symantec edr appliance:...
TRANSCRIPT
Symantec EDR Appliance: 랜섬웨어 대응 방안
Ransomware
2
3
랜섬웨어(Ransomware)는컴퓨터시스템을감염시켜사용자의접근및파일사용을제한하고몸값을요구하는악성소프트웨어의한종류이다.
랜섬웨어(Ransomware) 란?
Ransomeware
흑해 러시아 고향서 전세계 금융∙정부∙개인PC 농락
암호화 알고리즘 기반 CryptoLocker개발자
매달 1,500만달러 수입영국 등 경찰조직의 30만대 PC 감염
게임 오버 제우스 봇넷 개발자로 100만대 PC감염
미국-러시아 관계악화로 체포 불가능
랜섬웨어(Ransomware) 종류
Ransomeware
락커 (Locker)랜섬웨어 (Computer Locker)
해당악성위협은특정장비나시스템에접속을하지못하도록디자인되어져있으며, 감염된시스템에대해사용자가접속시기존사용자인터페이스를통한접속이차단되며금전을요구하는페이지가접속이됩니다
크립토(Crypto) 랜섬웨어 (Data Locker)
해당악성위협은시스템내의저장된파일이나데이터를암호화하여사용자가사용하지못하도록디자인되어져있으며감염된시스템내에서암호화가시작되면중간에멈출수없으며, 암호화된파일에대한복호화키보유기간을표시하여빠른결제를유도합니다
랜섬웨어(Ransomware) 비즈니스 모델
Ransomeware
출처 :한국랜섬웨어침해대응센터
랜섬웨어(Ransomware) 통계
Ransomeware
랜섬웨어 종류별 감염 업종별
중견기업 17%, 중소기업 31% 감염
출처 :한국랜섬웨어침해대응센터
랜섬웨어(Ransomware) 피해현황
Ransomeware
출처 :한국랜섬웨어침해대응센터
Copyright © 2014 Symantec Corporation8
불행하게도 수천수백만의 낮은배포를 가진 파일에 대해 효율적인
대응 기술이 없음
그러나최근의악성코드는이러한영역에존재함
악성 파일 좋은 파일
배포도
Whitelisting 기술로대응
가운데 영역은새로운 대응기술이 필요함
blacklisting 기술로대응
기존 대응 기술의 한계
Ransomeware
Copyright © 2014 Symantec Corporation9
과연 어느 것이 더 위험할까요?
• Known or
• Unknown Threats
APT 방어 솔루션, 왜 필요한가 ??
2011
VIRUS
DDOSSPAM
Trojan
Known
UnKnown
농협대란
SKCOMMS
2012
Target
2013
3.20 대란
2014
한수원RISK
Symantec EDR Endpoint Detection Response
11
EDR Appliance
Symantec Endpoint Detection Response
SEPClient
ATP: Endpoint
SEPClient
SEPClient
장점• 엔드포인트 통합 – 의심스러운
이벤트 데이터와 결합하여 효력
• 자동화, 지속성, 기계학습 기반
알고리즘을 이용한 의심스러운
이벤트 우선순위 알림
• 증거를 확보하고 신뢰를 가지고
대응할 수 있음
SEPManager
어플라이언스
탐지 : 정확한 탐지
분석 : 빠른 분석 지원
대응 : 신뢰에 기반한 대응 가능
Cynic On-Demand GIN
Endpoin
tEnte
rprise
Glo
bal
Symantec - ATP Solution13
EDR Appliance 기대효과
Symantec Endpoint Detection Response
EDR Appliance 300, 500, 900
– ATP 8840 + ATP Endpoint + SEP – 장비 3년 워런티 / License 포함
EDR Appliance 1000, 2000
– ATP 8880 + ATP Endpoint + SEP – 장비 3년 워런티 / License 포함
EDR Appliance 구성도
Symantec Endpoint Detection Response
Symantec TechnologyATP(Endpoint) & SEP
15
Copyright © 2014 Symantec Corporation16
Application Control
Firewall & IPS
Device Control
Anti-Virus
Lockdown
Host Integrity
세계 1위의 Anti-Virus 탐지
강력한네트워크보호
매체에대한 완벽한통제
유연한애플리케이션통제
화이트리스트기반 시스템잠금
내부 보안정책강제화
Symantec Endpoint Protection 12 기능 개요
Symantec Technology_ATP(Endpoint) & SEP
Copyright © 2014 Symantec Corporation17
악성코드에 대한 다단계 보호 매커니즘
네트워크침입 차단
평판기반보호
행위기반보호
파일기반보호
악성코드가 시스템에유입되기 이전에 악성코드의네트워크 접근 차단
1억명 이상의 클라우드사용자의 지혜를 통해악성 파일 및악성웹사이트를 차단함
프로세스가 실행중일때의심스러운 행동을모니터링하여 악성코드차단
의심스러운 속성값 또는시그니쳐에 의한 검색으로악성파일 차단
도메인 평판파일 평판
행위기반 탐지 시그니쳐프로토콜 인식 IPS
브라우져 보호
네트워크
파일네트워크 평판 행위
인터넷 서버
안티바이러스 엔진휴리스틱 엔진
Symantec Technology_ATP(Endpoint) & SEP
전제 조건
인식 변화필요
사고는 피할 수 없다
공격의사전탐지 공격으로부터보호
공격에대한탐지
위협의격리조치
운영복구및보호조치
식별 보호 탐지 대응 복구
차단강화“차단 + 탐지및
대응”
18
생각의 전환이 필요함
Symantec Technology_ATP(Endpoint) & SEP
To-Be 구성
• 심각도를제공하여관리자가통합으로즉시차단가능
• ATP Endpoint 를이용한감염시스템원격대응지원
Symantec - ATP Solution19
행위분석3
ATP솔루션에서의심파일보고2
1 악성코드다운로드 5 관리자확인
7감염시스템의원격치료
ATPEndpoint
ATPEmail
CynicTM SynapseTM Portal
6 모든영역에서즉시차단Email/network/Endpoint4
심각도통보받음
!
ATPNetwork
사고 대응 워크플로우
Symantec Technology_ATP(Endpoint) & SEP
20시만텍표적공격대응(ATP) 전략세미나
TargetedAttack
Detection
Forensics
Response
Whitelisting
Insight Control
• 의심스러운엔드포인트행위감시(전후관계를포함)
• 의심스러운이벤트에대한우선순위및상호관계파악
• 애플리케이션에대한광범위한가시성제공
• 공격에대한전체적인범위 확인
• 의심스러운이벤트에대한 전후관계상세 제공
• 이벤트전송(Dynamic Malware Analysis Service)
• 의심스러운애플리케이션에대한 ‘Blacklist’ 처리를통해사용자가동일파일을다운로드받는것을차단하고이미다운로드받은사용자는실행차단
• Cynic 분석결과, 평판분석결과등을고려하여오탐지에대한‘Whitelist’ 처리
• 시만텍으로전송하는데이터에대한통제와가시성확보
• 인사이트데이터요청캐슁을통한개별네트웍요청감소
ATP: Endpoint 기대 효과
Symantec Technology_ATP(Endpoint) & SEP