'APT 차단'에 해당되는 글 1건

  1. 2013.05.25 APT 탐지 장비의 한계

APT 탐지 장비의 한계

APT 2013.05.25 07:31

지난 3.20 사이버테러 이후 APT(Advanced Persistent Threat) 공격에 대한 관심이 증가하였으며, 관련 기업이나 기관에서 수요가 급격하게 증가하고 있다는 소식도 들리고 있습니다.

 

하지만, 대부분의 기업에서는 '보안팀'을 운영하고 있지 않기 때문에, APT 장비나 솔루션을 도입할 때에 많은 검토를 거쳐야 합니다.

 

그 중에서 가장 중요한 점은 다음과 같습니다.

  • 탐지만 가능하다 - 그렇다면 별도의 차단 장비가 필요하다는 뜻이 됩니다.
  • 분석을 해야 한다 - 그렇다면 전문가가 필요합니다.
  • 오진이 많다 - 보안 장비의 아킬레스 건은 바로 오진(False Positive)입니다. 국내외 백신의 오진 사례에서 익히 알 수 있으며, 특히 오진으로 인한 피해가 적어야 합니다.

국내에서 인기를 구가하고 있는 F사가 해외 언론에 보도한 자료가 이를 뒷받침하는 자료로 보여지며, 간단히 요약하면 다음과 같습니다.

 

 http://threatpost.com/ie-8-zero-day-pops-up-in-targeted-attacks-against-korean-military-sites/

 

국내 군관련 웹사이트에 IE 8 제로데이를 활용한 공격이 발생

 

하지만, 실제로 해당 사이트에서 발생한 공격을 살펴 보면, IE 8 제로데이가 아니고, JAVA 관련 취약점을 활용한 공격임이 확인되었습니다.

 

http://p4ssion.com/361

 

안보 관련 연구소 대상 표적공격 (워터링 홀) 5월16일 발생

 

바로 이러한 사례가 APT 탐지 장비에서 발생가능한 오류의 예입니다.

 

즉, 이미 감염된 PC(좀비)에서 발생하는 행위(시스템, 네트워크)를 기반으로 추적을 하기 때문에 실제 출처를 찾기가 매우 어려운 것이 사실입니다.

 

감사합니다.

reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus


    Web Analytics Blogs Directory