Unlocking DATA & CLOUD security : Secrets Management 와 Ransomeware Protection 탈레스 웨비나 질문 및 다시 보기

Unlocking DATA & CLOUD security : Secrets Management 와 Ransomeware Protection 탈레스 웨비나 질문 및 다시 보기

안녕하세요.

지난 9월 12일 'Unlocking DATA & CLOUD security : Secrets Management 와 Ransomeware Protection 소개'라는 주제로 개최한 웨비나에 참석해주신 분들께 다시한번 감사를 드립니다.

못보신 분들께서는 다음 레코딩 버전을 통하여 다시 보기를 하실 수 있습니다.

​

https://www.youtube.com/watch?v=oNhPkyE1ulM

​

다음 내용들은 웨비나 중에 나왔던 질문과 그에 대한 답변 항목입니다.

​

질 문	답 변
허니팟을구축해서 정보수집을 하다보니 해외 수백개의 IP 가 들어오고 있는데 안전한지 평가하는 방법이 있을까요 ?	안전한 IP인지의 여부에 대해서는 방화벽이나 IPS 시스템을 통해 판별해야 할 것으로 보입니다. CTE-RWP는 데이터가 저장된 시스템 내부에서 사용자와 프로세스의 동작으로 랜섬웨어에 대한 공격을 방어합니다.
랜섬웨어 방어에 대한 전략은 안티바이러스 솔루션과 백업 모두 필요하며 백업은 더이상 데이터 보호에 대한 보험이 아닌 빠른 복구로 서비스를 지속적으로 유지하는 방향으로 가고 있는데, 랜섬웨어를 AI기반으로 하여 대응하는 방법이 가장 효율적인 방어가 될 지 궁금합니다.	랜섬웨어를 비롯한 데이터에 대한 공격은 여러 계층의 방어가 필요합니다. 안티바이러스 솔루션은 멀웨어, 스파이웨어 등에 대한 탐지와 방어, 데이터 백업이 복구와 도용에 대한 서비스의 지속성을 보장하는 것이라면,CTE-RWP는 랜섬웨어 공격에 대해 원천적으로 데이터 자체를 방어하는 것으로 사용됩니다. 무단의 프로그램에 의한 데이터 암호화/유출에 대한 심층 방어로 구분될 수 있습니다.
악성행위 탐지를 위한 랜섬웨어, 웜 등의 학습데이터를 탈레스를 어떻게 수집하고 있는지 궁금합니다	기존의 랜섬웨어나 웜바이러스의 패턴이나 악성행위를 탐지하는 방식이 아닌, 시스템에 의한 데이터의 사용을 감지하는 방식입니다.
악성행위 탐지, 랜섬웨어 공격이 혹시나 반복적인 오류를 착각해서 공격으로 진단될 일이 전혀 없을까요.	그런 오탐사고를 방지하기 위해 사용자에 의한 데이터의 암호화에 대해서는 화이트리스팅하여 사용할 수 있습니다.
리눅스에 알수 없는 폴더가 생성되고 폴킷취약점 공격이 행해지고 기존에 미존재했던 파일이 생성되고 권한상승이 되는 행위들도 탐지하고 방어할 수 있는지 궁금힙니다.	CTE, CTE-RWP는 데이터 보안에 대한 제품이어서 폴더생성, OS에서의 권한 상승등에 대한 부분은 관여하지 않습니다. 문의주신 부분은 Linux system 보안 분야에서 처리되어야 합니다.
랜섬웨어의 정확한 패턴 미보유시, 랜섬웨어와 유사하다고 판단되는 공격이나 탐지가 될 경우, 어떻게 동작하도록 알고리즘이 설계 및 반영이 되어 있는지 문의 드립니다	기존의 랜섬웨어의 패턴으로 판별하지 않고, 반복적인 혹은 대용량의 데이터의 암호화, 파일의 이동등을 모니터링하여 랜섬웨어를 판별하는 방식입니다. 오탐을 줄이기 위해 화이트리스트를 운영하여 사용자에 의한 정상적인 행위와 구분하게 됩니다.
cloud는 SaaS에 대해서 설명 주셨는데, 파일 단위가 아니라 Cloud 에서 할당 받은 Filesystem을 랜섬웨어로부터 보호 할 수 있는 방법이 있을까요?	클라우드의 네이티브 파일시스템에 대해서는 차후 버전에서 방어할 수 있도록 확장할 계획입니다. 다만, 클라우드에서 리눅스나 윈도우즈를 빌드하여 사용하는 경우, CTE-RWP를 사용하여 보호할 수 있습니다.
모두 서버 접근제어 제품이 거의 없는것 같습니다. 키관리 솔루션으로 cloud 서버접근제어를 대신할수 있을지요?	탈레스의 키관리 시스템은 CiphetTrust Manager (CM) 입니다. CM에서는 CCKM (CipherTrust Cloud Key Manager)를 통해 멀티클라우드의 키를 통합 운영할 수 있도록 하고 있습니다. 클라우드 서버에 대한 액세스 컨트롤은 별개의 사안으로, 이 부분은 클라우드에서 제공하는 IAM등을 통해 사용할 수 있습니다.
다량의 I/O 로 감지하여 엑세스를 블럭 한다고 말씀 하셨는데요…데이터 백업이나 관리자에 의한 의도된 다량의 데이터 복제는 랜섬웨어와 어떻게 구분 하는지요?	사용자에 의해 의도된 행위에 대해서는 사전에 화이트리스팅에 포함시켜놓을 수 있습니다. 등록된 프로세스에 의한 동작에 대해서는 랜섬웨어 검출에서 예외로 처리할 수 있습니다

​다시한번 참석해주신 모든 분들께 감사드립니다.

---

Thales DIS CPL소개

​

오늘날의 기업은 클라우드, 데이터, 소프트웨어를 활용하여 비즈니스의중대한 결정을 내립니다. 전 세계 유수의 브랜드와 기업들이 클라우드와 데이터 센터에서 디바이스, 네트워크에 이르는 모든 곳에서 생성, 공유 및 저장되는 민감정보와 소프트웨어에 안전하게 접근하기 위해 탈레스의 솔루션을 활용합니다. 탈레스의 솔루션을 도입한 기업은 안정적으로 클라우드로 이전하면서도 확실하게 데이터 보안 규제를 준수할 수 있습니다. 현재, 매일 수백만 명의 소비자가 사용하는 서비스와 디바이스를 통해 탈레스의 고객들은 보다 큰비즈니스 가치를 창출하고 있습니다.

https://cpl.thalesgroup.com/ko

​

탈레스 소개

​

귀하의 데이터를 보호하는 기업들은 탈레스를 통해 자신들의 데이터를 보호합니다. 데이터 보안에 대해 중요한 결정을 내려야 하는 순간이 증가하고 있습니다. 암호화 전략을 수립하거나, 클라우드로 데이터를 이전하거나, 규제 준수 요구사항을 충족시켜야 하는 모든 순간에 탈레스를 믿고 찾아주십시오. 탈레스는 귀하의 안전한 디지털 트랜스포메이션을 지원합니다.​