엔터프라이즈 면역시스템 (Enterprise Immune System, EIS)은 네트워크 접점이나 사용자 PC에 설치되어 있는 기존 방어 수단들을 회피하여 침입을 시도하는 사이버 위협을 탐지하고 그에 대한 조치를 취할 수 있는 네트 워크 보안솔루션입니다. EIS는 고급 수학기법을 활용하 여 네트워크와 시스템 상의 모든 행위를 인지하고 모니 터링하여 학습된 정상행위에서 벗어나는 이상행위를 감 지해 냅니다. 기존의 탐지장비들은 보안 정책 (Rule) 이 나 시그니처에 기반하여 알려져 있는 공격만을 탐지해 낼 수 있는 반면 EIS의 고도화된 수학적 접근방식의 머 신러닝은 보안정책 이나 시그니처를 사용하지 않기 때 문에 지금까지 알려져 있지 않았던 새로운 공격형태도 실시간으로 정확히 탐지해 낼 수 있습니다.

EIS는 어플라이언스 장비 형태로 실시간 네트워크 흐름 을 포트미러링을 이용한 Out of Band 방식으로 연결할 수 있습니다. 네트워크에 연결이 되면 머신러닝 기능을 통해 개인 사용자뿐만 아니라 네트워크 상의 모든 시스 템을 대상으로 ‘행동패턴’을 자동으로 지도 없이 학습 (non-supervisory machine learning) 하게 되고 이러한 과정에서 솔루션 스스로 터득한 정상 패턴을 기반으로 네트워크 상의 이상행위를 탐지하게 됩니다. EIS는 설 치된 이후부터 지속적으로 학습을 수행하기 때문에 조 직에 변화가 생겨도 이에 따른 네트워크 및 시스템 사용 패턴 또한 스스로 자동으로 업데이트 합니다.

EIS는 네트워크 상의 모든 개인과 장치들에 대한 정확 한 ’행동패턴’ 모델을 기반으로 사용 패턴의 작은 변화도 감지해 낼 수 있습니다. 따라서, 외부 침입에 의한 정보 탈취나 악성코드 감염은 물론, 불만을 품은 직원이나 근 무 태만으로 발생할 수 있는 내부위협 까지도 감지해 낼 수 있습니다.

수학적 모델링을 통한 탐지 대상의 대표적인 예시로, 평 소 접속하지 않던 인터넷 도메인에서의 다운로드, 인트 라넷 또는 파일 시스템 복제, 등록되지 않은 장치 또는 위치에서 데이터에 접근, 비정상적인 응용 프로그램 또 는 프로토콜의 실행, 업로드 패턴의 변화 등이 있으며 이 러한 현상들은 정상적인 행동과는 확연한 차이가 있기 때문에 탐지 후 즉시 조사 및 조치를 취해야만 합니다.

엔터프라이즈 면역시스템은 위협 시각화 솔루션에 의해 발현됩니다. 이 솔루션은 직관적인 3D 그래픽 인터페이 스로 디자인되어 있습니다. EIS는 탐지된 위협 정보를 Visualizer를 통해 시각화 하여 보여 줍니다. Visualizer 는 3차원 그래픽 도구로서 보안 분석가나 전문적인 수 학 지식 없이도 네트워크 상의 이상행위를 직관적으로 인지하고 분석할 수 있게 도와줍니다.

네트워크의 모든 지점이나 이력을 망라한 통합적 관점 을 실시간으로 데이터간의 관계와 흐름으로 제공합니다. 비이상적인 행위가 시작되었을 때 또는 그 변형들이 일 어났을 때 일련의 이벤트들을 재생 할 수 있도록 함으로 써 이벤트들이 어떠한 모습으로 발생되는지 또는 변형 적인 행위가 일어나는 동안의 이벤트들을 자세히 손쉽 게 분석 할 수 있습니다.

EIS에 탑재된 수학 기법의 핵심적인 기능은 데이터들 간 의 상호 연관성을 찾아낼 뿐만 아니라 이 과정에서 발견 된 불확실한 부분 (uncertainty)에 대해 통계적 기법을 활 용하여 정량화 합니다. 이를 위해 베이지안 추정 분석에 기반한 다양한 결과들을 종합하여 불확실한 부분들을 증명하게 됩니다.

다크트레이스의 중심에는 베이지안 추정 모델을 포함하 여 다양한 수학적 접근 방식을 활용하기 위해 4가지 수 학적 분석 엔진을 탑재 하고 있습니다. 이들 수학적 분석 엔진 중 3가지는 개별 사용자가 사용하고 있는 각종 디 바이스 및 시스템, 그리고 조직 전체적인 행동 모델을 만들어 내는데 사용됩니다. 만일 이 3가지 엔진 중 하나 라도 이상행위를 탐지하게 되면 위협 판별기 엔진으로 초기 경보를 전송 합니다. 이 위협 판별기가 초기 경보를 전송 받게 되면 이와 관련된 모든 영역 모든 시간대에 대해 조사를 벌여 오탐 여부를 식별하고 정탐일 경우 세 부적인 조사를 진행할 수 있도록 긴급경보를 발생합니 다. 이와 같이 귀납적 베이지안 추정 방식 및 위협 판별 기를 포함한 4가지 엔진의 특수한 조합은 네트워크 전반 에 걸쳐 이상행위를 정확하게 탐지해 낼 수 있는 원동력 을 제공합니다.

기존 시그니처 기반 보안 장비들은 새로운 공격 패턴이나 알려지지 않은 공격을 방어하는데 한계가 있지만, EIS의 머 신러닝 탐지 방식은 완전히 새로운 공격 또는 위협에도 이 에 대한 사전 지식 없이 대응할 수 있습니다.

EIS에서 제공하는 데이터는 syslog, SNMP, connectors, API 등 사용자가 원하는 형태로 SIEM이나 3rd Party 보안 dashb oard 등에 전송하여 활용할 수 있습니다.

EIS는 내부 정책과 규제준수에 대한 감사와 집행의 통합모 델을 통해 더 많은 혜택을 제공해 드리며 이는 고객의 특별 한 요구에 맞춤 서비스를 지원해 드리는 것입니다. 요구사항 들의 예로는 드롭박스 접근, 민감한 IT 관련 내용/자산을 보 유한 채 특정 국가 여행 금지, 내부 DNS 서비스 등이 있습니다.

EIS는 고객이 보유하고 있는 데이터 센터 내에서만 작업을 수행합니다. 따라서 데이터 센터 외부로 고객 데이터가 유 출되지 않으며, 사전에 협의가 없는 한 Darktrace의 전문가 들 조차도 고객 데이터에 접속하거나 이를 공유하는 경우 는 없습니다.

• 코어 스위치의 미러링 포트
• 새로운 네트웍 탭(TAP) 사용 또는 기존 탭 사용

• 단일 기기로 최대 2U 랙 공간
• 1시간 내 구축
• 웹 브라우저를 통한 모든 사용자 인터페이스 접근

1대의 어플라이언스에 인입되는 최고치 트래픽량을 고려하 여 다수의 인터페이스를 사용한 연결이 가능하고 장비의 성능에 따라 1대의 장비에서 수 만개 이상의 장비를 지원합 니다. 지리적으로 분산된 네트워크를 모니터링하기 위해 여 러 대의 다크트레이스 장비를 클러스터링으로 구성할 수 있으며 이때에는 불필요한 데이터의 이동을 원천적으로 배 제함으로써 네트워크를 통과하는 대용량 데이터의 이동수 요를 제거하고 안전한 통신을 하도록 합니다.