정적 분석, 동적 분석, 머신 러닝이 필요한 이유는 무엇인가요?

다음은 세 가지 위협 식별 방법을 함께 사용하면 성공적인 사이버 공격을 방지할 수 있는 방법입니다:

동적 분석

제로데이 위협을 탐지할 수 있는 유일한 도구

동적 분석을 사용하면 의심되는 파일을 멀웨어 분석 환경과 같은 가상 머신에서 실행하여 어떤 기능을 하는지 분석합니다. 파일은 위협 식별을 위해 서명에 의존하지 않고 실행 시 수행하는 작업에 따라 등급이 매겨집니다. 이를 통해 동적 분석을 통해 이전에는 볼 수 없었던 위협을 식별할 수 있습니다.

가장 정확한 결과를 얻으려면 위협이 완전히 풀리기 위해 명령 및 제어가 필요한 경우가 많으므로 기업 네트워크의 일반 엔드포인트와 마찬가지로 샘플에 인터넷에 대한 전체 액세스 권한이 있어야 합니다. 위협 방지 메커니즘으로 멀웨어 분석을 통해 인터넷 접속을 금지하고 가짜 응답 호출을 통해 위협이 드러나도록 속일 수 있지만, 이는 신뢰할 수 없으며 인터넷 접속을 완전히 대체할 수 없습니다.

멀웨어 분석 환경은 인식이 가능하고 프로세스는 시간이 많이 소요됩니다.

공격자는 탐지를 회피하기 위해 네트워크 프로파일링을 통해 멀웨어 분석 환경에서 공격이 실행되고 있는지 확인하려고 시도합니다. 비슷한 시간대에 또는 동일한 IP 주소에서 멀웨어가 폭발하거나 키보드 입력이나 마우스 움직임과 같은 유효한 사용자 활동이 없거나 비정상적으로 많은 양의 디스크 공간과 같은 가상화 기술을 사용하는 등 가상 환경에 있다는 징후를 검색합니다. 멀웨어 분석 환경에서 실행 중인 것으로 확인되면 공격자는 공격 실행을 중지합니다. 즉, 분석 결과에 오류가 발생할 수 있습니다. 예를 들어, 샘플이 폭발 과정에서 집으로 전화를 걸었지만 공격자가 멀웨어 분석을 확인하여 작업이 중단된 경우, 샘플은 악의적인 행위를 하지 않으며 분석에서 위협을 식별하지 못합니다. 마찬가지로, 위협이 특정 소프트웨어의 특정 버전을 실행해야 하는 경우 멀웨어 분석 환경에서 식별 가능한 악의적인 작업을 수행하지 않습니다.

가상 머신을 불러오고, 그 안에 파일을 넣고, 어떤 기능을 하는지 확인하고, 머신을 분해하고, 결과를 분석하는 데 몇 분 정도 걸릴 수 있습니다. 동적 분석은 가장 많은 비용과 시간이 소요되는 방법이지만 알려지지 않은 위협이나 제로데이 위협을 효과적으로 탐지할 수 있는 유일한 도구이기도 합니다.

정적 분석

신속한 결과 및 분석 요구 사항 없음

동적 분석과 달리 정적 분석은 특정 파일의 내용을 디스크에 존재하는 그대로 살펴보는 것이 아니라 삭제된 상태로 살펴봅니다. 데이터를 구문 분석하여 패턴, 속성 및 아티팩트를 추출하고 이상 징후를 표시합니다.

정적 분석은 동적 분석에서 발생하는 문제에 탄력적으로 대응할 수 있습니다. 단 몇 초밖에 걸리지 않는 매우 효율적이며 훨씬 더 비용 효율적입니다. 정적 분석은 특정 요구 사항, 맞춤화해야 하는 환경, 분석을 위해 파일에서 보내는 통신이 필요하지 않으므로 모든 파일에 대해 작동할 수 있습니다.

파일 과부하로 인한 가시성 손실

그러나 파일이 압축된 경우 정적 분석은 비교적 쉽게 회피할 수 있습니다. 패킹된 파일은 동적 분석에서는 잘 작동하지만, 정적 분석에서는 샘플을 다시 패킹하면 전체 파일이 노이즈로 변하기 때문에 실제 파일에 대한 가시성이 손실됩니다. 정적으로 추출할 수 있는 것은 거의 없습니다.

머신 러닝

행동에 따라 알려진 위협으로 클러스터링된 새로운 버전의 위협

머신러닝은 특정 패턴을 일치시키거나 파일을 분석하는 대신 파일을 구문 분석하여 수천 개의 특징을 추출합니다. 이러한 특징은 특징 벡터라고도 하는 분류기를 통해 실행되어 알려진 식별자를 기반으로 파일의 양호 또는 불량 여부를 식별합니다. 특정한 것을 찾기보다는 파일의 기능이 이전에 평가된 파일 클러스터처럼 작동하는 경우 해당 파일을 클러스터의 일부로 표시합니다. 좋은 머신 러닝을 위해서는 좋은 판결과 나쁜 판정의 학습 세트가 필요하며, 새로운 데이터나 기능을 추가하면 프로세스를 개선하고 오탐률을 줄일 수 있습니다.

머신 러닝은 동적 분석과 정적 분석의 부족한 부분을 보완합니다. 비활성 상태이거나, 폭발하지 않거나, 패커에 의해 무력화되었거나, 명령 및 제어 기능이 다운되었거나, 신뢰할 수 없는 샘플도 머신 러닝을 통해 악성 샘플로 식별할 수 있습니다. 특정 위협의 여러 버전이 발견되어 함께 클러스터링되고 샘플에 클러스터에 있는 것과 같은 특징이 있는 경우, 머신은 샘플이 클러스터에 속한다고 가정하고 몇 초 안에 악성 샘플로 표시합니다.

이미 알려진 것만 더 많이 찾을 수 있습니다.

다른 두 가지 방법과 마찬가지로 머신러닝은 많은 장점이 있지만 몇 가지 단점도 있는 도구로 보아야 합니다. 즉, 머신러닝은 알려진 식별자만을 기반으로 모델을 학습시킵니다. 동적 분석과 달리 머신 러닝은 진정으로 독창적이거나 알려지지 않은 것을 찾아내지 못합니다. 이전에 본 것과 전혀 다른 위협을 발견하더라도 이미 알려진 위협을 더 많이 찾도록 훈련된 기계는 이를 신고하지 않습니다.

플랫폼의 계층화된 기술

지능적인 적을 물리치려면 여러 가지 퍼즐 조각이 필요합니다. 멀티벤더 솔루션의 개념이었던 계층화된 기술이 필요합니다. 심층 방어는 여전히 적절하고 적절하지만, 멀티벤더 포인트 솔루션을 넘어 정적 분석, 동적 분석, 머신 러닝을 통합하는 플랫폼으로 발전해야 합니다. 세 가지 솔루션이 함께 작동하면 여러 계층의 통합 솔루션을 통해 심층 방어를 실현할 수 있습니다.

팔로알토 네트웍스 차세대 보안 플랫폼 은 클라우드 기반 위협 분석 서비스인 WildFire^® 와 통합되어 구성 요소에 상황에 맞는 실행 가능한 위협 인텔리전스를 제공하여 네트워크, 엔드포인트 및 클라우드 전반에서 안전한 환경을 제공합니다. WildFire는 맞춤형 동적 분석 엔진, 정적 분석, 머신 러닝 및 베어메탈 분석을 결합하여 고급 위협 방지 기술을 제공합니다. 많은 멀웨어 분석 환경이 오픈 소스 기술을 활용하는 반면, WildFire는 동적 분석 엔진 내에서 오픈 소스 가상화를 모두 제거하고 처음부터 구축된 가상 환경으로 대체했습니다. 공격자는 다른 사이버 보안 공급업체에 사용되는 기법과는 별도로 완전히 고유한 위협을 만들어야만 WildFire의 위협 탐지를 피할 수 있습니다. 동적 분석, 정적 분석, 머신 러닝 등 WildFire의 첫 세 가지 방어 계층을 회피할 수 있는 소수의 공격에 대해 회피 동작을 보이는 파일은 전체 하드웨어 실행을 위해 베어메탈 환경으로 동적으로 조정됩니다.

플랫폼 내에서 이러한 기술은 비선형적으로 함께 작동합니다. 한 가지 기법이 파일을 악성 파일로 식별하면 전체 플랫폼에 해당 파일이 표시되어 다른 모든 기능의 보안을 강화하는 다층적 접근 방식이 적용됩니다.