HPE 아루바, 보안사업 강화...머신러닝 기반 UEBA·보안패브릭 첫 선

아루바 휴렛팩커드 엔터프라이즈 컴퍼니(HPE 아루바)가 고도화된 사이버위협을 보다 빠르고 능동적으로 탐지·대응할 수 있게 하는 보안 패브릭 아키텍처를 완비했다.

19일 마카오에서 열린 ‘아시아태평양지역(APAC) 에트모스피어(Atmosphere 2017)’ 행사에서 HPE 아루바는 분석(Analytics) 기반 사이버보안을 구현하는 ‘360 보안 패브릭’을 선보였다.

이와 함께 머신러닝 인공지능(AI) 기술로 네트워크에 연결돼 있는 사용자와 시스템, 기기 전반의 행위를 분석해 보안위험을 빠르게 감지해 대응할 수 있게 하는 UEBA(User and Entity Behavioral Analytics) 솔루션인 ‘인트로스펙트(IntroSpect)’도 출시했다.

‘360 보안 패브릭’은 니아라네트웍스 인수로 확보한 기술을 바탕으로 새롭게 선보인 ▲‘인트로스펙트’와 ▲기존 정책 기반 네트워크접근제어(NAC) 솔루션인 ‘클리어패스’ ▲아루바 8400 캠퍼스 코어·집선 스위치와 무선 액세스포인트, 그리고 컨트롤러에 탑재돼 있는 보안 기능을 활용해 코어부터 에지까지 안전한 네트워크를 구축할 수 있게 하는 보안 프레임워크다.

이날 행사에서 HPE 아루바는 ‘360 보안 패브릭’이 내부 사용자를 대상으로 한 사이버공격으로 인한 조직 내부 네트워크 보안위협을 빠르게 감지해 대응할 수 있게 한다는 점을 부각했다.

기업 내부 네트워크 내에서 발생하는 비정상 움직임을 분석해 위협 탐지와 격리·차단 등의 대응조치를 자동화하거나 중요도에 따라 우선 대응할 수 있도록 해줄 수 있다는 점에서다.

이에 따라 기업의 내부 네트워크에 침투한 보안위협을 탐지하는데 수개월 소요되던 시간을 빠르게 단축시키고, 자동화된 방식으로 대응 조치할 수 있게 해줄 수 있다. 이는 결과적으로 IT관리자와 보안담당자들의 업무 부담을 낮추고 효율성을 증대시키는 효과도 제공할 것이라는 게 HPE 아루바의 설명이다.

‘360 보안 패브릭’의 핵심 구성요소인 ‘인트로스펙트’ UEBA 솔루션은 머신러닝 기술로 네트워크 내에 연결된 사용자와 기기 동작의 변화를 감지해 기존의 보안 방어체계를 피해 들어오는 사이버공격을 식별할 수 있다.

네트워크에서 나타날 수 있는 비정상적이고 감지하기 어려운 움직임을 모니터링하고 탐지할 수 있도록 기본 설계돼 있다.

머신러닝 알고리즘은 사이버공격이 발생했을 경우 위협 수준에 따라 수치화한 리스크 스코어(Risk Score)로 보안팀이 사건 조사의 우선순위를 정할 수 있는 기준을 제시한다.

100여개 이상의 기존 머신러닝 모델을 연결해 새로운 위협을 탐지하고 관련 위험도 점수를 구성할 수 있는 ‘체이닝(chaining)’ 기술을 포함하고 있다.

‘인트로스펙트’는 기본형(Standard)과 고급형(Advanced) 두 가지 제품군으로 구성된다.

‘인트로스펙트’ 기본형 제품은 UEBA 머신러닝 보호 기능을 최소 3개의 데이터 소스만으로 쉽게 구현할 수 있게 해 기업에서 보안시스템 구동시 소요되는 시간을 단축시킬 수 있다.

아루바 인프라 모니터링(AMON) 기록과 마이크로소프트 액티브디렉토리(AD)나 LDAP( Lightweight Directory Access Protocol) 인증 기록과 개인정보, 방화벽 기록 등의 데이터 소스를 수집한다.

‘인트로스펙트’ 고급형은 보다 광범위한 네트워크 데이터 소스를 기반으로 한 공격 탐지를 수행한다. 사고 조사, 선제적 방어, 검색과 심층적인 디지털 포렌식 기술 등도 지원한다.

또한 모바일, 클라우드 및 사물인터넷(IoT) 트래픽을 포함해 패킷, 플로우, 로그, 경고, 엔드포인트 등 데이터를 정교하게 분석하는 100여개 이상의 내장된 머신러닝 모델은 위험 식별에 있어 조직의 효율성을 높일 수 있다.

아루바는 ‘인트로스펙트’를 ‘클리어패스’와 통합해 BYOD(Bring Your Own Device)·IoT 사용자와 기기의 행동을 프로파일링한 뒤 식별된 위협을 바탕으로 빠르게 네트워크에서 격리하거나 통제, 차단해 대응할 수 있게 구현했다.

‘클리어패스’가 제공하는 프로파일링 기능은 IP 주소로만 표시되는 기기들을 그룹화한다. 예를 들어, 클리어패스가 감시카메라 또는 공장 센서를 분류하면 ‘인트로스펙트’가 그룹 간 행동을 벤치마킹한다. ‘인트로스펙트’는 그룹 간 비교 데이터를 기반으로 비정상적인 기기의 동작을 플래그로 지정해 점차 다양해지는 IoT 기기 환경에서도 UEBA 기능을 지원할 수 있게 한다.

한편, 아루바의 네트워킹 인프라에 내장된 방식으로 제공되는 보안 코어(Secure Core)는 시큐어부팅, 방화벽, 중앙집중식 암호화, 딥 패킷 인스펙션(DPI), 침입방지를 비롯해 네트워크에 필요한 보호 기능을 제공한다.

‘인트로스펙트’ UEBA 기술과 아루바 클리어패스가 통합된 아루바 보안 코어는 기기 탐색과 침입 탐지뿐 아니라 네트워크 재인증이나 검역, 사용자·기기 차단 등의 대응조치를 수행할 수 있도록 지원한다.

아루바는 이번에 ‘360 보안 패브릭’을 발표하면서 보안 협력 생태계도 한층 강화하고 나섰다. ‘360 보안 익스체인지 프로그램’을 운영, 120여개 IT·보안 기업들과 애플리케이션 프로그래밍인터페이스(API)를 바탕으로 한 개방형 아키텍처를 통해 정보를 공유하고 ‘360 보안 패브릭’을 통합 구현할 수 있도록 했다.

협력하는 주요 보안 솔루션은 모바일아이언, 맥아피, 스플렁크, 아크사이트, 주니퍼네트웍스, 팔로알토네트웍스, IBM 큐레이더 등이 있다.