SWG(Symantec Web Gateway)를 통한 APT 방어 방안

APT 공격의 사내 역할을 담당하는 감염된 PC를 좀비 PC또는 BotNet이라고 지칭합니다.

이 좀비PC들은 Bot Master가 형성해놓은 C&C Server를 통해 배포 작동되어 집니다.

 

 

SWG는 이러한 좀비 PC와 C&C Server와의 접속기록을 관리 통제합니다.

실제 활동하는 Bot과 의심되는 PC를 확인하고 C&C Server와의 접속기록 아래와 같이 체크합니다.

 

어떠한 C&C 를 통해 Control 되는지 확인합니다.

2지점 이상의 C&C를 통해 Control을 받는 경우도 많습니다.

해당 C&C서버의 정확한 정보를 확인합니다.

 

또한 감염된 PC들이 내부에서 일으킬수있는 Potential Attack Spyware, IPScanning, Spamming을 모니터링 합니다.

 

SWG Dashboad