샌프란시스코, 실리콘밸리, RSA 컨퍼런스 2019 정리
컨퍼런스를 가는 이유. 컨퍼런스에서 얻어가야 할 것.
- 컨퍼런스는 동향 파악이 주.
- 기술적인건 어차피 딥하게 못다룸 시간이 없어서.
- 동향과 방향성, 해외 보안 업계는 어떤 생각을 가지고 어느 방향으로 가고 있는지 이런걸 알아보려고 가는 것이 주이고, 그 다음이 네트워킹.
세션
Day 1. 기업 스타트업 어쩌고 세션.
- 기업이 어디로 가고있는지, key roll 을 이해하고 있는 employee가 중요하고 이런 요소를 투자시 중요하게 본다.
- 리스크를 감수하려는 마음가짐이 중요. 어차피 어디든 어떻게될지 모르니까.
- network가 중요. 업계 평판이나. 수많은 포트폴리오를 봐도 결국 중요한게 누가 누구를 알고… 이런 것에 영향을 많이 받는다
- CISO 롤은 계속 바뀌고 있고 나도 계속 찾는중이다.
- 위험을 감수하고 앞으로 나아가는 것.
Day 2. 키노트
- 요즘같은 세상에 제일 중요한 키워드는 trust
- uber, airbnb같은 서비스는 모두 상호신뢰가 전제가 되어야 가능.
- 리스크 매니지먼트, 사이버 시큐리티는 converge 되어서 더 좋은 결과가 나올 것.
- 머신과 사람은 개별로 존재할 때 보다 함께할 때 더 믿을만 하다.
- 머신은 빠르고 정확하게 답을 내놓지만, 사람보다 부족한건 그 답에 어떻게 도달했는지 설명하지못함.
- pair 프로그래밍. 짝프로그래밍을 하면 상호 보완적으로 더 신뢰 할 수 있는 코드가 나오듯, 머신과 사람도 같이 써야 신뢰도 향상.
부스 탐색
- What is the difference with existing vulnerability scanners like Metasploit?
- It seems to have a role similar to penetration testing. Are there advantages over penetration testing?
- What are the advantages of running a Red team?
- What is the difference or advantage over the competition?
- How much is the demand for this product?
- What is the most important reason for customers to buy this product?
crowdstrike
- back단은 엘라스틱 겉에는 splunk를 쓰고 있다고 함.
splunk
- 스플렁크와 엘라스틱서치의 메인 차이가 머냐? 물었는데 scalability라고함.
- 용량이 엄청 커지면 엘라스틱은 문제가 될 수 있다 얘기함.
- 영어가 짧아서 왜 그렇냐 더 못물어본게 아쉽
safe breach
- 너네 모듈 얼마나 많이 가지고 있어?
- 기업에 따라 다르다고 함…. 걍 뭐 대답을 회피한거일듯?
- 다른 BAS 제품이랑 너네 제품이 뭐가 달라?
- scale이 크다
- deploy가 쉽다. 다른애들껀 받아서 기업에 맞게 커스터마이징 해야한다.
- 해커스플레이북. 지속추가되는것. 그래서 이 인력이 자기네 회사의 Key다.
- 플레이북규모가 가장크다고한다 자기네말로는..
AttackIQ
Automated를 강조. 추가인력이 필요없다는걸 강조하는데 문제는 24시간 돌리더라도 어쨌든 모니터링 인원 필요할건데, 그러면 하루에 한번정도 공격모듈을 처음부터 끝까지 쭉 실행해서 점검하는거나 그게 그거 아니냐.
fireeye
- 파이어아이 쪽에서 얘기하는 본인들의 장점은 2가지
- 크라우드스트라이크는 엔트포인트에 치중되어있다. 침투이후만.
- 크라우드스트라이크는 국내 총판이 있긴 하지만 국내 분사가 없기 때문에 대응 등이 느릴 수 밖에 없다.
- Fireeye의 Helix 플랫폼. 이건 Initial Access 쪽의 정보도 받아와서 침투 이후의 행위를 설명하는데 사용하기때문에 좀 더 유기적으로 동작하는듯.
- 이메일 피싱같은 이니셜 액세스단계까지 커버함으로써 오는 어떤 유기적인 효과가 있는지?
- 헬릭스는 NX + SIEM + EDR(HX)이네. 그래서 클라우드스트라이크랑 좀 다른 느낌이다. SIEM같이 다른장비에서 온 로그도 다 수집해서 함.
- 헬릭스의 경우 이런 침투 단계에서 NX같은데서 발생하는 네트웍단의 로그와 엔트포인트HX에서 발생하는 침투 이후의 행위를 유기적으로 분석해서 alert를 띄워주는건지? 그렇다면 이런 일련의 위협 행위가 연결되는것을 보여주는 인터페이스가 있는지?
threat db와 threat intelligence와의 차이?
- thread db는 바이러스토탈같이 단순 팩트의 제공.
- thread intelligence는 이걸 해석해서 어떤 인사이트나 사람이 이해할 수 있는 정보로 제공.
- 파이어아이의 보고서같이(이건 파이어아이의 의견이긴함.)
실리콘밸리와 샌프란시스코
샌프란시스코에서 일주일 동안 지내면서, 여긴 좀 나랑 안맞는다. 라고 생각했다.
- 일단 홈리스 너무너무 많다.
- 제대로 된 한 끼를 먹으려면 너무 비싸고, 판다 익스프레스나 치포틀레 같은데 가면 그냥 종이박스에 대충 담아주니까… 소화가 잘 되는 음식도 아니고. 해서 먹는 것도 안맞음.
- 블록 하나 두개 차이로 갑자기 빈민가에 홈리스들이 대거 출연하거나, 굉장히 평화로운 동네가 되어버리는 그런 급격한 빈부격차…
- 내가 직접적으로 당한 적은 없지만, 인종차별도 꽤 있고.
- 해외라서 그런거겠지만, 뭔가 안심하고 발붙이고 살아갈 수 없을 것 같다는 느낌.
This post is licensed under CC BY 4.0 by the author.