소포스 인터셉트 엑스 소개 (sophos intercept x)
Embed Size (px)
TRANSCRIPT
소포스 인터셉트 X (Sophos Intercept X)
October 1, 2016 ㈜시큐리티트러스트
엔드포인트 보안은 새로운 전환점에
다다랐습니다.
• 공격은 방어 경계선
내부에서 발생하며, 소프트웨어 취약점을 이용합니다.
• 랜섬웨어는 약 12억 달러(약 1조2천억)의 피해를 입혔습니다.
• 사고 처리/대응을 위한, 위협 인텔리전스의 부족
다음 세대로의 패러다임의 변화가 필요합니다.
4
지능형 악성코드
제로데이 취약점 공격
제한된 가시성
Sophos Intercept X 소개
지능형 악성코드
제로데이 취약점 공격
제한된 가시성
취약점 공격 방어 (Anti-Exploit)
취약점 공격 기술 방어
• 취약점 공격 방어 (Signature-less)
• 제로데이 공격 방어
• 메모리 상주 공격 차단
• 리소스 사용량 최소&낮은 오탐율
사용자/성능 영향 최소화 파일 검사 필요 없음 시그니쳐 필요 없음
자동화된 사고 대응
• IT 친화적인 사고 대응
• 프로세스 위협 체인의 시각화
• 규범적인 교정 가이드
• 향상된 악성코드 치료/제거
위협 원인 분석 (Root-Cause Analysis)
빠른 사고 대응 위협 원인의 시각화
포렌식 수준의 강력한 제거
차세대 위협의 감지
• 악의적인 암호화 차단
• 실제 암호화 행위 기반의 차단
• 영향 받은 파일들의 자동 복원
• 공격의 근원(소스) 식별
안티 랜섬웨어 (Anti-Ransomware)
랜섬웨어 공격 차단 영향 받은 파일의 복구
공격 체인 분석
안티 랜섬웨어 ANTI-RANSOMWARE
CryptoGuard – 랜섬웨어 차단
파일 접근 모니터링
• 의심스러운 파일
변경이 감지되면, 파일
복사본이 생성됩니다.
공격 감지
• 악의적인 프로세스가
종료되고, 프로세스의
이력을 조사합니다.
초기 상태로 롤백
• 원본 파일 복원
• 악의적인 파일 제거
포렌식 가시성
• 사용자 메시지
• 관리자 경보
• 상세한 원인 분석 정보
CryptoGuard – 랜섬웨어 차단
1. 랜섬웨어 공격이 감지되면, CryptoGuard가 실행됩니다.
2. 실제 공격을 담당하는 악성코드의 정보입니다.
3. 일부 파일을 암호화 하던 랜섬웨어는 실행이 중단되고, 랜섬웨어로 인해 암호화된 파일들`은 초기 상태로 복구됩니다.
* 위 화면은 Zepto 랜섬웨어 공격을 차단한 내용입니다. ** 사용된 화면은 베타 버전이며, 정식 버전에서의 차단 화면은 다를 수 있습니다.
위협 원인 분석 ROOT CAUSE ANALYSIS
위협 원인 분석 (Root-Cause Analytics) 누가, 무엇을, 언제, 어디서 , 왜, 어떻게…에 대한 이해가 필요합니다
어떤 일이 일어났나?
• 위협 원인 분석(Root Cause Analysis)
• 프로세스/위협/레지스트리 수준의 자동 보고서
• 90일 간의 진행/처리 상황 기록(Historical reporting)
• 어떤 자산에 영향을 끼쳤는지에 대한 상세한 시각적 정보 제공
위험(Risk)은 무엇인가?
• 손상된 자산
• 손상된 비즈니스 문스, 실행파일, 라이브러리와 파일들에 대한 전체 목록
• 위협에 노출될 수 있는 기기(모바일 등..) 혹은 네트워크 리소스 (IP 등..)
향후의 예방책은?
• 보안에 대처하는 태도
• 히스토리컬 리포팅을 토대로 보안 권유 사항 마련
• 미래의 공격을 예방하기 위한 조치를 제공
• 컴플라이언스(규정준수) 상태에 대한 풍부한 리포팅 제공
11 Sophos confidential
12 Sophos confidential
13 Sophos confidential
14 Sophos confidential
15 Sophos confidential
취약점 공격 방어 ANTI-EXPLOIT
취약점 공격 기술에 대한 방어
1년 동안 발견된 새로운 악성코드
샘플의 수 약 1억개
1년 동안 발견된 취약점의 수(CVE’S) 약 1천여개
17
누적된 알려진 취약점 관련 기술들 24 개
시그니쳐 기반의 안티바이러스
해커들이 취약점 공격에 사용되는 기술들
?
Intercepting Exploits
취약점 공격 방어 • 취약점 공격 기술의 사용이 가능한
프로세스들을 모니터링. 예) 버퍼오버플로우, 코드 인젝션, 스택피봇 등등…
• 기술이 시도될 때 차단
• 악성코드가 취약점을 활용하는 것을 방지할
수 있음.
?
• CVE-2016-1019 o 2016년 4월에 취약점 공격에 사용된 취약점으로써, 어도비 플래시 플레이어 21.0.0.197 혹은 그 이전 버전에 영향을 받으며, 공격자는 지정되지 않은 벡터를 통해 임의의 코드를 실행시키거나, 어플리케이션 충돌과 같은 서비스 거부 공격을 수행할 수 있습니다.
1 • 피해자는 정상적인 사이트에 접속하였지만, 해당 사이트는 이미 감염된 상태입니다.
• 해당 사이트에는 리다이렉트 스크립트가 심어져 있습니다.
1
취약점 공격 방어(Signature-less Exploit Prevention)
2 • 첫번째 리다이렉트 2
3 • 두번째 리다이렉트
• 취약점 공격 코드가 여기에 있군요!!.
3
취약점 공격 방어(Signature-less Exploit Prevention)
• 취약점 공격이 차단되었습니다!! 4
4
A • 취약점 공격은 Iexplore.exe를 통해 실행합니다.
B • 취약점 공격은 powershell.exe를 실행하려고 시도합니다.
취약점 공격 방어(Signature-less Exploit Prevention)
* 사용된 화면은 베타 버전이며, 정식 버전에서의 차단 화면은 다를 수 있습니다.
새로운 클라이언트 인터페이스 New Agent Interface
인터셉트 엑스 인터셉트 엑스 + Central Endpoint Advanced
인터셉트 엑스 인터셉트 엑스 + Central Endpoint Advanced
주요 제공 기능 INTERCEPT X ENDPOINT PROTECTION
SKU CENTRAL INTERCEPT X CENTRAL ENDPOINT ADVANCED +
INTERCEPT X
Pricing Per User Per User
PR
EV
EN
T
BE
FO
RE
IT
RE
AC
HE
S D
EV
ICE
웹 보안 (Web Security) ✔
다운로드 평판 (Download Reputation) ✔
Web Control / Category-based URL Blocking ✔
디바이스 제어 (Device Control (e.g. USB)) ✔
어플리케이션 제어 (Application Control) ✔
브라우저 취약점 공격 방어 (Browser Exploit Prevention) ✔ ✔
BE
FO
RE
IT
RU
NS
ON
DE
VIC
E 파일 검사 기반 안티바이러스(Anti-Malware File Scanning) ✔
Live Protection ✔
실행 이전 행동 기반 분석/호스트 IPS (Pre-execution Behavior Analysis /
HIPS) ✔
PUA 차단 (Potentially Unwanted Application (PUA) Blocking) ✔
취약점 공격 방어 (Exploit Prevention) ✔ ✔
DE
TE
CT
ST
OP
R
UN
NIN
G
TH
RE
AT
실시간 행동 기반 분석/호스트IPS (Runtime Behavior Analysis / HIPS) ✔
악의적인 트래픽 차단 (Malicious Traffic Detection (MTD)) ✔ ✔
안티 랜섬웨어 (Cryptoguard Ransomware Protection) ✔ ✔
RE
SP
ON
D
INV
ES
TIG
AT
E A
ND
RE
MO
VE
악성코드 자동 제거 (Automated Malware Removal) ✔ ✔
Synchronized Security Heartbeat ✔ ✔
원인 상세 분석 (Root Cause Analysis) ✔ ✔
Sophos Clean ✔ ✔
EXECUTABLE FILES
MALICIOUS URLS
UNAUTHORIZED APPS
REMOVABLE MEDIA
EXPLOIT PREVENTION
MS FILES & PDF
!
ADVANCED CLEAN
RANSOMWARE PREVENTION
INCIDENT RESPONSE
감지 대응 예방 기기에 다다르기 전에 기기에서 실행되기 전에
차세대 엔드포인트는 감지 와 대응 입니다.
보안 사고의 90%는 취약점 공격에 의한 것입니다.
취약점 공격의 90%는 알려진 취약점을 이용합니다.
IT 직원의 66%는 사고 대응 기술이 부족합니다.
