페이로드 기반 서명이란 무엇인가요?

페이로드 기반 서명은 해시와 같은 속성이 아닌 파일 콘텐츠의 패턴을 감지하여 변경된 멀웨어를 식별하고 차단할 수 있습니다.

보안 도구는 종종 해시, 파일 이름 또는 URL과 같이 쉽게 변경되는 변수를 기반으로 하는 서명을 사용하여 알려진 멀웨어 가 시스템을 감염시키는 것을 식별하고 방지합니다. 이러한 유형의 시그니처를 사용하면 위협을 식별하려면 기본적으로 시그니처가 찾고 있는 특정 변수와 일대일 매칭이 필요합니다.

한때 멀웨어를 식별하는 효과적인 수단이었지만, 공격자들이 탐지를 회피하는 더 정교한 수단을 채택함에 따라 이제는 그 효과가 미약합니다. 멀웨어 제작자는 이제 약간의 변경만 가한 기존 멀웨어의 변종을 쉽게 만들어 서명 매칭을 우회할 수 있습니다. 기존 서명은 각 고유 파일에 대해 정적으로 일대일 일치를 요구하기 때문에 이러한 약간의 변경으로 멀웨어가 탐지되지 않을 수 있습니다.

공격자가 진화함에 따라 방어 수단도 진화했으며, 조직은 해시와 같은 단순한 속성이 아닌 파일의 실제 콘텐츠에서 패턴을 탐지하는 페이로드 기반 서명을 활용하는 보안 보호 기능을 활용하는 것을 고려해야 합니다. 알려진 멀웨어가 어떤 식으로든 변경되어 완전히 새로운 해시 또는 기타 작은 변경이 발생한 경우에도 페이로드 기반 서명은 알려지지 않은 새로운 위협으로 취급될 수 있는 것을 식별하고 차단할 수 있습니다.

페이로드 기반 서명은 더 많은 증거와 더 많은 데이터 세트를 생성해야 하지만, 각 서명이 변종 및 다형성 멀웨어를 차단하는 데 더 효과적이고 더 넓은 보호망을 제공하기 때문에 궁극적으로 보안 팀이 작성하고 구축해야 하는 서명 수가 더 적습니다. 페이로드 기반 서명을 사용하면 하나의 서명으로 동일한 멀웨어 계열의 수만 가지 변종을 차단할 수 있습니다. 그 결과 일대다 멀웨어 탐지를 통해 훨씬 더 빠르고 성공적으로 예방할 수 있습니다.

팔로알토 네트웍스 차세대 보안 플랫폼 은 위협 인텔리전스 클라우드( WildFire를통한 알려지지 않은 위협 탐지, 위협 방지 구독을 통한 시행 등)를 활용하여 페이로드 기반 서명을 조직 전체에 자동으로 배포합니다. 이 플랫폼은 독점적인 서명 기반 형식의 높은 충실도를 통해 명령 및 제어 트래픽뿐만 아니라 다양한 변종 멀웨어를 고유하게 차단할 수 있습니다.