Eng

IBM Security QRadar (큐레이더)

차세대 통합 위협관리 시스템

QRadar SIEM

정밀하고, 포괄적인 상관관계 분석 및 컴플라이언스 관리를 제공하는 차세대 SIEM

IBM Security QRadar SIEM는 로그, 이벤트 데이터, 네트워크 플로우와 패킷, 취약점, 자산 데이터, 위협 인텔리전스에 대한 통합된 뷰를 제공하고, 분산구조 아키텍처를 지원하며 수평적 확장을 통하여 기업의 비즈니스 규모에 최적화된 형태로 구현됩니다.

IBM QRadar

Security Intelligence Platform

인텔리전트

상관관계, 분석, 대량의 데이터의 축소

자동화

시간의 가치를 가속화시켜주는 간결함을 제공

통합

단일화 / 통합된 아키텍쳐, 단일화된 콘솔 제공

IBM QRadar

Securityasdce Platform

인텔리전트

상관관계, 분석, 대량의 데이터의 축소

자동화

시간의 가치를 가속화시켜주는 간결함을 제공

통합

단일화 / 통합된 아키텍쳐, 단일화된 콘솔 제공

제품의 필요성

배경

지능형 지속 위협

실시간으로 침해된 엔드포인트를 발견 필요
진화하는 위협 행위와 컨텍스트를 포함하여 경보 우선순위화

내부자 위협

악성 사용자 식별
계정 도용과 데이터 유출 탐지

핵심 데이터 보호

핵심 데이터의 위치 파악
오용 식별

클라우드 보안

사용되고 있는 서비스 식별
오용 탐지

위험과 취약점 관리

취약점과 위험에 대한 단일 뷰
위험에 기반한 우선순위화

인시던트 대응

모범사례와 함께 하는 신속한 대응
컴플라이언스의 유지

IBM Security Intelligence

의심스러운 인시던트

우선순위별 인시던트

내재된 인텔리전스

자동화된 위반행위 식별

대규모의 데이터 축소
자동화된 데이터 수집, 자산 발견과 프로파일링
실시간의 자동화된 통합 Analytics
활동 기준선 설정과 비정상 탐지
Out-of-the box 규칙(룰)과 템플릿

보안 디바이스, 서버와 메인프레임, 네트워크 및 가상화 활동, 데이터 활동, 애플리케이션 활동,
구성 정보, 취약성과 위협, 사용자와 Identity, 글로벌 위협 인텔리전스

제품특징

Gartner Magic Quadrant

IBM Security QRadar는 다년간 Gartner Magic Quadrant의 글로벌 Leader(2014, 2015, 2016, 2017년 연속1위)그룹에 속해 있으며 탁월한 기술력을 바탕으로 차세대 SIEM시장을 선도하고 있습니다.

다양한 고객의 보안 및 컴플라이언스 과제 해결

다른 보안제품이 발견하지 못한 위협의 발견

다른 보안제품들이 발견하지 못한 알려지지 않은 악성코드를 500개의 단말에서 발견

대규모 데이터 통합

하루 20억개의 로그와 이벤트를 통합관리하여 25개의 중요도 높은 이벤트로 압축

내부위협 행위의 감지

신뢰받던 내부사용자의 핵심 데이터 유출과 파괴를 발견

비즈니스에 대한 위협 예측

정책 모니터링과 인프라스트럭처의 변경 프로세스에 대한 평가 자동화

규정 준수(컴플라이언스)에 대한 증적 자료 제공

PCI와 같은 규제준수 뿐만 아니라 모든 네트워크 활동에 대해 실시간으로 모니터링 수행

주요기능

로그 수집 및 정규화

로그수집을 위한 다양한 프로토콜을 지원하며, 지원되지 않는 로그에 대한 수집, 분석, 검색을 위해 사용자 정의 로그 형식인 uDSM(Universial Data Source Module)을 지원합니다. Syslog 형태의 기본 지원되는 로그의 경우, 별도의 등록 과정 없이 로그 전송 시 형태의 자동파싱 및 데이터 소스 자동등록을 지원하는 Auto-Discovery 기능이 지원됩니다.

자산 프로파일링

로그, 플로우, 취약점 진단등을 통해 파악한 자산에 대한 정보를 프로파일링 하여 관리하며, 관리된 자산정보를 상관관계 분석, 이벤트 추적, 취약점 정보 프로파일링 정보로 사용합니다.

포괄적 상관관계 분석 룰

로그, 플로우 및 취약점 정보 등 수집되는 다량의 정보를 실시간으로 분석하고 다양한 형태의 측면으로 해석하는 포괄적 상관관계 분석 룰 및 룰셋을 제공합니다.

비정상 행위 탐지

상관관계 분석 외에, 학습된 데이터를 기반으로 한 실시간 비정상 행위 탐지(NBAD :Network Anomaly Behavior Detection)기능을 제공합니다. NBAD를 이용하여 알려지지 않은 공격에 대응합니다.

중앙 집중화된 웹 기반 UI/대시보드

중앙 집중화된 웹 기반 UI와 대시보드를 제공합니다.
관리자/사용자는 브라우저를 이용하여 UI에 접속하여 모니터링 및 관리활동을 동시에 수행합니다.

Qradar Pulse 대시보드

도입효과

컴플라이언스 향상

더욱 신속한 위협감지 및 해소

내부의 사기, 절취 및 데이터 누출 감소

악용 방지로 위험 최소화

가용 시간

QRadar UBA

내부위협 및 위험의 탐지

IBM Security QRadar UBA는 통합된 관점에서 내부위협을 사전에 모니터링하고 대응하도록 도와 줍니다. 사용자 이상행위 분석, 손상된 기밀 또는 멜웨어 탐지, 포괄적인 데이터 셋과 Sense Analytics를 통해 의심스러운 사용자를 감지, 정보자산 모니터링을 대시보드를 통해 가시화하여 제공합니다.

제품의 필요성

커지는 내부위협과 부족한 대응기술

클라우드 사용의 증가

50%밀레니엄 세대의 절반이 업무에 3rd party 클라우드 앱을 사용
56%클라우드 선택의 핵심기능으로 내부위협 및 손상된 계정 탐지기능 요구

공격 행위의 증가

64%2014~2015년 사이 보안 인시던트 증가 비율
100매일 수백개의 인시던트와 보안 이벤트 발생

내부위험의 지속적 증가

43%내부자에 의한 데이터 탈취
65%내부자에 의해 정보가 경쟁회사로 전달됨

인력의 부족

37%정보보호 분석 요구가 매년 증가
1M2020년까지 부족한 보안전문가 수

제품특징

포괄적인 데이터 셋과 Sense Analytics를 통해 의심스러운 사용자를 감지

내부자 위험 점수

행위기반

패턴인식
사용자와 엔티티 프로파일링
통계적 분석
아노말리 탐지

문맥기반

비즈니스 컨텍스트
엔티티와 사용자 컨텍스트
외부위협 상관분석

시간기반

히스토리컬 분석
실시간 분석
위협 사냥
임계값 기반 룰

사용자 애플리케이션, 클라우드 애플리케이션, 네트워크, 데이터, 서버, DLP, 앤드포인트, 위협 인텔리전스

SOC 분석가들은 시간에 따른 행위의 편차분석에 도움이 필요

평상시보다 높은 중요도의 자산에 더 많은 접근을 하는 계정
평상시보다 서버로 혹은 서버로부터 더 많은 데이터가 전송되거나, 외부로의 데이터 전송이 많음
새로운 지역에서 처음으로 높은 중요도의 서버에 접근하는 특권 계정
장시간 사용이 없다가 처음으로 사용된 계정
드문 권한 상승
독특한 위치에서의 사용된 계정
기존에 악성 또는 위험성이 있는 이상행위에 포함된 사용자
사용자 그룹 내에 이상행위자
다발적 그룹 변경

주요기능

IBM User Behavior Analytics 대시보드

사용자 행위 위험동향

개별 사용자 세부정보

사용자의 행위 분포에 대한 가시화 – 머신러닝 적용

개별 사용자의 행위에 대한 통계 모델을 생성 후 통상적이지 않는 행위 횟수와 시간을 식별하거나 이벤트의 특정 카테고리의 변경을 식별

사용자 행위 모니터링을 통해 사용자가 가진 역할의 색인을 식별함. 위 그림에서의 개개의 색깔은 다른 역할을 표현함. 개별 역할의 색인 편차는 사용자 역할 분포에서 증가 또는 감소로, 분석가가 불필요함에도 사용된 이상한 행위를 쉽게 식별하게 해 줌.

이 분석 모델은 즉각적인 사용자 행위 시작을 모델링하여, 정상적인 사용자 행위는 분 기준에서의 초, 시간 기준에서의 분단위에 걸쳐 비교적 일정한 행위가 나타날 것을 기대하게 함. 비정상적 행위가 일정한 간격에 대해 반복될 경우, 위 오른쪽 그림에서와 같이 핫스팟(어두운 영역)으로 표시됨

사용자 피어그룹이 역할의 색인 또는 정의된 역할 집합에 의해 식별될 수 있음. 이러한 피어그룹을 활용하여 사용자의 행위가 변경되었는지를 식별함. 이러한 식별은 위 그림에서 어두운 밴드로 표시되며, 붉은 색은 새로운 피어에서 우세한 내역을, 어두운 검정색은 상실된 피어를 표현함

도입효과

SOC 분석가의 생산성 향상

악성행위를 쉽게 발견함

이상행위 패턴과 함께 향상된 분석을 활용하여 사용자들과 자산에 걸쳐 위협을 탐지함
내부 데이터 소스와 위협 인텔리전스에 대해 간편하게 접근할 수 있는 메뉴 제공

쉬운 설치와 사용

설치하고 수 시간 내로 위험 상태를 가시화 함
앱을 다운로드하여 빠르게 설치(QRadar 사용 고객에게 무료 제공)

분석 효율성을 향상시킴

위험성이 있는 사용자 또는 이상행위를 식별하고 수 분 내로 오펜스에 반영
제품 사용에 필요한 기술 및 습득에 따른 부담을 단축시킴

머신러닝 사용 효과

Risk Posture

사용자에 따른 위험점수를 학습하여 시간에 따른 위험점수의 추이를 분석

평상시의 위험 점수를 학습하여 위험점수에 가중치를 적용, 오탐을 감소시킴

평상시와 다르게 위험점수가 상승하거나 감소하는 경우 이를 근거로 사용자의 위험점수를 상세 분석

Total Activity

수집되는 모든 로그와 네트워크 정보를 사용자 기반으로 학습

사용자 행위의 합을 비교적 장기간에 걸쳐 모니터링한 결과를 기반으로 이상행위의 가능성을 확인

User Activity by Category

룰 기반이 아닌, 수집되는 사용자 행위를 18+ 의 하이 레벨 카테고리로 나누어 학습

사용자 행위의 총합은 일정할 수 있으나 하이 레벨 카테고리 내에서의 분포의 변화를 확인

Activity Distribution

사용자의 행위를 수백개의 로우 레벨 카테고리로 나누어 학습

사용자의 행위를 하루에 걸쳐 분포를 분석하여, 사용자 행위가 시간대별로 기대했던 내용과 상이한지를 확인

Peer Group

사용자의 행위를 로우 레벨 카테고리 기준에 따라 분석하여 유사한 카테고리나 나타나는 것을 기준으로 피어그룹을 추정

동일한 롤을 가진 사용자는 유사한 분포를 가진다고 가정할 수 있으므로, 타 조직에 있거나 타 임무를 가진 직원이 해당 조직의 직원과 유사한 행동을 보이는 경우 의심하고 이유를 확인할 수 있음

QRadar AI (Watson for Cyber Security)

세계 최초로 AI와 SIEM테크놀로지가 결합하고 현재까지 유일한 인지 컴퓨팅 기반 보안관제 시스템

IBM Security QRadar AI는 보안 분석가의 위치에서 보안 인시던트를 조사, 정탐여부 확인, 비정상 위험 요소 확인합니다. QRadar SIEM과 결합하여 별도 개발 없이 수분 내로 SOC환경에 적용되고, 보안 분석가와 기술요소를 유기적으로 결합 시킵니다.

제품의 필요성

현 보안 관제/분석의 어려움

위협

경고

가용한
분석가

필요 지식

가용 시간

”93%의 SOC 관리자가 모든 잠재적인 위협을 선별하지 못하고 있음”

”대기업에서 근무중인 42 %의 사이버보안 전문가들은 ‘보안경보의 중요한 숫자’들을 알지못한다고 이야기함”

”보안회사의 (31 %)는 보안경보를 때때로 무시할 수 밖에 없다고 이야기하는데,
전체 보안경보를 관리할 수 없기 때문에 경보의 50%를 무시한다고 함”

보안동향과 보안 팀의 과제

지속적으로 증가하는 보안 데이터 및 오탐

하루에 발생하는 보안 이벤트는 회사당 평균 20만개이며, 오탐을 처리하는 비용은 1년에 약 13억

보안팀의 시간 및 필요한 인텔리전스 부족

보안팀의 80%는 보안사고 시 만약 위협 인텔리전스 플랫폼을 가지고 있었다면 공격을 예방하거나 피해를 최소화 했을 것이라고 믿고 있음

전세계적인 보안 전문가의 부족

대기업의 83% 가 적절한 스킬레벨을 가진 인력을 찾는데 어려움을 겪고 있으며, 2020년까지 150만명의 보안인력이 부족할 것으로 예측됨

제품특징

Watson for Cyber Security의 특징

새로운 보안 지식이 습득됨에 따라 지속적으로 성장함
의심스러운 활동 및 행위의 근본 원인 탐지 및 추가 요소에 대한 인지적 탐구를 수행
발견사실의 경로를 생성하고 사람이 놓치기 쉬운 것들을 결합함
학습하고, 적응하며, 잊어버리지 않음

실제보안기술 및 사고와 현상에 대한 이해

수집

IBM 위협 문서
IBM 보안 전문가
온라인 보안문서

학습

위협요소, 지시어
보안 SME
머신러닝

테스트

Q/A 테스트
점수화
UI 통한 답변 제시

경험

지속적 학습
새로운 보안지식 적용

자동화된 기계 학습 및 인공지능 인지 기술

보안을 위한 통계 정보와 관계 추출

모델 보안 컨텐츠의 자연어 처리를 통해 보안의 언어를 왓슨에서 가르침
왓슨 디스커버리 서비스

비정형의 큐레이팅 된 컨텐츠로부터 보안 지식의 기본을 생성하고 유지함
X-Force Threat Intelligence

정형화된 위협 인텔리전스 피드의 집적 소스
보안 지식 그래프

보안 지식 기본을 저장하고 가시성 있게 표현함
지식 탐구 알고리즘

보안 지식 그래프를 탐구하고 분석함

주요기능

적용된 인공 지능 기술

IBM QRadar Advisor with Watson(QAW)은 AI와 SIEM테크놀로지가 결합한 세계 최초, 그리고 현재까지 유일한 인지 컴퓨팅 기반 보안관제 시스템입니다.

Watson Discovery Service

Watson Knowledge Studio

정형, 비정형 보안 데이터

QRadar Security Intelligence

보안 분석가의 위치에서 보안 인시던트를 조사, 정탐여부 확인, 비정상 위험 요소 확인
Powered by Watson for Cyber Security : 엄청한 양의 보안 지식을 활용하여 특정 보안 인시던트에 통찰력을 전달
스킬 부족, 경보 홍수(사이트당 평균 수백개에서 수천), 인시던트 대응 시간, 보안 정보와 위험 관리에 대해 SOC운영 프로세스를 근본적으로 혁신
QRadar SIEM과 결합하여 별도 개발 없이 수분 내로 SOC환경에 적용됨

도입효과

인시던트를 조사하는 보안 분석가의 업무 단축

인시던트를 발생시킨 로컬 컨텍스트 획득

인시던트 데이터 리뷰
관련이 있는 특이한 데이터 리뷰
특이사항 발견을 위한 데이터 피벗
인시던트의 주변에 대한 데이터를 포함하여 검색 확장

위협 연구결과 수집하고, 전문성 발전

X-Force Exchange + Google + Virus Total + 기타 선호하는 툴을 이용하여 특이사항 검색
활동중인 새로운 멜웨어 발견, 멜웨어의 명칭 획득
추가적인 웹 검색을 통해 침해의 표식 사례 수집

인텔리전스를 적용하고 인시던트 조사

로컬에서 수집한 침해의 표식 조사
동일한 멜웨어에 감염이 의심되는 다른 내부 IP들을 발견
위협연구로부터 수집된 통찰 기반의 인시던트 오탐 여부 확인
관련된 IP로부터 추가적인 조사 수행

IBM Security QRadar (큐레이더)

차세대 통합 위협관리 시스템

QRadar SIEM

IBM QRadar

인텔리전트

자동화

통합

IBM QRadar

인텔리전트

자동화

통합

배경

IBM Security Intelligence

Gartner Magic Quadrant

다양한 고객의 보안 및 컴플라이언스 과제 해결

로그 수집 및 정규화

자산 프로파일링

포괄적 상관관계 분석 룰

비정상 행위 탐지

중앙 집중화된 웹 기반 UI/대시보드

Qradar Pulse 대시보드

도입효과

QRadar UBA

커지는 내부위협과 부족한 대응기술

포괄적인 데이터 셋과 Sense Analytics를 통해 의심스러운 사용자를 감지

내부자 위험 점수

SOC 분석가들은 시간에 따른 행위의 편차분석에 도움이 필요

IBM User Behavior Analytics 대시보드

사용자의 행위 분포에 대한 가시화 – 머신러닝 적용

SOC 분석가의 생산성 향상

악성행위를 쉽게 발견함

쉬운 설치와 사용

분석 효율성을 향상시킴

머신러닝 사용 효과

QRadar AI (Watson for Cyber Security)

현 보안 관제/분석의 어려움

보안동향과 보안 팀의 과제

Watson for Cyber Security의 특징

실제보안기술 및 사고와 현상에 대한 이해

수집

학습

테스트

경험

자동화된 기계 학습 및 인공지능 인지 기술

보안을 위한 통계 정보와 관계 추출

왓슨 디스커버리 서비스

X-Force Threat Intelligence

보안 지식 그래프

지식 탐구 알고리즘

적용된 인공 지능 기술

인시던트를 조사하는 보안 분석가의 업무 단축