지능형위협대응솔루션 차별적인위협가시성제공 네트워크와엔드포인트레벨의유기적대응 탐지 분석 모니터링 대응 제품개요 (Malware Defense System) 는차별적인위협가시성기반의지능형위협 (APT, Advanced Persistent Threat) 대응솔루션입니다. 신종악성코드및익스플로잇 (exploit) 에대한 탐지 - 분석 - 모니터 링 - 대응 프로세스를통해타깃공격을비롯한 APT 공격, 랜섬웨어공격에효과적으로대응합니다. 대응 탐지 정보유출 내부전파 잠복 Advanced Persistent Threat 2 차감염 사전조사 C&C 접속 침입 감염 차세대위협대응의모든것,! 직관적인대시보드, 차별적인위협가시성 신속한신변종및숨겨진공격탐지 머신러닝등독보적인위협분석기술다수적용 네트워크트래픽실시간분석및대응 엔드포인트기반의즉각적인조치및대응 모니터링 분석 왜 지능형위협 인가? 최근발생하는타깃공격과지능형위협은각종은닉기법과사회공학적공격등을이용해기존보안솔 루션을우회하고있습니다. 따라서기존보안솔루션만으로나날이고도화되는최신공격에대응하기에 는한계가있습니다. 알려지지않은악성코드탐지불가 파일기반분석이필요한악성코드탐지불가 허용된주소를통한악성코드유입차단불가 IPS/IDS Switch Firewall 탈취한계정 시스템을통한중요정보 시스템접근탐지불가 Internet Router [ 기존보안솔루션의지능형위협대응한계 ]
특장점 안랩의독자적인지능형위협분석노하우가집약된 는탐지부터분석, 모니터링, 네트워크-엔드포인트대응의워크플로우를기반으로효과적인지능형위협대응에기여합니다. 의독보적인위협대응프로세스를통해알려지지않은 (unknown) 위협, APT 및다양한경로를이용한고도화된공격을조기에탐지및대응할수있습니다. 네트워크및엔드포인트레벨위협탐지 웹, 이메일, 파일전송 (FTP/SMB/CIFS/NFS) 을통해유입 / 전파되는위협탐지 실행및비실행형파일, 웹오브젝트, 안드로이드앱 (app) 파일추출 암호화채널을통해유입 / 전파되는의심스러운파일의실행보류후수집 독자적인머신러닝기술을활용한의심파일추출 멀티엔진기반의위협분석 시그니처, 평판, 비시그니처 (signature-less) 등멀티엔진기반의위협분석 정적 (static) 분석및동적 (dynamic) 분석기술이융합된하이브리드분석제공 취약점공격 (exploit) 을이용한문서형악성코드탐지에최적화된독자적인 동적콘텐츠분석 기술적용 신종악성코드분석에최적화된 Windows 가상 OS 환경제공 Manager를통한행위분석결과및클라우드기반행위분석정보공유기능 실시간위협모니터링 모든탐지및분석대상의악성여부에대한명확한가시성제공 신종악성코드및의심파일 / 이벤트에대한선별적모니터링가능 관심이벤트 ( 파일, IP, 도메인 ) 에대한집중모니터링기능제공 인사 DB 연동을통해호스트시스템의탐지및대응정보에대한가시성제공 네트워크및에이전트기반위협대응 C&C 통신차단및악성코드유포 배포사이트접속차단 PC의비정상실행프로세스차단및의심파일실행보류기능 탐지된신종악성코드에대한즉각적인제거및해당 PC 격리기능제공 V3 Internet Security/Endpoint Security 9.0과통합설치본형태의에이전트제공가능 는네트워크레벨에서엔드포인트레벨까지지능형위협이유입될수있는모든경로를능동적으로탐지합니다. 특히다양한암호화채널을통해유입되는의심스러운파일은엔드포인트레벨에서에이전트를통한 실행보류 (Execution Holding) 후수집 분석을진행함으로써잠재적인위협까지탐지합니다. 일반통신채널 실행형파일 웹 이메일파일전송 ( 첨부파일 / 본문 URL) (FTP, SMB/CIFS) 비실행형파일 파일공유폴더 (SMB/CIFS, NFS) 이동형미디어 (USB, CD) 웹오브젝트 암호화통신채널 문서형파일 SSL/TLS S/MIME, PGP SSH/SFTP 모바일앱 ( 안드로이드 ) 해커제작암호화프로토콜 암호설정파일
는정적 (static) 및동적 (dynamic) 악성코드분석기술과노하우가융합된하이브리드분석기술을통해알려지지않은신종위협까지정확하게탐지합니다. 독보적인 메모리분석기반의익스플로잇 (exploit) 탐지기술 이적용된 는악의적인행위의종류나행위발생여부와관계없이악성코드를정확하게탐지해제로데이공격은물론, 샌드박스분석을우회하는악성코드에대한분석이가능합니다. 익스플로잇 (exploit) 악성코드실행전 악성코드실행 악성 의심행위발생 Pre-exploitation 익스플로잇실행전단계 Exploitation 익스플로잇단계 Post-exploitation 익스플로잇완료단계 동적콘텐츠분석 동적행위분석 가상머신 악성 메모리분석 어셈블리코드분석 쉘코드분석 메모리구조가시화 레지스트리 네트워크 의심 파일 프로세스 API 정상 리버스엔지니어링기법의메모리분석 상세메모리덤프및어셈블리코드분석 쉘코드의익스플로잇 (exploit) 여부와상관없이악성판정가능 행위발생여부와상관없이탐지가능 파일, 프로세스, 레지스트리, 네트워크, API 등 OS 행위분석 개별행위객체에대한평판지수반영 행위간상관분석을통해숨겨진의도까지정확하게파악가능 는위협의종류, 유입경로, 확산정도및분석현황등에대해직관적이고차별적인위협가시성을제공합니다. 위협의종류, 행위및공격단계에따라대응및조치방안을제시하며, 동적콘텐트분석 (DICA) 을통해어셈블리코드및메모리분석에관한상세하고직관적인리포트를제공해효율적인위협대응및관리에기여합니다. 대시보드 ( 위협추이 )
는에이전트설치여부와관계없이네트워크기반의대응이가능합니다. 또한네트워크레벨뿐만아니라엔드포인트레벨에서의능동적인대응을위해제공되는전용에이전트를통해신종악성코드삭제및의심스러운실행형파일에대한 실행보류 (Execution Holding, EH) 기능을이용할수있습니다. 에이전트는기존에설치된안티바이러스솔루션 (AV, 백신 ) 과충돌없이동시에설치가가능합니다. 네트워크기반대응 네트워크이상트래픽차단 Reset Internet Reset 사용자 C&C 서버 Mal-site 사용자 IP 외부 IP 리셋 (reset) 패킷전송 악성메일격리 (*MTA 라이선스적용방식 ) (MTA 라이선스적용 ) 공격자 스팸차단시스템신종악성코드및메일서버메일수신자의심 URL이포함된이메일 내부격리공간 엔드포인트기반대응 호스트격리 / 악성코드삭제기능실행보류기능파일업로드분석기능 1 1 1 암호화트래픽 2 2 5 2 6 4 4 4 5 3 5 3 EH 6 3 EH 7 agent 1. 악성코드다운로드 2. 트래픽미러링및분석시작 3. 악성코드의 PC 유입 / 저장 4. 분석완료및 신종 악성코드판정 5. 호스트격리및악성코드삭제 agent 1. 악성코드다운로드 2. 트래픽미러링및분석시작 3. 악성코드의 PC 유입 / 저장 4. 실행보류 (EH) 동작및분석여부확인 5. 분석완료및 신종 악성코드판정 6. 호스트격리및악성코드삭제 agent 1. 악성코드다운로드 ( 암호화트래픽 ) 2. 트래픽미러링 - 단, 분석불가능 3. 악성코드의 PC 유입 / 저장 4. 실행보류 (EH) 동작및분석여부확인 5. 해당파일을 로전송후분석 6. 분석완료및 신종 악성코드판정 7. 호스트격리및악성코드삭제
차별적인대응체계 는네트워크로유입되는위협의최초감염단계부터감염이후 C&C 서버와의통신을통 한 2 차감염, 내부전파 ( 확산 ), 정보유출등악의적인행위, 잠복단계까지 지능형위협의라이프사이 클 을중심으로위협에대한가시성과실질적인대응체계를제공합니다. 네트워크 (Network Layer) 웹이메일파일전송파일공유 C&C C&C 통신차단 악성코드유포지차단 네트워크포렌식연동 위협유입 명령전달 2 차감염 정보유출 명령대기 동적행위분석 엔드포인트 (Endpoint Layer) 악성행위 C&C 통신 정보유출 신종위협분석 동적콘텐츠분석 호스트격리및악성코드삭제 실행보류및상세분석 포렌식분석을통한의심파일추출 agent 솔루션구성예시 지능형위협에대한 체계를제공하는 는기업의환경및도입 목적에따라기본형, 통합형, 또는단독조합형등다양하고유연한방식으로구축할수있습니다. Internet Manager (Data Viewer) 모니터링및로그관리 로그전송 명령송 수신 Manager (Host Controller) 탐지 / 분석 트래픽미러링 에이전트관리및조치 명령송신 Agent
제품사양 구분 4000 8000 10000 제안성능 동적분석건수 35,000 건 /1 일 90,000 건 /1 일 200,000 건 /1 일 관리에이전트 700 개 2,000 개 5,000 개 트래픽처리 800Mbps 1.5Gbps 4Gbps HDD 1TB x 2ea. 1TB x 4ea. 1TB x 8ea. RAID RAID 1 RAID 10 RAID 10 인터페이스 1G Copper * 4 ea. 1G/10G Fiber * 4 ea. 1G Copper * 4 ea. 1G/10G Fiber * 4 ea. 1G Copper * 2 ea. 1G/10G Copper * 4 ea. 1G/10G Fiber * 6 ea. 전원 550W Redundant Power (dual) 550W Redundant Power (dual) 750W Redundant Power (dual) 랙마운트 1U, 19 inch 1U, 19 inch 2U, 19 inch 사이즈 (WxDxH, mm) 482.4 x 676.9 x 42.8 482.4 x 676.9 x 42.8 482.4 x 723.0 x 87.3 에이전트추가시 Manager 추가필요 에이전트사용환경 구분 운영체제 (OS) Client PC Windows XP SP3 이상 / 7 / 8(8.1) / 10 Server Windows Server 2003 SP2 이상 / 2008 / 2012 / 2016 상기 OS 의 32/64 bit 지원 Manager 관리에이전트 구분 Manager 5000AR Manager 10000AR 통합형 (DV + HC) 2,000 개 5,000 개 단독형 (Host Controller 전용 ) 5,000 개 10,000 개 HDD 1TB x 2ea., 2TB x 2ea. 2TB x 2ea., 4TB x 2ea. RAID RAID 1 RAID 1 인터페이스 2 x 1GbE Ports(Copper) 2 x 1GbE Ports(Copper) 전원 500W Redundant Power 740W Redundant Power 랙마운트 1U, 19 inch 2U, 19 inch 사이즈 (WxDxH, mm) 437 x 508 x 43 427 x 648 x 89 구축가능조합 Host Controller + Data Viewer Data Viewer Host Controller DV(Data Viewer): 통합모니터링및로그관리기능 HC(Host Controller): 에이전트관리및조치기능 각장비의성능수치는고객사환경및설정에따라다소의차이가있을수있습니다. 경기도성남시분당구판교역로 220 ( 우 )13493 홈페이지 : www.ahnlab.com 대표전화 : 031-722-8000 팩스 : 031-722-8901 2018, Inc. All rights reserved.