시스코 ‘AMP’, 인텔리전스 자동화로 공격 ‘차단·탐지·대응·복원’
상태바
시스코 ‘AMP’, 인텔리전스 자동화로 공격 ‘차단·탐지·대응·복원’
  • 데이터넷
  • 승인 2017.10.13 10:31
  • 댓글 0
이 기사를 공유합니다

악성코드 전체 라이프사이클 통제로 진화하는 공격 방어

지능형 악성코드는 잘 드러나지 않고 집요하며 기존의 방어 체계를 우회할 수 있다. 기존의 보안 기술은 위협을 빠르게 탐지 및 제거해 피해를 방지하는 데 필수적인 가시성과 제어 능력을 제공하지 못한다. 코마스가 공급하는 시스코 ‘AMP(Advanced Malware Protection)’는 악성코드의 전체 라이프사이클을 통제해 진화하는 공격을 막을 수 있다. 이 솔루션은 보안 침해를 선제방어하며, 1차 방어선을 우회하는 위협도 신속하게 탐지하고 억제 및 치료한다. <편집자>

진화하는 사이버 공격은 선제방어만으로 차단할 수 없다. 선제방어 시스템을 우회하는 방법은 너무나 많으며, 공격자는 지속적으로 이를 무력화하는 기술을 개발해냈다. 선제방어 시스템이 탐지하지 못한 공격은 2차, 3차 방어선을 마련해 차단해야 한다.

시스코의 지능형 공격 탐지 솔루션 AMP는 공격 전반에서 가시성을 제공하며, 탐지한 공격을 효과적으로 제어한다. AMP는 비용 효율적이고 시스템 운영 효율성에도 영향을 주지 않는다.

▲ 공격 전 범위에서 가시성과 제어 능력 제공하는 시스코 'AMP’

공격 전·중·후 전반의 탐지·차단 제공
인텔리전스 기반의 통합 엔터프라이즈급 지능형 악성코드 분석·차단 솔루션 AMP는 공격 전, 공격 중, 공격 후에 걸친 공격의 전 범위에서 조직을 포괄적으로 보호할 수 있다.

● 공격 전: 공격이 일어나기 전 단계에서는 ▲콜렉티브 시큐리티 인텔리전스(Collective Security intelligence) ▲탈로스 시큐리티 인텔리전스(Talos Security Intelligence)와 리서치 그룹 ▲AMP 쓰렛 그리드(Threat Grid)의 위협 인텔리전스 피드 등을 이용해 알려진/알려지지 않은 위협을 효과적으로 차단한다.

● 공격 중: 공격이 진행되는 과정에서는 위협 인텔리전스와 파일 시그니처, AMP 쓰렛 그리드의 동적 악성코드 분석 기술을 결합해 차단한다. 정책 위반 파일 유형, 취약점 공격 시도, 네트워크에 침투하려는 악성 파일 등을 차단한다.

● 공격 후: 공격 후 또는 파일이 최초로 검사된 후에는 모든 파일 활동과 트래픽을 지속적으로 모니터링하고 분석한다. 이 과정에서는 파일의 성향에 관계없이 악의적인 동작의 가능성을 나타내는 모든 징후를 검색한다.

AMP는 알 수 없는 상태의 파일이나 양호한 상태였던 파일의 행동에 이상이 나타나기 시작하면 즉시 탐지해 보안 팀에 보안침해지표(IoC)와 함께 알려준다. 더불어 악성코드의 출처, 감염된 시스템, 악성코드의 행동을 확인할 수 있는 가시성을 제공한다.

침입이 발견되면 빠르게 대응해 단 몇 번의 클릭만으로 복원할 수 있는 제어 기능도 제공한다. 이를 통해 보안 팀에서는 신속하게 공격을 탐지하고, 침해 범위를 파악하며, 시스템 손상 이전에 악성코드를 격리하는데 필요한 심층적인 가시성과 제어 기능을 확보할 수 있다.

글로벌 위협 인텔리전스와 동적 악성코드 분석
시스코의 위협 인텔리전스는 ▲전 세계 160만개의 센서를 이용해 ▲하루 100TB의 데이터 및 130억개의 웹 요청에서 ▲매일 150만개 악성코드 샘플을 수집해 분석해 축적된다. 24시간 중단 없이 업계 최고 수준의 엔지니어, 기술자, 연구원으로 구성된 글로벌 팀에 의해 분석된다. 최신 위협 인텔리전스는 클라우드에서 AMP 클라이언트로 전달돼 보안 팀에서 각종 위협을 사전에 효과적으로 방어할 수 있다.

AMP는 위협 인텔리전스와 동적 악성코드 분석을 기반으로 구축됐다. 상황별 정보, 파일, 행동, 텔레메트리 데이터, 활동의 상관관계를 분석해 악성코드를 신속하게 탐지한다. 보안 팀은 AMP의 자동화된 분석을 사용해 침입을 검색할 때 시간을 절약할 수 있고 최신 위협 인텔리전스를 상시 확보해 정교한 공격을 신속히 파악하고, 우선 순위를 지정하고, 차단할 수 있다.

AMP에 통합된 쓰렛그리드는 정확하면서도 풍부한 상황 기반 인텔리전스 피드를 표준형식으로 제공해 기존 보안 기술과 원활한 통합을 구현한다. 560개 이상의 행동 지표를 바탕으로 매월 수백만 개에 달하는 샘플을 분석해 수십억 개의 아티팩트를 도출한다. 또한 보안 팀에서 위협 우선 순위를 쉽게 지정할 수 있도록 이해하기 쉬운 위협 점수를 제공한다.

AMP는 모든 인텔리전스와 분석을 사용해 보안 관련 의사 결정을 알리거나 사용자를 대신해 자동으로 적절한 조치를 취한다. 예를 들어 지속적으로 업데이트되는 인텔리전스를 기반으로 시스템에서는 알려진 악성코드와 정책 위반 파일 유형을 차단하고, 악의적인 것으로 알려진 연결을 동적으로 블랙리스트에 올리고, 악성으로 분류된 웹사이트 및 도메인에 대한 파일 다운로드 시도를 차단할 수 있다.

▲ 회귀적 보안 기술

지속적 분석과 회귀적 보안
대부분의 네트워크와 엔드포인트 기반 안티멀웨어 시스템에서는 파일이 제어 지점을 통과해 광범위한 네트워크로 들어오는 특정 시점에서만 해당 파일을 검사한다. 악성코드는 나날이 정교해져 초기 탐지를 교묘하게 우회한다.

슬립(sleep) 기술, 다형성(polymorphism) 암호화, 알 수 없는 프로토콜 사용 등은 악성코드가 정체를 숨길 수 있는 수많은 방법 중 일부일 뿐이다. 눈에 안 보이기 때문에 방어할 수 없으며, 대부분의 주요 보안 침해는 이런 식으로 발생한다.

보안 팀은 위협이 들어오는 시점에 이를 알아채지 못하고, 그 이후에는 아예 찾아내지 못한다. 위협을 신속히 탐지하거나 격리할 수 있는 가시성도 없으므로 머지않아 악성코드는 목적을 달성하고 시스템은 손상된다.

시스코 AMP는 특정 시점을 인식하고 선제적 탐지와 차단으로 대부분의 공격을 막아낸다. 정상 파일과 트래픽이라고 판단한 것도 지속적으로 분석해 의심스럽거나 악의적인 행동을 보이는 숨은 위협을 신속하게 밝혀낸다.

엔드포인트, 모바일 디바이스, 네트워크에서 이뤄지는 모든 파일 활동과 통신을 모니터링하고, 분석하며, 기록한다. 문제의 첫 징후가 나타나면 AMP는 보안 팀에게 알리고 위협의 행동에 대한 상세 정보를 제공한다.

AMP는 ▲악성코드가 어디에서 시작됐는지 ▲침입 시점과 방법은 무엇인지 ▲악성코드는 그동안 어디에 있었고 어떤 시스템에 영향을 주었는지 ▲위협은 무엇을 했으며 지금은 무엇을 하고 있는지 ▲위협을 멈추고 근본 원인을 제거하려면 어떻게 해야 하는지 알려준다.

탐지된 공격 확산 영구 차단
악성파일은 특정 지점에서 격리된다 해도 다른 곳으로 이동해 공격을 지속할 수 있다. AMP는 브라우저 기반 관리 콘솔에서 몇 번만 클릭하면 파일이 다시 다른 엔드포인트에서 실행되는 것을 영구 차단할 수 있다. AMP는 파일이 상주했던 모든 곳을 파악하고 있어 해당 파일을 메모리에서 추출해 격리한다. 보안팀은 AMP가 제공하는 정보를 바탕으로 상황을 빠르게 파악할 수 있으며, 악성코드를 제거하기 위해 전체 시스템을 이미지화 할 필요가 없다.

AMP의 지속적인 분석, 지속적인 탐지, 회귀적 보안 기능은 시스템에 있는 모든 파일의 활동을 기록한다. 좋은 파일이 나쁜 파일로 변신한 것으로 추정되면 즉시 격리한 후 파일의 행위를 역추적해 위협이 시작된 지점과 관련 행동을 파악한다. 그 후 AMP에서 제공하는 내장형 대응 조치와 복원 기능으로 위협을 제거한다.

AMP에서는 위협 시그니처부터 파일 행동에 이르기까지 파악된 모든 사항을 기억한 후, AMP의 자체 위협 인텔리전스 데이터베이스에 해당 데이터를 기록해 최전선 방어를 한층 더 강화한다. 따라서 해당 파일은 초기 탐지를 다시는 우회할 수 없다.

AMP를 사용하면 보안 팀에서는 심층적인 가시성과 제어 기능을 확보하게 된다. 따라서 빠르게 효율적으로 공격을 탐지해 숨은 악성코드를 발견하고, 침해의 특성과 범위를 파악하며, 시스템 손상이 발생하기 전에 악성코드(제로데이 공격 포함)를 신속히 억제·치료하고, 추후 유사 공격의 재발을 방지할 수 있다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.