인원 1,000명의 기업의 전산직으로 근무하고 있는 중고초짜입니다.
아무래도 요즘 보안관리자의 랜섬웨어 대응 이슈가 많은 나머지
랜섬웨어대응 솔루션을 알아보고 있습니다.
방식은 조금씩 다른거 같은데
Ahnlab 사의 MDS 솔루션 , Fire Eye , Trend Micro 정도만 알고있습니다
(리자드 클라우드도 들었으나 성격이 다른것 같구요)
APT 악성코드 탐지 솔루션에 대하여 시장에 많은 제품이 있을것 같은데
이외에도 어떤 제품이 있는지 알려주시거나 기관내 현재 사용하시는
랜섬웨어 제품군이 있다면 의견을 요청 드립니다
첫글이 두서가 없었네요
고맙습니다.
2015-12-18(금) 13:05:59에 작성 되었습니다. 2016-01-06(수) 10:27:58에 수정 되었습니다
본문 내용이 처음 작성된 내용과 다를 수 있습니다.
본문 내용이 처음 작성된 내용과 다를 수 있습니다.
14개의 답변이 있습니다.
팔로알토 네트웍스라는 보안업체에서 1월 13일에 전자신문 U-TV 웨비나로 랜섬웨어의 실태 및 이에 대한 자사의 대응 방안을 실제 사례를 통해 소개해준다고 해서 저도 참가 신청해봤습니다. 도움이 많이 될듯 싶더라고요.
링크 공유해드립니다.
http://utv.etnews.com/u_view.html?code=2110
랜섬웨어라는 것의 특징이 바이러스와는 패턴이 다르다보니 잡아내기 쉽지 않다라는 부분이죠..
사전에 방지하는 사전보안 / 사후에 이를 복구하는 사후대책
두가지로 정의했을때,
저는 전자보다는 후자에 무게를 두는 편입니다.
창과 방패의 싸움에서 방패가 아무리 견고하더라도 창은 계속해서 발전하기 나름이고,
이렇게 되면 창으로 인해 방패가 한번 뚫렸을때, 이에 대한 기업의 손해는 때에따라 천문학적인 금액이 될 수도 있겠죠..
사설이 길었네요.. 순간복구솔루션이 이에 대한 해답이 될 수 있을 듯 합니다.
SSD 환경에서는 2~30초 이내에 복구가 되는 특성을 갖고 있어서 이에대한 해답이 되곤하죠..
추가로 문의하실 부분 있으시면 쪽지 주세요 ^^
guest | 8년 이상 전
순간복구는 MBR 하고 쫑나면 부팅도 안되고 난리 나던데요?? 전 순간복구는 왠만하면 비추합니다
guest | 8년 이상 전
MBR하고 쫑나면 부팅도 안되고..라는 부분을 좀 더 명확히 알려주실수 있나요?^^;
알약도 랜섬웨어 대응기능 추가되었습니다. 잘 잡아줄지는 아직 모르겠지만요 http://cafe.naver.com/malzero/115931
보안벤더들이 하나둘씩 대응하는듯 한데 이제 곧 랜섬웨어 공포도 사그러들까요?
어제자로 안랩에서 V3에 랜섬웨어 차단 기능을 추가했다고 발표했는데 이게 별도의 제품인지 기존 V3가 업데이트로 자동 추가되는지는 아직 잘 모르겠네요 혹시 알고 계신분 있으실까요?
guest | 8년 이상 전
V3 lite/365/mss 해당이네요
V3 IS 9.0은 1월 예정이래요
개인이시면 스마트업데이트로 자동으로 아마 되실거고 기업이시면 V3서버패치하면 아마 클라이언트는 자동패치되지않을까 싶은데요
별도의 제품이 나온건 아니네용
guest | 8년 이상 전
감사합니다^_^
랜섬웨어랑 APT랑 상관이 있나요? 별로 없는 것 같은데...
APT는 비정상적인 행위에 대해 1) DB화 하던 2) 알고리즘을 구현하든 비교하여 차단 하는 것으로 알고 있는데
랜섬웨어는 정상적인 행위로 인해 암호화등이 사용자의 의지와는 상관없이 일어나는 것인데...
비정상적인 행위에 대한 분석으로 정상적인 행위를 원천적으로 막는다는 것이... 좀 앞뒤가 안 맞는 것 같습니다...
guest | 8년 이상 전
정상적인 행위라고 하더라도 사용자가 하지않을 법한 행위는 차단하는것이죠
예로 정상적인 한글문서를 열었을때는 아무반응이없지만 스크롤을 내리면 매크로가 실행되거나
여러개의 파일을 짧은시간에 복사하여 확장자를 바꾸는행위는 사용자 입장에선 정상적이지 않죠
요즘 APT솔루션은 랜섬웨어 차단기능 다 포함되지 않나요?
현재 대응할수 있는 솔루션은 파이어아이나 트랜드마이크로로 대부분 들어가고 있습니다.
실제 APT는 도입이후에 담당 직원이 있어야 할정도로 모니터링과 잦은 확인이 필요하고 실제 전산쪽에 몸을 오래 담구셨던분들이 해당 패킷이나 행동을 분석할줄도 알아야하죠...
쪽지 주시면 적당한 업체 잘 소개시켜 드리도록 하겠습니다.
시만텍,트랜드마이크로,포티넷이 APT 분야에서 인증을 받았다고 하는군요, 참고가 되시길...
http://www.ddaily.co.kr/news/article.html?no=138461
비트디펜더가 2016 버전에서 랜섬웨어 차단 기능이 추가되었다고 합니다-
랜섬웨어 대응 솔루션에 대해서 알려드리겠습니다.
위에 '모두모아서' 님께서 잘 나열해 주셨는데요...여기에 조금 보태서...
**유입차단**
주로 이메일을 통해서 유입이 되므로...이메일닷클라우드(시만텍)를 추천합니다. 시만텍에서 말하길 99.xx%를 차단한다고 하며 위에 열거된 어플라이언스 장비들보다 검출하는 속도도 빠르다고 합니다. 원하시면 BMT도 가능하며 데모로 한달간 사용하실 수 도 있습니다.
**내부차단 or 복원**
백신과 OS를 최신 버전으로 업데이트 하시고
**차단** : 문서중앙화 솔루션은 암호화로 랜섬웨어를 차단하는건 아니고 접근정책을 화이트리스트 기반으로 적용하여 허용된 프로세스 외에는 문서 접근이 안되게 차단하는 방식입니다. 허나 요즘 랜섬웨어들은 별도의 프로세스로 운영이 되긴하지만 익스플로러의 DLL 을 간염시키는 방법이 있으므로 중앙화 제품이 모든 랜섬웨어를 차단하기는 어렵습니다.
**복원** : 문서중앙화 제품들의 리비전관리 기능이 있으므로 랜섬웨어 감영된 파일은 삭제하고 감염 전단계 버전으로 복원하여 무서 유실을 최소화 하는게 목적입니다. 이러한 개념으로 위에 나열된 백업 제품들도 포함 할 수 있습니다.
**보안관제 서비스**
업체별로 다르겠지만 이러한 서비스들은 자신들만의 장비 또는 위에 열거된(유입차단) 솔루션을 이용하여 서비스하는것 이므로 유입, 내부 차단 솔루션을 도입했다면 중복 투자가 될 가능성이 있습니다.
저도 생각 나는데로 끄적였습니다.
조금이나마 도움이 되셨으면 좋겠습니다. ^_______^
guest | 8년 이상 전
도움이 되셨다면 글 옆에 ^ 화살표 부탁 드려요~ ㅎㅎ;
SGA-APT CHASER 와 하우리 APT SHIELD 도 있읍니다
APT or 제로데이 어택 대응류
- 안랩(MDS), 파이어아이,블루코트, 트랜드마이크로(딥시큐리티), 시만텍(닷클라우드) 처럼 대부분의 보안업체들은 자사의 Anti-virus나 IPS,IDS 에 샌드박스 기술(가상공간에서 악성코드 탐지)을 결합한 제품을 갖고 있습니다 아마 이런제품이 없는 보안벤더를 찾기가 더 어려우실듯 합니다.
문서중앙화 or 백업
- 이노티움-발자국,이노티움-리자드 클라우드 ARIT 이스트소프트-닥스키퍼, 이스트-시큐어디스크,넷아이디-클라우독 등등 문서중앙화나 백업 업체에서 백업시 사전 암호화를 통해 랜섬웨어의 강제 인크립션을 막는 제품들이 있습니다
보안관제 or 서비스
- SK인포섹이나 이글루시큐리티등 보안관제 업체에서 랜섬웨어 공격을 사전에 탐지해주는 관제 서비스를 운영중입니다
방식은 모두 다르지만 이거면 100% 걱정끝이라 할 수있는 해결책은 없는것 같구요
제가 알고 있는 내용을 두서없이 적어봤는데 도움이 되셨으면 좋겠습니다
Symantec 에서도 최근 제품 출시 되었습니다~
발자국이라는 것도 있네요~ ^^
[https://www.rancert.com/barzakook.php][1]
[1]: https://www.rancert.com/barzakook.php