본문 바로가기

Sep6

APT 공격 및 Symantec 대응 전략 -시만텍 1 . Symantec 대응 전략 - CCS 2 . Symantec 대응 전략 - SCSP -. APT 의 공격 프로세스 1. 침투 - 공격자가 취약한 시스템이나 직원들을 악성코드로 감염시켜 네트워크 내부로 침투 2. 검색 - 침투한 내부 시스템 및 인프라 구조에 대한 정보를 수집한 후 다음 단계를 계획 3. 수집 - 보호되지 않은 시스템상의 데이터 수집 또는 시스템 운영 방해 4. 유출 - 공격자의 근거지로 데이터 전송 시스템 운영 방해 또는 장비 파괴 -. 다계층(Defense in depth) 보안 APT 공격에 대한 Symantec 대응 전략 - Control Compliance Suite -. Questions? • 현재 운영 중인 Unix 및 Windows 시스템의 댓수 및 버전은? • DB와.. 2013. 4. 12.
APT 공격에 대한 이해 및 차단전략 -시만텍 APT 의 정의 APT 공격에 대한 이해 및 차단 전략 2 Advanced persistent threat A : IT 인프라와 관련된 다양한 기술들을 이용 P : 목적 달성할때까지 지속적 공격 T : 자동화된 툴을 사용하는 것이 아닌 표적 분석을 통한 다양한 공격 시도 APT 공격의 특징 APT 공격은 주요 공격수단으로 표적공격을 이용하며, 이밖에 드라이브바이다운로드(Drive-by-downloads), SQL 인젝션, 악성코드, 피싱, 스팸 등 다양한 공격기법들을 종합적으로 이용한다 1.공격대상만을 위한 고도의 맞춤형 툴과 제로데이 취약점, 루트킷 기법 등의 침입 기술을 사용한다. 2.보안 탐지를 회피하기 위해 은밀히 잠복한 상태에서 지속적으로 공격을 가한다. 3.주요 목적은 군사, 정치, 경제 분야.. 2013. 4. 12.
SEP를 이용한 Autorun 대응방법 USB나 DVD를 연결했을 때 자동으로 실행되도록 돕는 프로그램인 ‘Autorun’은 예전부터 악성코드에 많이 활용되는 파일입니다. 일례로, 중동의 핵시설에 침입했던 악명높은 악성코드‘스턱스넷’의 경우도 USB의 자동실행 파일을 통해 폐쇄망에 침입하였을 정도로 기업의 보안담당자는 'Autorun'에 대한 대응방안을 명확히 숙지하고 있어야 합니다. 'Autorun'을 이용한 해킹은 USB를 PC에 연결하면, 자동실행 파일을 통해 악성코드가 실행되고 패치되지 않은 PC는 감염시켜 좀비PC로 만듭니다. Autorun.inf 모듈을 이용해 자동실행이 가능한 클라이언트에서는 사용자가 예측하지 못하는 보안 위협에 노출될 수 있으며, 실제 악성코드가 포함된 USB를 연구소나 기업의 주변에 버린뒤 해당 회사 직원의 습.. 2012. 12. 13.
Symantec Endpoint Protection 방화벽 Symantec Endpoint Protection 방화벽은 시스템과 인터넷 사이에 경계를 만들어 주는 소프트웨어로서 승인되지 않은 사용자가 인터넷에 연결된 시스템이나 네트워크에 액세스 하지 못하게 합니다. 또한 해커의 공격 가능성을 탐지하고 개인 정보를 보호하며 원치 않는 네트워크 트래픽 발생지를 제거합니다. 시스템에 방화벽이 있는 경우 네트워크의 정보 흐름 개인 네트워크로 송수신되는 모든 정보는 정보 패킷을 검사하는 방화벽을 통과해야 합니다. 방화벽은 지정된 보안 기준에 맞지 않는 패킷을 차단합니다. 방화벽이 정보 패킷을 검사하는 방식은 방화벽 정책을 통해서입니다. 방화벽 정책은 사용자의 네트워크 액세스를 허용하거나 차단하기 위해 함께 적용되는 하나 이상의 규칙으로 구성됩니다. 승인된 트래픽만 통과할.. 2011. 4. 4.
Symantec Endpoint Protection 응용 프로그램 제어 Symantec Endpoint Protection 응용 프로그램 제어 응용 프로그램 제어 기능을 통해 Client 에 대한 프로세스의 실행 등에 대한 제어를 통해 보안을 강화 할 수 있습니다. 아래 조건을 통한 제어가 가능합니다. 조건 설명 레지스트리 액세스 시도 클라이언트 시스템의 레지스트리 설정에 대한 액세스를 허용 또는 차단합니다. 특정 레지스트리 키, 값 및 데이터에 대한 액세스를 허용 또는 차단할 수 있습니다. 파일 및 폴더 액세스 시도 클라이언트 시스템의 지정된 파일이나 폴더에 대한 액세스를 허용 또는 차단합니다. 특정 드라이브 유형의 파일 및 폴더만 모니터링하도록 제한할 수있습니다. 프로세스 실행 시도 클라이언트 시스템의 프로세스 실행 기능을 허용 또는 차단합니다. 프로세스 종료 시도 클라.. 2011. 3. 28.
Symantec Endpoint Protection 을 통한 보안 강화 Symantec Endpoint Protection 매체 제어 매체 제어는 응용프로그램제어와 장치제어 2가지 방법으로 제어할 수 있습니다. 1. 장치제어 – USB 드라이브, Bluetooth장치 등 하드웨어 장치에 대한 제어 가능 A. 차단된 장치에 대한 로그 확인 B. 장치가 차단될 경우 사용자에게 통지 가능 C. 읽기, 쓰기 등에 대한 통제 안 됨(응용 프로그램 제어를 통해 가능) 2. 응용프로그램제어 – 프로세스를 통한 제어 A. 이동식 드라이브 차단, 로깅 B. 응용 프로그램 실행 차단 가능 C. 기밀 데이터 제거 방지 가능 D. 액세스 허용, 차단, 로깅, 사용자에게 통지 가능 3. 실제 적용 예 A. 장치 제어 i. SEPM 정책 설정 화면 – 아래와 같이 차단 또는 허용할 장치를 설정 합니.. 2011. 3. 16.