엔드포인트 보안 솔루션 - withnetworks 보안 엔드포인트 보안 중요성...
TRANSCRIPT
IMM
UNIZ
ER엔드포인트의
보안 체질을 강화하라
i24A APT 솔루션i24R 랜섬웨어 솔루션
엔드포인트 보안 솔루션
엔드포인트의보안 체질을 강화하라
CONTENTS
withnetworks _ 03
엔드포인트 보안 _ 04
i24A _ 06
i24R _ 09
Summary _ 13
인증현황_14
위드네트웍스는 2009년에 설립되어
네트워크 보안, 엔드포인트 보안, IT 인프라 전반에 대한
기술 컨설팅 및 구축 사업을 통해 설립 이후
매년 지속적으로 성장해왔습니다.
더 나아가 관제 인프라를 운영하여 MDR 사업과
자사 R&D 센터의 독자적인 기술력을 바탕으로 개발된
엔드포인트 솔루션 ‘i24 Suite’를 출시하여
Total ICT 보안 서비스 전문 기업으로 나아가고 있습니다.
03
Total ICT 보안 서비스 전문 기업
Since 2009
APT 대응 솔루션 i24A
랜섬웨어 대응 솔루션 i24R
IT의 가치를 고객과 함께with you and withnetworks
04
엔드포인트보안
엔드포인트보안
엔드포인트 보안
중요성
엔드포인트는 네트워크에 최종적으로 연결된 IT 장치로
스마트폰, 노트북, 데스크톱 등을 말하며 공격자들의 최종 목표 지점입니다.
Malware 공격은 기존 보안 네트워크 또는 보안 장비를 우회하여 사용자가 악성코드를 실행하도록
유도하기 위해 사회공학적 기법을 결합하여 지속적으로 발전하고 있습니다.
컴퓨터 시스템을 감염시켜 사용자의 접근을 제한하고 이를 이용해 몸값을 요구하는 악성 소프트웨어
엔드포인트 보안취약점을
겨냥한 공격(NSHC 2019 분석 보고서)
소셜네트워크를 이용한
악성코드 유포(EST Security 2019 보안동향)
기업 네트워크 외의
공간에서 개인 단말기를
업무에 활용 증가
지능화된 스피어피싱
APT 공격(HAURI 2019 보안동향)
다양한 경로를 통한
크립토재킹 확산(AhnIab 2019 보안동향)
Ransomware?
공격 대상에게 호기심을
유발하는 자극적인 문서,
동영상, URL, 주소 등으로
실행하도록 유도하여 감염
공격 대상에게 이메일, 메신저
등을 통하여 악성코드가 삽입된
컨텐츠 파일을 첨부하여
클릭 유도
컨텐츠 파일 기반
공격
랜섬웨어 공격
사용자가 파일을 실행하는 순간
악성 코드 동작
USB와 같은 매체를 통해서도
컨텐츠 파일은 내부 망에 유입
다른 내부 사용자들에게
복사되면서 망 전체로 확산되어
망이 분리된 상황이라도
내부 망으로 확산
지속적으로 새로운 취약점을
통해서 사용자 PC의
중요 문서 암호화
하루에도 수십개의 변종 파일 등장
시간이 지날수록 공격 방식조차
다양화
근본적으로 악성파일의 권한을
제어하고 암호화 되지 않도록
차단하는 방식 필요
엔드포인트보안
기존 엔드포인트
보안 솔루션
한계
엔드포인트
보안 강화 전략
시그니처기반
솔루션
신규 & 변형된 악성 코드
신규로 추가되는 패턴에 대해 업데이트가 필요하며 업데이트되지 않은
패턴에 대해서는 대응이 불가능하다.
행위기반
솔루션
악성 코드 행위 패턴화·설정된 행위를 벗어난 신종 악성코드 대응 불가능
악성 코드는 지속적으로 새로 만들어지고 변형되므로 모든 악성 코드의
행위에 대해 패턴화하고 대응하기는 사실상 불가능하다.
행위 분석에 지나친 시간 소요
컨텐츠를 분석하는 시간에는 파일 다운로드가 불가능하므로 업무 부담이
증가할 수 있다.
컨텐츠무해화솔루션
업무에 필요한 매크로, 수식 차단·원본 파일 손상
컨텐츠를 분해하여 악성코드를 찾아내고 제거한 후 재조합하는 방식으로
대응하므로 원본 파일이 손상될 수 있으며 업무에 필요한 매크로와 수식이
차단될 수 있다.
특정 컨텐츠 확장자만 대응 가능
한정된 컨텐츠 확장자에 대해서만 악성코드를 분석하고 재조합하는
방식으로 구동된다.
악성코드의 시그니처·행위 패턴에만
의존하는 것이 아니라
원천적 대응 필요
악성코드 숨기기 위해 사용되는
모든 확장자의 컨텐츠 파일에 초점
네트워크 연결·통신 여부에 관계 없이
악성코드 근본적으로 차단컨텐츠 파일 손상·사용자의 업무 부담
최소화IMM
UNIZ
ER
엔드포인트의
보안 체질을 강화하라
05
06
i24A
i24A 대응체계
i24A
APT 대응 솔루션 i24A는 컨텐츠 파일을 기반으로 한 악성코드를 원천적으로 차단하는 엔드포인트
솔루션입니다.
악성코드가 숨겨진
컨텐츠 파일을 실시간
확인하기 위한
프로세스 모니터링
컨텐츠 파일이
이상 행위를 하는지
탐지
컨텐츠 파일 안에
포함되어 있는 외부
실행 파일이 동작하지
못하도록 차단
사용자가 의도치 않게
i24A로 차단된 파일을
다시 실행하는 경우를
방지하기 위한 잠금 처리
해커 악성파일이 숨겨진컨텐츠 파일 제작
이메일 및 각종 프로그램, 저장 장치 등에 파일 첨부
혹은 드라이브 바이 다운로드
급여명세서, 회사 기밀문서, 발주서, 비인가
사이트 등 실행 및 접근
독자적인 프로세스 탐색기술(특허출원 제10-2016-0052510호)
CONTENTS
프로그램
여부 확인
실행파일
생성 여부
확인
파일
위변조
확인
은닉된 프로그램
실행 차단
저장 프로그램
실행 허용
물품식별코드: 23495520
탐지 방어 대응모니터링
i24A
기능
07
02Agent 관리
설치된 Agent 정보 확인
라이선스 관리
Agent List 다운로드
03예외처리 관리
예외처리 추가 및 삭제
File, PATH로 예외처리 추가
04권한 관리
계정 Level 별 권한 설정
메뉴별 권한 관리
05계정별 권한 관리
관리자, 사용자 계정 추가 및 삭제
계정별 권한 설정
01탐지 로그 관리
탐지 로그 관리
탐지 로그 검색 및 다운로드
월별, 주별, 일별 탐지 로그 확인
08
i24A
기대효과
원본 파일 보존으로업무 방해 최소화 탐지 및 차단 방식
엔드포인트 Agent 네트워크 Appliance
Contents로분류되는 모든 파일
DOC, PPT, XLS 등한정
업데이트 불필요 업데이트 필수적
분해-재조합 방식
언제 어디서나안전 보장
모든 컨텐츠 파일완벽 차단
신·변종 악성코드,패턴 완벽 차단
i24A 타사 솔루션
대응 로직
구동 방식
탐지 범위
패턴
업데이트
특장점컨텐츠 파일의 종류에 상관없이
관련된 실행 파일 및 시스템
파일 자동 인식
(특허출원 제 10-2016-0052510호)
01
매크로 파일 및 제로데이 공격
모두 차단
03
악성코드를 숨겨놓은 컨텐츠
파일의 종류에 상관없이 차단
악성코드가 숨겨진 컨텐츠 파일을 다운로드
해야하며, 악성파일이 동작하는 순간을
자동으로 탐지 및 차단
02
Agent 설치 후 정기적인 패치
불필요
04
시그니처 기반이 아니기 때문에
패턴 업데이트 불필요
05Appliance 형태가 아니라
엔드포인트 솔루션이므로
네트워크와 무관하게 탐지.차단
06
i24R
i24R
Protect Folder
i24R
랜섬웨어 대응솔루션
i24R은 랜섬웨어의 파일 변경 권한을 원천 차단하는 랜섬웨어 방어 Endpoint
솔루션입니다.
프로세스 추적 파일 변경 권한 탐지
랜섬웨어 차단랜섬웨어 모니터링
랜섬웨어로 의심되는 프로세스의
행위를 판별하고 차단하기 위한
실시간 모니터링
신뢰 프로세스와 비신뢰 프로세스
구별을 위한 프로세스 실시간
추적 기술
신뢰 프로세스의 파일 변경 권한을
유지하고 비신뢰 프로세스의 파일
변경 권한을 원천 차단하기 위한
프로세스 권한 제어 기능
랜섬웨어로 의심되는 행위를
확인하였을 때 파일이 변경되기 전
파일 변경 권한의 획득을 차단하고
프로세스를 종료하는 차단 기능
09
랜섬웨어, 악성코드 또는비인가된 사용자로부터
중요 파일 보호
커스터마이징을 통해 고객사가중요시 여기는 DB가 위치한
특정 디텍토리 보호
프로텍트 폴더
특정 디렉토리에 i24R 을 통해서만 접근할 수 있도록 디렉토리의 권한을 제어하여
i24R 을 제외한 프로세스의 수정, 삭제 권한을 차단하는 기능
10
i24R
i24R 대응체계
비신뢰
프로세스의
데이터 접근
시도
모든
프로세스
탐색
선택
프로세스
List Up
비신뢰
프로세스
여부 판단
감시대상
등록
프로그램의
파일 변경
시도
차단
해커 악성파일이 숨겨진컨텐츠 파일 제작
랜섬웨어 의심독자적인 프로세스 추적 기술
(특허출원 제 10-2016-0121605호 )
독자적인 프로세스 탐색 기술(특허출원 제 10-2016-0052510호 )
급여명세서, 회사 기밀 문서발주서, 비인가 사이트 등
실행 및 접근
i24R
02확장자 관리
랜섬웨어 보호 확장자 리스트 설정
랜섬웨어 보호 확장자 리스트 변경
및 다운로드
01예외처리 관리
03탐지 로그 관리
탐지된 랜섬웨어 의심파일 확인
(PC 정보, 탐지 파일 정보, 탐지 시간)
One-Click 예외 처리
탐지 파일 다운로드
04Agent 관리
탐지된 로그 확인
(PC 정보, 탐지 파일 정보, 탐지 시간)
One-Click 예외 처리
Agent Detail 설정 변경
(탐지 시간 모드, 동작 상태 확인,
예외처리 리스트, 업데이트 상태)
비인증 프로그램 탐지 예외 추가
예외처리 리스트 변경
i24R 검사 예외 프로세스 설정
기능
매니저 서버
Agent
11
처음 PC에 설치될 때 탐지 모드로 설치
매니저 서버와 연결 후 탐지 모드를 차단 모드로 변경 가능
인가된 사용자만 차단 모드를 사용하도록 설정 가능
랜섬웨어가 디스크의 파티션을 파괘하거나 암호화하는 것을
방지하는 기능
비인가된 사용자나 악성코드, 랜섬웨어로부터 중요 파일 보호
프로텍트 폴더 내 파일이 들어가면 i24R 제외 다른 방법으로
파일 수정 / 열기 / 삭제 등 제어 불가능
탐지/차단 모드
MBR 보호
Protect Folder
차단 모드
보호
열기
12
i24R
특장점
기대효과
비신뢰 프로세스의 권한 제어를
통한 랜섬웨어 차단 기능
01
i24R 프로텍트 폴더를 통한
중요 파일 백업 기능
03
비신뢰 프로세스 추적 기술을
통한 랜섬웨어 탐지 기능
(특허출원 제 10-2016-0121605호)
02
시그니처 기반이 아니기 때문에
패턴 업데이트 불필요
04
One Click 예외처리 기능05
Appliance 형태가 아니라
Endpoint 솔루션이므로
네트워크와 무관하게 탐지.차단
06
행위기반 +데이터 접근 및 권한 제어
프로텍트 폴더로완전 보호 기능
단순 백업 방식
Pre Filter(선차단) Pro Filter(후차단)
업데이트 불필요 업데이트 필수적
순간 백업 방식 or시그니처 탐지 방식
i24R 타사 솔루션
랜섬웨어원천 차단
대응 로직
중요 파일완벽 보호
파일 보호
파일 암호화제로
차단 방법
신·변종 랜섬웨어완벽 차단
패턴
업데이트
모두 차단 가능 차단 불가정상 프로세스를
통한 랜섬웨어
Summary
엔드포인트 보안
개념도
doc, ppt, pdf, xls 등
컨텐츠 파일 다운로드
랜섬웨어
APT
실행
doc ppt
interneti24A
i24R
pdf xls
비신뢰
프로세스
판단
프로그램
파일
변경 시도
파일 접근
차단
컨텐츠
프로그램
여부 확인
파일
위변조
확인
은닉된
프로그램
실행 차단
13
i24 Suite
인증 현황
물품식별코드: 23495520
i24A 특허증 i24A GS 인증서
i24A 저작권 등록증 i24R PCT 출원서 i24R 일본
특허 출원서
i24A 조달 등록
i24R 특허증 i24 상표등록증
14
MEMO
IMM
UNIZ
ER
엔드포인트의보안 체질을 강화하라
IMM
UNIZ
ER
www.i24safe.com
WITHNETWORKS Inc
본사서울특별시 용산구
한강대로11길 13 용일빌딩(주) 위드네트웍스
부산지사
부산 금정구 금정로252세정타워 13층
W: www.withnetworks.com
Contact
대표번호 : 1811-8124제품문의 : 02-795-0124기술문의 : 070-4256-0124 M: [email protected]
아래 연락처로 연락주십시오