1. 개요

MDS는 다양한 공격 유입 경로별로 최적화된 대응 방안을 제공하는 지능형 위협 대응 솔루션입니다. '수집-탐지/분석-모니터링-대응' 프로세스를 통해 랜섬웨어 및 신종 악성코드, 익스플로잇(exploit) 등 고도화된 공격에 효과적으로 대응하는 MDS의 주요 기능에 대해 안내합니다. 

2. 내용

1) 위협 수집

MDS는 네트워크 샌드박스 및 전용 에이전트를 통해 다양한 경로를 통해 유입되는 위협을 신속하게 수집합니다. 또한 다수의 제3자 솔루션과의 연동을 통한 위협 수집 및 분석을 지원하며, 온디멘드 분석 서비스를 제공합니다.

2) 위협 탐지 및 분석

MDS는 시그니처 기반, 평판 기반, 비시그니처(signature-less) 기반 등 멀티 엔진을 기반으로 기존 방식의 위협(Known)부터 알려지지 않은(Unknown) 신•변종 위협까지 정확하고 효율적으로 탐지하고 분석합니다

- 가상머신 기반의 동적 행위 분석 엔진은 파일/프로세스/레지스트리/네트워크 변화를 실시간으로 분석하며, 모든 연관 파일의 행위 정보, 평판 정보 및 연관 정보를 종합적으로 분석해 오탐을 최소화합니다.

- 가상머신 기반의 동적 콘텐트 분석(DICA) 엔진을 통해 MS오피스·PDF·한글 오피스 등의 취약점을 이용한 신종 비실행형(non-PE) 악성코드를 정확하게 탐지합니다. 특히 버퍼오버플로우, ROP, 힙 스프레이 등의 공격 기법을 이용하는 악성코드에 대한 탐지가 가능합니다.

- MDS는 정적(static) 및 동적(dynamic) 악성코드 분석 기술과 노하우가 융합된 하이브리드 분석 기술을 통해 알려지지 않은 신종 위협까지 정확하게 탐지합니다. 독보적인 ‘메모리 분석 기반의 익스플로잇(exploit) 탐지 기술’이 적용된 MDS는 악의적인 행위의 종류나 행위 발생 여부와 관계없이 악성코드를 정확하게 탐지해 제로데이 공격은 물론, 샌드박스 분석을 우회하는 악성코드에 대한 분석이 가능합니다.

3) 위협 모니터링

MDS는 탐지 및 분석 결과에 따라 크게 '악성', '모니터링', '정상'의 3가지 등급으로 분류합니다. ‘악성 등급’은 위험도에 따라 다시 3단계로 분류합니다. 정상 파일을 포함한 총 10단계의 세분화된 분류 체계를 제공함으로써 효율적인 위협 대응에 기여합니다.

※ 분류 기준은 [MDS] 위험도 분류 가이드를 참고 부탁드립니다.

4) 위협 대응

안랩의 독보적인 지능형 위협 분석 노하우가 집약된 MDS는 탐지부터 분석, 모니터링, 네트워크-엔드포인트 대응에 이르는 워크플로우를 기반으로 알려지지 않은(unknown) 위협, APT 및 다양한 경로를 이용한 고도화된 공격 등 지능형 위협에 효과적으로 대응합니다.

- MDS는 C&C 서버 접속 및 악성코드 배포 사이트(Malsite) 등 이상 트래픽에 대해 네트워크단에서의 차단 기능을 제공합니다. 이는 전용 에이전트 설치 여부와 상관없이 기본으로 제공되는 기능입니다.

- MDS는 에이전트를 통해 탐지된 악성코드를 다운로드한 호스트에 대해 네트워크에서 격리함으로써 위협의 내부 전파를 차단하며, 자동•수동 삭제를 통한 조치를 수행합니다. 또한 “실행 보류(Execution Holding)” 기능으로 악성 여부가 확인되지 않은 파일의 실행을 방지하며, 이를 통해 최초 감염(First Victim, Patient Zero)에 대한 피해 예방 및 대응도 가능합니다.

- MDS는 메일의 첨부 파일에 대한 가상머신 기반의 동적 분석뿐만 아니라 메일 본문 내의 악성 URL 및 스크립트(script)에 대해 블랙리스트/화이트리스트 및 평판 정보 기반의 다차원 분석을 수행합니다. 악성 또는 의심스러운 이메일을 탐지하고 자동 격리하며, 악성 메일 탐지 시 메일수신자 및 보안 관리자에게 경보 메일을 발송합니다. 격리된 이메일은 추가 분석을 위해 다운로드하거나 ‘관리자 명령’을 통해 격리 해지(수신자에게 메일 전송)할 수있습니다.

- MDS는 공유 폴더 스캔 기능을 통해서 망연계 솔루션을 거쳐서 유입되는 ‘신종 악성코드 의심 파일’에 대한 동적 분석 수행 후 안전한(Clean) 폴더와 악성 파일 격리 폴더로 이동시킵니다.