알림

※ 뉴스레터를 발행합니다. 다양한 글을 좀 더 빨리 읽으시려면, 구독해 주세요. '구독'은 글 쓰는 데 큰 힘이 됩니다. 감사합니다!

Tuesday, March 28, 2017

팔로알토 방화벽의 새로운 진화, 와일드파이어(WildFire)

Updated: March 21, 2017
January, 24, 2013

※ 분석맨
차세대 방화벽 업체로 유명한 팔로알토네트웍스(Palo Alto Networks)는 가상화 행위분석 환경을 기반으로 악성코드를 실시간 탐지·대응하는 ‘와일드파이어(WildFire)’를 출시하고, 지능형지속위협(APT) 보안 솔루션을 제공하고 있다. 이와 더불어, 지난 2014년 이스라엘 보안업체인 사이베라(Cyvera)를 인수해 엔드포인트 행위기반 보안 솔루션인 ‘트랩스(Traps)' 솔루션도 출시를 했다.

* 관련 기사: 팔로알토네트웍스 "안티바이러스 대체하겠다" (ZDNet)

와일드파이어의 효과는 이미 시장조사기관 포레스터 리서치와 같은 곳을 통해서도 어느 정도 검증이 되었고, 직접 실전에서 사용해보아도 효과가 있음을 경험할 수 있었다. 이메일을 통해 경고를 받으면, Anti-Virus와 Malwarebytes 같은 툴로 full scanning 하여 최종적으로 상태를 점검하는 것이 좋다.

* 관련 기사: 팔로알토 ‘와일드파이어’, 자동 멀웨어 분석 리더로…(BI Korea)

트랩스(Traps) 솔루션은 익스플로잇(Exploit) 기술에 중점을 둔 방어 솔루션인데, 클라이언트 시스템에 에이전트 형태로 설치되어 제로데이를 포함한 익스플로잇을 막는다. 메모리 감시로 악성코드가 실행되는 행위를 차단하며, 의심스러운 실행 파일은 '와일드파이어' 클라우드로 보내서 더 정확하게 악성여부를 판단한다. 엔드포인트를 관리하는 ESM (Endpoint Security Manager)는 서버당 최대 5만개의 엔드포인트를 지원한다. 이로써, 팔로알토는 ‘선제방어(Prevention)’를 위한 솔루션을 추가한 셈이다.

문제는 가격대비 도입 효과인데, 기업에서 과연 기존의 안티바이러스 솔루션을 대체하여 도입하기에는 뭔가 꺼림직하고, 추가해서 쓰자니 비용 부담이 된다. 와일드 파이어의 경우, 무료유료 버전에 차이를 두어서 무료로 사용해보고 효과를 경험한 후에 유료 라이센스를 구입할 수 있으니 부담이 없는데, 트랩스의 경우는 선뜻 도입하기가 쉽지 않다. 보통, 기업들은 특정 그룹 (IT 혹은 보안 테스트 그룹, 혹은 임원용)에 도입하여 효과를 테스트 해보고, 전사적으로 도입하는 형태를 취할 가능성이 많다.


▶ 팔로알토 방화벽의 새로운 진화, 와일드파이어(WildFire)


팔로알토 네크워크에서는 이번에 알려지지 않은 악성코드 및 변조된 말웨어등을 탐지 및 제어할수 있는 와일드 파이어(WildFire)라고 하는 기술을 선보였습니다.
 
이 기술의 주요 특징은 기존 보안 장비(방화벽,IPS, 등등)에서 가지고 있지 않는 신규 악성 코드 및 변조된 말웨어가 들어오더라도 이를 감지하고 차단할수 있도록 스스로 시그니쳐를 진화시켜 모니터링 및 차단을 할수 있다는 것입니다.
 
즉, 해당 보안장비의 시그니처 DB가 가지고 있지 않은 비정상적인 악성코드나 말웨어가 들어온다고 하더라도 방화벽이 스스로 학습하고 인지하여 해당 코드의 시그니처를 generation하여 모니터링 및 제어 할수 있게 만드는 기술입니다.
이것이 가능한 이유는 샌드박스(Sandbox)라고 하는 가상 클라우드 환경을 이용하기 때문입니다.

샌드박스 클라우드(Sandbox Cloud)란 가상의 네트워크 시스템 환경을 구축해 놓은 곳으로 전송된 비정상적인 악성코드나 말웨어를 실제로 실행시켜 비정상적인 행위를 하는지를 모니터링 할수 있도록 구성된 가상화 공간입니다.
이 샌드박스를 이용하여 팔로알토는 비정상적인 파일 여부를 판별해 내고 더 나아가 시그니처를 생성해 낼수 있게 됩니다.

와일드파이어(WildFire)는 다음과 같은 동작 원리를 가지게 됩니다.


✓ 악성코드 확인 및 샌드박스로 전송
- 팔로알토에서 기존에 제공하는 스트리밍 베이스 파일 스캐닝을 통해 exe 등과같은 실행파일을 검사합니다.
- 해당 실행파일이 기존 시그니쳐에 없는 경우 샌드박스 클라우드라고 하는 가상 환경으로 전송합니다.

✓ 샌드박스에서 악성코드 여부 판별
- 샌드박스의 가상환경에서 실행파일을 실행시켜 비정상적인 행위가 있는지 판별합니다.
- 또한 정상적인 파일과 비교해 이상여부가 있는지를 판별합니다.

✓ 신규 시크니쳐 생성 및 전송
- 비정상적인 악성코드로 판별이 난 경우에 이것을 인지할수 있는 시그니쳐를 생성하여 바로 팔로알토 장비로 전송하게 됩니다.

✓ 차단 및 모니터링
- 팔로알토 방화벽은 전송받은 시그니처를 통해 해당 악성코드를 모니터링하거나 제어할수 있게 됩니다.
위와 같은 기술을 통하여 팔로알토 네트워크 방화벽은 기존에 가지고 있던 어플리케이션 제어의 장점 뿐 아니라 잘 알려지지 않은 악성코드 및 말웨어까지도 방어 할수 있는 기능을 가지게 되어 더욱 강력한 보안 능력을 선보이고 있습니다.

* 출처: 팔로알토네트웍스 보도자료

No comments:

Post a Comment