NETSCOUT Arbor Edge Defense

COPYRIGHT © 2020 NETSCOUT SYSTEMS, INC. 1
NETSCOUT Guardians of the Connected World
- Arbor Edge Defense
홍정표 (jeongpyo.hong@netscout.com)
SE, NETSCOUT Korea

목 차
1. NETSCOUT Solution Portfolio
2. Arbor Edge Defense 소개
3. Arbor Edge Defense Use Case
4. 기대 효과

COPYRIGHT © 2020 NETSCOUT SYSTEMS, INC.
NETSCOUT Solution Portfolio

NETSCOUT Solution Portfolio
Smart Visibility
End to End 성능 및 위협 가시성
Smart Protection
공격/위협으로부터 보호
Business Analytics
비즈니스 가시성
지점 서비스
가용성 /
Active Test
nGPulse
원격지
nPoint
지점 또는 사용자
관점의 서비스
성능 및 인프라
가용성 모니터링
스마트
빅 데이터 분석
nBA
3rd Party
Analytics/SIEM
Splunk/IBM
Tableau
MicroStrategy
nAS
빅데이타 기반의
비즈니스
가시성
기업용 엣지
DDoS/Threat
탐지 및 방어
AED/vAED
Arbor Cloud
코어 네트워크
DDoS/Threat
탐지 및 방어
Sightline/TMS
코어 네트워크
DDoS/Threat
자동 탐지/방어
Sightline: 감지
TMS: 차단
Orchestration
엣지 네트워크
L7/SSL
DDoS/Threat
탐지 및 방어
Netscout
Scrubbing센타
nDA
인라인
바이패스
구성
EPT
SSL
복호화
바이패스
탭
Smart
Security Infra
효율적인 보안
인프라 구성
지능형 탭 (Physical/Virtual)
PFS (1G/10G/40G/100G), vSTREAM-EMB (Virtual TAP)
패킷 수집 장비 (Physical/Virtual)
ISNG/CyberStream, vSTREAM (소프트웨어/가상화)
서비스,네트워크 성능/사이버 보안 통합 모니터링
조기경보 및 트러블슈팅
Sightline with
Insight/Sentinel
nG1
Threat Hunting
패킷 기반의
사이버 위협 탐지
및 분석
포렌직
패킷 기반의
데이터 수집을
통한 서비스 성능
모니터링
트러블슈팅
코어 네트워크
포괄적 가시성
DDoS/Threat
탐지
(L7, BGP, Flow)
ATA

NETSCOUT Solution Portfolio - Service Delivery, Availability & Operation Support / Protect Service & Data
Smart Visibility, Smart Protection and Business Analytics
환경, 조건에 구애 받지 않는 IT 운영 데이터의 확보와 분석
보안과 IT 운영 가시성과 더불어, ML / AI 기반의 데이터 Feed → Biz Data
서비스의 구축과 서비스의 운영에 이르는 통합 Smart Visibility 보장
3rd Party, Cloud, Hybrid, SDDC, Virtualization에 대한 제약 없는 모니터링
5G, IoT 등의 변화하는 신기술에 대한 대응 체계 / 폭증하는 네트워크 운영

Executive Summary
- 보안 위협으로 부터의 인프라/애플리케이션 보호

Executive Summary
[Easy to Use] 보안 위협의 감지와 차단에 대한 실시간 정보 확인, 정책 관리의 편의성
• Low / Medium / High 레벨의 보안 정책에 대한 빠른 반영
• 보안 위협에 대한 실시간 감지와 차단 정책 반영 → 실시간 현황 리포트
• 실시간 패킷 캡처, 실시간 Host 분석 : 웹 기반 GUI를 통한 직관적인 모니터링과 정책 반영
• 학습 기반 보안 위협의 완화, AIF를 통한 보안 위협 차단 등 운영자의 운영 편의성과 효율성 제고
[AIF, Global Intelligence] 선제적 감지와 빠른 대응을 위한 Smart Data 체계
• 전 세계에서 수집한 보안 위협에 대한 실시간 반영
• Machine Learning 기반의 보안 정책 수립
• AIF의 정책에 대한 Global Option 또는 특정 보호 그룹(애플리케이션 또는 네트워크)에 대한 개별 정책 반영
[Protect First] 보안 위협에 대한 다양한 설정. 보안 위협에 대한 차단과 완화의 객관성
• 가시성 기반의 보안 위협 완화 정책의 수립과 반영
• Inbound / Outbound 정책을 한번에 수립하고 관리
• SSL 보안 정책 반영

Arbor Edge Defense 아키텍처 : 보안 범위의 확대와 통합
• First & Last Line of Smart
Automated Defense
Unique
Global Threat
Intelligence
Inbound Threats
Outbound Threats
AIF = ATLAS INTELLEGENCE FEED

Arbor Edge Defense
- 아키텍처

Arbor Edge Defense
• Global AIF (ATLAS Intelligence Feed)를
통한 보안 정책의 실시간성, 객관성, 최신성
유지
• Outbound Threat에 대한 탐지와 차단을
통한 데이터 유출의 선제적 대응
• 실시간 Packet, Host, Threat Category
제공으로 보면서 막는 서비스 제공
• Machine Learning 기반으로 학습 기간에도
탐지와 차단을 수행
• SSL(HTTPS)에 대한 전수 트래픽의 탐지와
차단
• 손쉬운 설정과 운영

Arbor Edge Defense
자동화된 분석 / 공유
• 전 세계의 보안 위협에
대한 다양한 분석 능력
• 서비스와 비즈니스의
안정성 보장
Intelligence
Visibility Without Borders
• 실시간 데이터 그리고
동적인 데이터
• 기술에 구애 받지 않는
가시성
Platform
통합과 관리의 최적화
• My Knowledge +
Global Knowledge
• Integration 3rd Party &
Open Source
Integration

Arbor Edge Defense : AIF, Global Threat Intelligence
https://horizon.netscout.com or http://www.digitalattackmap.com
• 400 여개의 SP 협업
• 전 세계 1/3의 트래픽
감시
• 200K per Day
• 2 M+ IoC
• 6 M+ DDoS Threat
• 2.63B IP Address
• 1.76M Dark IP
Address
• 20년간 110개 국가
• #1 Provider

Arbor Edge Defense 아키텍처 : 보안 범위의 확대와 통합
Sandbox, Etc. …
NGFW
End Point
NGFW
IPS
TIP(Anomali)
SIEM
[Splunk / CEF / LEEF / QRadar]
Internet
3rdParty
CyberThreat
Intelligence
Arbor Edge Defense
DDoS
TIG
Integration:
▪ TIP와 상호 연동으로
지능화 / ML 강화
▪ SIEM 통합 연계
▪ API를 통한 확장
가용성 보장
Consolidation:
▪ Stateless DDoS 방어
▪ Reputational
blocking IoC
▪ TIG 기능
▪ NGFW 부담 경감
Syslog, RESP API,
STIX/TAXII
ATLAS Threat
Intelligence

Arbor Edge Defense 아키텍처 : Advanced DDoS/Threat Protection
• 내부에서 외부로의 공격 및 위협에 대한 차단
• 네트워크 내외부를 포함한 주변 위협에 대한 보안 강화
• 학습 기반 + 다양한 보안 데이터 소스
• Contextual Threat Intelligence
• Volumetric 공격 및 애플리케이션에 대한 보안 위협의 차단
• DDoS 및 알려진 보안 위협으로부터 조직을 보호

Arbor Edge Defense
- Use Case

Arbor Edge Defense : 실시간 통합 대시보드
• 매 시간 통계를 통하여 조직의 네트워크 상의 이상 유무, 관련된 문제와
위협에 대한 직관적인 정보 제공1
1. 구성된 애플리케이션 서비스 그룹에 대한 보안 관리
애플리케이션 서비스 별 특성에 대한 보안 설정과 위협 탐지, 문제 방지와
보안 위협 차단
2. Cloud Signaling → 자동화된 우회 DDoS 공격 방어
다른 SP, 다른 서비스, 하이브리드의 경우 공유 차단 기능을 제공
3. Arbor AIF를 통한 객관적이고 신뢰할 수 있는 보안 위협의 차단
언제나 최신성과 실시간 정보 기반으로 보안 위협 방지
4. STIX/TAXII 등 다양한 Open Source, API 연계
회사별 또는 조직별, 또는 특정한 User-Defined 보안 위협의 방지
AIF 머신러닝에 덧붙여 회사별 AI/ML 기반의 보안 위협 관리와 방지
3
4
2

Arbor Edge Defense : 실시간 통합 대시보드
• 학습/AIF/SSL 등 다양한 보안
위협 차단 정보 실시간 제공
• 차단 정보에 대한 상세 조회
• 데이터 유입과 차단 확인

Arbor Edge Defense : Protection Group (애플리케이션 보호 정책)
시간대 및
트래픽 유형 조회
트래픽 Overview
* IPv4 Protection Group
• Group details
• Group Cloud Signaling Status*
• Overview
• Total Protection Group Traffic
• Attack Categories
• Top Temporary Blocked Sources
• Web Traffic by URL*
• Web Traffic by Domain*
• Web Crawlers*
• IP Location*
• Protocols
• Services

운영하며 실시간 정보 조회
• DDoS에 대한 차단 이력의 실시간 제공
• 보안 위협에 대한 상세 정보 제공
• Host 기반, Packet 기반의 보안 위협의 차단과
차단의 이력

Arbor Edge Defense : 실시간 확인과 실시간 정책 반영
1 2
3
1
1. 실시간으로 유입되는
트래픽(Packet) 또는 Host 정보
조회
2. 보안 위협 차단 여부 확인
3. 추가적인 보안 위협 세부 정보
확인 및 보안 정책 실시간 반영

Arbor Edge Defense : 다양한 보안 위협 차단 정책 관리
사용량 기준
필터 방식
Global Option
필터 방식 (layer 7)
애플리케이션 Option
ML/AI from AIF
학습 기반 정책
학습 기간에도 …
경험하지 못한 위협에도 …

Arbor Edge Defense : 데이터 유출이 사전 진단과 차단 (Outbound Threat Mitigation)

Arbor Edge Defense : 정책 설정과 반영의 효율성 (Global & Targeted Application)
보호 수준 관리의
편의성/효율성 제공
Low Medium High
• 개별 서비스 별 설정 지원
• 공격 유형에 따른 설정 지원
• 애플리케이션 별 개별 설정 또는 글로벌 설정
• 다양한 애플리케이션 보호 그룹 설정

기대 효과

Why NETSCOUT Arbor?
• [AIF] - 400 여개의 SP 협업, 전 세계 1/3의 트래픽 감시
• [AIF] - 보안 위협의 실시간성을 유지 / 최신성을 유지
• [AIF] – 6M+ DDoS, 3M+ IoC, 200K per Day Malware, 1.8M+ Dark IPv4 Address
• [AIF / Cloud Signaling] - 확대되는 하이브리드 환경에서의 보안 위협의 정확한 전파와 공유, 서로 간의 공격에
대한 공유 차단 제공
• [Efficiency] - Web GUI 기반의 관리, Blacklist, Whitelist
• [탐지와 차단] - Monitoring에서 차단까지 All-In-One & One Click
• [ML/AI] - 학습 기반을 통한 보안 탐지, 그리고 학습을 통한 정확한 모니터링과 차단
• [Application Protection] - DDoS ➔ 이제는 Application 보안으로 (L3/4 ~ L7)
• [Inbound / Outbound Protection] – 외부로부터의 침입 차단. 내부에서 감염된 PC의 확산과 외부 위협과의
지속적인 통신 차단, 선제적 데이터 유출의 대응
• [TIF / TIG] – 다른 보안 장비로의 영향도 최소화, Stateful 장비에 대한 트래픽 경감
• [Easy to Use] – 실시간 검증과 분석, 차단 결과 확인. 손쉬운 보안 단계의 변경, 차단 및 완화에 대한 리포트
체계 자동화, 전체 통합 보안에서부터 개별 서비스별 보안 체계의 관리와 운영

Why Arbor?
최고의 경험을 가지고 있는
솔루션으로 보안 및 네트워크
상의 가시성 두 마리 토끼를
잡을 수 있는 혁신적인 솔루션
20
Experience
SERT
Security Engineering & Response Team
Much more than DDoS Threat
Intelligence!!
Expertise Technology
1. 대규모 인터넷 위협에 대한 대응
2. 방화벽 이상의 보안 감지와 대응
3. 외부로부터의 차단은 물론 내부 위협에 대한 대응
4. AIF를 통한 자동화된 위협 차단
5. 실용적인 위협 관리 방안
Five Things to Know About
NETSCOUT
Arbor Edge Defense

Why Arbor?
• The Action :
Intelligence 공유 /
자동화를 통한 보다
안전한 IT 서비스의 운영
• The Mission :
더욱 안전한 서비스를
위한 IT 운영과 관리
A global problem requires a global partner : Only with NETSCOUT.
• The Strategy :
글로벌 지식 그리고 개별
지식 자산으로 지능형
방어 체계 구축

29
자기 주도 학습
Global Knowledge
전문가와 24*7
복잡한 세상 편하게 살자

국내 Reference

국내 NETSCOUT Arbor[AED] 레퍼런스
AED for Enterprises

Thank You…
Q & A

NETSCOUT Arbor Edge Defense

More Related Content

What's hot

Similar to NETSCOUT Arbor Edge Defense

NETSCOUT Arbor Edge Defense