top of page

전 세계 인텔리전스 데이터를 실시간으로 공유하는 Trellix DTI



Trellix NX, EX, FX, CM, AX 플랫폼에는 글로벌하게 실시간 인텔리전스 정보를 교환하는 클라우드 서비스가 제공된다는 사실. 알고 계셨나요?

Dynamic Threat Intelligence(DTI) 클라우드는 오늘날의 사이버 공격에 대한 위협 데이터를 실시간으로 교환하기 위해 Trellix 위협 방어 플랫폼을 연결하는 글로벌 네트워크입니다

DTI 클라우드는 새로운 악성코드 프로파일, 취약점 익스플로잇, 코드 난독화 기법, 그리고 Trellix APT 발견 센터와 검증된 타사 보안 솔루션에서 탐지한 새로운 위협 같은 자동으로 생성된 위협 인텔리전스를 효율적으로 공유하기 위한 글로벌 배포 허브 역할을 합니다. Trellix 위협 방어 플랫폼은 Trellix DTI 클라우드를 활용하여 알려지지 않은 제로데이(사이버 범죄, 사이버 첩보 활동, 사이버 정찰에 사용되는 고도의 표적 공격)와 알려진 악성코드를 보다 효율적으로 탐지합니다.

Trellix DTI 클라우드의 주요 기능

• 새로 출현하는 웹, 이메일 및 파일 기반의 위협에 대한 익명화된 인텔리전스의 글로벌 공유

• 조직들은 제로데이 악성코드와 지능형 표적 공격에 대한 데이터 피드에 가입하여 새로운 사이버 공격의 실시간 식별 및 차단을 보완 가능

• 최근에 식별된 악성코드 통신을 차단하기 위해 지속적으로 콜백 목적지를 업데이트하여 새로 식별된 악성코드 통신의 실시간 차단을 보충

• 위협 인텔리전스에 대한 가입과 공개는 선택 사항으로서, 사용자들에게 공유의 범위를 결정하는 것에 대한 유연성을 제공

위협 인텔리전스는 다음과 같은 사항이 포함됩니다.

• 확인되어 현재 알려져 있는 공격을 탐지하는 악성코드 공격 프로파일(악성코드의 MD5, 네트워크 동작, 코드 난독화 기법)

• 파일 공유 객체, 이메일 첨부 파일 및 URL에 대한 분석

• 데이터를 유출하고 사이버 범죄자의 명령을 전달하기 위해 사용된 완전한 악성코드 콜백 목적지(목적지 IP 주소, 프로토콜, 포트)

• 전송 세션을 인스턴스화하는데 사용하는 사용자 지정 명령과 같은 악성코드 통신 프로토콜의 특성

DTI의 작동 방식



Trellix NX, EX, FX, CM, AX 플랫폼을 포함하는 Trellix 위협 방어 플랫폼은 스테이트풀 공격 분석을 사용하는 통합된 다중 벡터 위협 방어를 제공하여 모든 단계의 지능형 공격을 중단 시킵니다.

Trellix Multi-Vector Virtual Execution ™(다중 벡터 가상 실행, MVX) 엔진은 플랫폼 내부에서 의심스러운 웹 트래픽, 이메일 첨부 파일 및 일반 파일에 대한 분석을 바탕으로 동적 위협 인텔리전스를 생성합니다. Trellix 클라우드 인프라는 Trellix MVX 엔진 분석을 통해서 로컬에서 생성된 익명화된 악성코드 인텔리전스를 수집하여 전 세계의 Trellix 커뮤니티에 제공합니다. 그다음으로 설치된 전체 Trellix 시스템을 통해서 실시간 위협 방어를 제공하기 위해 Trellix CM 플랫폼을 사용하여 각 플랫폼에 동적 위협 인텔리전스를 배포합니다.

DTI 통신으로 사전에 공유된 정보를 통해 탐지된 위협



DTI 클라우드 서비스로 제공되는 업데이트



DTI 통신을 이용해 위협 인텔리전스 정보뿐만 아니라 Trellix 플랫폼에서 사용되는 OS와, 동적분석에 사용되는 가상 머신 업데이트도 가능합니다.

Security Content 업데이트의 경우 15분 주기로 체크하며 새로운 버전이 확인될 시 DTI 통신을 통해 업데이트가 진행됩니다.

오탐 및 미탐을 방지를 위해 실제 위협의 근거에 차단

잠재적인 위험이 있는 코드와 브로드캐스트 시그니처에 대한 잘못된 추정을 하는 평판 및 위험 기반의 위협 인텔리전스 네트워크와는 달리 의심스러운 코드가 특허를 받은 Trellix MVX 엔진의 분석 과정을 거쳐 실시간 인텔리전스 업데이트되어 보다 정확한 가치를 보여줍니다.

  1. Trellix 플랫폼은 명령 및 제어(CnC) 서버 역할을 하는 악성 IP 주소를 식별하고 그 주소로 전송되는 아웃바운드 콜을 차단하기 시작합니다.

  2. 이 플랫폼은 연결을 시도하기 위해 사용된 목적지 IP 주소, 포트, 악성코드 프로토콜을 Trellix DTI 클라우드에 자동으로 통지합니다.

  3. Trellix DTI 클라우드에 가입된 Trellix 플랫폼은 정기적으로 업데이트를 받고, 동일한 포트와 악성코드 프로토콜을 사용하는 IP 주소에 대한 연결을 차단합니다.

  4. 모든 Trellix DTI 클라우드 가입자 사이트에서 침해된 시스템은 봇넷 CnC 서버로의 연결이 차단됩니다.

Trellix의 플랫폼에서 제공하는 DTI 클라우드 서비스에 대해 알아보았습니다.




bottom of page