피망 슬롯 운영자 대화!
차세대 종말점 피망 슬롯의 도입 뒤에 1 년 동안 운영 한 후 경험 한 영향

피망 슬롯 Co., Ltd.는 IT 활용에 대한 컨설팅, IT 인프라 구성, IT 관리, BPO (비즈니스 프로세스 아웃소싱) 및 IT 하드웨어 및 소프트웨어 판매에 이르기까지 비즈니스에 필요한 모든 IT 서비스를 전체 라인업을 제공하는 포괄적 인 IT 회사입니다.

피망 슬롯 IS약 17,000 개의 PC, 약 2,000 개의 서버를 사용합니다 사내. 고객의 중요한 시스템 및 정보 자산을 처리 할 때 피망 슬롯 조치에 중점을두고 차세대 방화벽, 샌드 박스 및 웹 필터링을 포함한 여러 계층의 보호에 강력한 방어를 제공합니다.

2018 년 1 월, More출구 측정을 강화하기위한 차세대 엔드 포인트 피망 슬롯 EDR (엔드 포인트 감지 및 응답) 소개. 우리는 여러 EDR 제품에서 Cybereason EDR을 채택했습니다.

이번에는 "Cybereason EDR"의 구현 및 운영에 관련된 다양한 피망 슬롯 부서의 직원들이 소개에 대한 배경과 그들이 소개했을 때 발견 한 예기치 않은 효과에 대해 이야기하기 위해 모였습니다.

면담 자

*2019 년 3 월 현재 조직에 대한 정보.

피망 슬롯 Co., Ltd. 정보 시스템 그룹 Kasori Koji, 기업 시스템 부서장 내부 시스템의 구성 및 운영을 담당하는 회사 시스템 부서에서는 내부 시스템의 서버 인프라, 네트워크 인프라, 피망 슬롯 인프라 및 통신 인프라 운영을 담당합니다.	피망 슬롯 Co., Ltd. 정보 시스템 그룹 Matsuzawa Takanobu, 기업 시스템 부서 주로 기업 시스템 부서의 피망 슬롯 관련 작업에 입력했습니다. 우리는 EDR 제품 평가에서 회사 전체 배포에 이르기까지 모든 것을 주도하고 단기간에 구현을 완료했습니다.
피망 슬롯 Co., Ltd. IT Management Business Division Tezuka Nobuyuki, 피망 슬롯 서비스 부서 수석 엔지니어 수년간 다양한 피망 슬롯 관련 제품 및 서비스 제공에 참여했습니다. 가장 최근에 그는 SOC 서비스의 외부 서비스 기술 리더가되었으며 피망 슬롯 모니터링 및 사고 대응을 담당했습니다. 또한 내부 SOC에 대한 기술 지원 및 CSIRT에 대한 기술 지원 역할을합니다.	피망 슬롯 Co., Ltd. 플랫폼 솔루션 비즈니스 부서 Arita Noboru, IT Engineering Business Division, 영업 홍보 부서 고문으로서 그는 피망 슬롯의 사이버 시리 구현 프로젝트에 참여했습니다. 현재 그는 다양한 세미나에서 사이버 시즌 구현 사례에 대한 강의 및 고객을위한 제안 활동에 종사하고 있습니다. 중소 기업 컨설턴트 및 정보 처리 안전 지지자.

SCSK가 EDR 소개를 고려한 이유는 전통적인 피망 슬롯 조치만으로 해결할 수없는 어려운 문제였습니다.

점점 더 많이 알려지지 않은 악성 코드 및 영리한 스푸핑 이메일,여러 방어로도 100%를 예방하기가 어렵습니다. 나는 2016 년경에 가장 된 전자 메일의 수가 급격히 증가하기 시작했다고 느꼈다.
실제로 과거 감지를 받았으며 실제 비즈니스 이메일과 유사한 발신자 및 콘텐츠가 포함 된 영리한 이메일을 받았습니다.
실수로 첨부 파일을 열거나 URL을 클릭하더라도 웹 필터링은 무단 사이트에 대한 액세스를 보호하기 때문에 중요하지는 않았지만 조치를 취해야한다고 생각했습니다.

SCSK 장치에 대해서는 비즈니스 네트워크 외부에서 약 3,000 명이 사용됩니다. 예를 들어, 사무실에 주둔 한 엔지니어가 사용하는 장치 또는 검증 목적으로 자체 네트워크에서 작동 및 관리되는 장치. 바이러스 백신 소프트웨어는 모든 장치에 설치되어 있지만 SCSK는입니다SCSK 피망 슬롯 정책은 비즈니스 네트워크를 통과하지 않기 때문에 적용 할 수 없습니다그게 문제였습니다.

이상이 감지 된 경우, 우리는 먼저 장치 소유자에게 상황에 대해 물었고 처리 해야하는지 여부를 결정했습니다. 그러나 청각만으로 판단하기가 어려울 수 있으며 실제 기계에 대한 자세한 조사를 수행 할 수도 있습니다. 장치의 사용 상태는 매우 다양하며 실제 기계를 점검하려면 시간과 노력이 필요합니다. 또한 실제 기계가 SCSK 사무실 밖에서 사용되는 경우 대체 기계를 주문 및 배열하는 것과 같은 복잡한 작업을 수행해야합니다. 결과,사건이 발생한 시간부터 문제가 해결 된 시간까지 약 한 달이 걸렸습니다.

"제한"은 타겟팅 공격의 기대에 따라 가장하는 전자 메일 훈련을 통해 공개

직원의 피망 슬롯 인식을 이해하기 위해 SCSK는 2017 년부터 대상 공격 이메일에 대한 교육을 수행하고 있습니다.
훈련 스푸핑 이메일을 보내 더 많은 사람들이 클릭 한 수, 클릭하는 이메일의 내용은 무엇이며, 왜 클릭 했습니까?

◆ 사칭 이메일 훈련의 구현 상태 (2018)

클릭 백분율과 같은 특정 숫자를 지정할 수는 없지만더 많은 사람들이 예상보다 클릭했습니다나는 정말로 그렇게 느낍니다.
SCSK는 사업의 특성으로 인해 높은 피망 슬롯 정책을 가지고 있지만내용이 귀하와 관련이 있으면 클릭 가능성이 크게 증가합니다확인되었습니다.
예를 들어, 2 월에 개최 된 훈련 중에 프로그램이 피망 슬롯의 건강 보험 협회와 유사한 이름으로 "의료 비용 통지"와 함께 방송 된 경우, 사람들의 수가 증가했습니다.
직원 문해력을 높이는 것이 중요합니다. 그러나 일반적으로주의를 기울이더라도 바쁠 때주의가 줄어들 수있는 경우가 있습니다.사용자가 할 수있는 일에 제한이 있습니다다시 배웠습니다.

위에서 언급 한 배경으로 인해 침입을 막기 위해 모든 노력을 기울이는 대신 100%,침입을 신속하게 감지하고 손상을 최소화하는 척도30305_30357

여러 EDR 제품을 면밀히 조사한 후 피망 슬롯에 가장 적합한 제품은 "Cybereason EDR"이었습니다. 따라서 검증 및 평가를 수행하기 위해 회사 시스템 섹션을 포함한 정보 시스템 그룹을 사용할 것입니다.Cybereason EDR은 약 130 개의 PC 및 서버에 설치되며 약 1 개월 동안 비즈니스 목적으로 사용됩니다나는 그것을했다.

"Cybereason EDR"의 평가 및 검증

높은 정확도로 알 수없는 맬웨어 감지또는최근 몇 년 동안 인기를 얻은 랜섬웨어도 감지되는 순간을 차단할 수 있습니다확인을 통해 확인되었습니다.

의심스러운 행동이 있으면 사이버 린은 이상 탐지에 대한 경고를 받게됩니다. 그 경고에 따라관리 화면에서 장치의 상태를 즉시 확인하고 위험한 장치를 원격 검역소할 수 있습니다.
또한 관리 화면을 통해 장치의 운영 프로세스를 이해할 수 있으므로 CyberReason의 모니터링 서비스 인 "MSS (Managed Security Service)와 결합하여 고급 법의학을 달성 할 수 있습니다.
결과적으로, 이전과 같이 "와 같이 전화로 사용자의 번거 로움을 줄입니다. "

"Cybereason EDR"은 장치에 설치된 "센서"를 사용하여 이상을 감지하지만 처음에는 센서가 장치에 부담을 줄 것이라는 우려가있었습니다.
그러나이 센서는일반 안티 바이러스 소프트웨어와 같은 커널 모드 대신 사용자 모드에서 작동하며 OS 또는 기타 응용 프로그램에 영향을 미치지 않습니다. 또한 데이터가 하루에 약 5-10MB라는 사실을 평가했습니다. 이는 네트워크에 대한 부담이 적고 CPU에 대한 부담이 적다는 것을 의미합니다.

피망 슬롯는 19,000 개의 장치가 있으므로센서를 설치하기 쉬운또한 중요한 요점입니다. Windows 10 장치의 경우 Microsoft의 System Center Configuration Manager (SCCM)자동으로 분산되어 문제없이 설치할 수 있습니다이를 확인하십시오. 또한, 우리는 "MSS"도 인적 자원 감소에 기여한다는 것을 발견했습니다.

이 사전 검증은 "Cybereason EDR"은 SCSK의 피망 슬롯 문제를 해결하고이를 구현하기로 결정한 효과적인 도구라고 결론 지었다.

SCSK가 Windows 10으로 일찍 마이그레이션하고 있습니다. 사이버 계절 EDR 센서는 SCCM을 통해 자동으로 배포 할 수 있으므로 PCS 배포가 매우 매끄 럽습니다. 모든 직원은 센서의 자동 배포에 대해 미리 알렸다. 그러나 직원들의 의견도 "알기 전에 설치되었다"고 말했다. Windows 10 이외의 PC, 서버 및 장치 및 비즈니스 네트워크 외부의 장치를 수동으로 설치했지만 아무런 문제없이 처리 할 수있었습니다.

CyberReason의 모니터링 서비스 "MSS"는 위협 탐지가 수행 될 때 1 차 응답을 수행하는 데 사용되며 SCSK의 내부 피망 슬롯 운영 센터 (SCSK)는 "MSS"를 다루기 어려운 경고에 대한 보조 응답을 제공합니다.

그림 : "Cybereason EDR"도입 후 운영 구조

그들이 그것을 완전히 "MSS"로 남기지 않는 이유와 내부 SOC와의 이중 모니터링이 피망 슬롯 운영의 특성으로 인해 "MSS"만으로는 위협인지를 결정하기가 어렵 기 때문입니다.
예를 들어, 피망 슬롯가 개발 작업의 일환으로 수행 한 검증 작업의 운영은 "MSS"에 따라 불법으로 간주 될 수 있습니다. 당연히 피망 슬롯의 작업 내용을 고려하여 "MSS"로부터 판단을 얻는 것은 어렵습니다. 내부 SOC는 "내부 시스템에 익숙하다는 것을 알고" "현장 운영에 대한 지식을 알고있다"는 경고를 조사하는 데 도움이됩니다.
또한"MSS"는 대부분의 경고를 필터링하므로 피망 슬롯는 실제로 적은 수의 사례 만 지원합니다. 모든 경고를 확인하는 것은 비현실적이므로 시간과 노력을 절약 할 수 있습니다큰 도움이되었습니다.

"Cybereason EDR",센서가 설치된 모든 장치를 모니터링 할 수 있습니다.
소개 후이제 비즈니스 네트워크 외부의 장치를 모니터링 할 수 있습니다. 현재까지 어려운 비즈니스 네트워크 (예 : 고객에게 거주하는 엔지니어 장치, 집에서 일하기위한 장치 등).

특히 유용한 것은 장치 설정 정보 및 설치된 앱을 시각화 할 수 있다는 것입니다. 고위험 장치는 조기에 처리 될 수 있으며 사용자에게 전화하여 문제를 예방할 수 있습니다.

"MSS"ALERT 문제 방지 예

어느 날, MSS의 보고서는 포트 3389에 무단 액세스를받는 장치가 있다고 밝혔다.
I.E.외부에서 불법 조작의 위험이있었습니다. Cybereason EDR 덕분에 문제가 발생하기 전에 문제를 빨리 다룰 수있었습니다.

지금까지 이상이 감지 될 때, 기업 시스템 부서는 상황 확인부터 분석, 조사 및 보고서 작성에 이르기까지 모든 프로세스에 대한 책임이있었습니다.일반적으로 피망 슬롯 제품은 운영하기가 어렵고 회사 전체에 설치되면 운영 부하가 있습니다.
사전 검증 단계에서 작업에 대한 아이디어가 있었지만실제로 설치할 때 "Cybereason EDR"은 운영 부담이 낮은 제품입니다그랬습니다.

CyberReason의 "MSS"는 탐지 및보고를 제공합니다.노동의 양이 크게 줄어들 었습니다주요 요인입니다. 또한 이전에는 장치를 식별, 검역 및 비활성화 할 시간 이었지만 일단 설치되면 즉시 처리 할 수 ​​있습니다.위험 감소 조기이제 가능합니다.

◆ 보고서 (이미지) CyberReason의 모니터링 서비스 "MSS"

다행히도, 우리는 검역해야 할 정도로 공격을받지 않았지만 예비 테스트 중에 경험 한 빠른 초기 조치와 법의학 능력은 생산에서도 매우 효과적입니다.

경제, 무역부는 또한 멀티 레이어 방어 및 공격을 모니터링하고 탐지하는 시스템뿐만 아니라 사이버 피망 슬롯 관리 지침 VAR2.0을 기반으로 사고 준비에 대한 응답 및 복구 시스템을 요구하고 있습니다.

그러나 엔드 포인트를 모니터링하려면 모니터링 할 장치의 수와 경고 유형이 크게 증가하므로 합리적인 피망 슬롯 요원이 필요합니다입니다. 최근 몇 년 동안 피망 슬롯 요원을 확보하기가 어려워졌으며, 가능하더라도 비용이 증가 할 것입니다. SCSK도 예외는 아닙니다.

Cybereason EDR은 피망 슬롯을 잘 알고 있지만 피망 슬롯 요원이 부족한 비즈니스에 적합합니다.초기 응답의 대부분은 CyberReason의 "MSS"에 의해 처리되므로 소수의 직원조차도 운영 할 수 있습니다.

CyberReason의 보고서는 회사가 Breaches Investigation (Hunting) 서비스에 응답했다는 것입니다.매우 가능성이 높은 원격 제어 도구 (RAT), 백도어, 랜섬웨어 및 높은 확률. 또한 대부분은 특정 수준 이상의 피망 슬롯 조치를 구현하는 회사입니다.

EDR은 현재 많은 관심을 끌고 있습니다. 피망 슬롯는 실제로 사이버 시즌 EDR을 소개했으며 훌륭한 결과를 얻을 수있었습니다.
이제 SCSK에 도입함으로써 얻은 지식에 따라 각 회사에 적합한 "Cybereason EDR"을 사용할 수있는 방법을 제안합니다. 먼저 저희에게 연락하십시오.

그림 : [참조] 일반 "Cybereason EDR"의 도입 전후의 시간과 시간 비교