2016.07.07

첨단 엔드포인트 보호 기술 트렌드 7가지

David Strom | Network World
10종의 첨단 엔드포인트 보안 솔루션을 광범위하게 테스트한 결과, 이를 관통하는 7가지 트렌드를 찾아낼 수 있었다. 주요 트렌드를 살펴보자.

1. 바이러스 서명은 '과거'의 방식이다.
바이러스에 고유 서명을 붙이는 방법은 '어린아이들의 장난'이다. 지난 몇 년 간 인터넷에 자동화된 바이러스 생성 키트가 넘쳐났기 때문이다. 현재 많은 최첨단 엔드포인트 보호 제품들은 바이러스토털닷컴(VirusTotal.com) 등 평판 높은 관리 서비스에 최신 공격으로 보고되는 보안 뉴스 피드를 이용한다. 크라우드스트라이크(CrowdStrike) 등 일부 제품은 여러 보안 및 로그 관리 도구를 통합, 공격 트렌드를 더 효과적으로 포착한다.

2. 실행 가능 프로그램을 추적하는 것은 '과거'의 방식이다.
과거 악성코드의 경우, 익스플로잇이 엔드포인트에 파일, 레지스터 키 등 페이로드나 잔재를 일부 남기는 것이 일반적이었다. 그러나 지금 악당들은 메모리에서 볼 일을 보거나, 행동의 흔적을 거의 남기지 않거나, PDF나 워드 문서에 은닉하거나, 자바 기반 익스플로잇으로 웹 브라우저를 해킹하거나, 사이트를 피싱 한다.

해커들은 더욱 정교해졌다. 윈도우 파워쉘(Powershell) 명령으로 원격 명령 쉘을 구성하고, 소수의 텍스트 명령을 보낸다. 이런 방식으로 엔드포인트에 거의 흔적을 남기지 않고 머신을 손상시킨다. 최신 보안 제품들은 이런 종류의 행동 변화에 효과적으로 대응하기 위해 공격이 엔드포인트에 초래한 영향을 조사한다. 처음에는 평범하게 보이는 텍스트 파일 등 남겨진 파일, 윈도우 레지스트리 변경 내용 등을 예로 들 수 있다. 이를 파악하기란 쉽지 않다. 많은 제품들이 악당들이 컴퓨터를 장악하지 못하도록 여기에 초점을 맞추고 있다.

3. 제품이 권한 상승 등 가짜 크리덴셜을 추적할 수 있을까?
현대의 공격자들은 SQL서버 등의 제품을 설치할 때 기본 설정으로 이용한 적법한 사용자 크리덴셜로 네트워크에 침입한 후, 그 권한을 도메인 관리자나 기타 네트워크의 권한이 높은 중요 사용자의 권한으로 상승시키는 시도를 한다.

4. 내부 위협의 위험이 커졌으며, 따라서 이를 차단하는 것이 더욱 중요해졌다.
기존 안티 바이러스 보호 제품이 실패하는 이유 중 하나는 공격자가 신뢰할 수 있는 엔드포인트에서 내부 네트워크에 액세스 할 권한을 획득, 피해를 초래할 수 있기 때문이다. 현대의 도구들은 이런 행동을 차단하기 위해 내부 또는 수평 네트워크 이동을 매핑, 감염된 PC를 추적해 전체 네트워크가 악당의 손에 들어가기 전에 이를 차단해야 한다.

5. 데이터 유출이 증가하고 있다.
최근 사용자의 개인적인 정보, 고객 비밀 정보를 네트워크 외부로 이동시키는 공격이 많이 발생하고 있다. 타겟과 소니의 사례는 현대의 EDR 도구들이 중요하게 다뤄야 할 부분이 무엇인지 알려준다. 이런 데이터 유출을 추적할 수 있어야 유용한 도구이다.

6. 빅 데이터 및 클라우드 기반 분석으로 네트워크 동작을 추적하는 도구들이 많다.
센서와 에이전트가 '가벼워진' 이유 중 하나는 '무거운' 작업 대부분을 클라우드에서 처리하기 때문이다. 클라우드는 빅 데이터 기법과 데이터 시각화를 이용, 잠재적인 공격을 파악해 차단한다. 센티넬원(SentinelOne)과 아웃라이어 시큐리티(Outlier Security)는 이런 기법을 이용, 실시간으로 여러 네트워크에서 데이터의 상관관계를 구현한다.

7. 최신 엔드포인트 제품에는 CEF, STIX, OpenIOC 같은 공격 보고 기준이 통합되어 있다.
센티넬원이 대표적인 사례 중 하나이다. 이는 환영할 만한 발전상이다. 이런 방향의 변화를 추구하는 제품이 증가할 것으로 기대한다. editor@itworld.co.kr


2016.07.07

첨단 엔드포인트 보호 기술 트렌드 7가지

David Strom | Network World
10종의 첨단 엔드포인트 보안 솔루션을 광범위하게 테스트한 결과, 이를 관통하는 7가지 트렌드를 찾아낼 수 있었다. 주요 트렌드를 살펴보자.

1. 바이러스 서명은 '과거'의 방식이다.
바이러스에 고유 서명을 붙이는 방법은 '어린아이들의 장난'이다. 지난 몇 년 간 인터넷에 자동화된 바이러스 생성 키트가 넘쳐났기 때문이다. 현재 많은 최첨단 엔드포인트 보호 제품들은 바이러스토털닷컴(VirusTotal.com) 등 평판 높은 관리 서비스에 최신 공격으로 보고되는 보안 뉴스 피드를 이용한다. 크라우드스트라이크(CrowdStrike) 등 일부 제품은 여러 보안 및 로그 관리 도구를 통합, 공격 트렌드를 더 효과적으로 포착한다.

2. 실행 가능 프로그램을 추적하는 것은 '과거'의 방식이다.
과거 악성코드의 경우, 익스플로잇이 엔드포인트에 파일, 레지스터 키 등 페이로드나 잔재를 일부 남기는 것이 일반적이었다. 그러나 지금 악당들은 메모리에서 볼 일을 보거나, 행동의 흔적을 거의 남기지 않거나, PDF나 워드 문서에 은닉하거나, 자바 기반 익스플로잇으로 웹 브라우저를 해킹하거나, 사이트를 피싱 한다.

해커들은 더욱 정교해졌다. 윈도우 파워쉘(Powershell) 명령으로 원격 명령 쉘을 구성하고, 소수의 텍스트 명령을 보낸다. 이런 방식으로 엔드포인트에 거의 흔적을 남기지 않고 머신을 손상시킨다. 최신 보안 제품들은 이런 종류의 행동 변화에 효과적으로 대응하기 위해 공격이 엔드포인트에 초래한 영향을 조사한다. 처음에는 평범하게 보이는 텍스트 파일 등 남겨진 파일, 윈도우 레지스트리 변경 내용 등을 예로 들 수 있다. 이를 파악하기란 쉽지 않다. 많은 제품들이 악당들이 컴퓨터를 장악하지 못하도록 여기에 초점을 맞추고 있다.

3. 제품이 권한 상승 등 가짜 크리덴셜을 추적할 수 있을까?
현대의 공격자들은 SQL서버 등의 제품을 설치할 때 기본 설정으로 이용한 적법한 사용자 크리덴셜로 네트워크에 침입한 후, 그 권한을 도메인 관리자나 기타 네트워크의 권한이 높은 중요 사용자의 권한으로 상승시키는 시도를 한다.

4. 내부 위협의 위험이 커졌으며, 따라서 이를 차단하는 것이 더욱 중요해졌다.
기존 안티 바이러스 보호 제품이 실패하는 이유 중 하나는 공격자가 신뢰할 수 있는 엔드포인트에서 내부 네트워크에 액세스 할 권한을 획득, 피해를 초래할 수 있기 때문이다. 현대의 도구들은 이런 행동을 차단하기 위해 내부 또는 수평 네트워크 이동을 매핑, 감염된 PC를 추적해 전체 네트워크가 악당의 손에 들어가기 전에 이를 차단해야 한다.

5. 데이터 유출이 증가하고 있다.
최근 사용자의 개인적인 정보, 고객 비밀 정보를 네트워크 외부로 이동시키는 공격이 많이 발생하고 있다. 타겟과 소니의 사례는 현대의 EDR 도구들이 중요하게 다뤄야 할 부분이 무엇인지 알려준다. 이런 데이터 유출을 추적할 수 있어야 유용한 도구이다.

6. 빅 데이터 및 클라우드 기반 분석으로 네트워크 동작을 추적하는 도구들이 많다.
센서와 에이전트가 '가벼워진' 이유 중 하나는 '무거운' 작업 대부분을 클라우드에서 처리하기 때문이다. 클라우드는 빅 데이터 기법과 데이터 시각화를 이용, 잠재적인 공격을 파악해 차단한다. 센티넬원(SentinelOne)과 아웃라이어 시큐리티(Outlier Security)는 이런 기법을 이용, 실시간으로 여러 네트워크에서 데이터의 상관관계를 구현한다.

7. 최신 엔드포인트 제품에는 CEF, STIX, OpenIOC 같은 공격 보고 기준이 통합되어 있다.
센티넬원이 대표적인 사례 중 하나이다. 이는 환영할 만한 발전상이다. 이런 방향의 변화를 추구하는 제품이 증가할 것으로 기대한다. editor@itworld.co.kr


X