시만텍코리아(대표 이석호)는 지능형위협보호(ATP) 솔루션에 '시만텍 타깃티드어택애널리틱스(TAA)'라는 표적공격분석기술을 추가했다고 지난 26일 밝혔다.
회사측에 따르면 기업은 TAA를 사용해 오탐지 분류에 많은 시간과 리소스를 들이지 않고 실제 대응이 필요한 공격을 알 수 있다. TAA는 시만텍 고객 시스템 데이터, 네트워크 텔레메트리 데이터를 머신러닝 기술로 분석한다. 제품 업데이트를 할 필요 없이 분석 재학습과 업데이트를 제공하는 클라우드기반 기술이다. 시만텍 ATP솔루션으로 제공된다. ATP솔루션 사용 기업은 추가 구입 없이 TAA를 쓸 수 있다.
TAA는 기존 엔드포인트 위협 탐지 및 대응(EDR) 솔루션 능력을 향상시킨다. 기존 EDR 솔루션은 파일 해시값, 악성코드 유포 도메인, 레지스트리 값, 프로세스 이름을 침해지표(IoC) 삼아 내부 침해사실을 파악했다. TAA는 IoC기반 공격탐지에 더해 공격자 침투방법, 측면이동시 사용 명령어 등 인텔리전스 정보로 해당 공격그룹 공격을 탐지할 수 있게 만들어졌다.
관련기사
- 암호화폐 도둑채굴 공격 1년새 85배 늘어나2018.04.28
- 시만텍, 단일 에이전트로 쓰는 엔드포인트 보안 플랫폼 공개2018.04.28
- 시만텍, 말 많던 SSL/TLS인증서 사업 처분2018.04.28
- 시만텍코리아 "기업 보안정책, 클라우드까지 적용해야"2018.04.28
TAA 기반기술은 에너지기업 수십곳 운영망을 공격했던 드래곤플라이 2.0(Dragonfly 2.0) 발견 당시 툴셋과 동일하다. TAA는 내부 개발기간 중 1천400개 이상 기업 보안 침해사고를 식별했다. 시만텍 보안 데이터 과학자 팀과, 스턱스넷(Stuxnet), 레긴(Regin), 라자루스(Lazarus)를 발견하고 스위프트(SWIFT) 공격과 워너크라이(WannaCry) 공격 사이의 연관성을 밝혀낸 시만텍 표적공격 전문분석팀이 협력해 TAA를 만들었다.
윤광택 시만텍코리아 CTO는 "사이버 공격그룹의 분석을 통해 확보한 공격그룹 고유의 특징과 속성 정보를 머신러닝과 결합해 표적공격에 특화된 시만텍 TAA 기술을 선보이게 됐다"며 "이제 일반 기업에서도 시만텍 전문 분석팀의 고난도 표적공격 분석 기술을 솔루션으로 이용해 효과적으로 표적공격에 대응할 수 있을 것"이라고 말했다.