728x90
출처 - http://www.trendmicro.co.kr/kr/support/blog/heuristic-scanning-and-sandbox-protection-best-of-both-worlds/index.html
--
트렌드마이크로는 APT 공격에 대응하기 위해 노력하고 있지만 기업을 노린 표적형 공격으로부터 완전하게 보호할 수 있는 단일 기술은 없다는 것을 알고 있습니다. 유감스럽게도 이는 사실입니다. 그러나 휴리스틱 검색이나 샌드박스 등의 보안 기술을 활용해 함께 사용함으로써 포괄적이고 보다 견고하게 보호할 수 있습니다.
휴리스틱 검색과 샌드박스는 각 기술이 갖고 있는 약점을 상호 보완하고 있어 이들을 함께 활용함으로써 가능한 한 빠른 시간 안에 알려지지 않은 위협을 효과적으로 탐지할 수 있습니다. 룰 기반 방식을 사용하는 휴리스틱 검색은 악성일 가능성이 있는 파일을 신속하게 탐지합니다. 이 기술을 효과적으로 활용하는 것은 룰이 얼마나 잘 정의되어 있는가에 달려 있습니다. 한편 샌드박스는 가상기억장치 등의 보호된 환경에서 안전하게 의심스러운 파일을 실행하는 방법입니다. PC를 감염시키지 않고 파일의 행위를 확인할 수 있습니다.
효율과 정확성
휴리스틱 검색은 필터 역할을 하고 그후 샌드박스에 파일이 전송됩니다. 이렇게 하면 비용을 절감하고 시스템 성능을 향상시킬 수 있습니다. 또한 휴리스틱 검색은 파일 형식 확인 및 이 두가지 기술이 함께할 수 있는지를 판단합니다. 예를 들면 파일이 워드 2003인지 2007인지 1.0인지를 샌드박스에 전달합니다. 이렇게 해서 샌드박스는 해당하는 가상환경에서 그 파일을 실행할 수 있습니다.모든 환경에서 모든 파일을 샌드박스에서 분석하는 리소스가 기업에 있다고 하더라도, 샌드박스 내에서 실행했을 때 어떠한 악성 활동도 보이지 않는 악성코드도 존재합니다. 이러한 경우 IT관리자가 할 수 있는 최선의 방법은 탐지의 폭을 넓히기 위해 먼저 휴리스틱 검색을 이용해 빠른 시간 안에 이러한 악성코드를 탐지하는 것입니다.
제로데이 취약점에 대응
상술한 것처럼 휴리스틱 검색과 샌드박스를 효과적으로 활용하려면 휴리스틱 검색의 룰이 얼마나 잘 정의되어 있는지에 달려 있습니다. 이러한 룰은 알려지지 않은 위협을 사전에 탐지할 수 있어야 하며 오탐지를 피하기 위해 충분히 구체적이어야 합니다.
이러한 룰의 유효성을 확인할 수 있는 좋은 방법 중 하나는 이들 룰이 제로데이 취약점에 어떻게 동작하는지를 확인하는 것입니다. 제로데이 공격은 패치되지 않은 취약점을 이용하는데 기존 취약점과 비슷한 기술을 이용합니다. 때문에 휴리스틱 검색 룰이 충분히 기능하고 있으면 이러한 제로데이 공격도 탐지할 수 있습니다.
예를 들면 트렌드마이크로의 ATSE(Advanced Threat Scan Engine)에서 이미 사용되고 있는 휴리스틱 검색 룰에서도 최근의 제로데이 취약점을 탐지할 수 있습니다.
1. CVE-2014-0515(2014년 5월 확인) : 2014년에 추가된 룰을 통해 HEUR_SWFJIT.B로 탐지
2. CVE-2014-1761(2014년 4월 확인) : 2014년에 추가된 룰을 통해 HEUR_RTFEXP.A 및 HEUR_RTFMALFORM로 탐지
3. CVE-2014-0496(2014년 2월 확인) : 2010년에 추가된 룰을 통해 HEUR_PDFEXP.A로 탐지
4. CVE-2013-3346(2013년 11월 확인) : 2010년에 추가된 룰을 통해 HEUR_PDFEXP.A로 탐지
조기 탐지의 중요성
기업은 네트워크에 대한 공격에 대비하십시오. APT 공격에 대한 탐지가 늦으면 늦을수록 피해를 줄이기 어려워질 뿐만 아니라 탐지조차 어려워지는 것을 알아야 합니다. 네트워크를 보호하는 IT관리자에게 공격의 조기 탐지는 최우선 사항입니다. 다양한 다층 보호를 통해 높은 효과를 볼 수 있습니다.
트렌드마이크로의 APT 보안 솔루션 Deep Discovery는 패턴과 휴리스틱 룰을 사용할 뿐만 아니라 파일 구조를 분석하여 의심스러운 파일을 탐지하고, 고객 환경에 맞춘 맞춤형 샌드박스를 통해 정밀 분석을 실시하여 위협을 상세하게 조사함으로써 기업을 노린 APT 공격을 조기에 탐지하고 방어합니다.
원문 : 「ヒューリスティック検索+サンドボックス」対策、標的型攻撃やゼロデイ脆弱性利用対策に有効
--
트렌드마이크로는 APT 공격에 대응하기 위해 노력하고 있지만 기업을 노린 표적형 공격으로부터 완전하게 보호할 수 있는 단일 기술은 없다는 것을 알고 있습니다. 유감스럽게도 이는 사실입니다. 그러나 휴리스틱 검색이나 샌드박스 등의 보안 기술을 활용해 함께 사용함으로써 포괄적이고 보다 견고하게 보호할 수 있습니다.
휴리스틱 검색과 샌드박스는 각 기술이 갖고 있는 약점을 상호 보완하고 있어 이들을 함께 활용함으로써 가능한 한 빠른 시간 안에 알려지지 않은 위협을 효과적으로 탐지할 수 있습니다. 룰 기반 방식을 사용하는 휴리스틱 검색은 악성일 가능성이 있는 파일을 신속하게 탐지합니다. 이 기술을 효과적으로 활용하는 것은 룰이 얼마나 잘 정의되어 있는가에 달려 있습니다. 한편 샌드박스는 가상기억장치 등의 보호된 환경에서 안전하게 의심스러운 파일을 실행하는 방법입니다. PC를 감염시키지 않고 파일의 행위를 확인할 수 있습니다.
효율과 정확성
휴리스틱 검색은 필터 역할을 하고 그후 샌드박스에 파일이 전송됩니다. 이렇게 하면 비용을 절감하고 시스템 성능을 향상시킬 수 있습니다. 또한 휴리스틱 검색은 파일 형식 확인 및 이 두가지 기술이 함께할 수 있는지를 판단합니다. 예를 들면 파일이 워드 2003인지 2007인지 1.0인지를 샌드박스에 전달합니다. 이렇게 해서 샌드박스는 해당하는 가상환경에서 그 파일을 실행할 수 있습니다.모든 환경에서 모든 파일을 샌드박스에서 분석하는 리소스가 기업에 있다고 하더라도, 샌드박스 내에서 실행했을 때 어떠한 악성 활동도 보이지 않는 악성코드도 존재합니다. 이러한 경우 IT관리자가 할 수 있는 최선의 방법은 탐지의 폭을 넓히기 위해 먼저 휴리스틱 검색을 이용해 빠른 시간 안에 이러한 악성코드를 탐지하는 것입니다.
제로데이 취약점에 대응
상술한 것처럼 휴리스틱 검색과 샌드박스를 효과적으로 활용하려면 휴리스틱 검색의 룰이 얼마나 잘 정의되어 있는지에 달려 있습니다. 이러한 룰은 알려지지 않은 위협을 사전에 탐지할 수 있어야 하며 오탐지를 피하기 위해 충분히 구체적이어야 합니다.
이러한 룰의 유효성을 확인할 수 있는 좋은 방법 중 하나는 이들 룰이 제로데이 취약점에 어떻게 동작하는지를 확인하는 것입니다. 제로데이 공격은 패치되지 않은 취약점을 이용하는데 기존 취약점과 비슷한 기술을 이용합니다. 때문에 휴리스틱 검색 룰이 충분히 기능하고 있으면 이러한 제로데이 공격도 탐지할 수 있습니다.
예를 들면 트렌드마이크로의 ATSE(Advanced Threat Scan Engine)에서 이미 사용되고 있는 휴리스틱 검색 룰에서도 최근의 제로데이 취약점을 탐지할 수 있습니다.
1. CVE-2014-0515(2014년 5월 확인) : 2014년에 추가된 룰을 통해 HEUR_SWFJIT.B로 탐지
2. CVE-2014-1761(2014년 4월 확인) : 2014년에 추가된 룰을 통해 HEUR_RTFEXP.A 및 HEUR_RTFMALFORM로 탐지
3. CVE-2014-0496(2014년 2월 확인) : 2010년에 추가된 룰을 통해 HEUR_PDFEXP.A로 탐지
4. CVE-2013-3346(2013년 11월 확인) : 2010년에 추가된 룰을 통해 HEUR_PDFEXP.A로 탐지
조기 탐지의 중요성
기업은 네트워크에 대한 공격에 대비하십시오. APT 공격에 대한 탐지가 늦으면 늦을수록 피해를 줄이기 어려워질 뿐만 아니라 탐지조차 어려워지는 것을 알아야 합니다. 네트워크를 보호하는 IT관리자에게 공격의 조기 탐지는 최우선 사항입니다. 다양한 다층 보호를 통해 높은 효과를 볼 수 있습니다.
트렌드마이크로의 APT 보안 솔루션 Deep Discovery는 패턴과 휴리스틱 룰을 사용할 뿐만 아니라 파일 구조를 분석하여 의심스러운 파일을 탐지하고, 고객 환경에 맞춘 맞춤형 샌드박스를 통해 정밀 분석을 실시하여 위협을 상세하게 조사함으로써 기업을 노린 APT 공격을 조기에 탐지하고 방어합니다.
원문 : 「ヒューリスティック検索+サンドボックス」対策、標的型攻撃やゼロデイ脆弱性利用対策に有効
728x90
'Security_News > 해외보안소식' 카테고리의 다른 글
| 모두를 연결 인터넷 (IoE) : 스마트 미터의 도입 (0) | 2014.07.22 |
|---|---|
| 구글 프로젝트 제로, 프라이버시보호 및 보안강화 (0) | 2014.07.21 |
| 濠정부, 선거소프트웨어 소스코드 공개거절 (0) | 2014.07.20 |
| 2010년 나스닥 침해사고 상세 정보 (0) | 2014.07.20 |
| 美재무부 장관, 정보 공유 촉구 (0) | 2014.07.20 |