기존보안솔루션의한계 최근발생하는타깃공격과위협은각종은닉기법과사회공학적공격을이용해기존보안솔루션을우회하는특징이있습니다. 그래서기존보안솔루션만으로는이렇게고도화된최신공격을대응하기에는한계가있습니다. 알려지지않은악성코드탐지불가 파일기반분석이필요한악성코드탐지불가 허용된주소를통한악성코

Size: px

Start display at page:

Download "기존보안솔루션의한계 최근발생하는타깃공격과위협은각종은닉기법과사회공학적공격을이용해기존보안솔루션을우회하는특징이있습니다. 그래서기존보안솔루션만으로는이렇게고도화된최신공격을대응하기에는한계가있습니다. 알려지지않은악성코드탐지불가 파일기반분석이필요한악성코드탐지불가 허용된주소를통한악성코"

원석 태
7 years ago
Views:

1 APT 사전대응솔루션 AhnLab APT 공격에이용되는악성코드탐지 감염의심호스트판단및신속치료 탐지분석모니터링치료보고서 제품개요 AhnLab ( 이하트러스와처 ) 는지능형지속보안위협인 APT(Advanced Persistent Threat) 와같 이진화하는최신보안위협을네트워크레벨에서탐지하고전용에이전트를통해실시간대응하는 APT 사전 대응솔루션입니다. 멀티엔진 분석 악성코드분석 APX 네트워크및 엔드포인트레벨 악성코드탐지 탐지 AhnLab 대응 네트워크및 에이전트기반차단 ZPX 네트워크및엔드포인트레벨악성코드탐지 네트워크트래픽을통해유입 / 유출되는모든파일추출 이상트래픽분석및추출된파일연계분석 실행보류로차단된 PC내실행형파일에대한분석가능 TrusAnalyzer 멀티엔진악성코드분석 다차원분석기술이적용해차세대행위분석엔진탑재 비실행형 (non-pe) 악성코드탐지전용동적콘텐트분석엔진탑재 신종악성코드분석에최적화된가상 OS 환경제공 (Win XP, Win 7) Agent 네트워크및에이전트기반차단 전용에이전트를통한즉각적인악성코드제거 PC내악성도가확인되지않은파일의실행보류기능제공 네트워크기반 C&C 통신차단및악성코드유포 배포사이트접속차단

2 기존보안솔루션의한계 최근발생하는타깃공격과위협은각종은닉기법과사회공학적공격을이용해기존보안솔루션을우회하는특징이있습니다. 그래서기존보안솔루션만으로는이렇게고도화된최신공격을대응하기에는한계가있습니다. 알려지지않은악성코드탐지불가 파일기반분석이필요한악성코드탐지불가 허용된주소를통한악성코드유입차단불가 Switch IPS/IDS Firewall 탈취한계정 시스템을통한중요정보 시스템접근탐지불가 Internet Router 특장점 안랩트러스와처는다차원분석기술, 비실행형악성코드탐지기술, 클라우드기반 ASD 인프라등안랩만의독보적인악성코드분석노하우가반영된 APT 사전대응보안솔루션입니다. 행위기반신종악성코드탐지 가상머신기반의여러악성코드분석엔진을사용해탐지신뢰도향상 행위분석엔진및능동적콘텐트분석엔진탑재 비실행형 (non-pe) 신종악성코드탐지 MS office 제품군, pdf, 한글 (hwp) 등 non-pe 악성코드탐지에최적화된엔진탑재 정적 (static) 및동적 (dynamic) 악성코드분석노하우가반영된특허기술채용 오탐지최소화 악성파일뿐만아니라정상파일에대한판단기능탑재 알려진정상파일의사전분류를통한여타행위기반검사의오진한계극복 네트워크파일 연계분석 네트워크기반이상트래픽분석및추출된파일분석연계분석 클라우드기반 ASD 인프라를통한실시간보안위협공유 적극적인대응기능 전용에이전트를통한즉각적인악성코드제거 파일수집 분석 실시간모니터링 악성파일제거 의종합적인프로세스확립 관리구축 비용효용성 단일장비로웹 (HTTP), 이메일 (SMTP/POP3/IMAP), 파일공유 (SMB/FTP) 로 유입되는악성코드탐지 다양한 NIC 옵션제공및다중회선에대한동시모니터링가능

3 경쟁력 - 비실행형악성코드탐지 안랩트러스와처는안랩의독자적인기술로개발한동적지능형콘텐트분석엔진 (DICA, Dynamic Intelligence Content Analysis) 을탑재하고있습니다. DICA는 MS 오피스, pdf, 한글과같은비실행형 (non- PE) 악성코드탐지엔진으로, 이미알려진애플리케이션취약점을이용한 Non-PE 악성코드뿐만아니라, 알려지지않은 Non-PE 악성코드감지도가능합니다. 또한 ROP 공격기법을사용하는비실행형악성코드까지탐지하는 anti-rop 기술이포함되어있습니다. Dynamic Intelligence Content Analysis DLL exe exe DLL exe Shellcode analysis DLL ROP * ROP : Return-Oriented Programming 경쟁력 - 다차원분석 안랩트러스와처는다차원분석기술을이용해신종악성코드탐지율을극대화하였습니다. 안랩의다차원분석기술은파일레벨의클라우드, 시그니처, 평판, 행위, 파일간연관관계분석정보외에네트워크레벨의 URL/IP 악성분석및평판분석정보를다차원적으로판단하여악의적인행위를보이는신종악성코드를탐지하는기술입니다. 클라우드탐지 행위기반탐지 평판기반탐지 시그니처탐지 안랩의다차원분석기술 URL/IP 탐지 연관관계분석

4 경쟁력 - 전용에이전트 안랩트러스와처는전용에이전트를이용해탐지된악성코드를다운로드한호스트에대한자동 / 수동삭제를통한조치를수행합니다. 또한악성도가확인되지않은파일의실행을보류시키는실행보류 (execution holding) 기능을제공함으로써, SSL과같은암호화트래픽을통해유입되거나 USB 및내부망등을통해엔드포인트로직접유입되는신종악성코드도분석 차단가능합니다. 1. 기본삭제기능 2. 실행보류기능 3. 파일업로드분석기능 암호화트래픽 APX APX APX EH 6 3 EH 7 agent agent agent 1. 악성코드다운로드 2. 트래픽미러링 & 분석시작 3. 악성코드의 PC내저장 4. 분석완료및 신종 악성코드판정 5. 신종 악성코드삭제명령수행 1. 악성코드다운로드 2. 트래픽미러링 & 분석시작 3. 악성코드의 PC내저장및실행 4. 실행보류동작및분석여부확인 5. 분석완료및 신종 악성코드판정 6. 신종 악성코드삭제명령수행 1. 악성코드다운로드 ( 암호화트래픽 ) 2. 트래픽미러링 but 분석불가능 3. 악성코드의 PC내저장및실행 4. 실행보류동작및분석여부확인 5. 해당파일을 APX로전송후분석 6. 분석완료및 신종 악성코드판정 7. 신종 악성코드삭제명령수행 경쟁력 - NSS Labs 인증 안랩트러스와처가 2013년 7월 NSS Labs에서발표한정보유출진단제품분석 [Breach Detection System Product Analysis] 테스트에서높은점수를기록하여 NSS 인증을획득했습니다. Throughput 1,000Mbps Breach Detection 94.7% Stability and Reliability PASS * 이번테스트에서 NSS 의달성목표값이 1Gbps 가최고여서, 그이상은측정하지않음 안랩트러스와처는이번테스트에서 1,000 Mbps의 Throughput, 94.7% 의정보유출방지및진단율을기록했다. 또한 Stability and Reliability 측정을위한테스트에서도모든항목을통과했다. NSS Labs (www. nsslabs.com) NSS Lab은세계적으로인정받는정보보안연구및자문기관으로, 많은기업의 CEO, CIO, CISO 그리고정보보안전문가에게신뢰할수있는테스트결과를제공하고있습니다.

5 제품주요기능 안랩트러스와처는악성코드및이상트래픽을탐지하는 ZPX, 통합모니터링및로그관리시스 템 TrusAnalyzer, 치료및에이전트관리시스템 와 Agent 로구성되어 있습니다. 악성코드및이상트래픽탐지시스템 ZPX 주요인터넷서비스프로토콜수집및분석 (HTTP, SMTP, FTP, SMB 등 ) 파일유입및유출에대한양방향트래픽모니터링 복수의악성코드분석엔진사용을통한탐지신뢰도향상 가상머신기반분석을통한신종악성코드분석 (Win XP 및 Win 7 제공 ) 비실행형 (non-pe) 악성코드전용엔진탑재 (MS 오피스군, pdf, 한글등 ) 악성코드감염 PC에의한유해사이트접근 C&C 통신탐지및차단 악성코드감염 PC에의한 DDoS 공격트래픽탐지 다양한네트워크인터페이스옵션지원 (1G copper/fiber 및 10G fiber) 통합모니터링및로그관리시스템 TrusAnalyzer 대시보드를통한보안현황및주요이벤트정보제공 실시간악성코드유입현황및이상트래픽발생여부확인 악성으로판단된파일에대한자동 수동치료명령제공 악성파일및이상트래픽탐지호스트에대한 의심파일추출 명령제공 이벤트종류, IP 주소, 대응결과, 파일이름등에대한상세로그제공 탐지된파일에대한다운로드기능제공 VM 분석과정및 C&C 탐지내역에대한 PCAP 기반패킷캡처및 PCAP 파일다운로드기능제공 서드파티보안관리시스템 (SIEM, ESM) 연동을위한 syslog 포워딩기능 치료및에이전트관리시스템 콘트롤러를통한에이전트의기능및패치업데이트기능 에이전트수의증감에유연하게대응할수있는서버팜형태의확장기능 TrusWacher ZPX/APX와연계하여에이전트미설치호스트에자동배포 TrusAnalyzer 분석결과에따른명령전달 대량의 에이전트에대한효율적인로드밸런싱관리 전용에이전트 Agent 탐지된악성코드감염의심호스트에대해서악성코드치료기능 ( 자동 / 수동 ) 악성코드감염의심호스트에대한 의심파일추출 기능 악성코드분석중인실행형 (PE) 파일에대한 실행보류 (execution holding) 기능 암호화트래픽 (SSL 등 ), USB 및내부망을통해유입된파일의 ZPX/APX 전송후분석기능 유사시삭제된파일에대한복원기능 개별 전체호스트에대한공지사항기능 에이전트는설치후재부팅없는정상동작기능 고객별제품구성 안랩트러스와처는고객사환경에따라탐지장비 ( ZPX), 치료장비 (), 로 그장비 (TrusAnalyer) 로유연하게구성할수있습니다. 또한탐지 치료 로그기능이하나의장비에구현된일 체형 (all-in-one) 장비형태로도제공이가능합니다. 소규모 지사 (SOHO) 중견기업 (SMB) 대기업 (Enterprise) APX ( 탐지 + 치료 + 모니터링 로그 ) ZPX ( 탐지 ) ZPX ( 탐지 ) (with TrusAnalyzer license) ( 치료 + 모니터링 로그 ) ( 치료 ) Analyzer ( 모니터링 로그 )

6 제품사양 ZPX/APX 구분 ZPX 2000 ZPX 6000 APX 2000 제안성능 1Gbps급 3Gbps급 1Gbps급 CPU Intel Quad Core 2.66GHz Intel Nehalem 2.53GHz x 2EA Intel Xeon 3.4GHz Memory 8GB(4GB x 2EA) 32GB(8GB x 4EA) 16GB(4GB x 4EA) HDD 500GB 1TB 1TB SDD 256GB 512GB 256GB Interface( 기본 ) 1G Copper x 5EA 1G Fiber x 2EA 1G Copper x 2EA 1G Fiber x 8EA 1G Copper x 5EA 1G Copper/Fiber x 4EA Interface( 옵션 ) 1G Fiber x 4EA 1G Copper x 8EA 10G Fiber x 2EA - 전원이중화지원지원지원 TrusAnalyzer 구분 TrusAnalyzer 2000 TrusAnalyzer 5000(R) TrusAnalyzer 10000R 제안성능 SMB (10,000MPS) Middle (25,000MPS) High-End (50,000MPS) CPU Intel i3-2100(3.1ghz) Intel Xeon E3-1230(3.2GHz) Intel Xeon E3-1270(3.4GHz) Memory 4GB(2GB x 2EA) 8GB(2GB x 4EA) 16GB(4GB x 4EA) HDD 500GB 1TB(500GB x 2EA) 4TB(1TB x 4) HDD Bay 총 2개 총 4개 총 12개 RAID 미지원 옵션지원 (RAID 5) 기본지원 (RAID 5) Interface 1G Copper x 2EA 1G Copper x 2EA 1G Copper x 2EA 구분 (R) 10000R 제안노드수 2,000 대 5,000 대 10,000 대 CPU Intel i3-2100(3.1ghz) Intel Xeon E3-1230(3.2GHz) Intel Xeon E3-1270(3.4GHz) Memory 4GB(2GB x 2EA) 8GB(2GB x 4EA) 16GB(4GB x 4EA) HDD 500GB 1TB(500GB x 2EA) 4TB(1TB x 4) RAID 미지원 옵션지원 (RAID 5) 기본지원 (RAID 5) Interface 1G Copper x 2EA 1G Copper x 2EA 1G Copper x 2EA Agent 구분 시스템요구사항 지원 OS Client PC OS : Windows 2000 / XP / Vista / 7 / 8 Server OS : Windows Server 2000 / 2003 / /64 bit 지원 경기도성남시분당구판교역로 220 ( 우 ) 홈페이지 : 대표전화 : 팩스 : 전용상담전화 : AhnLab, Inc. All rights reserved.

지능형위협대응솔루션 차별적인위협가시성제공 네트워크와엔드포인트레벨의유기적대응 탐지 분석 모니터링 대응 제품개요 AhnLab MDS(Malware Defense System) 는차별적인위협가시성기반의지능형위협 (APT, Advanced Persistent Threat) 대

지능형위협대응솔루션 차별적인위협가시성제공 네트워크와엔드포인트레벨의유기적대응 탐지 분석 모니터링 대응 제품개요 (Malware Defense System) 는차별적인위협가시성기반의지능형위협 (APT, Advanced Persistent Threat) 대응솔루션입니다. 신종악성코드및익스플로잇 (exploit) 에대한 탐지 - 분석 - 모니터 링 - 대응 프로세스를통해타깃공격을비롯한