Metadefender CORE Metadefender E-mail Metadefender Proxy Metadefender KIOSK OPSWAT Metadefender 글로벌유명멀티안티바이러스스캔엔진 2017. 4
Ⅰ. 최근악성코드피해사례및동향 1. 악성코드사례 2. 악성코드현황 Ⅱ. Metadefender 1. Metadefender core 핵심기술 2. Metadefender 제품소개 3. Metadefender 적용분야 1
Ⅰ. 최근악성코드피해사례및동향 2
최신피해사례 [ 국내 ] 총 PC 3200 대감염 군기관 PC 700 대군인트라넷망 2500 대 군보안의식결여 약 91 만명개인정보유출 회원정보유출로 4000 여명의회원에게협박문자및보이스피싱시도 3
최신피해사례 [ 국내 ] 4
최신피해사례 [ 국내 ] 5
최신피해사례 [ 국내 ] 6
Ransomware 7
최신피해사례 [ 국내 ] MBR [ Master Boot Record ] Blue Screen 정상적인부팅불가능! 플래시제로데이취약점이용 합성음성 8
최신피해사례 [ 국내 ] 메모장바로가기파일로위장해파워쉘로감염 윈도우바로가기 (.LNK) 형태로유포파워쉘프로그램이동작하여록키랜섬웨어다운로드후실행 저가형랜섬웨어사용자계정제어 (UAC) 우회레지스트리수정익명 (Tor) 브라우저사용 9
최신피해사례 [ 국내 ] 한글문서암호화기능및분석방해기능 한국어사용으로사회공학적기법으로이메일을통해유포 난독화코드강화 한글파일을포함하여암호화시스템복원기능무력화 선다운 (Sundown) 익스플로잇킷을이용, 웹을통해유포 한국어안내문제공.sage 확장자추가 10
Target based Attack (APT) 11
최신피해사례 [ 국외 ] 카바나크 (Carbanak) APT 최초악성코드가감염된이메일첨부파일을통해전파 악성코드는내부네트워크를통해빠르게전염 관리자시스템에서스크린샷또는키스트로크로그인정보를수집 해커는은행관리자컴퓨터의악성코드감염을위해은행내일반은행직원컴퓨터에 Carbanak라는악성프로그램을포함하는이메일을보냄 ATM 현금자동화기기를통해현금인출 피해액이 10 억달러에달함 약 2 년간전세계 30 개국 100 여개은행공격 12
최신악성코드동향 탐지 13
최신악성코드동향 악성코드! 탐지? 14
최신악성코드동향 15
최신악성코드동향 16
최신악성코드동향 17
최신악성코드동향 현재까지발생한악성코드총합계는약 6 억개에달하며, 1 일평균신종악성코드의발생건수는약 40 만개이상달한다. Last update : 2017-03-20 Last update : 2017-03-20 600,000,000 12,000,000 12,000,000 / 30 일 = AV-TEST 안티바이러스평가기관 [ http://www.av-test.org ] 약이상발생 [ 1 일평균 ] 18
최신악성코드동향 2017 년현재일일약 40 만개이상의신종및변종악성코드발생? 안티바이러스스캐너 [ A/V Scanner ] 1 일패턴 DB 업데이트개수? 19
최신악성코드동향 A/V 스캐너의 DB 업데이트제작 / 패치속도한계! 1 일 300 개미만! 일일약 40 만개이상의 신종및변종악성코드에대한 업데이트 / 패치제작및대응불가능! 20
최신악성코드동향 100% 안티바이러스의한계점 90% 기업에 탐 지 율 80% 70% 60% 50% 40% 30% 20% 10% A/V #1 탐지범위제한적탐지율낮음! 현재대부분많은기업들이 1 개사안티바이러스엔진만을사용중 위협적인 악성코드들 약 6 억개 [600,000,000] 2017 년 4 월현재 A/V Scanner 안티바이러스엔진 1 개 21
최신악성코드동향 안티바이러스 (A/V) 단한개 22
최신악성코드동향 탐지 차단 23
최신악성코드동향 탐지 How? 24
Ⅱ. Metadefender 25
Metadefender 장점 글로벌유명 Anti-Virus 30 여개를물리적으로통합하여 Multi scanning 및 Data sanitization 에의한악성코드원천유입방지 26
멀티스캐닝장점 단일안티바이러스엔진은완벽하지않음 각엔진별강점과약점을가지고있어, 복수의엔진을사용하면보완효과 복수의엔진을사용하여탐지율을향상 100% Detection Rate AV 2 Detection Rate 27
멀티스캐닝장점 탐지 율 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 탐지율증가! A/V #8 A/V #7 A/V #6 A/V #1 탐지범위보완탐지율증가! A/V #5 A/V #2 A/V #4 A/V #3 기업에 위협적인 악성코드들 약 6 억개 [600,000,000] 2017 년 4 월현재 A/V Scanner 안티바이러스엔진 28
멀티스캐닝장점 좌측도표는 75 개악성코드들에대해 6 개안티바이러스엔진 (AV) 으로악성코드 발생및검출사이의시간을보여줍니다. 다중안티바이러스엔진을이용할경우좀더폭넓고신속하게악성코드들을 탐지할수있습니다. AV 엔진을추가할수록악성코드가탐지되기까지의기간및속도를향상시킬수 있습니다. 바로탐지 5 분에서 5 일이내 5 일이후에도감지못함 29
멀티스캐닝장점 30
알려지지않은위협 31
알려지지않은위협 Last 50 Scan Results 시간의문제 [ENGINES] 악성코드미탐악성코드정상탐지 [SCAN DATE] 분석이필요하며, 백신에탐지되지않는위협들 일부엔진은학습하는데시간이오래걸림 32
알려지지않은위협 ( 위탐지율은 2017 년 3 월 2 일부터 2017 년 4 월 1 일까지 www.metadefender.com 에서수집된 TOP 악성코드를사용하여계산되었습니다.) 적은엔진일수록알려지지않은위협들이더존재함 20 엔진을가지고도알려지지않은위협 100% - 99.67% = 0.33% 33
Data Sanitization 34
데이터살균 물 ( 데이터 ) 을끓여 ( 살균,sanitization) 잠재적위협인세균 ( 위협가능성 ) 을제거하는기술 35
데이터살균 해로운원본파일 위협요소제거 파일형식변환 무해한다른파일 악성코드가실려지거나공격코드가실행되는위협요소를사전에제거. 안전한콘텐츠만파일형식변환을통해제공. 36
데이터살균 파일형식 (File Type) 변환 파일형식을다른안전한파일형식으로변환 37
데이터살균 38
데이터살균 39
데이터살균 40
데이터살균 41
데이터살균 여러파일형식을지원 (17 102 개 ) 문서파일뿐아니라이미지파일형식까지도지원 42
Metadefender Email 43
Metadefender Email 1 단계이메일보안 2 단계이메일보안 Firewall Email Gateway Metadefender Email Server Anti-malware Email Security Endpoint Multi-scanning 높은악성코드탐지율제공 over 30+ anti-malware engines Data Sanitization 데이터살균 [ 파일에삽입된악성코드제거 ] 100+ data sanitization 44
Metadefender Email 45
Metadefender Email 문서파일기반의악성코드위협증가 문서파일내잠재된위협제거 ( e.g. scripts and macros) 문서재구성 17 종류원본형식을 100 개이상의변환형식으로변경 (.hwp 지원 ) 46
Metadefender Email Email Protection Email Security Appliance Ex Series Triton AP-Email Messaging Gateway Email Security Gateway Email Appliance Secure Email Gateway Gateway 47
Metadefender Email Terrace Mail Suite Suite Spam Email Gateway Spam Email Emil Gateway Secure Email Gateway McAfee Email Gateway Spam Email Gateway Spam Email Gateway Gateway Secure Email Gateway Gateway 48
Metadefender Email On-Premises Cloud & Hosted On-Premises Cloud & Hosted 49
Metadefender Email Users Internet Firewall Email Gateway Metadefender Email Security Mail server Users Users 50
Metadefender Email Users Internet Firewall Metadefender Email Security Microsoft Exchange server Users Users 51
Metadefender Email Users Users Internet MX Record Metadefender Email Security Cloud & Hosted email solution Users Hosting options: Amazon Web Services Your Data Center Hosting Service Provider Users Users 52
Metadefender Proxy 53
Metadefender Proxy ICAP 프로토콜이란? ICAP(Internet Content Adaptation Protocol) ICAP 프로토콜은원격에서 HTTP 메시지를전송하여원격프로시저를호출하기위해 개발된프로토콜로최근보안솔루션들이웹보안을위해 ICAP 프로토콜을지향하고있음 최근다양한벤더사의웹프록시제품들이 ICAP 프로토콜을기본적으로지원 54
Metadefender Proxy 웹프록시연동 : 웹프록시를이용하는모든사용자의다운로드행위를검사하고위협이 발견된다운로드를차단하여회사네트워크내악성코드가유입되는 것을차단합니다. 역방향프록시연동 : 악성코드가기업내웹서버에업로드되는것을차단합니다. 55
Metadefender Proxy [ 사용자웹보안 ] 56
Metadefender Proxy [ 웹서버보안 ] 57
Metadefender Proxy BlueCoat Proxy SG + Joe Sandbox 연동 F5 BIG-IP + Joe Sandbox 연동 58
Metadefender Proxy 59
Metadefender Proxy 웹프록시와 Metadefender 연동시 ICAP 프로토콜을통해 악성파일다운로드 / 업로드시파일차단 60
Metadefender Proxy ICAP 프로토콜을지원하는웹프록시제품들은전부연동이가능합니다 Squid Proxy BlueCoat ProxySG F5 BIG IP ARA network JAGUAR5000 McAfee Web Gateway 61
Metadefender Kiosk 62
Metadefender KIOSK Metadefender Kiosk 기업내직원또는방문객의휴대용미디어내에포함된위협을탐지및식별하여금지된파일차단및허용된파일만유입되도록통제하는솔루션입니다. 특징 Metadefender Core 연동 ( 저장매체내악성코드검사 ) 데이터살균 [ Data Sanitization (CDR) ] 아카이브파일검사 설치파일, 업데이트파일설치전사전스캔 Data Diode와연동지원 SFT 와의연동지원 Metadefender Kiosk 63
Metadefender KIOSK Metadefender Kiosk + Data Diode + SFT 통합구성도 64
Metadefender KIOSK 65
Metadefender KIOSK 66
Metadefender KIOSK 67
Metadefender KIOSK 68
Metadefender KIOSK 69
Metadefender KIOSK Data Diode Cross Domain Solution(CDS) 라고도불리는데이터다이 오드는낮은보안네트워크 ( 예 : 인터넷망 ) 와높은 보안 네트워크 ( 예 : 내부 업무망 ) 간에 안전한 데이터 전송을 제공하는데사용 특징 네트워크에단방향 (Simplex) 트래픽제공 종류에따라특정신뢰할수있는통신허용 안티바이러스와연동을통해전송전트래픽내악성컨텐츠식별가능 70
Metadefender KIOSK Air-Gap 공극, 공기벽등의뜻을가지며, 서로분리된비보안네트워크에서보안네트워크로데이터를물리적으로이동될때의간극 Air-Gap + Data Diode 효율성이낮은 Air-Gap 네트워크에서 Data Diode를통한효율적인데이터전송지원 Metadefender Core와의연동을통해데이터보안네트워크로전송되는트래픽내악성컨텐츠식별 OPSWAT SFT(Secure File Transfer) 와의연동지원 71
Metadefender KIOSK SFT(Secure File Transfer) Metadefender의 SFT는보안네트워크와안전하게데이터를주고받는일종의 Secure File Storage를제공한다. 특징 Data Diode를통해데이터송신지원 KIOSK와의계정연동기능제공 조직내직원및 Guest 계정생성제공 Metadefender Core와연동기능제공 Secure File Storage 내 Workflow Profile 사용지원 데이터살균기능지원 72
Metadefender KIOSK Data Diode 에서안전한데이터수신 스캔파일들에대한로그관리 SFT 내 Workflow 적용 73
Metadefender KIOSK Air-Gap + Data Diode 와연동을통한 Kiosk 구성 외부네트워크 에어갭네트워크 74
Metadefender KIOSK Air-Gap + Data Diode 와연동을통한 Kiosk 구성 외부네트워크 에어갭네트워크 다양한이동식미디어유입 75
Metadefender KIOSK Air-Gap + Data Diode 와연동을통한 Kiosk 구성 외부네트워크 에어갭네트워크 Kiosk + Core 에서이동식미디어내악성코드탐지및데이터살균진행 76
Metadefender KIOSK Air-Gap + Data Diode 와연동을통한 Kiosk 구성 외부네트워크 에어갭네트워크 허용된파일만 Data Diode 를통하여안전하게단방향데이터전송진행 77
Metadefender KIOSK Air-Gap + Data Diode 와연동을통한 Kiosk 구성 외부네트워크 에어갭네트워크 SFT 를통하여 Data Diode 를통해전송되는허용되는파일수신 78
Metadefender KIOSK United States Nuclear Industry 핵발전소 Oil and Gas 정유시설 Government 정부기관 Manufacturing 제조업 79
Metadefender KIOSK 80
Metadefender Core 81
Using Metadefender Core 악성코드탐지 멀티안티바이러스스캔엔진을이용한높은탐지율로악성코드탐지 새롭게유입되는파일을분석하여위협여부를탐색 의심스러운파일분석분석 Metadefender Core 침해사고조사 침해사고발생시현재동작중인프로세스를스캔 가상파일시스템을 (.vmdk 지원 ) 분석하여악성코드를탐지 가상파일시스템탐지 보안시스템연동 각종보안시스템과연동하여악성코드를탐지후보안시스템에전송 82
Using Metadefender Core 외부연계망 인터넷망 DMZ 망 폐쇄망 내부사설망 ICS & SCADA 망 83
Using Metadefender Core ICS & SCADA 폐쇄망 각종발전소, 에너지회사철도, 교통, 정수, 항공, 은행기타금융등다수기업및기관에서사용중입니다. 정확한고객사정보는별도로요청하시기바랍니다. 84
Using Metadefender Core 경찰청, 사이버테러대응센터, 검찰 ( 대검찰청 ), KISA, 네이버, 군특수기관등기타주요국가기관에검증되어운영중 기타주요국가기관 85
Using Metadefender Core 옵스왓 (OPSWAT) 제품고객및사용레퍼런스 86
Using Metadefender Core Metadefender Core Package & Custom Engines For Windows For Linux Windows Custom Engines 87
CONTACT US INSEC Security Email: insec@insec.co.kr Phone: 02-863-5687 홈페이지 : www.insec.co.kr 88