회사소개

제품

안내

고객지원

Company

Product

Information

Support

Thông tin về công ty

Sản phẩm

Thông tin

Hỗ trợ chung

ZombieZERO EDR for APT

엔드포인트에서의 APT 및 랜섬웨어
공격 탐지/차단/치료 솔루션

ZombieZERO EDR for APT

ZombieZERO EDR for APT 개요

EDR (EndPoint Detection & Response)은 엔드포인트에서 행위기반으로 신/변종 악성코드를 탐지/대응하는 시스템입니다.

ZombieZERO EDR for APT 는 행위기반 엔진을 Endpoint에 적용, 패턴 없이도 제로데이 공격을 포함한 알려지지 않은 신종 악성코드를 실시간으로 탐지/차단/치료하며, 네트워크를 우회해서 침투하는 위협에 대해서도 대응하는 솔루션입니다.
다양한 공격 단계(초기 공격 → 악성코드 활동 → 엔드포인트 조작)에서 일어나는 행위를 식별하고 비교하여 다단계 및 혼합 공격을 탐지합니다. ZombieZERO Manager를 통해 중앙관리가 가능합니다.

※ EDR for APT 는 ZombieZERO Network Inspector (HW와 클라우드 타입 둘다 가능)와 같이 구성되어 운영 가능.

npcore

주요 기능

> 행위기반 악성코드 탐지

  • 시그니처가 아닌 행위 기반으로 악성코드를 탐지/차단하므로 신/변종 악성코드까지도 탐지/차단하여 Zero-Day와 네트워크 우회 악성코드에 대해 효과적 대응
  • 엔드포인트의 행위기반 엔진을 통해 불법행위 (DDoS공격, 정보유출, 훔쳐보기 등) 차단
  • 특허기술이 적용된 행위기반 엔진 탑재로 네트워크 장비와 연동에 의해서만 차단/치료가 가능한 타 제품과 달리 독립적 운영이 가능

> 정보유출 탐지/차단

  • 사용자 행동과 프로세스 행동을 구분하여 사용자가 아닌 악성코드의 불법적인 정보 유출 및 불법 트래픽 발생을 탐지/차단
  • 역방향 세션을 탐지해 좀비PC에 대한 해커 명령을 원천차단
  • 사용자 PC의 모니터 화면을 네트워크를 통해 실시간으로 모니터 하는 PC 행위 모니터 탐지
  • 웹메일, 메신저를 통한 파일 전송 탐지

> 시스템 안정성 및 연동

  • 어플리케이션 레벨이 아닌 커널 드라이버단에 설치되어 다른 프로그램과 충돌을 방지하여 시스템 안정성을 제공하며 PC 리소스 사용을 최소화합니다.
  • 엔드포인트에 설치된 다른 보안 제품(백신 등)과 연동이 지원되므로 이중방어 시스템으로 구축이 가능하여 보안 강화 및 구축 비용 절감의 효과를 제공합니다.
  • MS Office, Adobe Reader 등의 문서 편집 프로그램과 IE, Firefox, Chrome 등의 웹브라우저 및 각종 미디어 플레이어, 메신저 등 주요 프로그램의 취약성을 노린 악성코드의 공격에 대응합니다.

> 실행보류

  • 암호화 통신 및 SSL로 전송된 파일은 실행보류 기능을 통해 분석요청
  • 사용자의 의도에 따른 행위 및 사용자 행위 없이 다운로드 받는 파일에 대해 분석 가능 (안전한 파일만 실행)
  • 사용자가 실행보류 기능을 통하여 보류된 파일에 대한 분석/차단 현황을 조회 가능

> 화이트리스트

  • 화이트리스트 정책 기반의 파일실행 통제
  • 해당 조직에 최적화된 정책 수립
  • 프로세스 숨기기 / 메모리 변조 / 훔쳐보기 / 역방향 접속 / 트래픽 이상 행위 / 사용자 행위 / 파일 전송 등의 이상 행위를 탐지하여 파일 드라이버단을 격리

> 큰 보안 결함을 가진 비효율적인 기존 보안 제품

  • IPS, 방화벽 및 게이트웨이와 같은 시그니처 기반의 기존 보안 제품은 제대로된 사이버 보안을 제공하지 못합니다.
  • 2진법 시그니처와 아군, 적군을 구별해주는 평판에 근거한 수십년된 접근법에 의존합니다. 최신 악성코드 개발자는 고유 2진법을 만들고, IP 주소를 지속적으로 변경하며, 합법적인 URL을 손상시켜 기존 보안 제품을 뚫고 침투시킵니다.
  • 악성코드의 70-90 %는 알려지지 않은 신규 공격입니다.
  • 운영비 증가시키는 비효율적인 작업 : 기존 제품은 상황파악 없이 수천개의 경고를 보내 경고의 우선순위와 대응 범위를 정합니다. 조직에서는 사소한 경고 및 오탐을 추적하느라 더많은 시간과 비용을 낭비하게 됩니다.
  • 복잡한 공격을 탐지할 수 없는 제한적이고 단절된 제품 : 기존 보안 제품은 각자 제대로 통합되지 않습니다. 계획대로 작동하더라도 여러 방법을 사용하는 혼합 공격은 탐지할 수 없습니다.
  • 공격자는 방어 기술에서 항상 다음 단계의 결함을 발견하게 됩니다. 보안 효과를 유지하려면 방어 기술도 같이 진화해야합니다.

> 기존 Anti-Virus 소프트웨어(백신)와의 차별점

  • Anti-Virus : 패턴에 의해 탐지/분석/치료하여, 알려지지 않은 악성코드의 공격을 받고 피해를 입은 후 (Zero-Day) 대처
  • ZombieZERO Series : 패턴 및 행위기반으로 알려지지 않은 악성코드의 공격을 실시간으로 탐지/분석/치료

ZombieZERO EDR for APT 시스템 구성도

npcore

ZombieZERO EDR for APT 사양

지원 OS Windows XP ~ 10 ( 32 / 64 Bit )