Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

탐지

IoT에서 코로나19 해법 찾는 항공산업

항공기나 공항에서 폭발물이나 기타 화학물질 탐지 센서를 개발하는 바이오테크 기업이 항공기 제조업체 에어버스와 손잡고 코로나19 양성인 탑승객을 탐지할 수 있는 센서를 개발한다. 코니쿠(Koniku)와 에어버스는 2017년부터 무접촉 탐지 장비를 함께 개발해 왔는데, 코니쿠 CEO 오시 아가비는 자사 블로그 포스트를 통해 이 기술을 병원균 탐지에 적용하고자 한다고 밝혔다.   양사는 코로나19 감염 여부를 나타내는 화학적 표식으로 호흡이나 땀에서 나는 냄새를 파악하고자 한다. 아가비는 “감염병은 대부분 감염자의 땀과 호흡 구성물을 약간 바꿔 놓는데, 이 때문에 독특한 냄새가 난다. 만약 이 냄새를 탐지할 수 있다면, 감염의 존재 여부를 탐지할 수 있다”고 설명했다. 신종 바이러스인 코로나19의 화학적 표식을 확인하고 유전공학적으로 이들을 탐지할 수 있는 수용체를 갖춘 IoT 센서를 비행기에 설치한다는 계획이다. 센서는 공기 중의 세포를 걸러서 탐지하도록 프로그래밍된 위험이나 위협 요소를 가진 세포 구성과 접촉하면 경보를 울린다. 특히 탑승객이 센서가 설치된 폐쇄 복도를 걷는 것만으로는 감염자를 파악할 수 있다. 아가비는 이 방식으로 “빠르고 안정적으로 코로나19를 막고 감염되지 않은 사람을 판별할 수 있을 것”이라고 강조했다. 피부 온도를 측정하는 EST 카메라를 포함해 무접촉 탐지 기술은 이미 여러 곳에서 사용되고 있다. 이탈리아의 주 공항인 레오나르도 다빈치 공항은 세 가지 열화상 헬멧을 도입했다. 다빈치 공항은 이미 고정식 열화상 카메라도 추가 주문한 상태. 열이 높은 것으로 탐지된 승객은 추가 검사를 받게 된다. 이 헬멧을 만드는 중국 KC 웨어러블은 직원이 헬멧을 쓰고 승객과 멀리 떨어진 거리에서도 사용할 수 있다고 설명했다. 열화상 카메라를 만드는 FLIR 시스템은 EST 스크리닝에 사용되는 열화상 카메라 수요가 증가하고 있다고 자사 실적 발표를 통해 밝혔다. FLIR은 “열화상 카메라는 의학적 상태를 탐지하거나 진단하지는 못하지...

바이러스 센서 탐지 2020.05.14

구글 플레이 스토어, 새로운 앱 디펜스 연합으로 보안 오명 벗는다

안드로이드는 플레이 스토어에서 이른바 ‘악당’들과 긴 싸움을 벌여왔다. 구글이 플레이 스토어 내부로 들어오는 모든 악성 앱을 막지는 못한다. 그래서 구글이 내세운 대안은 모바일 보안 분야의 주요 업체와 손 잡고 '앱 디펜스 연합(App Defense Alliance)'을 결성하는 것이다.   새로운 연합에는 구글, ESET, 룩아웃(Lookout), 짐페리엄(Zimperium)이 참여해 안드로이드의 악성코드 검사기인 플레이 프로텍트(Play Protect)를 강화한다. 안드로이드 8 오레오부터 적용된 이 기능은 꽤 효과가 있는 것으로 평가된다. 백그라운드에서 동작하는 플레이 프로텍트는 플레이 스토어의 앱과 사용자의 안드로이드 폰에 설치된 앱을 정기적으로 검사해 사용자에게 악성코드의 존재 여부를 알려준다. 한 가지 문제라면, 스캐너의 성능이 그다지 좋지 않다는 것. AV-Test의 격월 안티바이러스 리뷰에 따르면, 플레이 프로텍트의 점수는 보호 기능과 사용자 편의성 모두 꼴찌로, 최신 안드로이드 악성코드 공격의 55%를 인식하는 데 그쳤다. 업계 평균은 97%이다. 새로운 앱 디펜스 연합은 이 수치를 확실히 끌어올릴 것으로 보인다. 구글은 블로그 포스트를 통해 이번 협력으로 “각 협력업체의 검사 엔진을 구글 플레이 프로텍트 탐지 시스템과 통합할 예정”이기 때문이다. 새로운 앱 위험 정보도 생성된다. 협력업체는 데이터세트를 분석하고 앱이 플레이 스토어에 등록되기 전에 감시하는 또 하나의 눈으로 활동한다”고 설명했다. 분명 악성 앱이 사용자의 안드로이드 폰을 감염시키기 전에 추정하고 특정해 차단할 강력한 시스템이 될 것이다. 구글은 “이들 협력업체를 잠재적 위협 탐지 실적과 생태계 개선에 대한 기여를 기준으로 공들여 선정했다”고 강조했다. 새로운 시스템은 머신러닝과 정적/동적 분석의 조합을 사용해 악당이 플레이 스토어를 덮치기 전에 집어낸다. 구글은 새 시스템이 개별 스마트폰에서도 동작하는지는 밝히지 않았지만, 악성코드가 플레이 스토어에 도달하는 ...

맬웨어 악성코드 탐지 2019.11.08

윈도우 10용 안티바이러스 소프트웨어 TOP 12

AV-TEST 인스티튜트가 최근 가장 인기 있는 윈도우 10 클라이언트 안티바이러스 제품을 방어, 성능, 유용성이라는 세가지 기준으로 테스트했다. 그 결과 18개 제품 중 4개가 각 기준에 대해 6점 만점을 받았다. - 카스퍼스키랩 엔드포인트 시큐리티 - 카스퍼스키랩 스몰 오피스 시큐리티 - 시만텍 엔드포인트 프로텍션 - 시만텍 엔드포인트 프로텍션 클라우드 이번 기사에서 알파벳순으로 소개하는 12개 안티바이러스 제품은 18점 만점에서 최소 17.5점을 받았다. 전체 테스트 결과는 AV-TEST 인스티튜트 웹사이트에서 확인할 수 있다.   안티바이러스 테스트 결과 활용법 이 테스트는 랩 환경에서 수행되었다. 위협 모델 다른 각각의 다른 엔터프라이즈 시스템은 각 제품에 관해 다른 결과를 나타낸다. 다시 말해, 실험실에서 100% 탐지율을 보였다고 해서 해당 제품이 네트워크의 모든 안티바이러스 위협을 탐지한다는 의미는 아니다. 이런 차이를 보이는 이유 중 하나는 새로 제출된 악성코드 표본이 지정된 안티바이러스 제품의 데이터베이스로 만들어지는 데 며칠이 걸릴 수 있기 때문이다. AV-TEST 결과에 따르면, 악성코드 탐지의 기본 요소에 가장 적합한 윈도우 안티바이러스 제품이 시스템 성능에 미치는 영향은 가장 적었다. 이는 기업 환경에 가장 적합한 제품을 평가할 때 좋은 출발점이 된다. ‘우수 평가받은’ 윈도우 10 안티바이러스 툴  1. 어베스트 비즈니스 안티바이러스 프로 플러스 19.5와 19.6 어베스트 비즈니스 안티바이러스 프로 플러스는 지난 4주 동안 발견된 제로데이 악성코드 공격 및 악성코드를 중지시키는 데 완벽한 점수를 받았다. 표준 PC에서 평균보다 11%포인트가 느린 인기 웹사이트를 제외하고 모든 테스트에서 평균보다 성능이 높았다. 합법적인 소프트웨어를 설치하고 사용하는 동안 하나의 잘못된 행동 차단을 등록했다. 2. 비트디펜더 엔드포인트 시큐리티 6.6 비트디펜더 엔드포인트 시큐리티는 테스트에 쓰인 모든 제로데이 악성코드...

맥아피 윈도우10 AV-TEST 2019.10.08

글로벌 칼럼 | '머신러닝 기반의 자율 보안', 설득이 되지 않는 이유

아주 스마트한 최신 머신러닝을 사용해 알려진, 알려지지 않은 침입 위험을 제거하는 새로운 첨단 네트워크 침입 탐지 장치에 대해 들어봤을 것이다. 네트워크의 정상 동작 및 비정상 동작에 대해 학습해, 비정상 동작을 확인하면 즉시 알려줄 정도로 IDS(Intrusion Detection System)는 확실히 스마트해졌다.  또한 모든 악성 트래픽을 차단하는 침입 방지 시스템(Intrusion Prevention System, IPS)에 대해서도 들어봤을 것이다. 이런 AI 기반 솔루션은 99%의 정확도로 공격을 탐지한다고 주장한다. 심지어 기존에 알려지지 않았던 공격도 탐지할 수 있다고 강조한다.  대단히 놀라운 주장이다. 그리고 멋진 '마케팅 홍보’다. 그러나 정말 그럴까? 필자는 이런 주장에 설득되지 않는다. 2가지 중요한 이유 때문이다. 1. 앞서 언급한 마케팅 주장은 공격 탐지와 침입 탐지를 혼동하고 있다. 공격에는 성공 못해도, 침입에는 성공할 수 있다. 5개의 새로운 공격을 탐지했다고 가정하자. 그러나 단 1개가 진짜 침입이다. 4개의 실패한 공격이 아닌, 1개의 성공한 침입에 초점을 맞추고 싶지 않은가? 2. 머신러닝으로 강화된 보안이 견고하지 않을 수도 있다. 공급업체에 해당되는 경우가 많은 1개 데이터 세트에는 잘 작동하지만, 사용자의 진짜 네트워크에는 효과가 없다는 의미다. 간단히 말해, 공격자는 탐지 회피를 중시한다. 그런데 머신러닝 관련 조사 결과에 따르면, 탐지를 회피하는 것이 어렵지 않은 경우가 많다. 머신러닝 알고리즘은 일반적으로 활성 공격자를 이기려는데 목적을 두고 있지 않다. 사실 공격자 관련 머신러닝 분야는 학술 연구조차 아직 '유년기’이다. 머신러닝 기술이 적용된 실제 제품은 두 말할 나위 없다. 오해는 하지말기 바란다. 멋진 연구, 훌륭한 연구원이 많다. 그러나 완전한 ‘자율 보안’에 대한 준비가 되었다고 생각하지 않는다. 자율 보안(autonomous security)은 머신이 탐지, 대응, 방어...

IPS ML IDS 2019.09.04

엔드포인트 탐지와 대응의 7대 죄악

기업에서 데이터를 적절히 보호하기 위해서는 많은 요소가 조화를 이뤄야 한다. 대부분의 기업은 차단에 중점을 두는 보안 전략을 채택하지만 시스템을 완벽하게 걸어 잠그고 모든 침입을 막을 수 있다고 생각한다면 오산이다. 죽음과 세금은 피할 수 없다는 말이 있지만 데이터 침해도 마찬가지다. 대다수 기업이 언젠가는 데이터 침해를 겪게 된다. 핵심은 신속한 탐지와 대응이다. 공격자에게 네트워크 깊이 침투해 횡으로 이동할 시간적 여유를 줄이고, 규정 위반으로 인한 벌금 위험을 낮추며, 기업 평판 훼손을 막는 데도 도움이 된다. 또한 데이터 침해로 인한 비용도 낮춰준다. 탐지하는 데 걸리는 시간이 길어질수록 침해 비용은 커진다. 그러나 포네몬 인스티튜트(Ponemon Institute)의 조사 결과에 따르면, 기업에서 침해를 탐지하기까지 걸리는 시간은 평균 196일에 이른다. 필요한 속도를 달성하려면 이에 맞는 마음가짐과 최선의 EDR 툴, 두 가지가 필요하며, 이를 위해서는 우선 다음과 같은 탐지 및 대응의 7가지 치명적인 죄악을 알아야 한다.   1. 보이지 않는 엔드포인트 오늘날의 보편적인 IT 환경에는 다양한 운영체제를 실행하는 수많은 디바이스가 포함된다. IoT와 원격 근무자, 서드파티로 인해 악용 가능한 엔드포인트는 매일 늘어나고, 복잡성도 함께 높아진다. 모든 기업은 관리되지 않는 디바이스를 보호하고 IoT 사각 지대를 없애기 위한 조치를 취해야 한다. 네트워크에 존재하는 모든 엔드포인트에 대한 완벽한 실시간 시야를 확보하는 것이 급선무다.   2. 데이터 분석 실패 우수한 EDR 시스템을 구축하고 올바르게 구성했더라도 보인 팀이 눈사태처럼 쏟아지는 데이터에 매몰되면 행동의 지표가 될 가치있는 통찰력을 얻지 못하게 된다. 관건은 두 가지다. 비즈니스에 맞는 툴을 마련하고 올바르게 구성해야 한다는 것, 그리고 수신되는 데이터를 분석하기 위한 리소스가 필요하다는 것이다.   3. 경보 무시 양치기 소년 이야기와 마찬가지다. 오탐지를 ...

탐지 2018.11.27

암호 화폐 채굴 악성코드를 탐지하고 방지하는 방법

암호 화폐 채굴 소프트웨어로 기업 인프라를 감염시키는 크립토재킹(Cryptojacking)에 눈을 돌리는 해커들이 증가하고 있다. 안정적이면서 지속적으로 이익을 챙기기 위해서다. 해커들은 아주 영리하게 악성코드를 숨기고 있다. Credit: Getty Images Bank 기업들은 주요 데이터의 도난이나, 랜섬웨어 공격으로 인한 데이터 암호화 신호를 찾는 것을 중시한다. 크립토재킹(Cryptojacking)은 훨씬 더 은밀하기 때문에, 기업이 이를 탐지하기 어려울 수 있다. 진짜 피해를 초래하지만, 명백히 드러나지 않는 경우도 있다. 암호 화폐 채굴 소프트웨어가 클라우드 인프라를 감염시키거나, 전기 요금 관련 비용을 상승시키면서 즉시 금전적 피해가 발생할 수 있다. 또한 머신을 정지시키는 경우, 생산성과 성과가 저하된다. 플래시포인트(Flashpoint)의 정보 분석가 칼스 로페즈-페날버는 "암호 화폐 채굴을 목적으로 만들어지지 않은 CPU가 하드웨어에 악영향을 초래할 수 있다. 타버리거나, 속도가 느려진다"고 지적했다. 크립토재킹은 아직 초기 단계다. 지금 이런 종류의 공격의 한 종류를 탐지했다면, 앞으로 4~5 종류를 직면하게 될 전망이다. 로페즈-페날버는 "암호 화폐 채굴자의 공격을 막을 수 있는 도구 가운데 하나는 잘 훈련된 신경망(Neural Network)"이라고 말했다. 현재 보안 공급업체들이 이와 관련된 노력을 기울이고 있다. 머신러닝과 다른 인공지능(AI) 기술을 이용, 알려지지 않은 공격을 포함해 암호 화폐 채굴 공격을 가리키는 신호를 포착하는 노력이다. 네트워크 수준에서 암호 화폐 채굴 공격을 방어 많은 공급업체가 네트워크 수준에서 암호 화폐 채굴 동작을 탐지하는 기술과 기법을 개발하고 있다. SecBI CTO 알렉스 바이스티크는 "현재 엔드포인트 수준에서의 탐지는 아주 어렵다. 모바일 장치, IoT, 노트북 컴퓨터, 데스크톱, 서버 등 종류가 다양하...

탐지 암호화폐 채굴악성코드 2018.04.06

랜섬웨어를 실행케 하는 이메일 제목 TOP 10

임직원들에게 이 이메일 제목들을 제공한 후, 피싱 메일을 보내보자(본 기사에서는 영어로 된 피싱 목록이지만 최근 국내에서 유행한 한글로 된 피싱 이메일 목록도 소개한다. 편집자 주). 랜섬웨어(Ransomware)는 임직원에게 이메일 메시지를 통해 사용자에게 전달된다. 이메일 제공업체 마임캐스트(Mimecast)에 따르면, 사이버범죄로 인한 공격 가운데 91%가 피싱(phishing)으로 시작한다. 시스코 2017 연례 사이버 보안 보고서(Cisco 2017 Annual Cybersecurity Report)에 따르면, 랜섬웨어는 연간 350% 비율로 증가하고 있다. 전세계적으로 확산된 랜섬웨어 전염병에 대해 좀 더 알고 싶다면 사이버보안 벤처(Sebersecurity Ventures)의 최신 랜섬웨어 보고서를 읽어보면 된다. <미래 범죄(Future Crimes)>의 저자인 마크 굿맨은 "랜섬웨어는 사이버범죄 세계에서 게임 체인저"라고 말했다. 굿맨은 "랜섬웨어는 사이버범죄를 완전 자동화했다",며, "범죄의 자동화는 전세계 기업과 개인이 당하는 고통이 증가할 뿐만 아니라 국제 범죄 조직의 이익도 기하급수적으로 증가하고 있다"고 말했다. 다음 랜섬웨어 공격으로부터 자사를 보호하고 싶다면, 최근 노우비포(KnowBe4)가 게시한 2분기 2017년 전세계에서 가장 많이 클릭한 피싱 이메일 제목 10개를 직원들에게 제공하라. 이후 말 그대로 피싱을 해보자. - 보안 경고(Security Alert) – 21% - 연차 휴가 및 병가 정책 변경(Revised Vacation & Sick Time Policy) – 14% - UPS 운송 라벨(UPS Label Delivery) 1ZBE312TNY00015011 – 21% - 속보: 유나이티드 에어라인 승객, 뇌출혈로 사망 동영상(BREAKING: United Airlines Passe...

이메일 탐지 피싱 2017.07.19

“예방에 탐지를 더한다” 기업의 사이버 공격 보안 트렌드

많은 기업들이 해커 그리고 악당들이 시스템에 침투할 수 있다고 인정한 사이버 공격이 많다. 지난 2년 동안 일부 기업들이 수립한 전략은 시스템 또는 네트워크의 일부를 차단함으로써, 이런 공격을 조기에 발견하고 고립시켜 해커가 며칠 또는 몇 달 동안 돌아다니면서 민감한 기업 데이터를 획득하지 못하게 하는 것이었다. 기업들이 네트워크와 컴퓨터에 대한 다양한 공격을 신속히 탐지하고 대응하는 것에 초점을 맞추고 있지만, 이것이 공격을 예방하는 전통적인 툴을 대체할 수는 없다. 따라서 기업들은 예방 소프트웨어와 탐지 소프트웨어 모두를 활용하고 있다. 최근에는 보안 소프트웨어 벤더들이 고급 분석을 통해 공격을 평가하는 방법을 개발하고 있다. 이러한 분석은 이미 존재하는 예방 시스템에 들어가 미래의 공격을 차단하는 데 도움을 줄 수 있다. 최소한 이론상으로 탐지는 보안 사이클의 일부로 자리잡고 있다. 가트너의 애널리스트 아비바 리탄은 “예방은 침입 및 악의적인 활동을 놓치는 경우가 많기 때문에 기업들은 신속한 감지와 대응에 중점을 두고 있다”고 한 인터뷰에서 말했다. 이런 트렌드는 미국 소매기업, 식당, 병원 등에서의 데이터 유출이 크게 증가한 약 2년 전부터 본격적으로 시작되었다. 리탄은 “보안 관계자들은 예방을 위해 2014년에 연간 800억 달러를 지출했지만 많은 공격을 방어하지 못했다는 사실을 깨달았다”고 말했다. 리탄에 따르면, 예방의 주된 목적은 공격을 조기에 발견하여 공격자들이 평상시처럼 약 6개월 동안 자리를 잡고 둘러보면서 조용히 정보를 훔치지 못하도록 하는 것”이다. 주니퍼 리서치(Juniper Research)의 제임스 모어는 현대의 사이버 보안이 발전해야 한다며 “보호가 가능한 신뢰할 수 있는 네트워크 경계란 없지만, 일련의 위험을 완화해야하며, 그렇지 않으면 위험에 노출될 것이다. 이런 환경을 보호하기 위해서는 공격이 진행 중일 때 이상을 탐지하는 툴이 ...

네트워크 탐지 예방 2017.05.08

예방이냐 탐지냐? 취약점에 대한 CISO의 자세

오늘날 CISO는 기업에서 가장 가치있는 자산을 보호하는 데 정보에 입각해, 효율적이고 경제적인 의사결정을 내리기 위해 노력하고 있다. 예전에는 예방에 대한 투자가 적절한 보호를 해줬기 때문에 의사결정이 조금더 쉬웠다. 하지만 현재는 그렇지 않다. <지능형 지속 보안(Advanced Persistent Security)> 저자이자 시큐어 멘텀(Secure Mentem) 대표 아이라 윙클러는 "모든 위협으로부터 보호하려는 노력은 비용 효율적이지 못하다"고 말했다. 예방적 보호의 세계에서 나이를 먹어가는 방어자들의 사고방식을 바꾸는 것은 점점 더 어려워졌다. 결과적으로 일부 보안 프로그램은 실패했다. 이에 대해 윙클러는 "해커들이 안으로 들어가서가 아니라 그들이 밖으로 나왔기 때문"이라고 말했다. 강력한 보안 프로그램을 구축하기 위해 CISO는 예방, 탐지, 그리고 대응의 적절한 균형에 투자해야 한다. 예를 들어, 탐지에 더 집중하기 위해 관리할 수 있는 몇가지 취약점을 남겨 둘 수 있다. 콘트래스트 시큐리티 CTO이자 공동 창립자인 제프 윌리엄스는 "윙클러는 보호, 탐지, 그리고 대응을 구분하려 노력하고 있다. 물론 책임있는 보안 전략은 모두 3가지가 있다"고 말했다. 윌리엄스는 "우선 순위는 과제 가운데 하나"라며, "보안에서 우선 순위를 부여하고 대응하는 것이 현재 위협에 압도당하는 CISO에게 한줌의 위안을 제공하고 있다"고 말했다. 윌리엄스는 사이버 보안을 주택 보안에 비유했다. "만약 취약점을 막으려 하지 않는 것은 문과 창문을 잠그는 것을 걱정하지 않는 것이다. 단지 경보기가 울리고 경찰이 자신을 보호해 줄 때까지 기다리는 것이다." 실제로 경보가 울리지 않는 공격도 있을 수 있다. 윌리엄스는 "경찰이 항상 효과적으로 대응하는 것은 아니며, 경찰이 도착할 때까지 이미 피해가 발생했을 것&qu...

취약점 탐지 예방 2017.04.07

자신의 IoT 기기 안전을 지키는 법

"안전한 것은 아무 것도 없다." Credit:Shardayyy 최근 딘(DYN)과 브라이언 크렙의 웹사이트를 무너뜨린 사이버범죄자들은 사용자 눈앞에 인터넷을 가져오는 기기를 이용하는 방법을 발견했다. 포트녹스 CEO 오퍼 아미타이는 사용자 기기의 안전을 지키는 몇 가지 접근법을 제공했다. 결정(Decision) 변화라는 속성상 가장 첫번째 단계는 바로 결정이다. 사용자는 자신의 네트워크 내 IoT 기기들의 안전을 지키기로 결정해야 한다. 이를 위해서는 자원과 시간 모두가 소모된다는 점을 이해해야 한다. 평가(Assessment) 그 다음 단계는 바로 계획 수립이다. 계획 수립의 첫번째가 바로 평가다. 사용자는 자신의 네트워크 내에서 이 기기들이 실제로 어떻게 작동하는지 이해해야 한다. 자신의 네트워크 내에 있는 어떤 기기라도 지속적으로 모니터링하라. 원격으로 조정하는 기기를 모두 목록화하고 어디서 연결하고 있는 지 어떻게 작동하는지 이해하라. 가급적이면 이 모든 일들을 한 곳에서 진행하라.  NSA TAO(Tailored Access Operation, 맞춤형 접근 작전) 부서장 롭 조이스는 "사용자가 진정 자신의 네트워크를 보호하길 원한다면 자신의 네트워크를 알아야 한다"고 말한 바 있다. 방지(Prevention) 네트워크의 안전 강도는 가장 약한 연결고리만큼이다. 우리의 네트워크는 관리되지 않은 IoT 기기들로 구성되어 있다. 이 IoT 기기들을 그들 자체 소규모 네트워크(VLANs)로 분리하라. 그리고 이들 영역 간에는 차세대 방화벽을 넣어라. 이 방법을 사용한다면 하나의 IoT 기기가 뚫려 블랙 햇 해커들의 C&C(command and control) 허브가 되어도 자신의 전체 네트워크가 침투당하지는 않는다. 적응(On-Boarding) 자신의 분리 매커니즘을 배치했다면, 새로운 기기를 위한 자동 배치 및 수동 적응 프로세스가 필요하다. 적...

기기 방지 탐지 2016.10.26

탐지와 대응, 어디서부터 시작해야 하나

위협 환경이 끊임없이 진화하고 사이버 보안 전문가들이 탐지와 사고 대응에 대한 의존도를 높이면서 보안은 점점 더 협업 영역이 많아지고 있다. 하지만 이 협업을 어디서부터 시작해야 할까? Credit: Getty Images Bank 많은 보안 전문가가 로보틱스 클러스터협회가 주최한 MASSTLC 컨퍼런스에서 이에 관한 논의를 시작했다. IBM 엑스포스(X-Force) 연구 전략가인 크리스 폴린은 "문제는 환경을 이해해야 한다는 것이다. 다운로드 또는 업로드되는 데이터의 양은 어느 정도인가? SIEM은 정책과 규정 준수를 파악하기 위한 임계점을 주시하지만 환경에 대한 지식도 필요하다. 일반적으로 사용자들이 업/다운 로드하는 파일은 특정 크기로 정해져 있지 않다"고 말했다. 환경을 이해하기 위해서는 이에 따른 인력이 필요하지만 현재 대부분의 기업은 이런 인력을 보유하고 있지 않다. 그렇다면 경보의 범람에 직면하고 며칠 동안 문제 해결에 골몰하는 보안 팀이 환경을 이해하려면 어떻게 해야 할까? 폴린은 "자산 인벤토리와 데이터 검색, 두 가지 개념이 있다. 이 두 가지 개념은 긴밀히 연계된다. 어떤 시스템과 애플리케이션이 있는지, 이 애플리케이션의 소유자는 누구인지, 인증된 사용자는 누구인지, 애플리케이션에 대해 누가 어떤 권한을 갖고 있는지를 알아야 한다"고 말했다. 정책을 적용하기 전에 먼저 인벤토리와 접근 제어에 대해 알아야 한다. 폴린은 "어떤 데이터가 있는지, 소스코드 데이터 또는 금융 데이터를 기준으로 PCI 데이터는 어디에 위치하는 지와 같은 상황 인식이 필요하다"고 말했다. 사용자 행동 분석(User behavior analytics)은 매우 오래 전부터 사용되고 있지만 기계가 집계하고 연계할 수 있는 데이터의 규모가 커지면서 최근 몇 년 사이에 크게 확산됐다. 폴린은 "보안 팀은 환경에서 일어나는 활동에 대해 알아야 한다. 이메일 서버 또는 금...

이벤트 탐지 사고 2016.09.06

탐지와 분석 중심의 실효성 있는 보안 인텔리전스 전략 - IDG Summary

오늘날의 보안 위협은 그 규모는 물론 지능화된 공격 방법으로 인해 모든 기업에게 커다란 과제가 되고 있다. 특히 스스로를 숨기고 사람의 약점을 노리는 보안 공격은 일상적인 비즈니스 행위와 구별하는 것이 어려워 종전의 보안 방식으로 막아내는 것이 불가능한 상황이다. 이 때문에 지능화되고 다각화되는 보안 공격을 방어하기 위한 인텔리전스 기반의 선제적 대응에 대한 관심이 높아지고 있다. 탐지와 분석을 기반으로 한 선제적 통합 보안 플랫폼의 조건과 대응 전략을 살펴 본다. 본 콘텐츠를 다운로드 받아주시는 분들 중 추첨을 통하여 [ 스타벅스 아이스 아메리카노 ] 기프티콘을 증정해 드립니다. 주요 내용 인텔리전스 없는 보안 “빈수레가 요란하다” 실효성 있는 보안 인텔리전스의 조건 맥락과 상관관계 분석의 중요성 더 강력한 방어를 위한 실행 가능한 보안 인텔리전스 글로벌 가시성을 제공하는 단일 보안 인텔리전스 플랫폼

탐지 분석 IBM 2016.07.14

Cisco Advanced Malware Protection : 실제 환경을 위한 침입 차단, 탐지, 대응 및 복원

Cisco AMP(Advanced Malware Protection)는 지능형 악성코드 문제의 전체 라이프사이클을 다룰 수 있는 보안 솔루션입니다. 이 솔루션으로 침입을 방지할 수 있으며 비용과 운영 효율성의 저하 없이도 최전선 방어를 우회하는 보안 위협을 빠르게 탐지, 격리, 복원할 수 있도록 하는 가시성과 제어 기능도 확보할 수 있습니다. 주요 내용 Cisco AMP 개요 글로벌 위협 인텔리전스 및 동적 악성코드 분석 지속적 분석 및 회귀적 보안 위치에 관계없는 보호를 지원하는 구축 옵션 시스코 보안 솔루션 센터 바로가기 

맬웨어 시스코 Amp 2015.12.16

"보안 위협 방지는 아직 죽지 않았다"...IBM

기업에서 악성코드 기반의 침투를 방지하는 것이 불가능에 가깝다는 주장이 보안 업계에서 번지고 있는 가운데, IBM은 바로 '신속한 탐지는 새로운 방어'라는 주장으로 의견을 완전히 달리했다. IBM 보안 시스템 제품 관리 및 채널 부문 부사장 마크 반 자델호프는 "보안 산업계에서 많이들 얘기하는 '방지(prevention)는 죽었다'는 말이 회자된다. IT 보안 방어에서 방지는 현실적인 기대에 부응해야 한다"고 반론을 제기하면서 IBM의 보안 소프트웨어와 서비스를 소개했다. 자델호프는 "우리 시각으로 보면 물론 어렵다. 그러나 가능하다"고 말했다. 자델호프는 언제나 방지가 가능하지 않다는, 100% 보증이 아니라는 점은 인정했다. 하지만 방지는 기업 보안 전략에 초점을 맞춰야 한다고 주장했다. 이를 위해 IBM은 마이크로소프트 윈도우와 애플 맥용 엔드포인트 보안 에이전트를 포함한 IBM 위협 방어 시스템(IBM Threat Protection System)이라는 솔루션을 제공하고 있다. 이 제품은 IBM이 인수한 보안업체 트러스티어(Trusteer)에 의해 개발된 랩포트 소프트웨어(Rapport software)다. 랩포트 소프트웨어는 금융 거래에 초점을 맞춘 제우스(ZeuS) 봇넷과 같은 악성코드 위협에 대응한 제품으로, 금융 서비스 업체에 의해 온라인 뱅킹 고객들에게 널리 배포됐다. 또한 IBM은 핵심 안티악성코드 기술을 보유했으며, 추가적으로 기업을 위한 아펙스 악성코드 방지(Apex Malware Prevention)라 불리는 소프트웨어를 개발했다. 반 자델호프는 "이 소프트웨어는 악성코드의 행위를 파악함으로써 활동에 대해 막아내는, 제로데이 공격을 탐지한다. 사용자들이 악성으로 간주한 것에 대해 설치를 중지시킨다"고 말했다. 이와 함께 IBM은 보안 솔루션의 일부로 아펙스 엔드포인트 소프트웨어에 의해 수집된 위협 정보들과 통합할 수 ...

방지 탐지 보안 위협 2014.05.07

구글, 검색엔진으로 악성 프로그램 감염 탐지

구글의 검색엔진이 이번에는 악성 프로그램과의 전투를 시작한 것으로 보인다.   특정 악성 프로그램에 감염된 사용자가 구글 검색엔진을 이용하면, 검색 결과 상단에 커다란 노란색 상자를 볼 수 있는데, 이 상자는 악성 프로그램 제거 방법을 설명하는 구글의 웹 페이지로 연결된다. 이 페이지는 안티바이러스 소프트웨어를 설치하거나 업데이트하라고 알려주며, 윈도우 PC에서 수동으로 악성 프로그램을 제거하는 방법도 제시한다.   구글은 해당 악성 프로그램에 대한 상세한 설명은 하지 않고 있으며, 단지 이 악성 프로그램이 프록시라는 매개 서버를 통해 인터넷 트래픽을 가로채기 때문에 검색엔진이 이들 서버로부터 오는 트래픽을 탐지할 수 있다고만 설명했다.   하지만 구글이 감시하고 있는 IP 주소는 비트디펜더나 트렌드마이크로 등의 보안 업체들이 트로이목마 사이트의 일부라고 표시한 것으로, 사용자들에게 가짜 안티바이러스 소프트웨어를 설치하도록 가짜 경고를 보내고 있다.    구글이 특정 프록시를 감시하고 있기 때문에 자체 프록시 서버를 사용하는 기업의 경우는 이런 경고 메시지를 받지 않는다. 구글은 기업이 이 악성 프로그램에 감염된 프록시를 보유할 수도 있으며, 이 경우 사용자의 PC가 깨끗하더라도 모든 사용자에게 경고 메시지를 발송할 수 있다고 밝혔다.   구글의 검색 엔지니어인 매트 커츠는 이에 대해 “감염된 것으로 보이는 시스템의 사용자에게 경고를 보내고 사용자를 보호하기 위한 실험”이라고 설명했다. 따라서 구글이 더 폭넓은 프록시 기반 악성 프로그램에 대해 이런 조처를 확대할 가능성도 높아 보인다.   하지만 구글이 보안 시장으로 진출하려는 것으로 확대 해석할 필요는 없어 보인다. 구글은 제거 방법을 알려줄 뿐, 감염된 사용자는 여전히 적절한 안티바이러스 소프트웨어를 사용해만 악성 프로그램을 제...

검색엔진 구글 맬웨어 2011.07.21

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.