소프트와이드시큐리티는 실시간 위협 헌팅으로 엔드포인트 침해조사를 원격으로 수행 가능한 침해분석 솔루션 ‘TXHunter’를 국내에 공급한다.
위협 헌팅(Threat Hunting)은 최근 보안 업계에서 주목받은 기술 트렌드로,기존의 탐지 또는 차단 시스템이 인지하지 못했던 숨어있는 고도의 위협을 찾아내는 과정을 말한다.
TXHunter는 엔드포인트 기반의 사이버 위협 헌팅으로 침해 사고 조사를 원격으로 수행하는 침해 분석 솔루션이다. 주기적인 점검을 통해 침해 여부 및 잠재적인 위협을 파악해 외부 위협 요소를 사고가 발생하기 전에 파악하고, 명확한 근거를 통한 대응 방안을 제공한다.
이를 통해 사전 공격과 멀웨어 분석을 수행하는데 필요한 기술 수준을 줄이고 분석 프로세스를 가속화해 핵심 방어를 우회할 수 있는 지능적 위협을 식별하는데 도움이 되는 이점이 있다.
작동 방식은 다음과 같다.조사할 엔드포인트에 에이전트를 배포하고 데이터를 수집한다.에이전트가 의심스러운 시스템의 스냅샷을 작성하여 자동으로 사건 조사를 수행한다. 조사 프로세스에서 의심스러운 파일이나 URL 링크를 식별하면 동작 분석을 위한 기본 샌드박스 기능이 자동으로 시작되며, 타사 엔진 및 인텔리전스와 통합되어 감지된 개체에 대한 추가 컨텍스트를 제공한다. 약 5분에서 10분 이내에 TXHunter는 보고서를 생성해 엔드포인트가 감염 또는 해킹 되었는지, 해당 작업의 심각도 수준 및 모든 지원 데이터를 정확하게 답변한다.
조사 단계에서 수집하는 정보는 시스템, 프로세스, 네트워크, 자동실행, 이벤트, 정책, 파일 및 커널 정보 등이 있다. 이 데이터는 의심스러운 활동에 대해 분석되고 발견된 모든 관련 파일 오브젝트는 완전한 동적 분석을 위해 서버에 업로드 된다.
TXHunter의 차별화된 특징은 엔드포인트사고대응(Incident Response)을 위해 플레이북을 자동화해 비상 대응을 위한 빠르고 유연한 사이버 위협 헌팅이 가능하다는 점이다. 악성코드의 동작을 감지해 기존의 AV 솔루션만 존재하는 시스템의 탐지 갭을 보완하고,전문 분석가 수준의 답변을 제공한다.
또한,EDR 솔루션과 같이 광범위한 설정과 튜닝이 필요하지 않고 오픈소스 도구를 사용한 수동 분석보다 빠르고 일관성 있는 분석을 수행한다. 심층 분석이 클라우드 또는 온프레미스로 수행되어 엔드포인트 성능에 미치는 영향을 최소화해 서버에서 안전하게 실행 가능하다.
소프트와이드시큐리티 담당자는 “TXHunter는 침해 사전 진단으로 활용 가능하다”며 “악성코드탐지 시스템 외에 전주 조사를 통해 운영상에 불필요한 요소를 검사해 침해 흔적이 존재하는지 진단하고, 침해 가능성이 높은 프로그램을 제거해 향후 침해 위협에 대한 사전 대응이 가능하다”고 말했다.
엔드포인트침해분석 솔루션 TXHunter에 대한 자세한 내용은 소프트와이드시큐리티 홈페이지를 통해 확인할 수 있다.
[의료기관 정보보안 컨퍼런스 안내]
국내 최대 의료기관 개인정보보호&정보보안 컨퍼런스 MPIS 2019
-MPIS 2019 사전등록: http://conf.dailysecu.com/conference/mpis/2019.html
-참가문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com
★정보보안 대표 미디어 데일리시큐!★