최적의 인프라솔루션 시스템컨설팅 및 구축 / 망 분리 및 센터 이전사업 / IT통합유지보수

마켓플레이스

위협 탐지 및 대응

    MDS 샌드박스 기반의 지능형 위협 대응

    지능형 위협 대응 솔루션 AhnLab MDS는
    차별적인 가시성과 함께 사이버 킬체인 기반으로
    지능형 위협에 효과적으로 대응합니다.

    지능형 위협 대응 솔루션 AhnLab MDS는
    차별적인 가시성과 함께 사이버 킬체인 기반으로
    지능형 위협에 효과적으로 대응합니다.

    특정 대상을 노린 치밀하고 지능화된 공격(Advanced Persistent Threat, APT)이 지속적으로 증가하고 있습니다.

    지능형 공격은 주로 이메일, 웹, 엔드포인트를 통해 기업 및 기관에 유입되며, 엔드포인트에 직접 침투해 악성 행위를 수행하는 랜섬웨어 또한 공격 경로면에서 지능형 위협의 일종이라 할 수 있습니다.

    지능형 위협은 기존의 보안 위협과 달리 단일 보안 소프트웨어나 보안 장비만으로는 대응이 어렵습니다. 최근에는 보안 솔루션의 탐지를 피하기 위해 정교한 기술과 다양한 방식을 복합적으로 이용해 공격을 전개하며 막대한 피해를 야기하고 있습니다.

    지속적으로 고도화 · 다변화되는 지능형 공격에 효과적으로 대응하기 위해서는 최신 공격의 특성을 다각도로 고려하면서도 기존 보안 솔루션과 유기적으로 연계된 사이버 킬체인(Cyber Kill-Chain) 마련이 필요합니다.

    또한 어떤 공격이 언제, 어디서, 어떤 목적으로, 어떤 경로를 통해 유입되었는지 확인하고 대응하기 위해 위협 가시성(Threat visibility) 확보가 선행되어야 합니다.

    AhnLab MDS는 차별화된 가시성과 사이버 킬체인(Cyber Kill-Chain)을 기반으로 다양한 공격 유입 경로별로 최적화된 대응 방안을 제공하는 지능형 위협 대응 솔루션입니다.

    네트워크 샌드박스 및 전용 에이전트를 통해 다양한 경로를 통해 유입되는 위협을 신속하게 수집하며, 시그니처 기반, 평판 기반, 비시그니처(signature-less) 기반 등 멀티엔진을 기반으로 기존 방식의 위협(Known)부터 알려지지 않은(Unknown) 신 · 변종 위협까지 정확하고 효율적으로 탐지 및 대응합니다.
     

    멀티엔진을 기반으로 기존 방식의 위협(Known)부터 알려지지 않은(Unknown) 신•변종 위협까지, 다양한 경로를 통해 유입되는 위협에 대한 가시성과 함께 정확하고 효율적인 대응 방안을 제공합니다.

    1. 위협 및 이상 트래픽 탐지/분석

    • - 주요 인터넷 서비스 프로토콜 수집 및 분석 - HTTP, SMTP, SMB/CIFS, FTP 등
    • - 파일 유입 및 유출에 대한 양방향 트래픽 모니터링
    • - 가상머신(VM) 기반 분석을 통한 신종 악성코드 분석
    • - 비실행형(non-PE) 악성코드 전용 엔진 탑재 - MS 오피스 및 한글 프로그램 등
    • - VM 분석 과정 및 C&C 탐지 내역에 대한 PCAP 기반 패킷 캡쳐 및 PCAP 파일 다운로드
    • - 악성코드 감염 PC에 의한 유해 사이트 접근 및 C&C 통신 탐지 및 차단

    2. 이메일 기반 위협 탐지 및 격리 (MTA)

    • - 악성 또는 의심 첨부 파일 및 URL 포함 이메일 탐지 및 자동 격리
    • - 이메일 첨부 파일에 대한 동적 분석
    • - 이메일 본문 내 URL 및 스크립트에 대한 다차원 분석
    • - 관리자 명령을 통해 격리 해지 가능
    • - 라이선스 적용 방식
    •  

    3. 위협 대응 및 치료

    • - 탐지된 악성코드 감염 의심 호스트에 대해서 악성코드 치료 (자동/수동) 및 네트워크 격리
    • - 악성코드 분석 중인 실행형(PE) 파일에 대한 ‘실행 보류(Execution Holding)’ 기능
    • - 악성코드 감염 의심 호스트에 대한 ‘의심 파일 추출’
    • - 유사 시 삭제된 파일에 대한 복원 기능

    4. 통합 모니터링 및 로그 관리

    • - 대시보드를 통한 보안 현황 및 주요 이벤트 정보 제공
    • - 실시간 악성코드 유입 현황 및 이상 트래픽 발생 여부 확인
    • - 이벤트 종류, IP 주소, 행위 내역(파일/프로세스/레지스트리/네트워크) 등에 대한 상세 로그
    • - 다양한 분석 보고서 템플릿 제공
    • - 컨트롤러를 통한 에이전트의 기능 및 패치 업데이트 기능
    • - 개별 · 전체 호스트에 대한 공지사항 기능
    • - 에이전트 수의 증감에 유연하게 대응할 수 있는 서버팜 형태의 확장
    • - MDS 에이전트 미설치 호스트에 자동 배포
    • - 자동 및 수동 DB 백업
    • - 서드파티(3rd-party) 보안 관리 시스템(SIEM, ESM) 연동을 위한 syslog 포워딩
    • - AD(Active Directory) 연동을 통한 내부 사용자 정보 제공

    AhnLab MDS는 차별적인 위협 가시성(Visibility)과 멀티엔진 기반의 분석을 통해 고도화된 최신 공격에 효과적으로 대응합니다.

    1. 위협 가시성(Threat Visibility)

    • • 직관적인 대시보드를 통한 위협 추이 및 공격 흐름도 제공
      • - 위협 추이: 위협의 종류, 유입 경로, 확산 정도, 탐지 및 분석 현황 등의 정보 제공
      • - 공격 흐름도: 위협의 종류, 행위 및 공격 단계에 대한 상세한 정보 및 대응 · 조치 방안 제시
    • • 동적 콘텐트 분석(DICA) 기반의 어셈블리코드 및 메모리 상세 분석 리포트 제공

    2. 멀티엔진 분석(Multi Engine-based Analysis)

    • • 시그니처 기반, 평판 기반, 비시그니처(signature-less) 기반 등 멀티엔진을 통한 위협 분석
      • - 랜섬웨어 및 신 · 변종 위협까지 정확하고 효율적으로 탐지 및 분석
    • • 독보적인 ‘메모리 분석 기반의 익스플로잇(exploit) 탐지 기술’ 적용
      • - 악의적인 행위의 종류나 행위 발생 여부와 관계없이 악성코드 탐지 가능

    3. 네트워크와 엔드포인트 연계를 통한 위협 대응

    • • 네트워크 샌드박스 분석과 전용 에이전트 기반의 엔드포인트 대응 연계
    • • 전용 에이전트를 통해 감염된 호스트를 네트워크로부터 격리
      • - 위협의 내부 전파 차단
    • • 실행 보류(Execution Holding, EH) 기능으로 의심스러운 파일의 실행 방지
      • - 랜섬웨어 실행 차단
    • • 머신러닝 기반의 ‘의심파일 추출’ 기능으로 잠재적인 위협까지 대응
      • - 엔드포인트 내의 의심 파일 수집 및 자동 분석, 대응

    AhnLab MDS는 최신 지능형 위협의 ‘라이프사이클’에 따라 
    공격 단계별, 유형별 최적의 대응을 제공합니다.


     

    1. 사이버 킬체인(Cyber Kill-Chain) 기반의 정교한 대응  

    AhnLab MDS는 사이버 킬체인을 기반으로 네트워크(인터넷), 이메일, 엔드포인트 등 다양한 경로를 통한 침입단계부터 최초 감염, 감염 이후 C&C 서버와의 통신을 통한 2차 감염, 내부 전파(확산), 정보 유출 등 악의적인 행위, 은닉•잠복하고 있는 위협까지 최적화된 대응을 제공합니다. 

     

     

     2. 네트워크와 엔드포인트의 유기적인 연계를 통한 강력한 대응

    이상 트래픽 분석 및 차단 등 네트워크단에서의 대응과 함께 전용 에이전트를 통한 엔드포인트단에서의 악성코드 삭제, 의심스러운 파일에 대한 ‘실행 보류(Execution Holding, EH)’, 의심스러운 프로세스 분석 등의 기능을 통해 지능형 위협에 더욱 능동적으로 대응할 수 있습니다.​

     

     

    구성도​

    기업의 환경에 따라 AhnLab MDS를 기본 또는 확장 구축함으로써 네트워크(인터넷), 이메일, 공유폴더, 엔드포인트 등 다양한 경로를 통해 침입하는 최신 위협에 효과적으로 대응할 수 있습니다.

     


     


    제품 사양

    AhnLab MDS 사양

     구분

    MDS 4000A 

    ​MDS 8000A 

    MDS 10000A 

     관리 에이전트

    (권장)

     700개

     2,000개

     5,000개

     트래픽 처리

     800Mbps

     1.5Gbps

     4Gbps

     HDD

     1TB x 2ea.

     1TB x 4ea.

     1TB x 8ea.

     RAID

     RAID 1

     RAID 10

     RAID 10

    네트워크  

    인터페이스​

    1GbE 4 Ports (Copper)

    1/10G SFP+ 4 Ports (Optical)​

    1GbE 4 Ports (Copper)
    1/10G SFP+ 4 Ports (Optical)​​

    [기본]

    1GbE 2 Ports (Copper)

    1/10G Base-T 2 Ports (Copper)

    1/10G SFP+ 4 Ports (Optical)

     

    [옵션]

    1GbE 2 Ports (Copper)

    1/10G Base-T 4 Ports (Copper)

    1/10G SFP+ 6 Ports (Optical)​

     전원

     750W Redundant

     랙 마운트

     1U (19”)

     1U (19”)

     2U (19”)

     사이즈 (W x D x H)​

     482 x 721.91 x 42.8 mm

     482 x 721.91 x 42.8 mm

     482.4 x 715.5 x 86.8 mm


    AhnLab MDS Manager 사양

     구분

     MDS Manager 5000AR

    MDS Manager 10000AR 

     관리 에이전트 수

    - HC+DV 통합형: 2,000 개

    - HC 단독형: 5,000 개​

    - HC+DV 통합형: 5,000 개

    - HC 단독형: 10,000 개​

     HDD

     1TB x 2ea., 2TB x 2ea.

     2TB x 2ea., 4TB x 2ea.

     RAID

     RAID 1

     RAID 1

     네트워크 인터페이스

     1GbE 2 Ports (Copper)

     1GbE 2 Ports (Copper)

     전원

     500W Redundant

     740W Redundant

     랙 마운트

     1U (19”)

     2U (19”)

     사이즈 (W x D x H)​

     437 x 650 x 43 mm

     440 x 650 x 89 mm

     

    * DV (Data Viewer) : 통합 모니터링 및 로그 관리

    * HC (Host Controller) : MDS Agent 통합 관리 (* 에이전트 추가 시 MDS Manager 추가 필요)​ 

     

    AhnLab MDS Agent 사용 환경 

     

     

     구분

    운영체제(OS) 

     클라이언트 PC 

     Windows XP SP3 이상 / 7 / 8(8.1) / 10

     서버

     Windows Server 2003 SP2 이상 / 2008 / 2012 / 2016 

    ※ 상기 OS의 32/64 bit를 지원합니다.