Mind Net

ATP 공격 탐지를 위한 효과적인 방안 본문

IT News/Security

ATP 공격 탐지를 위한 효과적인 방안

sungchan41 2013. 9. 1. 17:18

개요
요즘 APT (Advanced Persistenct Threat) 지능형 지속 공격이라는 이야기가 보안세미나네트워크 잡지보안커뮤니티등 많이 들리고 있습니다간단히 말씀 드리면 정부 또는 특정 회사의 중요 정보 획득정치적 목적사이버 테러 등을 목적으로 하는 해커에 의해 사이트기업개인을 상대로 지속적으로 해킹 공격을 말하고최근 전세계적인 해킹 공격의 트랜드 입니다.

정보 유출 경위
APT 
공격을 통하여 보안사고의 유형을 보면내부자 PC 가 알려지지 않는 악성코드로 인하여 유입되고 어떠한 보안 장비방화벽, IPS, 안티바이러스 등을 우회하여 잠입하고 오랜기간 머물면서 정보를 취득하게 됩니다예를 들면 키보드 모니터링마우스 모니터링내부 네트워크 분석 등 다양한 방법으로 정보를 조금씩 해커의 서버로 전송하게 됩니다또한 전송도 암호화되고자바스크립트 난독화(암호화)를 통하여 보내기 때문에 더더욱 이를 감지하기는 어려운 실정입니다.

대응대책 1
해커가 정보를 빼나가는 경로 즉 인터넷을 사용하면서 문제가 발생하기 때문에 인터넷 구간을 전문적인 장비로 해커가 정보를 빼나가기 전에 대처해야 합니다이를 위해서 RSA Netwitness 를 가지고 인터넷 경로에 설치 (미러링 또는 Tab장비모든 Inbound/Outbound 트래픽을 수집하고(Decoder/Concentrator) TCP/IP 통신을 분석하고 (Investigator)고객사에서 사용중인 안티바이러스가 치료가 가능한지불가능한지분석하고 (Spectrum)종합적인 분석통계(Informer)가 가능하여야 합니다.

대응대책 2
만약 유입된 악성코드가 분석발견되었다면조직이 취해야할 조치는 방화벽, IPS 에서 해당 악성코드를 차단하여야 하며향후 이러한 것을 차단하기 위하여 안티바이러스에서도 패턴을 가지고 있어야 합니다이를 위하여 Spectrum 에서 악성코드를 수집하고 리포팅을 고객사 사용 백신회사에 전달하여 대응하여야 합니다.

대응대책 3
대응대책 2에서 나왔던 방화벽, IPS 에서 Netwitness 에서 분석된 악성코드를 좀더 지능화된 방법으로 차단을 하려면 같이 연동이 되어 있는 차세대 방화벽 Palo Alto 제품을 사용하시게 되면 좀더 효율적인 대응체계가 만들어 집니다.

결론
최근에는 이러한 악성코드가 사회공학 기법 즉 사람을 가지고 속이기도 합니다예를 들면최근 이슈가 되었던 연애인 한성주 동영상에도 이러한 것들이 포함되어 호기심을 자극하여 동영상 파일을 열어보게 하기도 합니다이런 여러가지 공격기법을 통하여 다양하고 지능화된 공격을 기존에 보안 장비로 방어를 하실 수 없으며좀더 지능화된 RSA Netwitness 와 같은 항시 대응체계를 마련을 하는 것이 중요합니다.

출처 : http://www.texcell-netcom.co.kr/

0 Comments
댓글쓰기 폼