라이즈 네트워크를 철저히 보호합니다.
-
stuart McClureCEO, Co-Founder
Hacking Exposed 7 저자
맥아피 출신, 파운드스톤 창업
-
Ryan PermehChief Scientist, Co-Founder
맥아피 Chief Scientist 출신
-
Predict (예측)
인공지능, 알고리즘 수학과 머신러닝을 활용하여 알려진 공격(Known attaxk)과 알려지지 않은 공격(Un-known attack)을 예측합니다. -
Prevent (차단)
엔드포인트와 서버의 최신 취약점을 보호를 위해서,멀웨어 실행, 익스플로잇 공격, 악성 스크립트 실행, 메모리 공격, 랜섬웨어 등에 대해서 사전에 실행 자체를 차단합니다. -
PrePretect (보호)
공격의 실질적인 방어 및 차단은 엔터프라이즈 보호를 완수하며, 사고 대응, 데이터 유출, 시스템 다운 타임에 소요 되었던 소중한 시간과 인적 리소스를 획기적으로 줄여 드립니다.
지원 OS 및 기술
-
- Windows XP SP3
- Windows Vista
- Windows 7 (Embeded 포함)
- Windows 8/8.1
- Windows 10
- Windows Server 2003 SP2
- Windows Server 2008
- Windows Server 2008 R2
- Windows Server 2012
- Windows Server 2012 R2
- Windows 2016 Standard,
- Windows 2016 Datacenter,
- Windows 2016 ssential
- (Windows XP, 2003 공식지원)
-
- OS X 10.9 (Mavericks)
- OS X 10.10 (Yosemite)
- OS X 10.11 (El Capitan)
- OS X 10.12 (Sierra)
- OS X 10.13 (High Sierra)
- OS X 10.14 (Mojave)
-
- RedHat Enterprise 6.6~7.4
- CentOS 6.6~7.4
- Ubuntu 14.04~18.04
-
- Amazon Linux 1
- Amazon Linux 2
- 인공지능 (AI)
머신러닝 (ML) - DNA 레벨 멀웨어 분석
- ATP 완벽 지원
- 머신러닝 모델 최소 업데이트
- 망분리 폐쇄망 지원
- 지능적 예측 차단 모델
- 사용자에 의한 악성코드 분석
- 악성코드 실행 완료까지 대기
- 사후시그니처 업데이트
- 지속적인 시그니처 생성
- 휴리스틱 분석
- 사후 행위기반 분석
- 영역 보안 기술
- 샌드박싱 기술
증명된 실효성
Chapter 01정보수집
-
6억개 이상
-
전체 숫자는 많으나, 동시 처리 한계 존재
Chapter 02정보 추출 성능
-
320 CPU
40,960 GPU
고성능 시스템화 -
악성 코드 분석전문가 개인 역량
Chapter 03추출된 벡터 종류
-
지금까지 추출된 벡터 종류
500만개 이상 (머신이 이해할 수 있는 영역까지) -
지금까지 추출된 벡터 종류 수 천개(사람이 인지할 수 있는 영역까지)
Chapter 04분석 방법론
-
정적 분석 + 머신러닝 알고리즘 사용
50Artificial Neural Networks -
자동차 툴
정적 분석
행위 기반 (동적분석)
샌드박싱
Chapter 05산출물
-
인공지능 수학 모델 업그레이드
변종에 상관 없는 Good / Bad 판별 -
악성코드
개별 시그니처 생성
변종 해결 불가능
기존 엔드포이트 보안 "포용 영역"
- Signature 기반
안티 바이러스 - 익스플로잇 방어
엔드포인트 - 샌드박싱
플랫폼 - EDR
“Detection & Respose” - 클라우드 기반
ATP - 악성코드 행위 기반
ATP - 메모리 공격 차단
엔드포인트 - 애플리케이션
White-Listing
기존 엔드포인트 보안 “산업 분야”
일반적인 랜섬웨어 공격 유형
(사용자 개입 대부분 필요)
-
- 이메일 첨부파일
- 악성 매크로 이용한 멀웨어 전파
-
- 사용자에 의한
- 비의도적 멀웨어 다운로드 (SNS, 채팅, Tor)
-
- 일반 파일
- 악성 PowerShell 내장
- 개인정보 / 시스템계정 유출
-
- 웹브라우저 취약점
- 악성코드 자동 감염 (예 : 워터링홀 공격)
-
- 이메일 첨부파일
- 악성 링크 삽입
- 사용자 클릭
-
- 악성 PDF
- 익스플로잇 성공
- 멀웨어 침투
최근 랜섬웨어 진화 유형 (사용자 개입 없이 감염 가능성)
WannaCry / WanaCryptOr 2.0 / WanaDecrypt
왜, 무엇때문에, 전세계를 두려움에 떨게했나?
-
Worm - 랜선웨어
취약점 기반 자가 확산Network 배포
SMB 취약점 이용 전파 -
짧은 시간 수백개 변종
-
중요 기반 서비스 ShutDown(의료, 철도, 텔레콤)
댜양한 엔드포인트 공격 방어 입증
- Cylance 인공지능 / 머신러닝
-
- 320 CPU + 40,960 GPU
- 15 Data Scientists
- 6백만개 분석 벡터 / 특성
방어
입증
완료
입증
완료
-
- 기존 Known 공격
- 제로데이(Un-known)공격
- 멀웨어 / 랜섬웨어
- Fileless 공격
- 메모리 공격
- 지능형 APT 공격
-
공개된 Cylance 인공지능 / 머신러닝 기술 입증 사례
OPM (미국인사관리처) 해킹사건2,200만건의 개인정보 유출 후 (2014~2015년) 사건 조사 과정에서, CylancePROTECT 도입 후
“공화당 의원들이 오늘 발표한 수사 결과 내요 중 일부는 저희가 진행한 수사 결과와 사뭇 다릅니다. 위원회는 인사관리처 해킹 사건의 수사에 1년을 투자했습니다만 당시 인사관리처의 네트워크에 공격자들이 상주해 있는 걸 제 때 탐지한 기업이나 사람은 하나도 발견할 수 없었습니다. 나중에 인사관리처가 새로운 신기술 솔루션을 도입했을 때 처음 발견되었다는 것이 저희가 알아낸 사실입니다. 사건이 처음 발견되었을 당시 사이텍(CyTech)이라는 회사가 제일 처음 알아냈다고 보도되었는데, 이것이 사실과 다르다는 겁니다. 사이런스프로텍트(CylanceProtect)라는 솔루션이 해킹 사실을 가장 처음 탐지했습니다.”
“보안 툴을 바꾸고 첫 시동을 거는데, 멀웨어 경고가 마치 크리스마스트리처럼 반짝이기 시작했다고 들었습니다.” 사일런스의 회장인 스튜어트 맥클루어(Stuart McClure) 역시 이에 동의한다.” 그 와중에 멀웨어가 2천여 개, 중국 해킹 그룹 2개가 발견되었습니다.” -
적용 단계 및 기대효과
