안녕하세요 다온기술입니다.
오늘은 RSAC2023 현상스케치 두번째 시간으로 Expo에 대해서 조금 더 많은 이야기를 해보려 합니다.
저는 이번 RSAC 2023가 처음이라 궁금증과 두근거림이 있었습니다. 하지만 저희 다온기술은 3번째 RSAC 참가를 하면서 나름의 노하우를 축적하고 있어 한국에서 출발 전에 나름의 계획을 구상하고 이번 RSAC Expo를 둘러볼 수 있었습니다.
그렇게 세운 계획은 "다온기술에서 지원하는 제품들, 특히 맨디언트 인텔리전스 제품과 어떤 차이가 있는지 등을 확인" 하고자 하였고 오늘 작성한 내용을 통해 정리해 보겠습니다.
저와 함께 RSAC2023에 Expo로 참여한 다른 사이버 위협 인텔리전스 제조사의 부스 방문 후기들을 같이 살펴보며 각각의 특징을 살펴보러 가보실까요?!
FLASHPOINT - 4404
부스 전경입니다. 다른 대형 벤더보다 작은 부스로 참여 했지만 캠핑장 느낌의 디자인으로 부스를 준비 했습니다.
FLASHPOINT의 대시보드
FLASHPOINT 솔루션 특징 :
OSINT 형태로 데이터를 수집하는 것으로 소개했고 하나의 대시보드에서 인텔리전스, Malware, 취약점 DB를 하나의 시스템에서 볼 수 있다고 소개했습니다. 다만 아쉬운 점은 데모 부스가 별도로 없어 실제 대시보드를 확인하진 못하고 동영상을 통해서 제품에 대한 소개를 확인할 수 있었습니다.
INTEL471 - 2127
부스 전경입니다. 데모 부스가 준비되어 있어서 데모 부스에서 자세한 설명을 들을 수 있어서 좋았습니다.
INTEL471솔루션 특징 :
하나의 대시보드에서 인텔리전스, 다크 웹, 취약점 리포트 등 검색이 가능했습니다. 다만 Korea 한국 지역으로 데이터를 검색했을 때 전체 리포트가 57건으로 한국에 대한 정보가 매우 부족한 것으로 생각이 되었습니다. 대부분의 리포트 또한 인터넷에서 공개된 보안뉴스 등을 보여주는 것으로 확인했습니다.
ZEROFOX - 1527
부스 전경입니다. 데모 부스 체험이 가능하여 인텔리전스에 대한 간단한 설명을 듣고 검색 등을 해보았습니다.
ZEROFOX 솔루션 특징 :
대시보드에서는 차트와 알람 위주의 이벤트 등이 표시되는 것을 확인할 수 있었습니다.
데이터 수집은 어떤 방식으로 하는지 확인했을 때 Data Connectors 메뉴에서 각각의 정해진 카테고리 별로 사용자가 활성화하여 볼 수 있었습니다. 일반적으로 여러 인텔리전스 벤더들은 정해진 OSINT나 분석가에 의해 수집된 정보를 제공하지만 ZEROFOX처럼 활성화하거나 비활성화하는 기능은 없는 것이 일반적이라 차별화된 기능이라고 생각되었습니다.
검색 페이지에서는 정보를 확인할 때에 사용자가 검색 후 결과를 확인하는 데 있어서 json 형태로 보여주는 결과 내용은 가시성이 아쉽다고 생각이 듭니다.
CONSTELLA - 5277
부스 전경입니다. 매우 작은 규모의 부스로 참여를 한 벤더로 보였고 데모 부스 등은 따로 준비되지 않아 동영상으로 재생되는 화면을 통해 솔루션을 소개하고 있었습니다.
CONSTELLA 솔루션 특징 :
Constella 소개 영상에서 특정 키워드를 검색하면 오른쪽에 하나의 점으로 인디케이터처럼 보이는 시작점이 표시가 되고 이후에 관리자가 정보들을 직접 수동으로 매핑하면서 오른쪽에 점선 등으로 DATA LAKE 정보들을 연관 지어줘야 합니다.
Nucleus Security - 4114
부스 전경입니다. 작은 규모의 부스로 참여한 뉴클어스 부스에서는 데모 영상을 제공하고 있었습니다.
Nucleus Security 솔루션 특징 :
뉴클어스 솔루션의 소개 영상에서 취약점 인텔리전스 페이지를 통해 가장 인상 깊은 점은 맨디언트 인텔리전스 리포트 정보를 특정 취약점을 검색 후 우측 화면에 보여주는 것이었습니다. 그 외에도 레코드 퓨처에 리포트도 같이 보여주는 것을 확인했습니다. 커넥터 기능을 통해서 설정하게 되면 ITSM(Jira, Zendesk 등)과 같은 티켓 처리 시스템과도 연동이 가능한 것으로 소개되고 있습니다. 제 생각으로는 인텔리전스 정보를 자체적으로 제공하는 것이 아닌 타 벤더사에 페이지를 가져다 제공해 주는 것으로 볼 때 아직은 전문성이나 정보력이 부족하기 때문이 아닐까 하는 생각이 들었습니다.
Recorded Future - 0934
부스 전경입니다. 데모 부스와 소개 영상, 자체 발표 등을 진행하고 있었습니다.
Recorded Future솔루션 특징 :
해당 부스에서 자세한 제품의 설명을 듣지 못해서 아쉬운 부스 중 하나였습니다. 아무래도 맨디언트 경쟁 인텔리전스 벤더인 곳으로 데모 등의 체험은 진행하지 못했지만 공식 홈페이지를 통해 확인한 레코드 퓨처는 300만 개의 다크 웹, 10,000건 정도의 C2 통신에 대해 추적하고 있다고 소개하고 있습니다.
CROWDSTRIKE - 6144
부스 전경입니다. 역시나 글로벌 벤더답게 RSA North 부스에서 큰 규모로 진행하고 있었고 대형 피규어도 눈에 띄었습니다.
CROWDSTRIKE 솔루션 특징 :
가장 많은 부스에서 키워드로 잡았던 XDR과 Endpoint Security 강자답게 데모 부스에서 크라우드스트라이크 솔루션을 경험해 볼 수 있었습니다. 엔드 포인트 사용자 관리 페이지와 인텔리전스 대시보드는 깔끔하게 제공된다고 생각했습니다. 하나의 공격 그룹 리포트를 확인했을 때 공격 그룹의 국가, 인디케이터, 취약점, 킬체인, MITRE ATT&CK 매트릭스 등으로 대시보드를 보여주었습니다. 인상 깊었던 것은 인텔리전스에 korea를 검색했을 때에 466,895 건이라는 많은 데이터를 보유하고 있어 인상 깊었습니다. 모든 내용을 검증하지 않았지만 데이터 자체가 많아 인상 깊은 데모였습니다.
Mandiant | Google Cloud - 6058
부스 전경입니다. 역시나 글로벌 벤더답게 굉장히 큰 규모와 많은 방문객이 다녀간 부스였습니다.
솔루션 특징 :
바이러스 토털을 인수한 구글 클라우드에서는 바이러스 토털 브라우저 Plug-in을 통해 사용자가 접속한 웹페이지에 표시되는 URL, IP, Domain 등에 대한 바이러스 토탈 검색 결과를 실시간으로 제공하는 것에 대해 설명했습니다. 맨디언트 TI(Threat Intelligence)는 침해 사고 현장(Incident response)에서 터득한 노하우, 300여 명의 전 세계에 분포된 전문 분석가를 통한 리서치 등을 통해 수집된 정보들을 제공해 주고 있습니다. 한쪽에서는 맨디언트 ASM(Attack Surface Management)과 SV(Security Validation)에 대해 소개하고 있었고 공격자 관점에서 ASM으로 자산에 대한 식별과 취약한 버전 등을 확인하여 공격을 시도하고 이러한 공격들을 기업 관점에서 잘 막아낼 수 있는지를 SV솔루션으로 검증하는 절차 등으로 활용하는 정석적인 데모 시연을 소개해 주었습니다. 상시적으로 발표 세션을 진행하는데 정말 많은 고객분들이 끊임없이 찾아주었고 이벤트 부스로 방문하는 고객들에게 선물을 나눠주기 위해서 퀴즈 부스도 같이 운영하고 있었습니다.
인텔리전스 부스 총평 :
크고 작은 많은 보안 회사들이 참가하여 인텔리전스에 대해서 중요하다고 생각하는 것을 경험했습니다. 가장 중요하다고 생각되는 점은 인텔리전스의 데이터를 어디서 가져왔는지에 따라 정보의 질이 많이 차이가 난다고 느꼈습니다. 같은 Korea에 대한 검색을 인텔리전스에 했을 때 고객분들이 활용할 만한 데이터가 얼마나 있는지와 정말 믿을 수 있는 정보를 제공하는지 아니면 OSINT 등을 활용하여 무작위로 수집된 정보를 그대로 보여주는지에 따라 차이가 많이 발생한다고 느꼈습니다. 저희 맨디언트 구글 클라우드 인텔리전스, 공격 표면 관리(Attack Surface Management), 보안솔루션 검증(Security Validation)에 대해서 경험하고 싶으시다면 언제든지 저희 다온기술로 연락해 주세요.
마무리로 Thomas Kurian (구글 클라우드 CEO)와 Kevin Mandia (맨디언트 CEO)의 사진으로 인사드리겠습니다.
감사합니다.
글. 손두영 엔지니어
