웨비나속 Q&A

질문주셔서 감사합니다. 자가 학습에 대해 내부에서 발생하는 트래픽과 내부 사용자가 평소에 행위하는 정상행위와 비정상을 구별하는 부분에서부터 범주를 나누기 시작합니다. 정량적으로는 얼마나 내부의 다른 디바이스/사용자와 다르게 희귀한 행동을 하는지 수치적으로 보여주며 (예 87% 희귀도) 정성적으로는 Threat visualizer를 통해서 실시간 트래픽 및 내용들에 가시성있게 전달드리고 있습니다.

질문주셔서 감사합니다. 발표자의 데모와 같이 인공지능분석가를 통해 분석 업무의 시간을 92% 단축시키실수 있습니다.

질문주셔서 감사합니다. 말씀해주신 내용에 후자가 가깝습니다. 암호화된 통신을 진행하는 경우에는 수집할 수 있는 데이터 정보에 한계가 있지만 기존과는 다르게 행위하는 희귀도의 부분에서, SSL인증서를 사용할때에 위반하는 부분에서와 같은 내용으로 암호화된 통신에 있어서도 인공지능/머신러닝을 적용할 수 있습니다. 단순히 unusual activity 뿐 아니라 운영 중 발생할 수 있는 컴플라이언스 이슈 장애발생과 같은 이슈에 있어서도 실시간으로 탐지 및 대응할 수 있도록 지원하고 있습니다.

질문주셔서 감사합니다. 다크트레이스 본사 및 파트너사의 지원으로 일부 커스터마이즈를 제공하고있습니다.

질문주셔서 감사합니다. 인공지능 분석가가 제공하는 보고서를 통해 운영에 편의를 제공하고 있습니다. 데모를 통해 이해를 도와드리도록하겠습니다.

질문주셔서 감사합니다. 다크트레이스는 오탐 혹은 오탐율에 대해서 표현하고 있지 않습니다. 그 이유는 실시간 분석 솔루션이기 때문에 당시에는 비정상이었지만 시간이 지남에 따라 스스로 재학습되며 정상으로 돌아오기도 하기 때문입니다. 처음에는 과탐 혹은 오탐이 많다고 느껴질 수 있지만 안정화 기간이 지나면 그 수가 줄어들며 정확도가 높아지게 됩니다.

질문주셔서 감사합니다. 암호화된 트래픽의 고유정보를 통해 이상행위를 탐지하고 있습니다.

질문주셔서 감사합니다.출발지와 목적지, 데이터의 양, 포트정보, 프로토콜과 같은 기본 정보 뿐만이 아니라 자체 희귀도와 같은 종류를 사용하고 있습니다. 약 1,000개 의 메트릭을 사용합니다.

질문주셔서 감사합니다. 기본적으로는 온프라미스의 방식으로 도입한 기업의 데이터만을 기반으로 학습을 시작합니다. 필요시 글로벌한 정보 혹은 Stix/Taxii와 같은 정보도 함께 활용하실 수 있습니다.

질문주셔서 감사합니다. 다크트레이스가 AI를 이용하여 분석하기 위해서는 최소의 디바이스 갯수와 트래픽이 필요합니다만, 더 높은 양과 질의 학습을 위해 탐지된 내역에 있어 정상 처리 및 위협 행위 해제와 같은 방법으로 학습의 질을 높여가실 수 있습니다.

질문주셔서 감사합니다. K은행, 인터넷뱅크, H카드, S카드, K손보, H손보, S 저축은행등 전반에 걸친 금융권 레퍼런스를 보유하고 있습니다. 주요 제약사항은 다크트레이스가 미러링을 받는 패킷만을 분석할 수 있기 때문에 동서 트래픽을 분석하기 위해서는 백본 밑에 스위치에서 미러링을 주시는 것을 권고드립니다.

질문주셔서 감사합니다. 다크트레이스 면역시스템은 기업망을 사용하는 모바일 디바이스의 이상행위를 탐지하고 자가학습을 통해 디바이스 종류를 판단하고 있습니다.

다크트레이스는 syslog와 RestfulAPI로 다크트레이스에서 분석된 탐지내역을 기존 인프라 장비로 보낼 수가 있습니다. syslog와 API형태로 받을 수 잇는 장비라면 모두 호환이 가능하며 특히 SIEM과 사용하셨을때 상관관계 및 다크트레이스의 메트릭을 활용하여 인과관계를 살펴보실 수 있습니다.

질문주셔서 감사합니다. 판단 근거를 PCAP파일 단의 정보로, 패킷이 남기는 정보를 기반으로 그래프와 각 메타값으로 세분화하여 검색, 살펴보실 수 있습니다. 이미 판단한 근거에 있어 수정은 불가능하며 액놀로지 버튼을 이용해서 정상처리 및 재학습은 가능합니다.

질문주셔서 감사합니다. 조금 더 구체적으로 주시면 더 자세히 답변드리겠습니다!

질문주셔서 감사합니다.!클라이언트 센서를 통해 클라이언트 디바이스가 기업 VPN에서 벗어난 상태에서 발생하는 행위 데이터를 수집하여 개선하고 있습니다.

질문주셔서 감사합니다. 사실 인공지능 측면에서는 경쟁할 제품을 꼽기 어려울 만큼 기술력이 많이 차이나는 것이 사실입니다. 비슷한 제품군과 비교해보자면 가장 강점과 차별점은 인공지능 기술이며, 얼마나 자세하고 정교하게 인공지능으로 분석한 데이터를, 해석할 근거를 제공해주는지가 가장 강점일 것 같습니다.

질문주셔서 감사합니다. 비지도 학습을 차용하고 있으나 지도 학습도 일부 차용하고 있습니다. 이미 알려진 내용이나 스캐닝 공격과 같은 경우에는 지도 학습을 이용하기도 합니다. 과탐이 많게 느껴지기도 하지만 보통 안정화 기간인 3개월 이후에는 이벤트가 10개 미만으로 굉장히 정확도가 높아집니다.

질문주셔서 감사합니다. 일반 IT망이 아닌 OT망 전문 솔루션도 현재 보유하고 있으며 대표적으로 S전자, H 화학기반시설와 같은 OT망에 레퍼런스를 보유하고 있습니다. 특히나 OT망의 경우 시그니쳐, 패턴과으로 모두 탐지가 어려운 부분이 있기 떄문에 인공지능으로 탐지되는 사례가 굉장히 많습니다.

답변 감사합니다. 그럼 OT망 전문 솔루션이라면 현재 다크트레이스가 아닌 별도의 솔루션이 따로 있는건가요?

질문주셔서 감사합니다!