슬라이드 1

Size: px

Start display at page:

Download "슬라이드 1"

상기 진
5 years ago
Views:

1 표준제안서 좀비 PC 사전대응솔루션 AhnLab TrusWatcher

2 목차 1. 배경 2. 보안위협사전대응전략 3. AhnLab TrusWatcher 4. 결론 5. 운영화면 1

3 1. 배경

4 2011 년국내외주요보안위협사례 1월 2월 3월 4월 5월 6월 7월 경쟁도박사이트 DDoS 공격발생 유명커뮤니티사이트 DDoS 공격발생 학교, 경제단체, 기업사이트등 104개서버시스템해킹한고교생 2명검거 3 4 DDoS 공격발생 수능강좌사이트 DDoS 공격발생 금융보안사고 소니 PSN 해킹사태 소니 PSN 재해킹사태 소셜커머스업체해킹으로인한악성코드유출 CIA DDoS 공격 대규모포털보안사고 명확한목적에의한특정타깃만을대상으로한공격 공격으로인한피해의특징 : 즉각적인피해, 대규모피해 3

5 공격양상의변화 - 입체적, 지능화된공격 Office 기업정보고객정보 내부정보탈취 PC 시스템공격 WEB 공격 모바일공격 네트워크공격 INTERNET 정보유입 / 유출 웹서핑 이메일, 메신저 SNS IDC, Server Farm 업무서버웹서버 Production Facility 서버시스템공격 서비스공격 (DDoS attack) INTERNET 서비스제공 생산 기반시설공격 MITB ( 트랜잭션공격 ) 서비스이용고객공격 웹서비스 금융서비스 게임서비스 4

Malware 기존의 Zero-Day보다더빠른시간내에신종악성코드및변종악성코드출현 취약점패치신규취약점공개신종악성코드유포대응엔진발표, 조치 Static

6 악성코드의라이프사이클 (Lifecycle) 멀웨어 (Malware) 의지속적인진화로인하여기존보다더신속한대응필요 Vulnerability Management Patch Management Proactive Defense Outbreak Management Security Management Dynamic Malware 기존의 Zero-Day보다더빠른시간내에신종악성코드및변종악성코드출현 취약점패치신규취약점공개신종악성코드유포대응엔진발표, 조치 Static Malware Zero-Day Attack Internet Malware Malware 2.0 Dynamic Malware Targeted Attack Web/SNS/Multi-Media 5

7 보안위협사례 : 쉬워진악성코드의제작, 유포, 그리고추가공격 신종악성코드제작및유포방식의지능화로지속적인좀비 PC 발생 악성코드구매맞춤제작 위장메일발송 악성코드감염 정보탈취 또다른공격 6

APT(Advanced Persistent Threat) 고도화된보안위협, APT(Advanced Persistent Threat) 다양한 IT 기술과방식들을이용해조직적으로경제적이거나정치적인목적을위해다양한보안위협들을생산해지속적으로특정대상에게가하는일련의행위 Advanced - IT 인프라와관련된다양한기술들의동시활용을통한고도화 Persistent -

8 APT(Advanced Persistent Threat) 고도화된보안위협, APT(Advanced Persistent Threat) 다양한 IT 기술과방식들을이용해조직적으로경제적이거나정치적인목적을위해다양한보안위협들을생산해지속적으로특정대상에게가하는일련의행위 Advanced - IT 인프라와관련된다양한기술들의동시활용을통한고도화 Persistent - 특정목적이달성될때까지새로운기술과방식으로공격대상에지속적으로공격 Threat - 악성코드, 취약점, 해킹과사회공학기법등으로 IT 기술에의해생산되는위협형태 * 출처 : TaoSecurity Blog * APT 용어의등장미국공군사령부에서는 2006 년무렵미국국방부및정부기관들과의원활한커뮤니케이션을위해확인된특정보안위협의형태를지칭하기위해 APT(Advanced Persistent Threat) 라는용어를처음사용함 7

9 APT 의보안위협대상 (Target) 명확한공격목표설정 과거의광범위한일반보안사고와는전혀다른양상 정부기관 정부내기밀문서탈취 군사기밀문서탈취 사회기반시설 사이버테러리즘활동 사회기반시설의동작불능 금융기관 사회금융시스템의동작불능 기업금융자산정보탈취 정보통신기업 기업지적자산탈취 통신망등기간산업시스템의동작불능 제조및일반기업 기업지적자산탈취 기업영업기밀탈취 8

10 APT 공격의일반적인시나리오 공격준비 악성코드유포시도 감염및공격자침입 보안사고 공격종료 불특정다수 명확한공격목표 단일악성코드 감염 PC 에대한보안사고 모듈화된악성코드추가악성코드업데이트 감염 PC 에의한전이공격내부주요자원까지접근 9

11 APT 공격대응의허점과보완과제 기업외부 기업내부 새로운운영, 대응프로세스필요 운영단 감염즉시공격자가 PC 지배 정상경로이용으로차단곤란 트래픽 파일의동시분석필요 어노니머스 (Anonymous) 신종악성파일유입의조기대응을통한좀비 PC 감염사전대응 Network Layer 엔드포인트 ( 서버 & 클라이언트 PC) 신종악성코드감염 10

12 APT 공격대응을위한필요기술 유해 URL 접근악성파일유입 C&C 서버통신악성파일업데이트 새로운정보의빠른대응 파일관점의분석 파일관점의네트워크분석 파일관점의분석 보안사고발생 국내환경에신종가장 ACCESS 파일의강력한분석보안클라우드의뢰대응? ( 국내기반의전략 vs. 해외 ) 보안대응체계 악성코드클라우드에새로운분석노하우형태의수집되지않은악성 + 파일새로운악성자동분석기술분석파일분석은? 시스템 엔드포인트악성파일은 파일네트워크의관점의취약점운영하이브리드프로세스기반이아니다기술. 보안 24x7x365 사고는네트워크악성트래픽파일 어플라이언스상시네트워크모니터링연결기반기술양상을전용제품띤다. 11

13 2. 보안위협사전대응전략

14 악성코드라이프사이클대응전략 1 : 클라우드 (Cloud) 악성코드의지속적인진화에대해기존보다더욱신속한대응요구 Vulnerability Management Patch Management Proactive Defense Outbreak Management Security Management #1. 더빠른대응시간 취약점패치신규취약점공개신종악성코드유포대응엔진발표, 조치 기존보안위협대응의 Lead-Time 최소화필요 클라우드기반의실시간보안위협대응기법 13

15 악성코드라이프사이클대응전략 1 : 클라우드 (Cloud) 클라우드컴퓨팅기반의입체적인보안대응체계 ACCESS(AhnLab Cloud Computing E-Security Service) AhnLab ASEC 분석 + AhnLab CERT 대응 + AhnLab 보안제품의입체적인대응 엔드포인트기반제품의악성코드제거 악성코드정보수집 신규공격탐지 (DDoS 등 ) 개인사용자환경 보안서비스 ( 관제, MSS, 컨설팅등 ) 엔드포인트기반제품의악성코드제거 네트워크기반제품의보안제품의정책업데이트긴급공격방어 기업사용자환경 DDoS 사전컨설팅서비스 DDoS 대응훈련서비스 End-Point Online Transaction Mobile 24 시간 365 일 DDoS 보안관제서비스 14

16 악성코드라이프사이클대응전략 1 : 클라우드 (Cloud) 클라우드보안위협대응전략의효과 샘플수집및분석, 탐지, 대응시점의차이 (Anti-Virus 대응시간기준 20 시간 19 분차이 ) AhnLab 타사 2011 년 3 월 3 일수집 (19:54 수집, 20:01:43 탐지, 21:08:43 대응 ) 2011 년 3 월 4 일수집 (2011 년 3 월 4 일 17:27 대응 ) 15

17 악성코드라이프사이클대응전략 2 : 사전 (Proactive) 대응 악성코드의지속적인진화에대해기존보다더욱신속한대응요구 Vulnerability Management Patch Management Proactive Defense Outbreak Management Security Management #1. 더빠른대응시간 #2. 사전보안위협대응 취약점패치신규취약점공개신종악성코드유포대응엔진발표, 조치 기업내부보안대응운영프로세스의조치보다더빠른위협대응필요 새로운접근방법 Proactive Solution 16

18 악성코드라이프사이클대응전략 2 : 사전 (Proactive) 대응 AhnLab TrusWatcher : 악성파일분석인프라, 노하우, 정보및기반기술의집결체 유해사이트정보 네트워크보안정보 AhnLab Security Cloud (ASD) 파일특성분석정보 파일연관성분석정보 Malicious Site Detection Engine Flow Inspection Engine DDoS Attack Detection Engine Malware Behavior Analysis Engine Malware Activity-Audit Engine ACCESS 보안대응전략 악성코드분석노하우 + 자동분석시스템 엔드포인트 네트워크의하이브리드기술 네트워크어플라이언스기반기술 17

19 3. AhnLab TrusWatcher

20 AhnLab TrusWatcher 동작방식 악성파일수집 분석 모니터링 대응 의종합적인좀비 PC 대응프로세스제공 TrusWatcher ZPX 2000/6000 (1) Mirroring Traffic 수신 (2) 이상트래픽탐지 (3) 악성파일분석, 탐지 (4) 탐지현황모니터링 TrusWatcher Manager (5) 악성파일조치명령 ( 자동 / 수동 ) (8) 조치결과모니터링 TrusWatcher Controller (6) 조치명령전달 TrusWatcher Controller (7) 악성파일조치, 조치결과전송 19

Interface Malicious Site Detection Engine Flow

File Queue Malware Behavior Analysis Engine

Server 접속트래픽탐지및차단 (Reset) (Network Appliance 의

의아웃바운드트래픽수치를기반으로 DDoS 정책자동학습 (2) Client PC

악성파일분석대기상태 가상머신기반의파일분석엔진 ( 정상 / 악성파일판정 ) (1)

악성파일일경우명확한분석을위하여가상머신으로실행하여검증 (3) PDF, doc,

21 AhnLab TrusWatcher 아키텍처 다양한엔진을통한트래픽기반및파일기반분석으로악성파일 좀비 PC 사전대응 NAS Interface Malicious Site Detection Engine Flow Inspection Engine DDoS Attack Detection Engine File Queue Malware Behavior Analysis Engine Malware Activity- Audit Engine (1) 다중회선수용 (1) Client PC 의유해 URL 접근트래픽탐지및차단 (Reset) (SiteGuard DB 탑재 ) (1) Client PC 의 IRC, C&C Server 접속트래픽탐지및차단 (Reset) (Network Appliance 의 IPS Signature) (1) 평상시 Client PC 의아웃바운드트래픽수치를기반으로 DDoS 정책자동학습 (2) Client PC 의아웃바운드 DDoS 공격트래픽발생시탐지 (1) 네트워크트래픽에서파일추출 (2) 악성파일분석대기상태 가상머신기반의파일분석엔진 ( 정상 / 악성파일판정 ) (1) 자체내장된가상머신에수집된파일을직접실행하여정상 / 악성여부를판단 ( 파일추가생성, 네트워크연결, Process, Registry 등 ) (2) 파일의고유정보를이용하여기알려진정상파일및악성파일을판단하고, 악성파일일경우명확한분석을위하여가상머신으로실행하여검증 (3) PDF, doc, Excel 등오피스파일및스크립트등다양한애플리케이션취약점을기반하는악성파일진단분석기법탑재 (4) 분석된결과는자체탑재된파일정보 DB 에업데이트하여중복분석시빠른속도보장 (5) 최대 20 개의가상머신을동시에동작시켜병렬처리를통한파일분석가용성극대화 20

Engine File Queue Malware Behavior Analysis Engine Malware Activity- Audit

22 AhnLab TrusWatcher 아키텍처 다양한엔진을통한트래픽기반및파일기반분석으로악성파일 좀비 PC 사전대응 NAS Interface Malicious Site Detection Engine Flow Inspection Engine DDoS Attack Detection Engine File Queue Malware Behavior Analysis Engine Malware Activity- Audit Engine 네트워크트래픽기반탐지 파일기반탐지 24 x 7 x 365 좀비 PC 감염사전대응프로세스 의심 PC 에대한대응 악성파일감염의심 PC 도출 21

23 AhnLab TrusWatcher 아키텍처 자체탑재된엔진의진단, 분석및 AhnLab Security Cloud 연동을통한정확한분석 탐지분류엔진종류룰개수 방대한수의탐지정책제공 네트워크기반탐지 파일행위기반탐지 Malicious Site Detection Engine Flow Inspection Engine DDoS Attack Detection Engine Malware Behavior Analysis Engine Malware Activity-Audit Engine 현재 6707개 (URL) 618개 1024개 3억개이상 + 500여개 분류상세항목설명 기본파일정보 File Basic Information Mail Information 기본파일실행정보파일메일발송행위정보 다양한파일행위분석 File Monitor Process Monitor Registry Monitor 파일생성등의행위탐지프로세스행위탐지레지스트리변경행위탐지 파일행위탐지 Network Monitor 네트워크접속행위탐지 Injection Monitor 파일, 프로세스 Injection 행위탐지 Kernel Monitor Kernel 행위탐지 API Monitor API 행위탐지 다양한파일종류분석 프로토콜실행파일 (PE) 매크로파일스크립트파일실행압축파일그림파일 HTTP, FTP, POP3, IMAP, SMTP, IM 등 ( 각프로토콜별서비스포트 16 개씩설정가능 ) AX, BIN, COM, DLL, EXE, MTX, OCX, OV?, PRC, SCR, SYS, VXD 등전체실행형파일 DO?, XL?, SHS, PPT 등 ASP, BAS, BAT, CHM, DRV, EML, HTA, HTM, HTML, HTT, INI, JS, JSE, KEY,..LNK, MRC, NWS, PHP, PIF, PL, SH, VBE, VBS 등 DIET, LZEXE, PKLITE 등 gif, bmp, pdf, jpeg, jpg, jpe, png 등 22

24 AhnLab TrusWatcher 관리 모니터링화면 AhnLab TrusWatcher Manager : 단일또는다중장비의 DDoS 트래픽및악성파일에대한통합모니터링 + 조치명령기능제공 각등록그룹단위모니터링및전체모니터링 수집된파일의정상 / 악성모니터링 악성파일유입 PC 의조치현황모니터링 로그검색, 보고서기능 23

단순 VM 기반파일행위분석 정상파일의처리는?( 오탐 ) 이미알려진악성파일은?

25 AhnLab TrusWatcher 주요특징 (1) 정확한악성파일탐지및정상파일의오탐문제해결 안랩이파악하고있는 정상 파일정보를이용하여오탐을최소화한다. 안랩이파악하고있는 악성 정보는신뢰할수있다. 국내환경에서다양한경로를통하여파일을수집, 분석하고있다. 단순 VM 기반파일행위분석 정상파일의처리는?( 오탐 ) 이미알려진악성파일은?( 정확도 ) 파일행위에서도진단되지않으면?( 미탐 ) 클라우드기반 + 자체자동분석시스템탑재 국내환경에최적화된분석데이터 악성파일진단의빠르고높은정확성 신종악성파일자체분석 정상파일의오탐최소화 24

파일악성판정 Only 좀비 PC 는 악성파일유입 감염 행위 의종합적인보안사고흐름을가지고있다 트래픽기반 + 파일기반동시탐지 분석 감염의심 PC 의명확한도출

26 AhnLab TrusWatcher 주요특징 (2) 복합적인탐지, 분석을통한감염의심 PC 의명확한도출및대응 AhnLab TrusWatcher 는 파일 과 트래픽 을동시에수집, 탐지, 분석한다. AhnLab TrusWatcher 는 악성파일탐지 와 대응 까지종합적인좀비 PC 대응프로세스를제공한다. 파일악성판정 Only 좀비 PC 는 악성파일유입 감염 행위 의종합적인보안사고흐름을가지고있다 트래픽기반 + 파일기반동시탐지 분석 감염의심 PC 의명확한도출 클라이언트 PC 의유해트래픽차단 악성파일탐지만하면끝? 유입된악성파일을제거해야한다 수집 - 분석 - 탐지 - 모니터링 - 대응 종합프로세스 악성파일유입의조기대응 25

27 AhnLab TrusWatcher 특장점 정확한분석 3 억개이상의 ASD(AhnLab Smart Defense) 정보활용을통한분석정확도극대화 내부가상머신 (Virtual Machine) 기반의악성파일행위분석 ( 최대 20EA) 오진최소화 악성파일뿐만아니라정상파일에대한판단기능탑재 알려진정상파일의사전분류를통한여타행위기반검사의오진한계극복 신종악성파일탐지 클라우드기반의 ASD 연동을통한실시간악성코드정보업데이트 ASD 정보기반의신종악성코드탐지기술탑재 좀비 PC 탐지 내부 PC 가다운로드하는악성파일정보및내부 PC 의 DDoS 공격트래픽발송정 보의실시간통합모니터링으로감염된좀비 PC 에대한직관적판별가능 종합대응 다수의분석장비에대한통합관리및모니터링가능 파일수집 분석 실시간모니터링 악성파일제거 의종합적인프로세스확립 26

ZPX ( 본사인터넷구간 ) TrusWatcher Manager ( 통합모니터링 ) TrusWatcher

28 AhnLab TrusWatcher 구성도 _ 본사 - 지사구간구성 (1) 각구간별 Full Set 구성 TrusWatcher ZPX ( 지사인터넷구간 ) TrusWatcher ZPX ( 지사인터넷구간 ) TrusWatcher ZPX ( 본사인터넷구간 ) TrusWatcher Manager ( 통합모니터링 ) TrusWatcher Controller ( 본사 Client PC 조치 ) TrusWatcher ZPX ( 지사인터넷구간 ) TrusWatcher ZPX ( 지사인터넷구간 ) 27

29 AhnLab TrusWatcher 구성도 _ 본사 - 지사구간구성 (2) 각구간별 ZPX 구성, 에이전트통합관리 TrusWatcher ZPX ( 지사인터넷구간 ) TrusWatcher ZPX ( 본사인터넷구간 ) TrusWatcher Manager ( 통합모니터링 ) TrusWatcher Controller ( 본 지사 Client PC 조치통합관리 ) TrusWatcher ZPX ( 지사인터넷구간 ) 28

30 AhnLab TrusWatcher 구성도 _ 본사 - 지사구간구성 (3) 본사수집악성파일에대한일괄조치 ( 신뢰조치 ) TrusWatcher ZPX ( 본사인터넷구간 ) TrusWatcher Manager ( 통합모니터링 ) 일괄조치 TrusWatcher Controller ( 본 지사 Client PC 조치통합관리 ) 일괄조치 일괄조치 29

31 AhnLab TrusWatcher 사양 구분 TrusWatcher ZPX 2000 TrusWatcher ZPX 6000 제안성능 2Gbps 급 10Gbps 급 CPU Intel Dual Core2 2.66GHz Intel Nehalem 2.53GHz Memory 8GB 32GB HDD 320GB 1TB 제품사양 제품특징 SSD 128GB 128GB OS 자체 OS 자체 OS Interface( 기본 ) 1G Copper 5EA, 1G Fiber 2EA 1G Copper 2EA(Mgmt) Interface( 옵션 ) 1G Fiber 4EA 1G Copper 8EA / 1G Fiber 8EA 10G Fiber 2EA VM 개수기본 5EA( 최대 ) 기본 5EA, 최대 20EA 주요기술 3 억개이상의 ASD 정보이용 가상머신 (Virtual Machine) 기반의악성파일행위분석 아웃바운드 DDoS 트래픽탐지 구분 TrusWatcher Manager TrusWatcher Controller 제품 ATM ATL APC Appliance 2000 APC Appliance 5000 APC Appliance 주요기능 TrusWatcher ZPX 관리 Anti-Zombie Platform 메인운영 UI 제공 TrusWatcher Agent 관리 ( 최대 2,000 User) TrusWatcher Agent 관리 ( 최대 5,000 User) 다중 ZPX 장비관리다중장비통합모니터링기존 APC Appliance 에추가 License Add-on TrusWatcher Agent 관리 ( 최대 10,000 User) 구분 지원 OS APC Agent Windows NT Workstation 4.0 SP5 / NT Server 4.0 SP5 / Windows 2000 / XP / Vista / 7 / Windows 2000 /2003 / 2008 Server * 64 비트호환모드지원 30

AhnLab TrusWatcher ZPX 성능 TrusWatcher ZPX 6000 의경우 10G 인터페이스사용가능 Avalanche 3100B(10G 계측기 ) 를이용하여 HTTP 프로토콜기반의파일수진트래픽발생 트래픽수집성능및파일수집성능동시계측 o 계측기 : Avalanche 3100B o 테스트장비 : TrusWatcher ZPX 6000, 10G o

32 AhnLab TrusWatcher ZPX 성능 TrusWatcher ZPX 6000 의경우 10G 인터페이스사용가능 Avalanche 3100B(10G 계측기 ) 를이용하여 HTTP 프로토콜기반의파일수진트래픽발생 트래픽수집성능및파일수집성능동시계측 o 계측기 : Avalanche 3100B o 테스트장비 : TrusWatcher ZPX 6000, 10G o 테스트결과 - Avalanche Traffic - HTTP 80 : 50%, HTTP 8080 : 50% - HTTP GET byte 기준 - File 수집은전체트래픽중 HTTP 80 트래픽파일만수집 - File Detection Loss : 0.0 기준 - Transaction/Sec : Traffic : 약 5.3Gbps 처리 31

33 AhnLab TrusWatcher 경쟁제품기능비교 클라이언트 PC 에서악성파일다운로드즉시, 분석 삭제 - 대응 을통한좀비 PC 감염예방 대규모 DDoS 공격대응을통해입증된안랩의좀비 PC 유발악성코드탐지의신속성, 정확성및오진최소화를동일하게제공 제품구성 파일확장자 사전악성파일판단가능여부 사전정상파일판단가능여부 AhnLab FireEye HEZEK TrendMicro WinsTech TrusWatcher ZPX TrusWatcher Manager APC, APC Agent 실행파일외다수 ( 확장자제한없는실행파일기준 ) O (3 억개이상정보 ) O (3 억개이상정보 ) 단일 실행파일, DLL, PDF 등 10 여개 X ( 일부 Bot DNS) 단일 Agent (Option) 실행파일, DLL, XML, HTML 등 40 여개 X TMS Expert (TMSP, TDA, DTAS, TMTM) 실행파일, DLL, XML, HTML 등다수 O (AV Signature 기반 ) Sniper VM Sniper BPS 실행파일 X X X X 악성행위탐지방법 3 억개이상 +650 여개 100 여개 30 여개 Cloud 여개 30 여개 ( 예상 ) 분석클라우드연동 O X X O X 행위기반실행분석 O O O X 폐쇄망사용 O O O X O 분석정확도높음중간낮음높음낮음 오진률낮음중간높음중간높음 이상트래픽탐지 O O O X (BPS 별도 ) 트래픽패턴탐지 O X O O X 악성 URL 접근탐지 O X X O X 파일삭제 O X X O X X 32

34 AhnLab TrusWatcher 경쟁제품기능비교 기존좀비 PC 대응제품또는솔루션의좀비 PC 유발악성파일탐지동작방식 A 사 ( 외산 ) B 사 ( 국산 ) C 사 ( 외산 ) 주요기술 AV 기반파일분석가상분석시스템가상분석시스템 악성판정 수집된 File 을내장된 AV 엔진을통해악성여부판별 만약 AV 에검출되지않을경우해당 File 을 Cloud 센터로분석질의 수집된 File 을별도의가상분석시스템에실행하여악성여부판별 파일분석에대한 Cloud 연계없음 수집된 File 을내장된가상분석 OS 에실행하여악성여부판별 파일분석에대한클라우드연계없음 오진대응책 악성파일에대한 AV 엔진강화 ( 별도정상파일분류없음 ) 별도정상파일분류없음 별도정상파일분석없음 - 기존의좀비 PC 대응제품또는솔루션은 악성판정 에만중점을두기때문에가장중요한오진최소화에맹점이있음 - 악성판별기법도이미국내환경에서발생한악성파일정보미비로인하여대부분 가상분석시스템 으로판별 악성코드분석의한계존재, 분석기술에이용되는정책또한악성코드전문기업보다기술력이낮음 AhnLab TrusWatcher 의적용기술 - 안랩에서사용하는악성코드분석시스템의어플라이언스 (Appliance) 화를통한정확도및오진율극대화 - 자체적으로수집하여유지하는정상 / 악성여부판정 DB(3억개이상 ) 을탑재하여 1차진단 - 만약 1차진단에서알려지지않은신종악성코드일경우탑재된가상분석 OS에실행하여악성여부 2차판별 정상파일에대한오진최소화, 정확한악성판정기술을이용한 1차판단을거친후 2차분석을하므로, 타사대비가장높은진단정확도및오진최소화를제공함 33

35 4. 결론

36 클라이언트 PC 의보안수준확보단계 보안수준확보를위해서는제품설치에서지속적인유지로의인식변화필요 클라우드기반보안위협대응 (ACCESS) 클라이언트 PC 보안위협사전대응 (AhnLab TrusWatcher) 클라이언트 PC 보안수준확인 (AhnLab TrusGuard + APC + V3 : IAC) 클라이언트 PC 보안 (AhnLab V3 + APC) 1단계클라이언트 PC 보안구축 ( 기본조치 ) 2 단계 클라이언트 PC 보안수준확보및유지 3 단계 보안위협사전대응 ( 융 복합보안위협 ) 35

AhnLab TrusWatcher 를통한사전위협대응체계구축 안티바이러스솔루션의한계

이러한과정은수집단계부터 AV 시그니처업데이트배포까지의시간적공백이존재 = 제로데이

제로데이취약점때문에나타나는이른바 Outbreak 시간을최소화하는 Private Cloud

37 AhnLab TrusWatcher 를통한사전위협대응체계구축 안티바이러스솔루션의한계 안티바이러스제품은중앙시스템에서의 AV 시그니처업데이트배포를통해보안수준이유지됨 신종악성코드에대한수집, 분석은중앙시스템에서담당 AV 시그니처업데이트이후고객사환경내에서보안수준을유지, 신종악성코드에대한치료가능 이러한과정은수집단계부터 AV 시그니처업데이트배포까지의시간적공백이존재 = 제로데이 (Zero-Day) 취약점 AhnLab TrusWatcher 의역할 제로데이취약점때문에나타나는이른바 Outbreak 시간을최소화하는 Private Cloud 솔루션 1 중앙시스템에서신종악성코드수집 분석 구축된 TrusWatcher 에서신종악성코드수집 분석 2 중앙시스템에서신종악성코드대응정책배포 구축된 TrusWatcher 에서신종악성파일삭제자체대응 36

보안위협대응및 DDoS 공격에대한전방위대응체계 악성코드분석정보를기반한네트워크위협자동 실시간대응

악성코드정보수집 DDoS 타깃정보수집 대응패턴제작자동배포 적용 DDoS 대응정책적용 대응가이드제공

Anti-DDoS DDoS 탐지인프라 악성코드샘플수집 유포지분석 DDoS C&C 파악 DDoS 대응체계

대응서비스 ( 예경보 / 관제 ) 고객사예경보발령 악성코드, 유포지, C&C 시그니처생성및적용

38 보안위협대응및 DDoS 공격에대한전방위대응체계 악성코드분석정보를기반한네트워크위협자동 실시간대응 안랩종합위협분석체계 (ACCESS) 악성코드정보수집 악성코드분석 ASEC CERT( 보안관제 ) 악성코드정보수집 DDoS 타깃정보수집 대응패턴제작자동배포 적용 DDoS 대응정책적용 대응가이드제공 전용백신배포, 공격원천차단 공격차단 자사제품도입고객 관제서비스고객 TG TG-DPX F/W Anti-DDoS DDoS 탐지인프라 악성코드샘플수집 유포지분석 DDoS C&C 파악 DDoS 대응체계 특정 Target 공격징후파악 DDoS 악성코드입체적분석 2 차 3 차공격유형예측, 대응 DDoS 대응서비스 ( 예경보 / 관제 ) 고객사예경보발령 악성코드, 유포지, C&C 시그니처생성및적용 TrusWatcher 악성코드분석정보기반네트워크대응능력향상으로피해예방, 신속한대응제고 자사네트워크보안장비정책자동화적용으로실시간대응능력향상 37

39 사전대응체계를통한보안위협의가시성확보및대응 불확실성가시성확보차별화된대응 의심파일존재여부파악불가 파일유입시점파악불가 의심파일존재여부실시간파악 파일유입시점실시간파악 확산방지및원인제거등전방위적대응방안제공 파일유입경로파악불가 파일유입경로실시간파악 이상행위분석을통한신속 / 정확한대응 파일행위파악불가 파일다운로드 PC 현황파악불가 파일행위실시간파악 파일다운로드 PC 현황실시간파악 공격시도무산 피해최소화 38

40 5. 운영화면

41 메인 UI 전체관리 PC 중악성파일유입 PC 수를기반으로한현재위험도표현 40

42 메인 UI 악성파일의위험도수준분류및각위험도별상세현황모니터링 41

43 주요 UI 이상트래픽및파일관점의정상 / 악성파일의명확한분석결과모니터링 42

44 주요 UI 악성파일분석결과로그검색및상세로그제공 43

45 주요 UI 상세로그및로그검색기능제공 44

46 주요 UI 상세로그및로그검색기능제공 45

47 주요 UI 수집된파일의추출을통한관리자의추가분석이용가능 46

48 주요 UI 관심목록등록을통한파일상시모니터링및자동 / 수동치료기능제공 47

49 주요 UI 유사시복원기능제공및조치할 PC 의 Agent 설치여부확인기능제공 48

50 주요 UI 다양한유형의보고서제공 49

51 경기도성남시분당구삼평동 673 ( 우 ) 홈페이지 : 대표전화 : 팩스 :

슬라이드 0

슬라이드 0 Next Generation HEZEK 싞종및위, 변조된유해프로그램탐지 / 분석 / 차단시스템 Behavioral Based Malware Detection Technology 제품소개 3.1 HEZEK-NSD 소개및특징 HEZEK-NSD 가상화 (Virtualization) 분석기술 ( 네트워크, 패킷 ) Agent 기술 다수의가상머신을이용한파일분석 패킷수집