상포 엔진 제로

엔진 제로란 무엇입니까?

배경

악성 소프트웨어 또는 맬웨어는 데이터, 장치 및 사람에게 해를 끼치는 사업입니다. 바이러스, 웜 및 스파이웨어는 모두 귀하와 귀하의 비즈니스 안전에 대한 매우 위험하고 빠르게 성장하는 위협의 변종입니다. 최근 몇 년 동안 파괴적인 공격의 대부분은 수백만 달러의 비용이 드는 악명 높은 랜섬웨어 및 크립토재킹 프로그램을 사용하여 시작되었습니다.

악성 코드는 그 역할을 훌륭하게 수행하므로 이를 방어하려면 자신의 역할도 탁월해야 합니다. 기존 보안 시스템과 안티 바이러스는 기존 서명을 성공적으로 식별하지만 최근의 매우 가단성이 높고 악의적인 위협에 대해서는 무방비 상태입니다. 해커는 종종 기존 악성 코드의 새로운 변종을 만들거나 귀하와 귀하의 비즈니스에 효과적인 제로 데이 기술을 활용합니다. 끊임없이 진화하는 위협을 어떻게 방어합니까? 진화해야합니다.

 

혁신 개요

인공 지능 기술을 통해 상포는 알려진 위협과 알려지지 않은 위협을 방어하기 위한 자체 사내 악성 코드 탐지 엔진을 개발할 수 있었습니다. 데이터 과학자, 보안 분석가, 화이트 해커 연구원으로 구성된 당사의 전담 R&D 및 보안 팀은 우리 시대의 가장 흥미로운 기술 발전 중 하나인 AI와 함께 이 엔진을 지속적으로 개발 및 개선하고 있습니다.

"Engine Zero"는 제로 위협이 네트워크에 영향을 미치지 않도록 하고 제로 데이 취약점으로부터 완벽하고 전체적인 보호를 제공하기 위해 만들어졌습니다. Engine Zero는 상포의 네트워크 보안 솔루션, 엔드포인트 솔루션 및 Neural-X 클라우드 플랫폼에 내장된 수많은 악성코드 검사 엔진 중 하나일 뿐입니다.

 

전통적인 접근 방식

 

시그니처 기반 탐지

기존의 안티 바이러스 공급업체에서 자주 사용하는 알려진 모든 악성 파일의 해시(MD5)가 계산되어 안티 바이러스 데이터베이스에 저장됩니다. 의심스러운 파일을 검사할 때마다 해당 파일의 MD5가 계산된 다음 AV 데이터베이스에 존재하는 다른 파일과 비교됩니다. 이 방법은 효과적이고 빠르며 업계 테스트를 거쳤지만 알려진 악성 코드 샘플(종종 수백 메가바이트에 달함)의 거대한 데이터베이스를 매일 유지하고 매일 엔드포인트 업데이트를 필요로 합니다. 이러한 지속적인 경계를 유지하는 것은 알려진 맬웨어를 퇴치하는 데 여전히 가치 있고 효과적이지만, 빠르게 진화하는 맬웨어 및 맬웨어 변종에는 여전히 효과적이지 않습니다.

 

YARA 유형 스크립트 엔진

이 스크립트는 의심되는 파일/디렉토리를 검사하고 YARA 규칙에 정의된 문자열을 파일과 일치시킵니다. YARA 접근 방식은 더 많은 악성 코드군을 처리한다는 측면에서 AV보다 더 나은 성능을 발휘하지만 새로 생성된 악성 코드를 탐지하는 데는 여전히 부족합니다.

 

가상 실행/샌드박싱

가상 실행 및 샌드박싱은 통제된 가상 환경 내에서 악성 코드를 폭발시키고 실행 후 동작을 모니터링하는 프로세스입니다. 맬웨어의 특성으로 인해 이 방법에는 몇 가지 문제가 있습니다. 맬웨어는 샌드박스 환경에 있을 때 이를 인식할 수 있을 만큼 똑똑해지고 있으며, 샌드박스가 보이지 않는 경우(일반적으로 그렇지 않은 경우) 향후 이를 피하는 방법을 학습합니다. 샌드박싱의 또 다른 과제는 검사에 오랜 시간이 걸리고 네트워크의 모든 부분이나 심지어 많은 조직에 광범위하게 배포되지 않는 경우가 많아 맬웨어가 이를 우회할 수 있다는 것입니다.

 

어떻게 작동하나요

수십 명의 박사 학위, 과학자, 보안 분석가 및 화이트 해커가 설계한 Engine Zero는 의심되는 파일 전체를 샅샅이 뒤져 발견한 내용을 여러 기능으로 분류합니다. 모두가 기계 학습이 우리 자신을 보호하는 방식과 기술이 지속적으로 성장하는 방식을 강화한다는 데 동의하며, Engine Zero는 이러한 효과적이고 놀라운 기술 중 몇 가지를 사용합니다.

악성 코드 특성에 대한 수년간의 부지런한 보안 연구를 바탕으로 상포는 지도 학습 모델을 개발했습니다. 이 모델의 정확성을 훈련하고 보장하기 위해 우리는 고급 인공 지능 기능을 사용하여 엔진이 스스로 실행하고 학습할 수 있도록 하는 동시에 수천만 개의 맬웨어 샘플을 적용하여 알려지지 않은 맬웨어와 그 계열을 발견할 수 있는 역량을 확장했습니다.

Engine Zero는 네트워크 게이트웨이, 엔드포인트 보호, 클라우드 기반 SaaS(Security as a Service)를 포함하는 상포의 보안 포트폴리오 내 유일한 방어선이 아닙니다. 위협 인텔리전스, 샌드박싱, 봇넷 탐지 기능을 포함한 기타 방어 기능이 모두 함께 작동하여 맬웨어 탐지를 위한 포괄적인 범위를 제공합니다.

 

engine-zero-inspection-efficiency-and-performance

 

엔진 제로의 장점

  • 정확성: 최근 테스트에서 당사의 악성 코드 탐지율은 정확도 측면에서 가장 높은 점수를 얻었으며, 이는 다른 공급업체 및 오픈 소스 대안을 능가합니다.
  • 빠름: 이 엔진은 매우 효율적이며 리소스를 거의 사용하지 않습니다. 이러한 효율성만이 성능에 거의 영향을 주지 않으면서 네트워크 게이트웨이에 대한 맬웨어 검사를 제공할 수 있습니다.
  • 적용 범위: 알려진 공격과 제로데이 공격을 적용합니다. 2017년 6월에 출시된 우리 엔진은 2017년 10월에 처음 발견된 BadRabbit 랜섬웨어와 같은 주목할만한 악성 코드를 사전 서명 없이 탐지할 수 있음을 입증했습니다.

 

엔진 제로 검증: 랜섬웨어에 대한 탁월한 보호

 

engine-zero-picture-1

engine-zero-picture-2

engine-zero-picture-3

 

돈을 노리는 공격자들이 점점 더 정교한 랜섬웨어를 개발하고 배포하는 동안 Engine Zero의 고급 AI 기능은 이에 대해 매우 효과적인 것으로 입증되었습니다. 성공률이 높을수록 해커는 알려진 악성 코드의 변형 또는 고유한 광범위한 무기화된 도구를 만들기 위해 더 열심히 노력해야 합니다.

랜섬웨어의 역사와 진화에 대해 자세히 알아보려면 여기를 클릭하세요.

 

엔진 제로와 랜섬웨어

Engine Zero의 감독 교육 및 인공 지능은 랜섬웨어 제공에 대한 최고의 방어력을 입증했습니다:

  • 적응성: 사전 교육 없이도 알려지거나 알려지지 않은 랜섬웨어에 대해 최상의 적용 범위를 제공하는 것으로 입증되었습니다(예: BadRabbit).
  • 정확성: 최근 60,000건의 랜섬웨어 샘플 테스트에서 Engine Zero는 유사한 솔루션 중에서 가장 높은 점수를 받았습니다.
  • 속도: 차세대 방화벽(NGAF)을 사용하는 고객은 Engine Zero를 사용하여 회선 속도로 랜섬웨어를 탐지할 수 있습니다.