Platform & Architecture

Endpoint Sensor Architecture

Cybereason 센서는 진보한 엔드 포인트 탐지 및 대응 플랫폼입니다.
이 플랫폼은 매초마다 수백만개 데이터의 조각들을 수집하여 끊임없이 진화하는 기업의 운영환경을 파악합니다.
가능한한 많은 정보를 검출하고 간섭을 최대한 줄이며 복잡한 위협을 분석하면서도 네트워크 및 엔드 포인트에 미치는 영향을 최소화합니다.

Cybereason 센서의 장점

Cybereason 엔드포인트 센서는 고유한 기능을 사용하여 사용자 모드에서 실행되며 지속적으로 커널 레벨에 대한 깊은 가시성을 확보합니다.
Cybereason 연구진은 공격 상황에 대해 기존 상용 보안 제품의 커널 레벨 드라이버들과 동일한 수준의 가시성을 확보하기 위해 수년간을 운영체제 메커니즘 연구에 투자하였습니다.
이를통해 사이버리즌은 사용자에 대한 영항은 최소화 하면서도 악성 활동을 탐지하는 데 필요한 데이터에 접근할 수는 있는 고유한 기술을 확보하게 하였습니다.

  • No 블루 스크린(blue screens)

    사이버리즌 센서는 사용자 모드에서 실행되므로 다른 소프트웨어 또는 OS 작업과 충돌하지 않게 설계되어 이미 인스톨 되어 운영중인 다양한 소프트웨에와의 사전 통합 테스트를 최소화 할 수 있습니다.

  • 메모리 5% 이내 사용

    사이버리즌 센서는 엔드포인트 리소스를 일정 부분 이상 초과하여 점유하지 않도록 하는 기능을 포함하고 있습니다.

  • 사용자 작업 방해 없음

    사이버리즌 센서에는 사용자가 실행중인 작업의 속도를 늦추지 않도록 센서 활동 우선 순위를 결정할 수 있는 컨트롤이 포함되어 있습니다.

Cybereason 센서의 수집 정보들

Cybereason 엔드포인트 센서는 엔드포인트에서 발생하는 모든 행동을 이해하고 악의적인 활동을 탐지 할 수 있는 시스템 수준의 메타데이터를 수집합니다.
센서는 고객의 정보 유출방지를 위해 어떠한 경우에도 파일의 실제 내용, 네트워크 패킷 정보 또는 사용자의 중요한 정보를 수집하지 않습니다.
사이버리즌 엔드포인트 센서가 수집하는 메타데이터는 다음과 같습니다.

  • 부모/자식 프로세스, 메모리 사용, 네트워크 연결, 프로세스 시작/종료 시간 등의 정보.

  • 로컬 및 원격 IP 주소 및 포트, 프로토콜, 송신 또는 수신 바이트, 네트웍 연결의 시작/종료 시간 등의 정보)

  • 파일 속성, 버전, 파일의 평판 정보 및 파일 해시 등의 파일 정보

  • 레지스트리 및 구성 정보를 포함한 자동 실행 및 예약 된 작업 정보.

  • 사용자 이름, 도메인, 암호 사용 기간 및 권한을 포함한 사용자 정보

Cybereason 센서의 공격 대응 : 치료, 격리 및 예방

위협 탐지외에 Cybereason 엔드포인트 센서는 자동으로 아래와 같은 공격을 방지합니다.

  • 01

    손상된 시스템의 네트워크 격리

    Cybereason은 공격을 방해하고 침해된 호스트를 네트워크에서 격리하여 공격을 고립 시키고 심층적 분석이 필요할 경우에 분석가들에게만 접근을 허용 할 수 있습니다.

  • 02

    탐지된 위협 자동 치료

    Cybereason이 위협을 탐지하면 프로세스 종료, 파일 격리 및 레지스트리 키 삭제와 같은 치료 활동을 자동화 할 수 있습니다.

  • 03

    랜섬웨어 행위 탐지 및 파일 암호화 중단

    Cybereason은 파일 및 네트워크 활동을 검사하여 사용자 파일의 대량 암호화를 시도하는 ransomware의 징조를 감시합니다. Cybereason 또한 미끼 파일들을 암호화하는 랜섬웨어의 시도를 탐지하고 차단하는 매커니즘을 발동시켜 감염된 유저로부터 랜섬웨어를 차단합니다.

  • 04

    예방을 위한 선택적 커널 레벨 드라이버 (Option)

    Cybereason은 멀웨어를 인지하고 실행을 방지할(Hash 기반) 수 있도록 커널 레벨 드라이버를 옵션으로 제공합니다. 이것은 공격 확산을 사전에 차단할 수 있는 보호 계층이 추가됩니다.

Cybereason 센서 설치를 위한 엔드포인트 최소 요구사항

엔드포인트 활동에 대한 진정한 가시성은 매일 수 만개의 엔드포인트 이벤트를 수집하는 것을 의미합니다.
이런 정보의 수집과정은 수천개의 엔드포인트가 있는 환경에서도 상당한 네트워크 오버 헤드가 발생할 수 있습니다.
대역폭이 제한 될 수 있는 원격지의 엔드포인트에서도 마찬가지 입니다. 그러나, Cybereason 엔드포인트 센서는 하루
10MB 미만의 매우적은 네트워크 오버 헤드와 2-3 %의 평균CPU 로드 및 50MB RAM을 사용합니다.
이 낮은 오버 헤드로도 시스템은 많은 양의 데이터를 수집합니다.

CPU Dual core 2Ghz core i3 and above
RAM 1GB
Storage 100MB
Operating System Microsofr Windows XP SP3 and later
OS X Maverick (version 10.9) and later
Red Hat Enterprise Linux 6.5 and later, CantOS7 and later
Network Connectivity An IP-compatible network device
Top