eScan HIPS, 호스트 기반 침입방지 시스템

eScan HIPS, 호스트 기반 침입방지 시스템

왜 필요할까요?

사이버 공격은 나날이 지능화 되어가고 있습니다.

바이러스가 아니더라도, 컴퓨터에 설치한 정상적인 프로그램 중 하나가 인터넷 데이타 전송을 목적으로 사용하는 경로 (포트)를 탈취하여 직접 컴퓨터에 접속하여 장난을 칠 수도 있는 등, 다양한 방법의 침투 가능성이 있습니다. 이런 경로를 확인하려고 공격자들은 포트 스캐닝을 하기도 하는데, 이런 행위도 차단해야 합니다.

즉, 이제는 바이러스 탐지만으로는 부족하기 때문입니다.

바이러스 백신만으로 부족하다면, 어떤 기능들이 더 필요할까요?

이런 고민에서 필요한 필수 기능들을 모아 개별 컴퓨터(호스트) 별로 침입방지시스템을 구현하였습니다.

HIPS(Host-based Intrusion Prevention System)

호스트 기반 침입방지 시스템

이스캔은 호스트 기반의 침입방지 시스템을 갖춘 드문 백신 프로그램 중의 하나입니다.

악성코드를 차단하고 기업정보 유출을 차단하기 위해서 기업들은 별도의 방화벽 장비를 구축하고, 메일을 검사하는 장비와 프로그램을 별도로 구축하고, 네트워크를 이중화 하는 등의 노력을 기울입니다.

eScan 은 개인용 컴퓨터를 대상으로, 방화벽, 바이러스 보안, 메일보안, 인터넷 보안은 물론, USB를 통한 정보유출 차단, 프로그램 사용시간 통제, 인터넷사용시간 통제 등의 모든 기능을 포함하는 개별 컴퓨터를 대상으로 하는 토탈 보안을 제공하고 있습니다.

1. 포트스캔 차단

포트스캔은 시스템의 각 포트에 네트워크 접속 요청을 전송하는 공격으로 정의할 수 있는데, 사용되고 있는 포트번호를 확인하고, 특정 포트를 통해 제공되고 있는 서비스의 알려진 허점을 노리고 공격하기 위해 활용됩니다. 포트스캔 차단은 이스캔 방화벽의 모듈 중 하나로 해커에 의해 수행되는 모든 포트스캐닝을 차단합니다.

2. 멀웨어 URL 필터

친숙함을 가장하여 유포되고 있는 멀웨어들로 인한 데이터 손상, 정보 유출도 가장 큰 위험 요소 중 하나입니다.

보기에는 정상적이고 안전해 보이는 웹 사이트를 통해 방문자를 기만하여 멀웨워가 다운로드 되도록 하는 데, 소프트웨어 업데이트, 스크린세이버, 비디오 코덱 업그레이드, 백신 프로그램 등을 가장 합니다. 이러한 웹사이트들은 멀웨어를 빠르게 확산하고, 기존 보안 프로그램들을 속이기도 합니다.

이스캔의 멀웨어 URL 필터는 이러한 경우를 대비한 것으로 의심스러운 웹사이트라 URL 에 접속되지 않도록 합니다.

기업용의 경우 중앙관리콘솔을 통해 이 정책을 적용하면, 개별 컴퓨터 사용자의 실수로 인해 네트워크가 위험해 지는 것을 예방할 수 있습니다.

멀웨어 URL 필터는 이스캔 내 멀웨어 전문가로 구성된 팀에서 지속적으로 업데이트하고 있으며, 각 개별 사용자의 컴퓨터에 대한 백신 데이터베이스 업데이트에 바로 반영되어 유해한 링크를 접속하려고 할 때 차단합니다.

3. 클라우드 보안

이스캔은 ESN(eScan Security Network) 기술 을 개발하여, 매일 발견되고 있는 새로운 멀웨어의 99.99%를 실시간으로 탐지하고 차단하며, 피싱 시도로부터도 보호합니다. 이를 통해 이미 알려진 바이러스, 웜, 트로이목마 등의 유해요소와 함께 새로이 발견된 바이러스가 널리 확산되기 이전에 차단시키게 됩니다.

클라우드 보안은 다음과 같은 단계를 거쳐 제공됩니다.

– 새로이 실행되었거나 다운로드된 어플리케이션들이 ESN 서버와 이스캔 연구소로 보내어집니다.

– 파일을 분석하여 화이트 리스트로 분류하거나, 멀웨어 데이터베이스에 추가됩니다.

– 몇 분 이내에 이스캔 모든 사용자에게 적용되도록 배포되어, 실시간방어를 제공합니다.

– 각 사용자 시스템의 멀웨어 데이터베이스 및 화이트리스트에 적용됩니다.

4. 행위기반 탐지

행위기반 탐지 기능은 시스템상에서 실행되는 의심스러운 파일들이 발견되면, 실행이 되기 이전 사용자에게 팝업창을 표시하여 실행을 허용할지 차단할지 선택하도록 하여, 사용자가 알지도 못하는 사이에 멀웨어가 실행되어 시스템을 위협하는 것을 예방합니다.

의심스러운 활동을 하는 실행파일이 발견되면, 아래와 같은 여러 개의 검사과정을 거친 후 의심스러운 파일인지 혹은 감염이 확실한 파일인지를 판단하고 분류하게 됩니다.