회피형 위협을 방지하는 3가지 방법
공격자들은 지속적으로 완전히 새로운 멀웨어를재사용, 수정 또는 생성하여조직을 표적으로 삼는 대량의 멀웨어를 만들어내고 있습니다. 또한 공격자는 멀웨어 분석 환경을 탐지하고 더 이상 분석 대상이 되지 않을 때까지 악의적인 활동을 중단하도록 구축되어 더욱 회피성이 높은 위협 개발에 집중할 수 있습니다. 그 동안 조직은 대량의 멀웨어에 대응하고 정교한 공격을 식별 및 방지하는 데 어려움을 겪었습니다.
우회 위협을 탐지하는 데는 여러 가지 어려움이 있습니다. 회피 위협은 유효한 사용자 활동 및 가상화 기술의 지표를 검색하여 더 이상 식별될 위험이 없을 때까지 악성 활동을 일시 중지합니다. 이들은 오픈 소스 소프트웨어의 알려진 취약점을 악용하고 유명 하이퍼바이저에서 사용하는 탐지 기술을 검색합니다. 그 결과, 상품화율이 높아져 더 많이 사용되고 있습니다.
이러한 최신 유형의 멀웨어를 탐지하는 데 사용되는 전술을 재고해야 합니다. 다음은 우회 위협을 식별하고 궁극적으로 이를 방지하기 위해 보안 도구가 수행해야 하는 세 가지 주요 기능입니다.
1. 특수 목적의 가상 분석 사용
회피성이 뛰어난 멀웨어를 탐지하려면 오픈 소스나 독점 소프트웨어에 의존하지 않는 고유한 하이퍼바이저와 에뮬레이터를 통합한 특수 목적의 가상 분석 환경을 사용하세요. 이 환경에서는 공격자에게 멀웨어가 발견되었거나 멀웨어의 동작이 관찰되고 있음을 알려줄 수 있는 특징이 나타나지 않아야 합니다.
2. 베어 메탈 분석 사용
멀웨어 분석을 위해 가상 환경을 사용하는 것은 불가피합니다. 그러나 가상 환경에서 회피 기법을 보여주는 샘플은 베어 메탈 분석 환경이라고도 하는 실제 하드웨어 시스템에서도 폭발시켜야 합니다. 공격자의 의심을 받지 않으려면 의심스러운 파일은 사람의 개입 없이 베어메탈 환경으로 동적으로 이동해야 합니다.
3. 위협 인텔리전스 통합
지하 경제에서이용 가능한 고도로 회피적인 위협의 증가에 대응하기 위해 조직은 상황에 맞는 실행 가능한 위협 인텔리전스를 보안 방어에 통합해야 합니다.
위협 인텔리전스는 다양한 출처에서 제공되어야 하며, 필요한 컨텍스트에 따라 상호연관성을 확인하고 검증해야 합니다. 적절한 맥락이 없는 위협 인텔리전스는 압도적인 양의 원시 손상 지표로 잡음을 가중시킬 뿐입니다. 그 결과 오탐과 네거티브가 증가하여 보안 담당자의 적절한 대응이 필요하게 됩니다. 또한 위협 인텔리전스를 가상 분석 환경과 통합하면 신속하고 자동화된 위협 방지가 가능하므로 추가 전문 인력의 필요성을 최소화할 수 있습니다.
하나의 플랫폼에서 우회 방지 분석 및 상황별 위협 인텔리전스 제공
팔로알토 네트웍스 차세대 보안 플랫폼은 네트워크, 클라우드, 엔드포인트 전반에서 가장 교묘한 위협도 자동으로 탐지하고 방지합니다. 플랫폼의 필수적인 부분은 회피 방지 멀웨어 분석 및 자동화된 방지를 위한 여러 기술( 정적 분석,맞춤형 가상 분석 환경을 통한동적 분석,정적 분석,맞춤형 가상 분석 환경을 통한동적 분석, 머신 러닝 및 실제 하드웨어에서 완벽하게 실행되는 베어 메탈 환경)을 통합하는 WildFire® 위협 분석 서비스입니다.
또한 이 플랫폼에는 공격이 네트워크에 영향을 미치는 이유, 위치, 방법을 이해하는 데 필요한 정보를 제공하는 상황별 위협 인텔리전스 서비스인 AutoFocus™가 포함되어 있습니다. "누가 공격하는가?"와 같은 질문에 답합니다. "어떤 도구를 사용하고 있는가?", "이것이 네트워크에 어떤 영향을 미칠 것인가?"를 파악하고 표적 공격의 우선순위를 자동으로 지정합니다. 그 결과 더 빠른 분석, 더 쉬운 상호연관성, 신속한 사고 대응이 가능해져 궁극적으로 추가적인 IT 전문 보안 리소스의 필요성을 줄일 수 있습니다.
회피 공격 방어에 대해 자세히 알아보려면 회피 공격에 대응하기 위한 전략 재고하기 백서를 참조하세요.
