멀웨어를 포함한 모든 애플리케이션은 동작, 파일 크기, 파일 해시 및 컴파일 코드와는 다른 패턴을 가지고 있습니다. 이러한 패턴을 시그니처라고 합니다. 시그니처 기반 침입 탐지는 악성 소프트웨어 시그니처를 탐지하기 위해 네트워크 전반의 트래픽을 검사합니다. 맬웨어 탐지의 구형이지만, 서명 기반 탐지는 정확하고 사이버 보안 및 데이터 보호에서 여전히 실행 가능합니다.
시그니처 기반 침입 탐지란?
시그니처 기반 침입 탐지는 시스템 활동을 알려진 공격 패턴 또는 시그니처 데이터베이스와 비교하여 악의적인 행동을 탐지함으로써 위협을 식별합니다.
모든 프로그램과 마찬가지로 멀웨어는 바이너리 컴퓨터 언어로 컴파일됩니다. 컴파일된 코드를 해시하여 고유한 서명을 생성할 수 있지만, 다른 특성도 서명을 생성할 수 있습니다. 맬웨어가 인메모리 코드와 함께 수행하는 작업은 고유한 서명을 결정할 수 있습니다. 일부 멀웨어는 메모리에 저장된 저자 구문을 표시하고, 다른 멀웨어는 특정 위치에 특정 파일을 저장하며, 특정 패턴으로 피드됩니다.
현대적인 멀웨어는 종종 명령 및 제어(C2) 위치와 통신합니다. 악성코드는 저자와 통신하기 위해 IP 주소 또는 도메인 이름을 하드코딩했습니다. 통신은 표적 시스템이 현재 악성코드를 실행 중이며 공격이 성공적이라는 사실을 공격자에게 알려줍니다. 방화벽 및 침입 탐지 시스템은 이러한 IP 주소 및 도메인에서 통신 요청을 감지하여 관리자에게 의심스러운 활동을 알릴 수 있습니다.
시그니처 기반 침입 탐지의 작동 방식
서명 기반 침입 탐지를 사용하려면 먼저 멀웨어 서명을 저장해야 합니다. 서명은 일반적으로 침입 탐지 공급업체가 제공하는 데이터베이스에 저장됩니다. 지표가 되기 위해 선택한 서명은 오픈소스 위치에서 결과를 공유하는 보안 연구원들이 결정합니다. 예를 들어, 인기 있는 YARA 툴을 사용하여 멀웨어 서명을 분류하고 생성할 수 있습니다.
침입 탐지 시스템은 멀웨어 시그니처를 위해 네트워크 트래픽을 지속적으로 모니터링합니다. 네트워크 트래픽을 침입 탐지 시스템 데이터베이스에 저장된 서명과 비교합니다. 트래픽에서 서명이 감지되면 침입 감지는 관리자에게 알리는 등의 조치를 취합니다.
시그니처 기반 침입 탐지의 장점
시그니처는 멀웨어로 구축되기 때문에 다른 이상 기반 탐지보다 훨씬 더 정확한 시스템입니다. 멀웨어 작성자가 변경 및 변형을 도입하지 않는 경우 서명은 정적이므로, 업데이트된 데이터베이스를 사용한 침입 탐지는 오탐이 거의 없습니다. 침입 탐지가 애플리케이션에 잘못된 플래그를 지정할 때 오탐이 발생합니다.
시그니처 기반 탐지의 또 다른 장점은 빠르고 벤치마크 데이터가 필요하지 않다는 점입니다. 먼저 데이터를 수집하지 않고도 서명을 신속하게 식별하여 활동이 벤치마크와 일치하지 않는지 확인할 수 있습니다. 예를 들어, 이상 기반 탐지는 너무 많은 액세스 요청이 멀웨어인지 또는 일반적인 네트워크 활동인지 결정하기 전에 파일에 대한 활동 벤치마크가 필요합니다.
시그니처 기반 침입 탐지의 한계
악성코드 서명을 받으려면 위협을 알아야 합니다. 제로 데이 위협은 자연에서 보이지 않는 위협이므로 탐지할 서명이 없습니다. 제로데이 위협에 대한 서명이 부족하다는 것은 서명에 의존하는 침입 탐지가 이를 탐지할 수 없다는 것을 의미합니다. 이러한 유형의 침입 탐지는 완전한 커버리지가 없으면 관리자가 잘못된 보안 감각을 가질 수 있습니다.
시그니처 기반 침입 탐지에는 다른 형태의 침입 탐지보다 더 많은 리소스가 필요합니다. 트래픽은 데이터베이스의 서명 목록과 지속적으로 비교되며, 서명 데이터베이스에는 수백만 개의 저장된 항목이 있을 수 있습니다. 서명을 사용하여 침입을 감지하려면 데이터베이스가 일관되게 업데이트되어야 합니다. 클라우드 공급자는 일반적으로 업데이트를 제공하지만 로컬 스토리지는 네트워크 관리자의 수동 작업이 필요할 수 있습니다.
사용 사례 및 애플리케이션
로컬 및 클라우드 데이터가 있는 모든 산업은 시그니처 기반 침입 탐지를 활용할 수 있지만, 데이터 보호에서 단일 구성 요소로 사용되는 경우가 많습니다. 시그니처 기반 침입 탐지는 오탐이 거의 없는 알려진 위협을 즉시 식별하는 데 유용합니다. 예를 들어, 의료 서비스 제공자는 이러한 유형의 침입 탐지를 사용하여 알려진 랜섬웨어로부터 보호할 수 있습니다. Ransomware는 오래된 소프트웨어를 보유하고 있기 때문에 일반적으로 의료 기관, 병원 및 보험 회사를 대상으로 합니다. 시그니처 기반 보호는 특히 침입 방지 시스템과 함께 사용할 때 이러한 위협을 즉시 차단할 수 있습니다.
고객 서비스 조직은 고객으로부터 검토를 위한 첨부 파일을 받기 때문에 또 다른 일반적인 대상입니다. 첨부 파일에 멀웨어가 포함된 경우, 멀웨어의 서명이 탐지될 수 있습니다. 침입 탐지는 제3자 이메일 첨부 파일이 다운로드 및 저장되는 네트워크 세그먼트에 유용합니다.
결론
비즈니스 수준의 사이버 보안에는 여러 계층의 보호가 필요합니다. 시그니처 기반 침입 탐지는 하나의 계층이지만, 환경을 완벽하게 보호하려면 여러 가지 다른 계층이 필요합니다. 시그니처 기반 보안을 통해 데이터 침해의 큰 요인인 알려진 위협으로부터 환경을 보호할 수 있습니다.
서명 및 기타 보안 분석을 저장하려면 강력한 스토리지 시스템이 필요합니다. 퓨어스토리지는 복잡한 침입 탐지를 통해 대규모 환경에 적합한 속도와 용량을 제공합니다. 퓨어스토리지는 Elasticsearch와 파트너십을 맺어 빠른 검색과 탄력적인 확장 아키텍처를 제공합니다.
