안녕하세요 다온기술입니다. 지난 포스팅에서 왜 이메일은 아직도 공격에 유용하게 사용되고 있는건지 설명해드렸습니다. 오늘은, 그래서 어떤 이메일 보안 솔루션을 사용해야하나? 에 대한 주제로 발표 내용을 리뷰해보려합니다.
>지난 포스팅:
왜 이메일은 아직도 공격에 유용하게 사용되고 있나?_사칭메일
우리회사는 어떤 형태의 이메일 공격에 노출되어 있을까?
현재 기업에서 사용하고있는 이메일 대응 솔루션이 적절하게, 또는 정확하게 작동하고 있는지 살펴볼 필요가 있습니다.
예를들어
멀웨어나 피싱사이트로 유도하는 URl을 잘 막고 있는가?
경영진을 대상으로 하고 있는 타겟팅된 스피어피싱을 잘 막고 있는가?
이메일 공격을 우리 기업의 인프라 안에서 함께 대응할 수 있도록 다양한 이벤트들을 수렴하고 있는가?
이메일 공격 대응 시 과탐 또는 오탐은 하고 있지 않은가?
기존에 사용하던 온프레미스에 있는 시스템을 클라우드로 마이그레이션 하는 과정에서 서포트 할 수 있는가?
이렇게 다양한 부분에 직면해있는 위협에 현재 사용중인 솔루션이 적절하게 대응하고 있는지 한번 살펴보아야 합니다. 이메일 위협에 '제대로' 대응하기 위해선 모든 과제에 대한 해법이 필요할 것입니다.
어떤 이메일 보안 솔루션을 사용해야하나요?
일반적으로 스팸메일 서비스라고 하면 스팸이나 악성코드를 어느정도 잘 잡아줍니다.
그러나 우리가 원하는 공격에 대응하고 있는가? 뛰어난 탐지기능을 제공하고 있는가?
우리가 마이그레이션 해야하는 클라우드 서비스와 통합적으로 쉽게 연동이 되는가?
에 대한 고민도 필요합니다.
이런면에서 Trellix의 Email security는 다양한 악성코드 위협, 또는 악성 URL 에 대응할 수 있는 솔루션입니다. 악성코드와 악성 URL을 직접 분석해서 탐지효율을 극대화시키고 여러분들께 안전한 이메일을 제공할 수 있도록 합니다. 또한 탐지되는 내용을 가지고 대응하는 과정에서 조금 더 혁신적인 대응을 하기 위해 실제 악성메일이 탐지되기 전에 조치를 취할 수 있는 기능을 제공하기도 합니다. 다양한 솔루션들과 통합 관리할 수 있도록 정보를 제공하기도 하고 기본적으로 이메일 게이트웨이 역할을 할 수 있는 클라우드 saas서비스를 제공하기 때문에 인바운드, 아웃바운드 이메일 모두 관리가 가능합니다. 특히 인바운드 메일은 악성코드 분석을. 그리고 아웃바운드 이메일은 다양한 이메일에 대한 DLP 기능을 수행할 수 있습니다.
Machine Learning을 이용한 URL위협 방어 기능
URL은 상황에 따라 장비가 분석하기 어려운 경우도 있습니다. 흔히 생각해서 대용량 첨부파일을 분석하는 과정을 예를 들었을 때 사람은 클릭-다운로드-분석 이라는 단순한 과정일 뿐이지만 사람이 아닌 기계로서는 이것이 URL인지 분석하는 것 부터 어렵습니다.
phish vision
딥러닝 기능들을 활용해서 사용자들을 로그인하게 만드는 url 피싱페이지를 사전에 분석하고 그 정보를 통해 대응하는 시스템입니다. M365 로그인페이지를 보면 픽셀이 깨지거나 이미지가 이상한 경우가 발생하는데 이게 바로 피싱, 악성페이지입니다. 피시비전이 사전에 학습해서 이 페이지가 악성이구나 또는 피싱에 가깝구나 라는것을 사전에 탐지하고 제어하는 기능을 제공하고 있습니다.
Kraken
크라켄Kraken 이라는 머신러닝을 기반으로하며 기존에 알려져 있던 정보들을 토대로 사전분석을 진행합니다. 어느 정도 데이터베이스를 가지고 있는 상태에서 새로운 페이지가 릴리즈 되었을 때 이미 알려졌던 피싱사이트와 유사성이 있는지 분석합니다 (URL ,사이트 이미지, 사이트 코드 등이 포함) 분석하고 비교하여 사용자나 솔루션이 놓치는 것을 최소화하기 위한 머신러닝 알고리즘입니다.
Skyfeed
앞서 말씀드린 머신러닝의 데이트 소스입니다. 트렐릭스에서 수집하는 URL 만을 분석하지 않는 것이 아닌, 트위터, 바이러스토탈, 다양한 인텔리전스 서비스를 활용하여 분석하고 분석된 데이터는 학습된 엔진에 투입됨으로 학습된 엔진이 좀 더 지능화된 악성코드를 잘 탐지할 수 있도록 기능을 개선하고 있습니다. 이렇게 만들어진 데이터들을 우리가 알고있는 멀웨어나 피싱들과 매칭함으로서 정확도를 높여 이런 정보를 고객들에게 제공함으로서 좀 더 안전하게 메일을 사용할 수 있도록 서비스를 구현하고 있습니다.
사칭탐지
우에서 소개들인 기능들에서 실제 가장 많이 하는 것이 사칭탐지 입니다. 사칭탐지라는 것은 단순히 URL에서 좀 더 나아가야합니다. 왜냐면 사칭이라는 말은 결국 어떤 컨텐츠 안에 숨어들었다는 것이고, 컨텐츠 안에 우리가 놓치는게 무엇인지 좀 더 면밀하게 살펴보아야합니다. 예를들어 이메일 주소의 한글자, 중간글자를 숫자로 바꾼 형태의 메일이 유입되었을 때 이 도메인 자체가 새로 만들어진 것인지 확인해볼 수 있고 모양이나 발음이 유사한지 체크해볼 수 있습니다. 또는 메일의 회신 주소를 확인해서 사칭메일을 탐지하기도 합니다. 간혹 메일에 보이는 이름과 실제이름이 다른경우도 많습니다. 이름이 John이지만 J0(숫자)hn 으로 사용하기도 하는것이죠. 이런 식으로 사용자가 오해하기 쉬운 내용이 표시되기도 하는데 이런 부분에서 일치 여부를 검색하거나 CEO 사칭은 아닌지 탐지하는 기능이 지금까지 앞서 말씀드린 기능들입니다.
Trellix는 공격자보다 앞서 있습니다.
트렐릭스는 2022년 4분기에만 100만 건 이상의 회피 시도를 보았습니다. 이 공격은 브라우징 IP를 샌드박스 또는 비타겟 지역으로 간주하여 합법적인 사이트를 표시하려고 시도했습니다. 결과적으로 다양한 회피시도들은 우리에게 데이터로 누적이 될 것이고 앞으로도 진화될 것입니다.
Comments