deep discovery - trendmicro.co.kr · 오피스스캔 에이전트 관리 및 deep discovery에서...
TRANSCRIPT
트렌드마이크로
서울시 강남구 테헤란로 522
홍우빌딩 6층 (우 06181)
APT 보안 솔루션
Deep Discovery
세계적인 보안평가기관 NSS Lab
3년 연속 최고 보안 등급
‘추천 등급' 획득
트렌드마이크로 Deep Discovery
2016 정보유출탐지 시스템 테스트
2+
2
APT 보안 솔루션
Deep Discovery
통합 위협 라이프사이클 관리
탐지·분석: 최신 신/변종 악성코드, 공격징후, C&C 통신 탐지 및 분석
차단: 알려지지 않은 위협 행위에 대한 실시간 차단 연계
대응: 각 엔드포인트에서 탐지된 악성코드 및 잠재적 위협요소(Suspicious Object) 공유를 통해 신속한 대응 및 업데이트 기능 제공
통합 위협관리: 관련된 위협에 대한 통합 위협 라이프사이클 관리 및 통합 위협 가시성 제공
Deep Discovery
최신 사이버 공격에 효과적으로 대응하기 위해 다계층 보안(Multi-layered Protection) 플랫폼이 필요합니다. 트렌드마이크로의 Connected Threat
Defense는 통합 위협 라이프사이클 관리(Integrated Life Cycle Management)가 가능하도록 하는 차세대 사이버 보안 모델입니다.
탐지/분석 통합관리 대 응
Dashboard통합 모니터링
정책 설정
오피스스캔 에이전트 관리 및
Deep Discovery에서 탐지,
분석된 Unknown Malware 및
IP, URL, Domain 정보를
오피스스캔에 전달
●
●
● Anti-Virus, 랜섬웨어 차단
Unknown Malware 격리
C&C 통신 Blocking
감염 Endpoint 격리
네트워크를 통하지 않은 파일의
Deep Discovery 가상 VM 행위
분석 의뢰
●
●
●
●
●네트워크 트래픽 분석
평판/정적 분석
가상 VM 샌드박스 동적 분석
C&C 통신 차단
●
●
●
●
오피스스캔 에이전트
통합관리시스템(TMCM)
Deep Discovery 통합합합통합통합합통합통 관리리리리리관리리리관관리시스시시시시시시스시시시스스템템템템템템템템템템템
차 단
Deep Discovery에서 Unknown
Malware로 판정 후 Tipping Point에서
자동차단
Tipping Point IPS 연동
- Reputation Feed:
사용자 정의 추가를 통한
C&C Callback 통신 시도
- 악성IP/도메인 정보 대응
●
●
TippingPoint IPS
Deep Discovery
네트워크 전반에 통찰력 제공 – APT 공격과 타겟형 공격에 노출될
위험성 감소
침투 위협 실시간 감지 및 파악하여 심층적 분석과 정확한 정보 제공 –
기업 데이터에 가해지는 공격 탐지·파악 및 격리
검증된 접근 방식을 통한 낮은 오탐률
최고의 탐지율과 방어율 – 공격이 시작되는 시점에서 각 단계별로 악성
컨텐츠, 커뮤니케이션, 행위 파악
진화된 악성코드, 침투 공격자 행위 탐지 및 심층 예측분석 – 새로운
수준의 가시성과 정보 제공
알려진 랜섬웨어 – 스마트 필터
알려지지 않은 랜섬웨어 – 동적행위 분석
랜섬웨어 탐지 및 분석기능
지능형 지속위협 Advanced Persistent Threat
중요 정보 획득을 목적으로 지속적으로 특정 대상(정부,
금융기관 및 특정 기업)에 공격을 수행하는 수법
APT 공격 및 타겟형 공격
제로데이 및 신종 악성코드
문서 취약점 악용
공격자의 네트워크 행위
웹 위협(Exploit, Drive-by Download)
이메일 위협(피싱, 스피어피싱)
봇, 트로이목마, 키로그 및 크라임웨어
●
●
●
●
●
탐지
분석
3
Deep Discovery Inspector위협 탐지
탐지 방법
Deep Discovery Analyzer제품 연동을 통한 위협 대응력 강화
●●
●
● 커스텀 샌드박스로 의심파일을 분석 – 사용자 정의 샌드박스 환경 구성
각 제품에서 발견된 의심파일을 Deep Discovery Advisor의 커스텀 샌드박스 가상 환경에서
실행시켜 그 행위에 따라 위험도를 평가하는 것이 가상 분석 기능입니다. 커스텀 샌드박스는 실제 조직
내의 IT 환경을 그대로 구성해 볼 수 있기 때문에 위협이 가져오는 영향이나 리스크 범위를 상세하게
조사할 수 있습니다.
커스텀 샌드박스
- 여러 OS 이미지 활용
- 고속 실행
- 안티VM 탐지
- 실행파일, 문서, URL 분석
● 위협 대응력 강화
Deep Discovery Inspector 및 트렌드마이크로 메시징 보안 제품의 위협탐지엔진(ATSE)으로 탐지된 악성파일을 Deep Discovery Analyzer의 고도의 가상 분석 기능을 통해
분석하여 리스크가 높은 알려지지 않은 악성코드를 차단할 수 있습니다.
트렌드마이크로의 APT 대응 솔루션인 Deep Discovery에서는 랜섬웨어에 대한 대응으로, 알려진 랜섬웨어에 대해서는 시그니처 방식으로 탐지하고, 알려지지 않은 랜섬웨어에
대해서는 동적 행위 분석으로 탐지할 수 있습니다.
라이브 모니터링
- 커널 모드에서 각종 후킹
- 네트워크 플로우 분석
- 이벤트 상관 분석
랜섬웨어 탐지 및 분석기능
위협 분석
제품 연동
Virtual Analyzer
API Hooks
레지스트리 프로세스 루트킷 네트워크파일시스템
Windows XP····
····
Windows 7
WindowsVista
Fake Explorer
Fake Server
Fake AV
알려지지 않은 랜섬웨어 탐지 – 동적행위 분석을 통한 알려지지 않은 랜섬웨어 탐지● 알려진 랜섬웨어 탐지 – 스마트 필터 통한 랜섬웨어에 대한 위협 가시성 제공
랜섬웨어 실행 시
“실행가능 파일
Drop 및 실행”
행위 탐지
랜섬웨어 실행 시
“암호화 대상 다량의
오피스파일 및 아웃룩
파일 접근” 행위 탐지
● Script Analyzer를 통한 동적 에뮬레이션
HTML, JS, JAVA, PDF, FLASH와 같은 다양한 웹 오브젝트에 대해 동적
에뮬레이션을 수행하여 제로데이 익스플로잇, 익스플로잇 킷, 그리고 Drive-by
Download 를 탐지할 수 있습니다.
● 위협탐지엔진 (ATSE, Advanced Threat Scanning Engine)
Document Exploit Engine은 APT 공격에 최적화 되어 있습니다. HWP, PDF,
오피스 형식 및 잘 알려진 모든 압축 형식, 아카이브 형식, 파일형식을 지원하여 패턴
및 휴리스틱 룰뿐만 아니라 파일 구조에서 문서 취약점 공격 코드를 탐지하여
의심스러운 파일을 찾아냅니다.
● 샌드박스 기반 의심파일 분석
정적분석과 행위탐지로 발견된 의심파일을 샌드박스라는 가상환경에서 실행하여 그
행위를 통해 위험도를 평가합니다. 맞춤형 제작이 가능하여 한국어 OS 및 각종
애플리케이션 등을 선택할 수 있고 실제 조직의 IT 환경을 구성하여 위협이 미치는
환경 및 범위를 상세하게 조사할 수 있습니다.
동적분석
정적분석
정적분석, 동적분석, 행위탐지를 상관분석
메일, 웹 포함하여 80여 가지의 애플리케이션 프로토콜 지원
전체 트래픽 상황 시각화하고 조직 내부에 잠재된 위협 탐지 •••
動的解析
정적분석
위협 가시화
동적분석행위탐지
상관분석
상관분석
상관분석
다양한 파일의 구조를 분석하는 정적분석
COM
SWF
EXE
DLLLHA RAR
ZIP
동적분석(Virtual Analysis)의 의심파일 분석 방법
· 악성 파일 해시값· 악성 URL · 악성 접속처· 각종 동작 로그 정보 · 네트워크 패킷 정보 등
DOC/PDF
대응 파일 형식EXE ·DLL ·LNK VBS·SWF ·PDF
TF ·DOC·PPT XLS ·Etc...
가상환경(샌드박스)
23개 카테고리 500개 이상의 룰상관분석 엔진
프로세스 실행, 시스템 변경 등의 정보
4
전체 탐지율 : 96.6%
HTTP, 이메일, SMB를 통한 악성코드 탐지율 100%
실환경 트래픽 테스트에서 1Gbps 처리 성능 인증
APT 탐지율 1위! NSS Labs 정보 유출 진단 테스트에서 3년 연속 최고점 획득
69.1%
30.6%
87.1%
51.8%
100%
100%
99.6%
96.2%
Web을 통한 공격 탐지
E-Mail을 통한 공격 탐지
회피 방지율
보안 효과
F사제품 Trend Micro
APT 보안 솔루션
Deep Discovery
APT 공격 탐지 및 대응을 위한 트렌드마이크로 보안 솔루션
Deep Discovery 구성방안
- 파일, 웹, 이메일, 모바일 앱 평판 - 화이트 리스트
- 사이버 범죄 분석 - 상관관계 분석
- 네트웍 트래픽 룰 - 취약점 룰
트렌드마이크로의 클라우드 보안센터(SPN, Smart
Protection Network) 는 새로운 위협을 신속하고
정확하게 탐지하여 모든 제품과 서비스에 글로벌 위협
인텔리전스를 제공합니다. 클라우드 보안센터에 대한
지속적이며 다각적인 개선을 통해 다양한 장소에서 위협
데이터를 탐지하고, 새로운 위협에 대해 더욱 효과적으로
대처하며, 데이터가 저장되어 있는 장소를 불문하고
안전하게 보호할 수 있습니다.
●
트렌드마이크로 클라우드 보안센터
위협 정보 수집
위협 탐지 및 분석
커스터머 보호
글로벌 위협정보 수집
빠른 위협 분석을 기반으로하는 클라우드 보안 센터
File DB App
Email DNSWeb
액티브 실시간 위협 차단
Deep Discovery Email Inspector
Deep Discovery Analyzer
악성코드정적/동적 분석
알려지지 않은 공격 탐지 및 파일가시성
Servers (Physical / Virtual)
DMZ
Deep Discovery Inspector
악성/의심 이메일 탐지 및 차단
실시간 위협 차단
TippingPointNGFW/IPS
Deep Discovery Endpoint Sensor
엔드포인트 모니터링 및 포렌식
통합위협관리
Control Manager (TMCM)Deep Security
서버보안 및 인프라 가시성
오피스스캔
엔드포인트보안