소포스 인터셉트 엑스 소개 (Sophos Intercept X)

소포스 인터셉트 X (Sophos Intercept X)

October 1, 2016 ㈜시큐리티트러스트

엔드포인트 보안은 새로운 전환점에

다다랐습니다.

• 공격은 방어 경계선

내부에서 발생하며, 소프트웨어 취약점을 이용합니다.

• 랜섬웨어는 약 12억 달러(약 1조2천억)의 피해를 입혔습니다.

• 사고 처리/대응을 위한, 위협 인텔리전스의 부족

다음 세대로의 패러다임의 변화가 필요합니다.

4

지능형 악성코드

제로데이 취약점 공격

제한된 가시성

Sophos Intercept X 소개

지능형 악성코드

제로데이 취약점 공격

제한된 가시성

취약점 공격 방어 (Anti-Exploit)

취약점 공격 기술 방어

• 취약점 공격 방어 (Signature-less)

• 제로데이 공격 방어

• 메모리 상주 공격 차단

• 리소스 사용량 최소&낮은 오탐율

사용자/성능 영향 최소화 파일 검사 필요 없음 시그니쳐 필요 없음

자동화된 사고 대응

• IT 친화적인 사고 대응

• 프로세스 위협 체인의 시각화

• 규범적인 교정 가이드

• 향상된 악성코드 치료/제거

위협 원인 분석 (Root-Cause Analysis)

빠른 사고 대응 위협 원인의 시각화

포렌식 수준의 강력한 제거

차세대 위협의 감지

• 악의적인 암호화 차단

• 실제 암호화 행위 기반의 차단

• 영향 받은 파일들의 자동 복원

• 공격의 근원(소스) 식별

안티 랜섬웨어 (Anti-Ransomware)

랜섬웨어 공격 차단 영향 받은 파일의 복구

공격 체인 분석

안티 랜섬웨어 ANTI-RANSOMWARE

CryptoGuard – 랜섬웨어 차단

파일 접근 모니터링

• 의심스러운 파일

변경이 감지되면, 파일

복사본이 생성됩니다.

공격 감지

• 악의적인 프로세스가

종료되고, 프로세스의

이력을 조사합니다.

초기 상태로 롤백

• 원본 파일 복원

• 악의적인 파일 제거

포렌식 가시성

• 사용자 메시지

• 관리자 경보

• 상세한 원인 분석 정보

CryptoGuard – 랜섬웨어 차단

1. 랜섬웨어 공격이 감지되면, CryptoGuard가 실행됩니다.

2. 실제 공격을 담당하는 악성코드의 정보입니다.

3. 일부 파일을 암호화 하던 랜섬웨어는 실행이 중단되고, 랜섬웨어로 인해 암호화된 파일들`은 초기 상태로 복구됩니다.

* 위 화면은 Zepto 랜섬웨어 공격을 차단한 내용입니다. ** 사용된 화면은 베타 버전이며, 정식 버전에서의 차단 화면은 다를 수 있습니다.

위협 원인 분석 ROOT CAUSE ANALYSIS

위협 원인 분석 (Root-Cause Analytics) 누가, 무엇을, 언제, 어디서 , 왜, 어떻게…에 대한 이해가 필요합니다

어떤 일이 일어났나?

• 위협 원인 분석(Root Cause Analysis)

• 프로세스/위협/레지스트리 수준의 자동 보고서

• 90일 간의 진행/처리 상황 기록(Historical reporting)

• 어떤 자산에 영향을 끼쳤는지에 대한 상세한 시각적 정보 제공

위험(Risk)은 무엇인가?

• 손상된 자산

• 손상된 비즈니스 문스, 실행파일, 라이브러리와 파일들에 대한 전체 목록

• 위협에 노출될 수 있는 기기(모바일 등..) 혹은 네트워크 리소스 (IP 등..)

향후의 예방책은?

• 보안에 대처하는 태도

• 히스토리컬 리포팅을 토대로 보안 권유 사항 마련

• 미래의 공격을 예방하기 위한 조치를 제공

• 컴플라이언스(규정준수) 상태에 대한 풍부한 리포팅 제공

11 Sophos confidential





취약점 공격 방어 ANTI-EXPLOIT

취약점 공격 기술에 대한 방어

1년 동안 발견된 새로운 악성코드

샘플의 수 약 1억개

1년 동안 발견된 취약점의 수(CVE’S) 약 1천여개

17

누적된 알려진 취약점 관련 기술들 24 개

시그니쳐 기반의 안티바이러스

해커들이 취약점 공격에 사용되는 기술들

?

Intercepting Exploits

취약점 공격 방어 • 취약점 공격 기술의 사용이 가능한

프로세스들을 모니터링. 예) 버퍼오버플로우, 코드 인젝션, 스택피봇 등등…

• 기술이 시도될 때 차단

• 악성코드가 취약점을 활용하는 것을 방지할

수 있음.

?

• CVE-2016-1019 o 2016년 4월에 취약점 공격에 사용된 취약점으로써, 어도비 플래시 플레이어 21.0.0.197 혹은 그 이전 버전에 영향을 받으며, 공격자는 지정되지 않은 벡터를 통해 임의의 코드를 실행시키거나, 어플리케이션 충돌과 같은 서비스 거부 공격을 수행할 수 있습니다.

1 • 피해자는 정상적인 사이트에 접속하였지만, 해당 사이트는 이미 감염된 상태입니다.

• 해당 사이트에는 리다이렉트 스크립트가 심어져 있습니다.

1

취약점 공격 방어(Signature-less Exploit Prevention)

2 • 첫번째 리다이렉트 2

3 • 두번째 리다이렉트

• 취약점 공격 코드가 여기에 있군요!!.

3


• 취약점 공격이 차단되었습니다!! 4

4

A • 취약점 공격은 Iexplore.exe를 통해 실행합니다.

B • 취약점 공격은 powershell.exe를 실행하려고 시도합니다.


* 사용된 화면은 베타 버전이며, 정식 버전에서의 차단 화면은 다를 수 있습니다.

새로운 클라이언트 인터페이스 New Agent Interface

인터셉트 엑스 인터셉트 엑스 + Central Endpoint Advanced

인터셉트 엑스 인터셉트 엑스 + Central Endpoint Advanced

주요 제공 기능 INTERCEPT X ENDPOINT PROTECTION

SKU CENTRAL INTERCEPT X CENTRAL ENDPOINT ADVANCED +

INTERCEPT X

Pricing Per User Per User

PR

EV

EN

T

BE

FO

RE

IT

RE

AC

HE

S D

EV

ICE

웹 보안 (Web Security) ✔

다운로드 평판 (Download Reputation) ✔

Web Control / Category-based URL Blocking ✔

디바이스 제어 (Device Control (e.g. USB)) ✔

어플리케이션 제어 (Application Control) ✔

브라우저 취약점 공격 방어 (Browser Exploit Prevention) ✔ ✔

BE

FO

RE

IT

RU

NS

ON

DE

VIC

E 파일 검사 기반 안티바이러스(Anti-Malware File Scanning) ✔

Live Protection ✔

실행 이전 행동 기반 분석/호스트 IPS (Pre-execution Behavior Analysis /

HIPS) ✔

PUA 차단 (Potentially Unwanted Application (PUA) Blocking) ✔

취약점 공격 방어 (Exploit Prevention) ✔ ✔

DE

TE

CT

ST

OP

R

UN

NIN

G

TH

RE

AT

실시간 행동 기반 분석/호스트IPS (Runtime Behavior Analysis / HIPS) ✔

악의적인 트래픽 차단 (Malicious Traffic Detection (MTD)) ✔ ✔

안티 랜섬웨어 (Cryptoguard Ransomware Protection) ✔ ✔

RE

SP

ON

D

INV

ES

TIG

AT

E A

ND

RE

MO

VE

악성코드 자동 제거 (Automated Malware Removal) ✔ ✔

Synchronized Security Heartbeat ✔ ✔

원인 상세 분석 (Root Cause Analysis) ✔ ✔

Sophos Clean ✔ ✔

EXECUTABLE FILES

MALICIOUS URLS

UNAUTHORIZED APPS

REMOVABLE MEDIA

EXPLOIT PREVENTION

MS FILES & PDF

!

ADVANCED CLEAN

RANSOMWARE PREVENTION

INCIDENT RESPONSE

감지 대응 예방 기기에 다다르기 전에 기기에서 실행되기 전에

차세대 엔드포인트는 감지 와 대응 입니다.

보안 사고의 90%는 취약점 공격에 의한 것입니다.

취약점 공격의 90%는 알려진 취약점을 이용합니다.

IT 직원의 66%는 사고 대응 기술이 부족합니다.

(주)시큐리티트러스트

[email protected]

소포스 인터셉트 엑스 소개 (Sophos Intercept X)

Software