엔드포인트보안 – Symantec Endpoint Protection

이제는 Anti-Virus 그이상의보안이필요한때입니다.

박승수부장

Apr 8, 2015

Copyright © 2014 Symantec Corporation2

1 보안동향

2 통합된엔드포인트보안

3 가상환경최적화

Agenda

보안동향

3

Copyright © 2014 Symantec Corporation4

악성코드제작의전략진화

From:

To:

소수의악성코드들을대량배포

소수의악성코드를무차별적으로배포

전세계에걸쳐서대규모의확산과피해

많은변종의악성코드를배포

많은변종을만들어다양한경로로배포

정교하게원하는대상에게악성코드를배포

대규모확산으로연결되지않음

Copyright © 2014 Symantec Corporation5

Anti-Virus 탐지회피방법

해커의악성코드개발 해커는실행가능한파일을숨기기위해툴을이용

툴을통해바이트레벨의다른복제본생성

This is my first virus that I plan to use to steal

key and passwords from

unsuspecting victims.

Kjjkjjjsdkjhkjsj398jid9-2 -02-00 3984—

2 3—030984 1299-04 1-03---

0-23li jkjdunjjdpe d.

Ijis kks my alsiepsiilf that pasje

ata see ps stweake adas

pasowallsiesppfr

ausupeasect ffi

Ijis kks my alsiepsiilf that pasje

ata see ps stweake adas

pasowallsiesppfr

ausupeasect ffi

Ista asbin lsikedlipole alskk askf

hwpkspollasjjfklg

toalkkstpooldajao sjfkgasklfa klla oek

탐지여부를확인하기위해클라우드스캐너이용

탐지되지않는변종배포

Copyright © 2014 Symantec Corporation6

Data is the Target, Malware is the Tool

96% 금전적, 개인적이득목적

95% 사고에따른손실중

악성코드포함여부

침해사고의도구로사용되는악성코드

Copyright © 2014 Symantec Corporation7

대표적인표적공격

• 표적 공격은 주로 스피어 피싱 공격으로 시작

• 2012년 웹사이트 잠복 공격인 워터링홀 공격 기법이 새롭게 등장

웹 사이트를감염시킨 후 잠복

워터링홀공격

표적으로 삼은 대상에게이메일 발송

스피어피싱

Copyright © 2014 Symantec Corporation8

• Known or

• Unknown Threats

과연어느것이더위험할까요?

Copyright © 2014 Symantec Corporation9

불행하게도 수천수백만의 낮은 배포를 가진파일에 대해 효율적인 대응 기술이 없음

그러나최근의악성코드는이러한영역에존재함

악성파일 좋은파일

배포도

Whitelisting 기술로대응

가운데영역은새로운대응기술이필요함

blacklisting 기술로대응

기존대응기술의한계

통합된엔드포인트보안Symantec Endpoint Protection

10

Copyright © 2014 Symantec Corporation11

Antivirus

Firewall

IPS

Device

ControlApplication

Control

Lock down

Host Integrity

통합된엔드포인트보안 - SEP

다계층

차단기술

확장된

보안기술

Copyright © 2014 Symantec Corporation12

다계층악성코드차단기술Symantec Protection ModelDefense in depth

멀웨어가 PC에영향을미치기전에차단

Firewall & Intrusion

Prevention NETWORK

스캔후존재하는멀웨어를삭제

Anti-Virus FILE

시만텍의노하우를이용한파일이나웹사이트의

안정성을판단

INSIGHTREPUTATION

의심행위를보인프로그램을모니터또는

차단

SONAR BEHAVIORS

Intelligent security technologies

Copyright © 2014 Symantec Corporation13

Big Data Analytics

Analytics

Warehouse

Analysts

Attack Quarantine System

Endpoints

Gateways

3rd Party Affiliates

Global SensorNetwork

글로벌인텔리전스네트워크

Global Data Collection

Honeypots

Bad Safety Rating

File is blocked

Good Safety Rating

File is whitelisted

No Safety Rating YetCan be blocked

Intelligence against Unknown Threats - INSIGHT

1억 4천4백만대의 PC에서수집된파일데이터

평판정보분석

평판탐지결과

악성코드진단기술력 –평판탐지(Reputation)

Copyright © 2014 Symantec Corporation14

악성코드진단기술력 –평판탐지(Reputation)

2

보급율

생성시기

제조

행동방식

연관관계

3

4

파일별 등급 설정 및 저장

해당 파일에 대한 위협등급(점수) 통보

31억 개 이상의유형 분석

5 안전한 컴퓨팅 환경 유지

1 사용자 클라우드 기반악성코드 정보 수집

전 세계1억4천만+ 시스템

Copyright © 2014 Symantec Corporation15

Intelligence against Unknown Threats - SONAR

1400 여개의행위기반프로파일집합을통한모니터링!!

악성코드진단기술력 –행위기반탐지

Copyright © 2014 Symantec Corporation16

악성코드차단기술력 – IPS

네트워크위협요소차단은침입공격과악성컨텐츠가클라이언트 시스템에서동작하기앞서차단하는보호기술

네트워크 IPS시그니처 기반의 검사

하나의 시그니처를 통해 여러 공격으로부터 보호

Generic Exploit Blocking (GEB)

글로벌소프트웨어벤더로부터취약점에대해서공유

Oracle Sun Java, Adobe Acrobat Reader, Adobe Flash, Internet Explorer, ActiveX controls, QuickTime

Copyright © 2014 Symantec Corporation17

네트워크침입차단

평판기반보호

행위기반보호

파일기반보호

악성코드가 시스템에 유입되기이전에 악성코드의 네트워크접근 차단

1억명 이상의 클라우드사용자의 지혜를 통해 악성파일을 차단함

프로세스가 실행중일때의심스러운 행동을모니터링하여 악성코드 차단

의심스러운 속성값 또는시스니쳐에 의한 검색으로악성파일 차단

도메인 평판파일 평판

행위기반 탐지 시그니쳐프로토콜 인식 IPS

브라우져 보호

네트워크

파일네트워크 평판 행위

인터넷 서버

안티바이러스 엔진휴리스틱 엔진

악성코드에대한다계층보호매커니즘

Copyright © 2014 Symantec Corporation18

Extended Protection with Flexibility and Visibility

이동식저장매체를포함한저장매체에

대한통제

Device control

S/W설치등을통한내부보안정책강제화

적용

Host integrity

진보된화이트리스팅기술을통한강력한애플리케이션통제

System lockdown

애플리케이션행위에대한통제및모니터링

Application control

강력한시스템통제기술 –추가적인보안

Copyright © 2014 Symantec Corporation19

Extended Protection with Flexibility and Visibility

이동식저장매체를포함한저장매체에대한통제

Device control

강력한시스템통제기술 –추가적인보안

허가되지않은매체를차단하거나허용

매체에대한읽기, 쓰기통제및로깅

애플리케이션행위에대한통제및모니터링 프로세스, 파일및폴더, 레지스트리에대한통제

파일접근시도차단및프로그램실행차단Application control

Copyright © 2014 Symantec Corporation20

Extended Protection with Flexibility and Visibility

System lockdown

강력한시스템통제기술 –추가적인보안

화이트리스팅기술을통한애플리케이션통제 회사에인가된프로세스이외의비인가프로세스실행에

대한원천차단

Host Integrity

S/W 배포및설정등내부보안정책강제화

주기적인검사를통한회사보안정책적용여부확인및적용

가상환경최적화

21

Copyright © 2014 Symantec Corporation22

가상환경최적화기술

Virtual Image Exception

기본이미지스캐닝을통해서수집된파일들에대해서검색예외처리

Virtual Image Exception

Shared Insight Cache

혁신적으로 Disk IO를줄일수있음

Shared Insight Cache

기존의 SEP Client 에서스캔된결과를공유(Share)함으로써, 다른 SEP Client는

이검색결과를바탕으로파일에대한검색을수행

Copyright © 2014 Symantec Corporation23

Virtual Image Exception 동작원리(1/2)

Step 1:툴을 이용하여 시스템을 검색

Step 2:툴은시스템에서발견된모든파일들의리스트를생성

Step 3:툴에 의해서 생성된리스트는자체 White list 로해당 PC에 저장됨

Copyright © 2014 Symantec Corporation24

Virtual Image Exception 동작원리(2/2)

Step 4: 사용자가수동검색실시VIE Tool에의해서생성된 whitelist (Base image) 에대해서는검색을하지않음

Copyright © 2014 Symantec Corporation25

Shared Insight Cache 동작원리(1/2)

File Hash Def Ver Result

AE32D… 2011.1... Clean

B923E… 2011.1… Clean

F9123… 2011.1… Clean

C3FDA… 2010.2… Clean

GE23E… 2011.1… Clean

7TG23… 2011.1… Clean

File Def Ver Result

AE32D… 2011.1... Scan

B923E… 2011.1… Scan

F9123… 2011.1… Scan

File Def Ver Result

C3FDA… 2011.1... Scan

GE23E… 2011.1… Scan

7TG23… 2011.1… Scan

File Def Ver Result

AE32D… 2011.1... Skip

C3FDA… 2011.1… Skip

F9123… 2011.1… Skip

File Hash Def Ver Result

AE32D… 2011.1... Clean

B923E… 2011.1… Clean

F9123… 2011.1… Clean

C3FDA… 2010.2… Clean

GE23E… 2011.1… Clean

7TG23… 2011.1… Clean

Copyright © 2014 Symantec Corporation 26

Shared Insight Cache 동작원리(2/2)

VM ClusterESX Server

VM VM VMVM VM VM

ESX Server

VM VM VMVM VM VM

File Hash Def Ver Result

AE32D… 2011.1... Clean

B923E… 2011.1… Clean

F9123… 2011.1… Clean

C3FDA… 2010.2… Clean

Thank you!

Copyright © 2014 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners.

This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice.

박승수부장

Seoung-Soo_Park@Symantec.com