근래에 여러 방화벽 벤더들은 Cloud 환경에서 Sandbox 기반으로 ATP 또는 Zero-Day Attack을 탐지 및 차단하는 기능을 소개하고 있습니다.

 

Juniper의 경우에는 SRX를 통해 Sky ATP라는 솔루션으로 해당 기능을 제공하고 있으며, 아래와 같은 아키텍처를 갖고 있습니다.

 

 

간단하게 정리하자면.. 아래 기능을 지원한다고 보시면 될 듯 합니다.

 

1. C&C 서버와의 통신 차단.

2. GeoIP 기반의 정책 적용.

3. Cloud 환경의 Sandbox를 통한 Malware 행위 분석 및 차단

4. Client의 평판점수 부여를 통해 통신 제어.

   (평판은 C&C 서버와의 통신 및 Malware  다운로드, 위협도에 따라 부여 됩니다.

 

Sky ATP는 무료 버전과 프리미엄 버전이 있는데, 각 버전의 차이는 아래와 같습니다.

 

 

현재 저희 업무 환경에 Juniper SRX를 통한 Sky ATP 적용해 놓은 상태인데, Sky ATP는 Cloud를 통해 웹 기반의 Portal을 제공하여, 탐지 및 차단 현황에 대한 History를 확인할 수 있습니다.

 

 

 

 

위 화면은 Client가 접속 시도한 C&C 서버 현황들이며, 지정된 위협레벨 이상의 C&C 서버로 통신을 시도하는 경우, 차단 처리를 하고 있습니다.

 

다만, 최근들어 Sky ATP의 오탐이 자주 발생하여 의도치 않게 정상적인 사이트와의 통신을 차단하는 일이 빈번하게 발생하고 있습니다.

 

실제 문제가 보고되어 C&C 서버로 분류되어 있을 수도 있으나, 관련 Client 에 대해 백신 및 몇 가지 툴을 통해 침해 여부를 확인해 보았습니다만, 특별한 이상 징후는 발견할 수 없었습니다.

 

즉, 저희 입장에서는 정상사이트가 C&C 서버로 분류되어 접속을 못하는 상황이 발생한 것으로 판단을 하게 되는 것이죠. 이 부분은 실제 고객사 또한 마찬가지로 인식하게 될 것으로 보입니다.

 

이것이 금일 블로그에 포스팅을 한 이유이기도 합니다.

 

오탐으로 분류된 C&C 서버들은 공인인증서 발급 기관인 Comodo 및 Micorosoft, NHN 등의 여러 사이트가 해당되었습니다.

 

오탐은 당연히 발생할 수 있으나, 사용자의 편의성 또한 조금 더 고려되었으면 좋겠습니다.

 

감사합니다.

 

 

 

 

 

 

Posted by 로버무트