패턴만으로 차단이 힘든 악성코드 차단 평판탐지, 행위기반탐지...
TRANSCRIPT
Copyright © 2014 Symantec Corporation4
악성코드제작의전략진화
From:
To:
소수의악성코드들을대량배포
소수의악성코드를무차별적으로배포
전세계에걸쳐서대규모의확산과피해
많은변종의악성코드를배포
많은변종을만들어다양한경로로배포
정교하게원하는대상에게악성코드를배포
대규모확산으로연결되지않음
Copyright © 2014 Symantec Corporation5
Anti-Virus 탐지회피방법
해커의악성코드개발 해커는실행가능한파일을숨기기위해툴을이용
툴을통해바이트레벨의다른복제본생성
This is my first virus that I plan to use to steal
key and passwords from
unsuspecting victims.
Kjjkjjjsdkjhkjsj398jid9-2 -02-00 3984—
2 3—030984 1299-04 1-03---
0-23li jkjdunjjdpe d.
Ijis kks my alsiepsiilf that pasje
ata see ps stweake adas
pasowallsiesppfr
ausupeasect ffi
Ijis kks my alsiepsiilf that pasje
ata see ps stweake adas
pasowallsiesppfr
ausupeasect ffi
Ista asbin lsikedlipole alskk askf
hwpkspollasjjfklg
toalkkstpooldajao sjfkgasklfa klla oek
탐지여부를확인하기위해클라우드스캐너이용
탐지되지않는변종배포
Copyright © 2014 Symantec Corporation6
Data is the Target, Malware is the Tool
96% 금전적, 개인적이득목적
95% 사고에따른손실중
악성코드포함여부
침해사고의도구로사용되는악성코드
Copyright © 2014 Symantec Corporation7
대표적인표적공격
• 표적 공격은 주로 스피어 피싱 공격으로 시작
• 2012년 웹사이트 잠복 공격인 워터링홀 공격 기법이 새롭게 등장
웹 사이트를감염시킨 후 잠복
워터링홀공격
표적으로 삼은 대상에게이메일 발송
스피어피싱
Copyright © 2014 Symantec Corporation9
불행하게도 수천수백만의 낮은 배포를 가진파일에 대해 효율적인 대응 기술이 없음
그러나최근의악성코드는이러한영역에존재함
악성파일 좋은파일
배포도
Whitelisting 기술로대응
가운데영역은새로운대응기술이필요함
blacklisting 기술로대응
기존대응기술의한계
Copyright © 2014 Symantec Corporation11
Antivirus
Firewall
IPS
Device
ControlApplication
Control
Lock down
Host Integrity
통합된엔드포인트보안 - SEP
다계층
차단기술
확장된
보안기술
Copyright © 2014 Symantec Corporation12
다계층악성코드차단기술Symantec Protection ModelDefense in depth
멀웨어가 PC에영향을미치기전에차단
Firewall & Intrusion
Prevention NETWORK
스캔후존재하는멀웨어를삭제
Anti-Virus FILE
시만텍의노하우를이용한파일이나웹사이트의
안정성을판단
INSIGHTREPUTATION
의심행위를보인프로그램을모니터또는
차단
SONAR BEHAVIORS
Intelligent security technologies
Copyright © 2014 Symantec Corporation13
Big Data Analytics
Analytics
Warehouse
Analysts
Attack Quarantine System
Endpoints
Gateways
3rd Party Affiliates
Global SensorNetwork
글로벌인텔리전스네트워크
Global Data Collection
Honeypots
Bad Safety Rating
File is blocked
Good Safety Rating
File is whitelisted
No Safety Rating YetCan be blocked
Intelligence against Unknown Threats - INSIGHT
1억 4천4백만대의 PC에서수집된파일데이터
평판정보분석
평판탐지결과
악성코드진단기술력 –평판탐지(Reputation)
Copyright © 2014 Symantec Corporation14
악성코드진단기술력 –평판탐지(Reputation)
2
보급율
생성시기
제조
행동방식
연관관계
3
4
파일별 등급 설정 및 저장
해당 파일에 대한 위협등급(점수) 통보
31억 개 이상의유형 분석
5 안전한 컴퓨팅 환경 유지
1 사용자 클라우드 기반악성코드 정보 수집
전 세계1억4천만+ 시스템
Copyright © 2014 Symantec Corporation15
Intelligence against Unknown Threats - SONAR
1400 여개의행위기반프로파일집합을통한모니터링!!
악성코드진단기술력 –행위기반탐지
Copyright © 2014 Symantec Corporation16
악성코드차단기술력 – IPS
네트워크위협요소차단은침입공격과악성컨텐츠가클라이언트 시스템에서동작하기앞서차단하는보호기술
네트워크 IPS시그니처 기반의 검사
하나의 시그니처를 통해 여러 공격으로부터 보호
Generic Exploit Blocking (GEB)
글로벌소프트웨어벤더로부터취약점에대해서공유
Oracle Sun Java, Adobe Acrobat Reader, Adobe Flash, Internet Explorer, ActiveX controls, QuickTime
Copyright © 2014 Symantec Corporation17
네트워크침입차단
평판기반보호
행위기반보호
파일기반보호
악성코드가 시스템에 유입되기이전에 악성코드의 네트워크접근 차단
1억명 이상의 클라우드사용자의 지혜를 통해 악성파일을 차단함
프로세스가 실행중일때의심스러운 행동을모니터링하여 악성코드 차단
의심스러운 속성값 또는시스니쳐에 의한 검색으로악성파일 차단
도메인 평판파일 평판
행위기반 탐지 시그니쳐프로토콜 인식 IPS
브라우져 보호
네트워크
파일네트워크 평판 행위
인터넷 서버
안티바이러스 엔진휴리스틱 엔진
악성코드에대한다계층보호매커니즘
Copyright © 2014 Symantec Corporation18
Extended Protection with Flexibility and Visibility
이동식저장매체를포함한저장매체에
대한통제
Device control
S/W설치등을통한내부보안정책강제화
적용
Host integrity
진보된화이트리스팅기술을통한강력한애플리케이션통제
System lockdown
애플리케이션행위에대한통제및모니터링
Application control
강력한시스템통제기술 –추가적인보안
Copyright © 2014 Symantec Corporation19
Extended Protection with Flexibility and Visibility
이동식저장매체를포함한저장매체에대한통제
Device control
강력한시스템통제기술 –추가적인보안
허가되지않은매체를차단하거나허용
매체에대한읽기, 쓰기통제및로깅
애플리케이션행위에대한통제및모니터링 프로세스, 파일및폴더, 레지스트리에대한통제
파일접근시도차단및프로그램실행차단Application control
Copyright © 2014 Symantec Corporation20
Extended Protection with Flexibility and Visibility
System lockdown
강력한시스템통제기술 –추가적인보안
화이트리스팅기술을통한애플리케이션통제 회사에인가된프로세스이외의비인가프로세스실행에
대한원천차단
Host Integrity
S/W 배포및설정등내부보안정책강제화
주기적인검사를통한회사보안정책적용여부확인및적용
Copyright © 2014 Symantec Corporation22
가상환경최적화기술
Virtual Image Exception
기본이미지스캐닝을통해서수집된파일들에대해서검색예외처리
Virtual Image Exception
Shared Insight Cache
혁신적으로 Disk IO를줄일수있음
Shared Insight Cache
기존의 SEP Client 에서스캔된결과를공유(Share)함으로써, 다른 SEP Client는
이검색결과를바탕으로파일에대한검색을수행
Copyright © 2014 Symantec Corporation23
Virtual Image Exception 동작원리(1/2)
Step 1:툴을 이용하여 시스템을 검색
Step 2:툴은시스템에서발견된모든파일들의리스트를생성
Step 3:툴에 의해서 생성된리스트는자체 White list 로해당 PC에 저장됨
Copyright © 2014 Symantec Corporation24
Virtual Image Exception 동작원리(2/2)
Step 4: 사용자가수동검색실시VIE Tool에의해서생성된 whitelist (Base image) 에대해서는검색을하지않음
Copyright © 2014 Symantec Corporation25
Shared Insight Cache 동작원리(1/2)
File Hash Def Ver Result
AE32D… 2011.1... Clean
B923E… 2011.1… Clean
F9123… 2011.1… Clean
C3FDA… 2010.2… Clean
GE23E… 2011.1… Clean
7TG23… 2011.1… Clean
File Def Ver Result
AE32D… 2011.1... Scan
B923E… 2011.1… Scan
F9123… 2011.1… Scan
File Def Ver Result
C3FDA… 2011.1... Scan
GE23E… 2011.1… Scan
7TG23… 2011.1… Scan
File Def Ver Result
AE32D… 2011.1... Skip
C3FDA… 2011.1… Skip
F9123… 2011.1… Skip
File Hash Def Ver Result
AE32D… 2011.1... Clean
B923E… 2011.1… Clean
F9123… 2011.1… Clean
C3FDA… 2010.2… Clean
GE23E… 2011.1… Clean
7TG23… 2011.1… Clean
Copyright © 2014 Symantec Corporation 26
Shared Insight Cache 동작원리(2/2)
VM ClusterESX Server
VM VM VMVM VM VM
ESX Server
VM VM VMVM VM VM
File Hash Def Ver Result
AE32D… 2011.1... Clean
B923E… 2011.1… Clean
F9123… 2011.1… Clean
C3FDA… 2010.2… Clean
Thank you!
Copyright © 2014 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners.
This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice.
박승수부장