새롭고, 지능적이고, 더 강력한 악성 코드들이 매일 매일 새롭게 등장하여 네트워크 환경을 위협하고 있습니다. 일반적으로 새로운 악성 코드가 세상에 알려지게되면, 안티바이러스나 새로운 방어툴에서 코드를 감지할 수 있는 시그너쳐 기반의 보안 기술들을 적용하게되지요. 그렇게 악성 코드에 대한 ‘수동적인 방어’가 이루어지고 있는 것이 대다수의 보안 솔루션들의 한계입니다.
시스코 Advanced Malware Protection Thread Grid
지난해 시스코는 능동적인 악성 코드 분석과 보안 침해에 대한 지능적인 분석에 탁월한 ThreatGRID 솔루션을 인수하였습니다. 이 제품을 통해 시스코가 업계에 내놓은 것이 바로 시스코 Advanced Malware Protection Thread Grid(이하 AMP Thread Grid)솔루션입니다.
좀 더 설명을 드리자면 기존 시스코 보안 솔루션 (IPS, ESA, WSA 등)들을 확장하여 등장한 AMP 제품에 ThreadGrid의 지능성을 합체하여 만들어진 강력한 보안 위협 분석, 공유 솔루션이라고 덧붙일 수 있을 것 같습니다.
시스코 보안 솔루션은 어떤 차별점을 갖고 있을까요?
AMP Thread Grid의 차별점은
바로 기존처럼 악성코드에 대해 머리가 아프도록 시그너쳐를 만들지 않아도,
이전에 한 번도 겪어보지 않은 트래픽 유형이나 첨부 파일이어도
딱! 보고 감지할 수 있다는 것입니다.
이 지능적인 감지 능력의 핵심에는 샌드박스 기능이 있는데요. 네트워크 트래픽의 흐름이나 파일의 동작방식, 메모리 사용율 등을 샌드박스에서 곰곰히 살펴본 후에 이상 여부를 판단해내는 것이지요.
이전의 솔루션들이 다양한 안티바이러스 엔진들을 통해 분석되는 것과 달리, AMP Thread Grid 는 모든 정보들을 시스코 보안 전문가에 의해 설계된 450개의 행동유형을 기반으로 분석하여 훨씬 빠르고, 능동적으로 보안 위협을 날카롭게 감지해내는 것입니다.
이 보안 분석 정보들은 네트워크와 서비스 호스트상에서 관찰된 의심되는 비정상 샘플에 의해 생성되는데요. 실제 자료가 지니고 있는 상세 정보들을 분석하여 단순한 트래픽 양의 변화가 아닌, 의미있는 데이터의 변화를 날카롭게 분석하기 때문에 훨씬 정확한 위협 정보를 파악할 수 있는 것이죠.
이러한 정보들은 AMP Thread Grid 기능을 탑재한 시스코 보안 솔루션(ESA, WSA, AMP 단말 등)은 물론, API 등을 통하여 메인 AMP Thread Grid 장비에 취합되어 전세계 사용자들에게 실시간으로 공유됩니다. 현재 시스코의 차세대 IPS와 FirePower 서비스를 탑재한 ASA장비에서도 해당 기능을 베타 버젼으로 테스트 중입니다.
AMP Threat Grid, 시스코 내부 트래픽 보안의 일등공신
저희 시스코 IT팀은 현재 14대의 AMP Threat Grid 5500 장비를 전세계 8개 인터넷 관문에 설치하여 직접 사용해보고 있습니다. 각 어플라이언스는 최대 일 평균 만개의 위협에 대한 샘플 분석 성능을 제공합니다. 기존의 샌드박스 기능과 달리, 의심 요소가 있는 정보를 샌드박스에 전송하여 실제 서비스 네트워크에 영향을 주지 않고 정상 파일에 교묘하게 숨겨져있는 위협들까지 안전하고 꼼꼼히 살펴보는 것이 특징입니다.
이러한 위협 정보들을 하나의 정보망으로 제공하는 AMP Thread Grid 는 시스코 자체 프라이빗 클라우드에서 천만 건 이상의 정보들을 수집하여 분석하고 있습니다. 월평균 백만건의 이벤트 정보들을 분석하고 메인 AMP Thread Grid 데이터베이스와 연계하여 업데이트하고 있습니다.
장기적인 트래픽 유형 분석과 전세계 글로벌 네트워크를 통한 풍부한 데이터를 기반으로 탄생한 시스코 내부의 탄탄한 알고리즘은 위협에 대한 위협도와 유형 정보를 생성하고 보안 장치에 해당 정보를 업데이트합니다.
이 모든 작업들은 네트워크의 어느 단에서 발생된 위협이든 위치와 상관없이 실시간에 가깝게 이루어집니다. 수 시간, 수 주 또는 그 이상이 걸리던 이전의 분석 과정이 아닌 평균 7.5분이면 의심되는 공격을 알수 있고, 얼마나 위험한 정보인지, 어떻게 이 위협을 차단하고 위협으로부터 복구할 수 있는지에 대한 상세한 가이드를 Threat Grid를 통해 알 수 있게 되었습니다.
AMP Thread Grid, 시스코 내부 위협 감지율 1년만에 6배 끌어올리다!
시스코 IT팀은 이 AMP Thread Grid 를 내부에서 직접 사용하면서 높은 위협 감지율을 경험하고 있습니다. 특히 ESA와 WSA를 통해 2014년 상반기에 5천건이던 감지율이 2015년 상반기에 3만건으로 무려 6배나 증가하였습니다. 물론, ESA에서 분석하는 첨부 문서의 종류와 지능성이 개선된 것도 감지율이 상승된 이유중의 하나로 볼 수 있겠지요.
또한 저희 시스코 IT팀은 시스코 내부에 보안 솔루션을 도입할 때 파트너십을 맺고있는 InfoSec과 항상 함께 작업을 하는데요. InfoSec은 빠르게 변화하고 있는 업계의 다양한 보안 위협들을 감지하고 전망하기위해 누구보다도 적극적으로 시스코와 협업하고 있습니다.
이전과 차원이 다른 보안 위협에 대한 지능성!
시스코 IT는 AMT Threat Grid를 통해 한 차원 다른 보안을 누리고 있습니다.
시스코 고객들 역시 이 튼튼하고 풍부한 정보망을 통해 보안 위협에 대한 최신 정보들을 제공받으실 수 있습니다.
시스코_내부사례_악성코드 잡는 시스코 AMP Threat Grid_시스코 폴 엑스틴 IT 매니저.pdf
이번 포스팅은 시스코 IT 매니저 Paul Eckstein(폴 엑스틴)의 칼럼(AMP Threat Grid Extends and Bolsters Our Ability to Combat Malicious Malware)를 바탕으로 준비 되었습니다.
