Advanced Threat Protection DR151026D 2015년 12월 Miercom

Advanced Threat Protection DR151026D 2015년 12월 Miercom www.miercom.com

목차요약...3 개요...4 조사방법론...5 결과요약... 10 테스트공정성고지... 14 Miercom 소개... 14 본리포트사용... 14 Symantec ATP 2 DR151026D

요약 Miercom은독립적이고객관적인방식으로 Symantec Advanced Threat Protection Appliance를 Cisco SourceFire 및 FireEye 1310 제품과함께검증했습니다. 보안실효성테스트에서는레거시보안위협, AET( 고급회피기술 ), APT( 지능형지속위협 ), 봇넷, RAT, 활성보안위협, 악성문서등다양한악성코드위협을탐지하고차단하는것을검증했습니다. Symantec ATP 솔루션은이렇듯각기다른유형의악성코드위협을탐지할수있음을입증했습니다. 경쟁벤더제품과의비교에서 Symantec ATP 솔루션은다른두경쟁솔루션보다 18% 이상우수한성능을발휘했고 7개악성코드카테고리중 6개에서평균을훨씬웃도는강력한보호기능을입증했습니다. 주요내용 Symantec ATP의악성코드탐지율이경쟁제품보다 18.5% 더높았습니다. 지금까지등장한보안위협중가장복잡한유형인 AET( 고급회피기술 ) 를대상으로 100% 의탐지율을기록했는데, 이는경쟁벤더보다 95% 더많은 AET( 고급회피기술 ) 를찾아낸것입니다. 또한리포팅콘솔에타임라인뷰가있어간편하게날짜별또는카테고리별로악성코드이벤트를추적할수있습니다. Symantec ATP 솔루션은악성코드탐지, 특히가장보편적인악성코드뿐아니라 알려지지않은보안위협까지효과적으로탐지하여제거하는기능에서만족스러운성능을 보여주었습니다. Robert Smithers CEO Miercom Symantec ATP 3 DR151026D

개요 오늘날의보안문제중상당수는악성코드가왜그리고어떻게보안방어체계를통과하는지와관련이있습니다. 그러한이유중하나로악성코드컨텐트의상당수는시그니처기반안티바이러스및보안게이트웨이 / 방화벽기술을회피하기위해끊임없이변화합니다. 본리포트는 Symantec ATP 솔루션이현재활동중인가장정교한악성코드를어떻게처리하는지소개합니다. 이문서의내용은경쟁제품인 Symantec ATP, Cisco SourceFire Intrusion Prevention System, FireEye Security Appliance의탐지레벨을여러카테고리에서비교한결과를정리한것입니다. Symantec ATP 이네트워크보안솔루션은하드웨어어플라이언스를사용하거나이번테스트와같이가상환경에서 VMware ESXi 5.5를사용하여구축할수있습니다. 엔터프라이즈환경에서신속하게구축되며아래와같은독점툴을활용하여활성상태의보안위협을차단합니다. Symantec Cynic - 멀티레이어검사기능을통해잠재적인악성파일을실행하면서지능형보안위협및제로데이익스플로잇을탐지하는악성코드분석서비스입니다. Symantec Insight - 파일의기록및유포수준에따라의심스러운파일을식별하는평판기반기술입니다. Symantec Vantage - 네트워크트래픽을검사하여익스플로잇, 악성파일, 네트워크공격을탐지하고해당환경에서감염된엔드포인트를찾아내는기술입니다. Symantec DeepSight - 탐지된이벤트와관련된정보를제공하는보안인텔리전스서비스입니다. Symantec ATP는의심스러운파일또는 URL 데이터를신속하게수집하여분류하고네트워크취약점을빠르게처리할수있도록보안분석가를위한시각적조사기능을제공하여안전한엔터프라이즈환경을조성합니다. 이솔루션테스트에서는위와같은툴을사용했으며, 시뮬레이션엔터프라이즈환경의실제공격상황에서얻은결과는아래와같습니다. Symantec ATP 4 DR151026D

조사방법론 이번보안위협탐지평가테스트방식은악성컨텐트의네트워크침투를차단하는 장치에대한 Miercom의일반보안테스트방법론을기반으로했습니다. 보안기능평가 개별제품에대해아래항목의평가를수행했습니다. 기능 설명 척도 탐지 알려진 / 레거시보안위협을식별하는기능 퍼센트 테스트한제품 시만텍의보안위협탐지성능을아래경쟁보안제품과비교했습니다. Symantec Cisco Sourcefire FireEye Advanced Threat Protection Intrusion Prevention System Security Appliance 버전 2.0.0.58 버전 5.4 버전 7.5.1 네트워크내의악성컨텐트를탐지하는 Symantec Cynic 악성코드탐지및글로벌인텔리전스 Symantec Vantage 네트워크침입탐지 알려지지않은보안위협과활성상태의보안위협을알리는 Symantec Insight 평판기반보안기술 엔드포인트취약점을탐지하는 Symantec DeepSight 인바운드트래픽검사기술 지속적으로작동하면서초기탐지단계를통과한악성코드를모니터링, 저장, 차단하는기능 침투를시도하는악성코드의유형, 보안위협레벨, 행동에대한가시성제공 추후공격에대비하여시스템복구를강화할수있도록조사를통해향상된인텔리전스제공 방화벽, 안티바이러스, 웹게이트웨이, 침입차단시스템에서놓친악성코드탐지 아웃바운드트래픽을통한데이터도용및봇넷차단 인바운드다단계조사를위한여러기술적용 오탐지분석으로실시간처리지원, 지속적으로확장되는활성보안위협데이터베이스제공, 이메일을통한피싱차단 Symantec ATP 5 DR151026D

보안위협샘플 악성소프트웨어, 즉악성코드란시스템또는네트워크작동을중단시키거나중요정보를수집하거나컴퓨터시스템에접근하는데이용되는모든소프트웨어를의미합니다. 이러한샘플은 Miercom의허니팟에서수집했으며이번테스트를위해개발된사실적이고복잡한악성코드로구성되어있습니다. 레거시샘플도포함했으나여기서는최근에등장한지능형악성코드샘플의탐지에초점을맞추었습니다. 활성보안위협 AET( 고급회피기술 ) APT( 지능형지속위협 ) 봇넷레거시악성문서 RAT 외부리소스및전용허니팟에서수집한실제위협으로지속적으로변화하는알려지지않은악성코드입니다. 탐지되지않은맞춤생성샘플및 APT가암호화, 블랙패키징, 정상트래픽사용페이로드와같은 AV 회피기술을사용합니다. 알려진여러회피방법을접목시켜개발한새로운공격을여러레이어에서동시에감행하는네트워크공격방식으로코드자체는악성코드가아닐수도있지만이러한회피성공격의액세스가탐지되지않는다는점때문에위험합니다. 현재각종벤더제품에서찾아낼수있는알려진회피기술은약 200가지입니다. AET는단몇번의조합으로수백만개의새로운회피기술을만들어낼수있습니다. 은밀하고지속적인시스템해킹프로세스모음이며, 주로특정기업 / 기관을표적으로삼은이들이공격을조정합니다. 이악성코드는대개비즈니스또는정치적명분을위해기업 / 기관이나국가를공격합니다. APT에스테이징페이로드가포함될수도있는데, 이페이로드가활성화되면공격자가원격으로명령줄을통해셸에액세스하는것이가능합니다. 이러한페이로드는 AV를통과하기위해랜덤화및회피기술로위장합니다. 이번테스트에사용된알려진 APT 샘플은여러출처에서얻은것입니다. 서로연결되어통신하면서 C&C( 명령및제어 ) 라는기술을사용하는프로그램의모음입니다. 중개자가지시, 즉공격명령을수신하고모든감염된호스트에전달합니다. 봇넷은주로스팸및 DDoS 작전에사용됩니다. 이번테스트에서는상호작용이빈번한허니팟에서 Zeus 및 Citadel 봇넷의변종을수집하여사용했습니다. 샘플에는 30일이상유포된알려진악성코드의변종수백개가포함되었습니다. 악성코드분류는바이러스와웜이주를이루었습니다. 알려진매크로바이러스를포함한 Microsoft Office 문서 (Word, PowerPoint, Excel 파일 ) 와다양한바이러스, APT, 웜을포함한 PDF 파일을혼합하여샘플로사용했습니다. RAT(Remote Access Threat) 는정상적인또는사용가능한코드인것처럼속여주로내부의다른합법적소프트웨어로위장하는악성코드입니다. 이코드가피해자호스트에서활성화되면해당시스템에대한완전한원격제어가가능해집니다. Symantec ATP 6 DR151026D

테스트툴 Miercom은업계최고의테스트툴, 스크립트, 데이터베이스를독자적인방식으로혼합하여사용하면서믿을수있고포괄적이며사실적인테스트환경을마련합니다. Miercom의 Advanced Threat Detection Industry Study에서사용한샘플은시만텍과해당경쟁사의테스트도거쳤습니다. 테스트파트너 테스트환경다이어그램 ATP 피해자 1 인터넷 라우터 스위치 보안서비스 스위치 피해자 2 보안위협샘플출처 : Miercom 2015 년 12 월 Intrusion Prevention System 관리콘솔 Symantec ATP 7 DR151026D

사실적인환경을시뮬레이션하기위해실제인터넷에서여러외부소스를통해악성코드를수집했습니다. 그방법중에는 Symantec ATP 및기타테스트장비에서보호하는네트워크내부에서이루어지는 http, https, FTP 파일테스트도포함되었습니다. 악성샘플은일반적인레이어 3 네트워크라우터를통해테스트장비로전송했고로컬 LAN에전송되기에앞서철저한검사를거쳤습니다. 이테스트환경은 FireEye 1310, Cisco Source Fire, Symantec ATP로구성되었으며, ESXI 5.5 서버에서호스팅되는사전구성된가상시스템형태였습니다. 그런다음테스트장비들을피해자시스템으로구성된레이어 2 네트워크스위치에연결했습니다. 테스트환경구성 각어플라이언스는개별관리콘솔에서지원되는모든보안관련카테고리를탐지하고모든가용방어체계를사용하도록구성되었습니다. 모든제품은기본설정을사용하도록구성했습니다. 제품구축 Symantec Cisco Sourcefire FireEye Advanced Threat Protection Intrusion Prevention System Security Appliance TAP 모드구축인라인구축 TAP 모드구축 인바운드및아웃바운드패킷정보모니터링 실시간보호없음 관리콘솔에서수동으로트래픽및악성데이터모니터링 공격이발생하기전에는응답하지않음 시스템이네트워크의데이터경로에위치하여트래픽분석 실시간보호 비악성트래픽의기준에부합하지않는트래픽이기록됨 트래픽을원래의목적지로전달할지또는격리할지결정 인바운드및아웃바운드트래픽에서패킷정보모니터링 실시간보호없음 관리콘솔에서수동으로트래픽및악성데이터모니터링 공격이발생하기전에는응답하지않음 Symantec ATP 8 DR151026D

Symantec ATP는 TAP 모드로구축되었습니다. 이는트래픽검사를위해네트워크경로에센서를배치하는인라인구축과달리수동으로트래픽을모니터링하는모드입니다. TAP 모드에서는실시간보호가활성화되지않으므로공격이발생하기전까지는응답이생성되지않습니다. 피해자환경 VMware ESXi 릴리스 5.5에호스팅되는가상시스템이이번테스트에서보호되는피해자시스템역할을담당했습니다. 이러한가상시스템이악성서버의공격을받았습니다. 서버에서피해자시스템으로샘플을전송하려는시도가있은후보안제품의로그파일을검토했습니다. 샘플탐지여부, 최초다운로드요청시점부터탐지시점까지경과한시간, 탐지후보안제품의조치가이루어진경우구체적으로수행된단계가로그파일에기록되었어야합니다. Symantec ATP 9 DR151026D

결과요약 보안실효성테스트에서는각시스템이실제보안위협을정확하고빠르며투명하게탐지할수있는지검증했습니다. 다양한보안제품이출시되어있으므로엔터프라이즈환경내에서제품마이그레이션기술및구현의편의성은탐지율못지않게중요합니다. z Symantec 탐지 92.1 % 탐지 Symantec ATP의악성코드탐지율은 92.1% 로경쟁제품보다 18.5% 이상높았습니다. 가장성공적으로탐지한악성코드카테고리는 AET, APT, 봇넷, 레거시, RAT였습니다. 가장의미있는점수는 AET 및 APT에서달성한 100% 탐지율입니다. 이카테고리는현재가장심각하고복잡한보안위협으로간주되는지능적인회피성및지속성보안위협이기때문입니다. 경쟁제품은 AET 카테고리에서훨씬낮은점수를기록했습니다. 사후분석리포팅리포팅인터페이스가사용하기편리했으며모든보안위협을시간, 이름, 출처, 목적지에따라분석한목록을자동으로제공했습니다. 대시보드의타임라인기능이탐지된수많은악성코드를발생일시별로간단하고보기쉽게정리하여표시하므로공격추적이용이합니다. Symantec ATP 10 DR151026D

악성코드탐지비교설명 악성코드탐지는악성소프트웨어샘플과비악성샘플이혼합된상황에서보안제품이얼마나정확하게악성샘플을찾아내알리는지평가했습니다. 결과비교각막대는샘플세트의악성코드카테고리별로샘플의평균탐지율을나타냅니다. 탐지는정상트래픽이섞여있는샘플세트에서찾아낸샘플수로정의합니다. 악성코드평균탐지율 탐지율 (%) 출처 : Miercom 2015 년 12 월 시만텍의악성코드평균탐지율이 Cisco SourceFire보다 18%, FireEye보다 26% 높았습니다. 이러한악성코드탐지결과를카테고리별로나누고비교하여각제품이특정악성코드유형에서얼마나효과적인지확인했습니다. 활성보안위협, AET, APT와같은일부악성코드는더심각한위협으로간주됩니다. 그러한복잡성, 회피성, 지속성으로인해엔터프라이즈환경에최악의악성코드입니다. 다음페이지의차트에서경쟁제품의평균탐지율을비교할수있습니다. Symantec ATP 11 DR151026D

악성코드탐지비교 활성보안위협 AET APT 봇넷 레거시 악성문서 RAT 평균 출처 : Miercom 2015 년 12 월 탐지율 (%) 다양한악성코드카테고리가혼합된트래픽을전송할때시만텍이최고의탐지율을기록했습니다. 특히가장복잡한보안위협인활성보안위협, AET, APT에서탁월한탐지능력을발휘했는데, Cisco 또는 FireEye보다 95% 이상더많은 AET를찾아냈습니다. 시만텍의평균탐지율은경쟁제품보다 18.5% 이상높았습니다. TAP 모드에서탐지된샘플은각제품의콘솔에서검토할수있습니다. 시만텍은모든악성코드카테고리에서가장우수한탐지율을기록했고 AET 및 APT를 100% 탐지했습니다. Symantec ATP 12 DR151026D

사후분석리포팅설명 보안위협분석은예방차원에서매우중요합니다. 수집된데이터의추적, 정량화, 분석이가능하면사용자와기업이네트워크침투를시도하는가장전파력높은최신보안위협에도더철저하게대비할수있습니다. 이리포팅인터페이스에대해서는상세수준및사용편의성을평가했습니다. 결과악성파일또는 URL의출처와목적지가표시되므로사용자가웹기반보안위협과파일기반보안위협을쉽게구별할수있었습니다. 보안위협에대한구문분석을통해유형별 / 이름별목록을생성하면서파일경로및보안위협과의연관성이의심되는다른악성침해사고에대한정보도제공합니다. 타임라인기능이있어사용자가보안위협이발생한시점을시각적으로추적할수있습니다. 또한글로벌 / 로컬유포수준과같은추가컨텍스트와공격의출처에대한 DeepSight 정보도제공합니다. Symantec ATP 13 DR151026D

테스트공정성고지 본리포트에서다룬제품의모든벤더에는테스트전후및도중의결과에대한의견을제시하고해당제품의성능을시연할기회가제공되었습니다. 어떤벤더가 Miercom에서발표한연구조사에서자사제품을테스트한결과에동의하지않을경우벤더의추가비용없이다시테스트를받고제품의성능을시연할기회가한번더제공됩니다. 모든벤더는자사제품의성능을 Miercom에서시연할수있습니다. Miercom은새로운데이터가나올경우결과를업데이트합니다. Miercom 소개 Miercom은주요산업정기간행물및기타간행물에수백건의네트워크제품분석결과를게재해왔습니다. Miercom은독립적인제품테스트센터로서최고의명성을얻고있습니다. Miercom의비공개테스트서비스는경쟁제품분석과개별제품평가까지포함합니다. Miercom은 Certified Interoperable, Certified Reliable, Certified Secure, Certified Green 등종합적인인증및테스트프로그램을제공합니다. 업계에서가장철저하고신뢰받는기준에따라제품의사용편의성및성능을평가하는 Performance Verified 프로그램도있습니다. 본리포트사용 본리포트에수록된데이터의정확성을보장하기위해타당한모든노력을기울였지만오류또는실수가있을수있습니다. 본리포트에는당사가정확성을통제할수없는각종테스트툴을사용하여얻은정보가포함되었을수도있습니다. 또한본문서에는벤더가제공하고 Miercom이합당한범위에서검증했으나 100% 확실성을보장할수는없는정보가사용되었습니다. 따라서 Miercom은이문서를 " 있는그대로 " 제공하며, 어떠한명시적또는암시적보증, 의견이나보장을제공하지않습니다. 또한여기수록된정보의정확성, 완전성, 유용성또는적합성에관하여어떠한직간접적인법적책임도인정하지않습니다. 본문서의어느내용도그전체또는일부를 Miercom 또는시만텍의사전허가없이전재할수없습니다. 본문서에사용된모든상표는해당소유주의자산입니다. 사용자는 Miercom과무관한활동, 제품또는서비스와연계하여또는혼동이나오해를초래하거나현혹시킬수있는방식으로혹은 Miercom 또는 Miercom의정보, 프로젝트또는개발을비방하는용도로상표를사용하거나사용자본인의상표전체또는일부로사용하지않는다는데동의합니다. Symantec ATP 14 DR151026D