Cognito

01

개요

고객 내부 네트워크 트래픽을 일정기간 머신러닝(Machine Learning)을 통해 수집하고, 수집된 정보를 기반으로 이례적인 이상 징후를 감지하는 네트워크 보안 솔루션입니다.

02

주요기능 및 특장점

01 Global Learning

제조사 선 학습으로서 대규모의 다양한 데이터 및 사례를 분석하여 공통적인 위협 특성 추출 Technics Supervised machine learning, heuristics Example Random forest

02 Local Learning

기업 내부의 모든 IP 행위를 배우고 분석하여 정상을 기반으로 비정상을 탐지 Technics Unsupervised machine learning, anomaly detection Example K-means clustering

03 Integrated Intelligence

정상과 비정상을 구분하고 장기간 은밀히 진행되는 공격을 탐지하기 위해 최소 6-12개월 데이터 상관 분석하여 공격 탐지 Technics Events correlation, hosts scoring Example Bayesian networks

03

제품 특장점

Command & Control Botnet Activity Reconnaissance Lateral Movement Data Exfiltration

  • External Remote Access
  • Hidden HTTP Tunnel
  • TOR ActivityHidden HTTPS Tunnel Hidden DNS Tunnel
  • Malware Update
  • Peer-To-Peer
  • Pulling Instructions
  • Stealth HTTP Post
  • Suspect Domain Activity
  • Suspicious HTTP

  • Abnormal Ad Activity
  • Abnormal Web Activity
  • Bitcoin Mining
  • Brute-Force Attack
  • Outbound DoS
  • Outbound Port Sweep
  • Outbound Spam
  • Relay Communication

  • File Share Enumeration
  • Internal Darknet Scan
  • Kerberos Account Scan
  • Port Scan
  • Port Sweep

  • Automated Replication
  • Brute-Force Attack
  • Kerberos Server Access
  • Ransomware File Activity
  • Shell Knocker Client
  • Shell Knocker Server
  • SMB Brute-Force Attack
  • SQL Injection Activity
  • Suspicious Admin
  • Suspicious Kerberos Account
  • Suspicious Kerberos Client
  • Suspicious Remote Execution

  • Data Smuggler
  • Hidden HTTP Tunnel
  • Hidden HTTPS Tunnel
  • Hidden DNS Tunnel
  • Smash and Grab
  • Staged Transfer – Hop 1
  • Staged Transfer – Hop 2

공격자가 공격을 성공시키기 위해 반드시 실행 해야만 하는 행위를 공격 단계별로 세분화하여 정확하게 탐지

04

탐지 및 분석 절차

05

다양한 보안도구와의 연동 지원

· 3rd party 연동 (Splunk, Arcsight, PaloAlto, CarbonBlack…) by syslog, REST API

06

구성방안 및 아키텍쳐

기업 전체 및 가상화 네트워크 지원

메인 백본 스위치가 위치하는 곳에 Vectra 메인장비(X-Series)를 설치하고, 본사의 주요 내부 트래픽을 수집 할 수 있는 곳 및 지사, 지점 등의 주요 위치에 센서(S-series)를 설치하여 메인 장비 및 센서에서 수집된 네트워크 트래픽을 메인 장비에서 통합 분석합니다.

07

H/W 성능 및 스펙

  • vSensor는 할당될 리소스 수준에 따라 port 수가 산정
  • 호스트 수와 트래픽 양은 서로 반비례하여 수치가 상호 변동될 수 있음