팔로알토 네크워크에서는 이번에 알려지지 않은 악성코드 및 변조된 말웨어등을 탐지 및 제어할수 있는 와일드 파이어(WildFire)라고 하는 기술을 선보였습니다.
이 기술의 주요 특징은 기존 보안 장비(방화벽,IPS, 등등)에서 가지고 있지 않는 신규 악성 코드 및 변조된 말웨어가 들어오더라도 이를 감지하고 차단할수 있도록 스스로 시그니쳐를 진화시켜 모니터링 및 차단을 할수 있다는 것입니다.
즉, 해당 보안장비의 시그니처 DB가 가지고 있지 않은 비정상적인 악성코드나 말웨어가 들어온다고 하더라도 방화벽이 스스로 학습하고 인지하여 해당 코드의 시그니처를 genaration하여 모니터링 및 제어 할수 있게 만드는 기술입니다.
이것이 가능한 이유는 샌드박스라고 하는 가상 클라우드 환경을 이용하기 때문입니다.
샌드박스 클라우드(Sandbox Cloud)란 가상의 네트워크 시스템 환경을 구축해 놓은 곳으로 전송된 비정상적인 악성코드나 말웨어를 실제로 실행시켜 비정상적인 행위를 하는지를 모니터링 할수 있도록 구성된 가상화 공간입니다.
이 샌드박스를 이용하여 팔로알토는 비정상적인 파일 여부를 판별해 내고 더 나아가 시그니처를 생성해 낼수 있게 됩니다.
와일드파이어는 다음과 같은 동작 원리를 가지게 됩니다.
•악성코드 확인 및 샌드박스로 전송
- 팔로알토에서 기존에 제공하는 스트리밍 베이스 파일 스캐닝을 통해 exe 등과같은 실행파일을 검사합니다.
- 해당 실행파일이 기존 시그니쳐에 없는 경우 샌드박스 클라우드라고 하는 가상 환경으로 전송합니다.
•샌드박스에서 악성코드 여부 판별
- 샌드박스의 가상환경에서 실행파일을 실행시켜 비정상적인 행위가 있는지 판별합니다.
- 또한 정상적인 파일과 비교해 이상여부가 있는지를 판별합니다.
•신규 시크니쳐 생성 및 전송
- 비정상적인 악성코드로 판별이 난 경우에 이것을 인지할수 있는 시그니쳐를 생성하여 바로 팔로알토 장비로 전송하게 됩니다.
•차단 및 모니터링
- 팔로알토 방화벽은 전송받은 시그니처를 통해 해당 악성코드를 모니터링하거나 제어할수 있게 됩니다.
위와 같은 기술을 통하여 팔로알토 네트워크 방화벽은 기존에 가지고 있던 어플리케이션 제어의 장점 뿐 아니라 잘 알려지지 않은 악성코드 및 말웨어까지도 방어 할수 있는 기능을 가지게 되어 더욱 강력한 보안 능력을 선보이고 있습니다.
'_IT 트렌드 > Security' 카테고리의 다른 글
[DDoS 대응 시스템] 나우콤 `스나이퍼DDX` (0) | 2010.09.30 |
---|---|
[2009 하반기 히트상품] 나우콤 `스나이퍼DDX` (0) | 2010.09.30 |