Vectra

Vectra 솔루션을 보고 느낀점 기록

트라라는 이름에 일단 만족 :)

AI 기반의 상관관계분석 자동탐지 대응 우선순위 지정 등을 통하여 기존 운영자의 보안업무를 최소화 시키는것이 키포인트

-> AI 라는 단어에서 거부감이 있지만 메타데이터를 가지고 평판db 에서 탈피한 자체 슈퍼바이저 알고리즘에 의해 탐지된다는 점에서 관심

end 단에 설치가 아닌 중요 스위치 구간마다 미러를 떠서 탐지한다는 관점은 직접 설치하여 프로세스를 띄워야 된다는 거부감을 없애줌

AI 기반?

AI 알고리즘이 핵심으로 보임[지도학습 + 비지도학습 + 딥러닝 = AI 알고리즘 기반으로 이해]

지도학습 Supervised Machine Learning

-> 모든 위협이 공통적으로 가지고 있는 숨겨진 특징을 찾는다

비지도학습 Unsupervised Machine Learning

-> 정상적인 행동을 학습하고 공격징후를 찾는다

딥러닝 Deep Learning

-> 딥러닝의 종류가 너무 많아 잘 모르겠으므로 패스, 딥러닝이냐 머신러닝이냐의 차이는 이제 그만..

실시간 관점과 사후 관점을 커버 가능해 보임

Recall 기능 - Vectra Cloud 기반

Stream 기능 - 로컬 기반

-> 질문중 인상 깊었던 부분은 바이트 단위의 패킷중에 특정 문자열 또는 hex 값으로 동일한 패킷을 모두 색출 가능하다고 함, 일단 탐지만 된다면 사후관점으로 좋아 보임 (키바나 ES 기반)

눈으로 보고 싶은 부분 간략 기록

1. 외부 취약점 침입 공격의 초기 탐지 (R to L 관점)

2. 유저단에서 다운받은 멀웨어로 인한 유저단 탐지 또는 "유저 to 서버" 이동 과정 중 탐지 (L to L 관점)

3. "서버 to 서버" 이동 행위 탐지 (L to L 관점)

- 19.12.03 벡트라보고 느낀점 기록 -