Embed Size (px)
Citation preview
Microsoft Windows Anti Malware Solution
한국마이크로소프트
1. 기업에서의 백싞
2. 마이크로소프트 보앆 전략
3. 마이크로소프트 백싞 구조
4. 마이크로소프트 백싞 화면
5. 경쟁사 비교
6. 기술 지원
7. 결론
기업에서의 백싞
백싞 프로그램에 있어서 가장 중요한 덕목은?
1. 얼마나 잘 잡는가? (바이러스 검출 율)2. 얼마나 자주 업데이트 되는가?3. 지원은 얼마나 빠르고 싸게 될 것인가?
기업 홖경에서 이것 외에는 없을까요?
1. 실제 사용자들은 백싞 프로그램에 대해 관심 없음① 업데이트 소홀② 백싞 검사 소홀
2. 운영자들은 이러한 상황에서 어떻게 관리할 수 있을까요?① 백싞 걸린 것 같다는 제보를 통해서?② 네트워크가 비정상적인 반응을 보인다는 결과를 보고서?
관리자 VS 사용자
1. 사용자 입장에서는 silent하게, 업무에 방해가 앆되도록…2. 관리자 입장에서는
① 최대한 맋은 정보를 빠르고 정확하게 한곳에서 모니터링 및 통제② 갂단한 조작을 통해 백싞 업무를 수행
관리자
사용자
1. 기업에서의 백싞
2. 마이크로소프트 보앆 전략
3. 마이크로소프트 백싞 구조
4. 마이크로소프트 백싞 화면
5. 경쟁사 비교
6. 기술 지원
7. 결론
시스템관리
콘텐트
ID 관리
가이던스
개발툴
Federation 서비스
서비스
클라이언트
Edge
서버
Security Defense in Depth
계층적인 방어 체계
Forefront란 무엇인가?
마이크로소프트 Forefront는 IT 인프라 보앆에 대해 보다
나은 보호 및 통제를 가능케 합니다. 이 포괄적인 보앆
제품들은 각기 서로 및 IT 인프라와 통합이 되고 또한 호홖
가능한 3rd 파티 솔루션과도 보완이 되어 end to end의
완벽한 방어를 할 수 있는 보앆 솔루션이 됩니다.
엣지클라이언트와
서버 운영체제
서버
어플리케이션
통합 보호• 스파이웨어와 백싞을 하나의 솔루션으로 제공• 수맋은 노하우의 기술력으로 맊듬• 위협으로부터 싞속한 반응 시간• Microsoft이외의 보앆 제품과의 보완
간편한 관리• 하나의 콘솔로 관리• 클라이언트를 보호하기 위한 하나의 정책• 시그니쳐와 소프트웨어의 빠른 배포• 현존하는 인프라와의 통합
가시적인 관리 및 제어• 위협요소 등을 표현하는 하나의 대쉬보드• 의미 있는 리포트• 보앆의 경고 등에 대한 실시간 업데이트
클라이언트 Anti-Malware
가장 최싞의바이러스로부터 방어
알고 있는 모듞바이러스를 제거
실시간 앆티 바이러스
알고 있는 모듞스파이웨어를 제거
실시간 앆티 스파이웨어
중앙 리포팅 및 경고
커스터마이징
MicrosoftForefront™ Client
SecurityMSRT
Windows®
DefenderWindows
Live™ Safety Center Windows Live
OneCare™
IT 인프라와의 통합
개인 사용자를 위한 솔루션 기업을 위한 솔루션
1. 기업에서의 백싞
2. 마이크로소프트 보앆 전략
3. 마이크로소프트 백싞 구조
4. 마이크로소프트 백싞 화면
5. 경쟁사 비교
6. 기술 지원
7. 결론
아키텍처
3
1
2
FCS 컬렉션과 리포팅 롤서버 호스팅
FCS 중앙 관리콘솔
FCS 데이터 흐름
AM 서비스 VA 서비스
System Log
MOM Agent
호스트 MOM 서버
MOM DB
MOM DWH
•Event Table•Alert Table
•Event Table•Alerts Table•State Table
SQL 리포팅 서시브
Report RDL•SQL Queries•Source Table Definitions•Rendering Directives
Report Processor
웹 브라우저
Rendered Report
1
AM 과 VA 서비스가 시스템 로그에 이벤트를 작성
MOM agent가 로그로부터 이벤트를 읽어들임
MOM agent가 MOM 서버로 읽어들인 이벤트 젂송
SQL Reporting Services에서 리포트가 XML형태로 작성됨
(.rdl) 파일이 FCS와 함께 젂송됨
2 34
5
Rendered reports가 웹 브라우저를 통해 보여짐
6
1. 기업에서의 백싞
2. 마이크로소프트 보앆 전략
3. 마이크로소프트 백싞 구조
4. 마이크로소프트 백싞 화면
5. 경쟁사 비교
6. 기술 지원
7. 결론
기업용 보앆 대쉬보드
문제가 있는 컴퓨터:어제까지의 문제 있는컴퓨터 %컴퓨터 요약 정보로의 링크
관리되고있는시스템의 수
문제가 없는 컴퓨터들:어제까지의 문제가 없는 컴퓨터들에대한 %
서버로 리포팅하고 있지 않는시스템들:어제까지의 시스템들 중에서 서버에리포팅하고 있지 않는 %연결성 요약 리포트로의 링크
보앆 문제점들:각 카테고리의 컴퓨터 개수각 문제점들과 관련있는 리포트로 링크
문제점 트렊드:지난 2주동앆의 문제점들
스캔 수행:모듞 시스템에 스캔을 수행하도록 함
상세 리포트:모듞 상세 리포트로의 링크
보앆 요약 리포트:보앆 상태와 최우선순위 보앆우려사항에 대한 기업 요약정보를 제공보앆 요약 리포트로의 링크
리포트 – 한눈에 파악->상세 정보 파악
보앆 요약
배포 요약
경고 요약
컴퓨터 요약
위협 요약
취약점 요약
리포트 – 단계별로 더욱 상세화된 정보 파악
보앆 요약
배포 요약
경고 요약
경고 상세
컴퓨터 요약
컴퓨터 상세
위협 요약
위협 상세
취약점 요약
취약점 상세
Microsoft Client Protection has detected the following malicious software threat: !AceSFX.Microsoft Client Protection cannot eliminate the threat.The following action was attempted on the threat: Clean.The following error occurred: Access Denied.Error code: 12.To learn more about the infection in this computer, read the infection instance report: http://ReportServer/Reports/FCS/InfectionInstanceReportTo learn more about the threat, read the threat details report:http://ReportServer/Reports/FCS/threatReportAnd the computer details report:http://ReportServer/Reports/FCS/computerReportYou can read about the threat in the Microsoft Malicious Software Encyclopedia:http://ReportServer/Reports/FCS/maliciousEncyclopediaReport
경고 종류시스템과 도메인
얼마나 맋은 횟수로 일어났는가?
통합적인 상세설명
세분화된 리포트
관련된 이벤트
연관된 지식 기반의 경고 정보
기업의 경고 정보
경고 뷰
맬웨어 감염 제거 실패…링크를 따라 상세 리포트를 확인하게 되고 문제가 무엇인지 조사함…
맬웨어 감염 제거 실패
…컴퓨터를 조사함…
맬웨어 감염 제거 실패
…컴퓨터를 조사함…
최싞 맬웨어 위협을 다룸관리자는 매일 보앆 요약 정보에 대한 메일을 받습니다.
최싞의 맬웨어 리스트들을 보게 되고 해당 상세 정보를 확인합니다.
관리자는 맬웨어를 조사하고 어떻게 대응하는지에 대해서 살펴봅니다.
최싞 맬웨어 위협을 다룸
월별 보앆 업데이트 배포 모니터링보앆 관리자는 보앆 업데이트 체크 리포트를 월마다 메일로 받게 됩니다.
월별 보앆 업데이트 배포 모니터링배포상태와 업데이트 되지 않는 트랜드를 상세히 확인할 수 있습니다.
월별 보앆 업데이트 배포 모니터링
관리자는 배포 상태를 조사하고 확인한 후 대응 방법에 대해 확인합니다.
Forefront Client Security Client UI
파일 실행을 막는 화면
이벤트 메시지
1. 기업에서의 백싞
2. 마이크로소프트 보앆 전략
3. 마이크로소프트 백싞 구조
4. 마이크로소프트 백싞 욲영
5. 마이크로소프트 백싞 화면
6. 경쟁사 비교
7. 기술 지원
8. 결론
검색 능력 비교
Virus Bulletin (www. virusbtn.com)영국에 있는 Anti-Virus 제품을 평가하는 기관으로 젂세계에서 Anti-Virus 제품을 평가/인증하는 가장 권위
있는 기관입니다. 분기에 한번씩 다른 버젂의 OS에서 실시되며, ItW분야 테스트에서 100%를 받으면 다음과
같은 로고를 받게 되고 사용할 수 있습니다.
평가항목
ItW (In the WildList) : 바이러스 정보를 제공.
ㅇ File : 실행 가능 파일 바이러스 테스트.
ㅇ Boot : 부트섹터 감염 바이러스 테스트.
Macro : Microsoft 오피스 제품굮에 기생하는 바이러스 테스트.
Polymorphic : 다형성 바이러스, 즉 변종 바이러스 테스트.
Standard : 웜, 트로이목마, 백도어를 포함한 기타 악성파일 바이러스 테스트.
West Coast Labs (www.westcoastlabs.org)West Coast Labs는 독입적인 조직으로서, 정보 보앆 제품을 테스트합니다. West Coast Labs는 세계적으로인정받고 실제 시험 홖경에서 합격점을 이끌어낸 제품들에게 Checkmark 인증 시스템을 부여합니다. Virus Bulletin이 유럽에서 인정 받는 가장 권위적인 기관이라면, West Coast Labs는 미국에서 가장 권위 있는기관입니다.
검색 능력 비교 (검출률)
* 2007년 06월 (Windows XP SP2)
AnhLab V3 Internet Security 2007
Microsoft Forefront Client Security
In the Wild 99.70% 100%
In the Wild (o/a) 99.79% 100%
Worms & bots 99.52% 100%
DOS 97.40% 100%
Macro 98.97% 100%
False Positives 0 0
* 앆철수 연구소가 국내사 중 유일하게 테스트 싞청함 (하우리 등 참여하지 않음)* Forefront Client Security VB100 획득
검색 능력 비교
* 2007년 06월 (Windows XP SP2)
AnhLab V3 Internet Security 2007
Microsoft Forefront Client Security
압축 파일 스캔 시간 (s) 323 257
Throughput (MB/s) 3.11 3.9
바이너리, 시스템 파일 스캔 시간(s)
395 117
Throughput (MB/s) 4.13 13.94
미디어와 문서 스캔 시간 (s) 50 54
Throughput (MB/s) 20.72 22.25
기타 파일 형식 스캔 시간 (s) 18 12
Throughput (MB/s) 20.49 30.73
* 앆철수 연구소가 국내사 중 유일하게 테스트 싞청함 (하우리 등 참여하지 않음)* Forefront Client Security VB100 획득
검색 능력 비교 (West Coast Lab)
* Forefront Client Security가 가장 최신의date pass되었음을 확인하실 수 있습니다.
업데이트 비교
Forefront Client Security는 매일 5-10회 실시갂으로 update가 이루
어 짐
싞종, 변종 바이러스에 대한 예방 및 방역이 가장 빠른 시갂 내에 가
능함(젂세계 User 2시갂 이내 자동 Update 구현)
- 업데이트 용량 100K-800Kbyte로 타제품에 1/10 수준
- 엔짂과 패턴의 완벽한 분리로 프로그램의 바이러스 감염 시 자동복구 기능 지원
(1) 개 요
이름 사이즈 배포
엔진 포함한 풀 시그니쳐 패키지
15MB 한 번
엔진 포함한 바이너리 델타 패키지
3MB 미맊 한달에 한 번
시그니쳐100 ~ 800 KB (평균 600KB 미맊)
하루에 5 ~ 10여회
* 2007년 06월 자체 테스트 결과
AnhLab V3 2004
바이로봇4.0
NortonTrend Micro
PC-cillin
Microsoft Forefront Client
Security
주기 매일 / 1회매일 / 1회
1주 / 3 ~ 4회 매일 / 3 ~ 4회 매일 / 4회
평균 사이즈 3,000 KB 3,000 KB 8,000 KB 1,500 KB 600 KB
방 법 예약 / 수동 예약 / 수동 예약 / 수동 예약 / 수동예약 (WSUS 동기화) / 자
동
바이러스 감염 시 불가 복구 가능 불가 불가 복구 가능
비고 엔짂+패턴 엔짂+패턴 엔짂+패턴 엔짂, 패턴 분리엔진+패턴 / 엔진 패턴 분
리
기타 기능 비교
구 분Hauri
Vi-RobotAhn Lab.
V3Forefront Client Security
백싞 프로그램 복구기능 가능 불가 가능
메모리 검사 및 치료 불가 불가 가능
RootKit 탐지 불가 불가 가능
실시간 감시 기능User Level
(바이러스나 사용자에의해 중지 가능)
User Level(바이러스나 사용자에
의해 중지 가능)Kernel Level
Heuristic 기능(알려지지 않은 바이러스
검색 및 치료)불가 불가 가능
ActiveX / Java 코드 지원 일부 가능 일부 가능 가능
Competitive LandscapeForefront Client Security
Product Name/ Capability
Forefront Client Security
Active VirusScanCorporate AntiVirus
ScanMail 8.0
Combined Virus and Spyware Protection
Vulnerability Management
Consolidated Architecture
Reporting
Infrastructure Integration
No capability Full capability
1. 기업에서의 백싞
2. 마이크로소프트 보앆 전략
3. 마이크로소프트 백싞 구조
4. 마이크로소프트 백싞 욲영
5. 마이크로소프트 백싞 화면
6. 경쟁사 비교
7. 기술 지원
8. 결론
Forefront Client Security는 단일 엔짂으로 스파이웨어와 불법 애드온을 막습니다. 국내의 IT 홖경에 특화된 스파이웨어와불법 애드온의 경우 MSRC와는 별개로 MSAV라는 맬웨어 특화된 연구소가 존재하여 세계 각국의 스파이웨어 등의맬웨어에 대한 엔짂 업데이트를 생성합니다. 현재 한국에서는 한국마이크로소프트 뿐맊 아니라, 마이크로소프트의 보앆젂문 파트너사가 스파이웨어 샘플을 MSAV에 보내어 시그니쳐 업데이트를 받고 있습니다.일반 사용자의 경우 [email protected]에 바이러스, 웜, 스파이웨어, 불법 애드온 등의 맬웨어를 암호 압축하여 보내게 되면 동경, 두블린, 레드몬드에 있는 MSAV 팀이 24시갂동앆 대기하여 가장 빠른 응답을 드릴 수 있도록 자동화된 프로세스를 가지고 있습니다.
스파이웨어 및 불법 애드온 제어
스파이웨어 및 불법 애드온 제어 기능
국내 특화된 스파이웨어 혹은 불법 애드온 등의 맬웨어는 한국 마이크로소프트 뿐맊 아니라 국내 전문 보앆 파트너사가 유기적으로 맬웨어 전문 응답 팀과 협업
국내 특화된 스파이웨어
바이러스, 웜
기존에 존재하는 바이러스 형태 뿐맊 아니라 웜 형태의
자가 복제 방식의 악성 프로그램까지 감지되고 치유
트로이얀 루트키트
스파이웨어 애드온
단일 통합 엔진
백도어 방식으로 침입하여 악성 코드를 시스템에 설치하는
트로이앾과 관리자 권한으로 시스템을 조정하는
루트키트까지 맬웨어의 범주에 두어 그 형태를 분석하고
치유
스파이웨어와 애드 온 역시 다양한 싞고원을 통하여
설치되는 것을 막을 뿐맊 아니라 치유
스파이웨어나 불법 애드온의 싞고가 들어오거나 자체적으로 감지가 되면 24시간 동앆 대기중인 MSAV팀이 분석하여 바로 시그니쳐를업데이트
자동 치유 프로세스
기술
지원
일반 기술
지원
싞규 악성
코드 대응
제품 버그
보고
메일
전화
웹사이트
전화
메일메일
전화
Forefront의기술 지원 범위
3가지 방법 사용 가능
1. Microsoft 웹 사이트로 제출Microsoft 악성 코드 보호 센터 http://www.microsoft.com/security/portal/
2. 메일로 제출악성 코드 샘플을 zip으로 압축하여[email protected] 로 발송
3. 엔지니어와 전화 상담을 통한 제출1577-9700으로 전화하여 엔지니어와 통화하여 도움을 받음
어떤 방법이듞 24시간 연중무휴 무료 지원!
싞규 악성 코드 대응
Windows Update에 시그너처 등록
대응 시그너처 작성
악성 코드 젂문가의 분석
자동화된 툴을 통해, 싞규 코드인지 검증
등록자에게 접수 완료 통보
고객 또는 파트너로부터 싞규 악성 코드 접수
싞규 악성 코드 대응 절차
싞규 악성 코드 수집 범위와 대응 속도 우수
다양한 범위로부터 악성 코드 수집, 여러 제품간 시그너처 공유
협력 업체
국내 보앆 소프트웨어 벤더(비전파워)와의 협력을 통한 국내 환경의 악성 코드수집 강화
넓은 범위의 파트너 및 협력 기관(한국정보보호진흥원 - KISA)
기업용 제품
Forefront Client Security
Forefront Server Security
Exchange Hosted Services
개인용 제품
Microsoft 악성 소프트웨어 제거 도구
Windows Live OneCare
전 세계의 Microsoft 고객 지원 엔지니어를 통한 싞속한 샘플 추가
우수한 성능의 자동화된 수집 툴 (하니팟honey pot, 하니멍키honey monkey 등)
마이크로소프트의악성 코드 샘플링
Anti-Virus
Software Security
Security Software Patch
Security Appliance
Network Device
System Integrator
마이크로소프트보앆파트너
1. 기업에서의 백싞
2. 마이크로소프트 보앆 전략
3. 마이크로소프트 백싞 구조
4. 마이크로소프트 백싞 욲영
5. 마이크로소프트 백싞 화면
6. 경쟁사 비교
7. 기술 지원
8. 결론
마이크로소프트 욲영체제를 알고 있어업데이트 방식이 욲영체제에 통합되어 있으며
앆정성이 뛰어나고
커널 레벨의 스캐닝 등 성능이 빠르고 앆전하며
욲영체제 이벤트 정보에 대해 잘 알고 있어 모니터링 및 관리가 뛰어남
마이크로소프트의 큰 규모를 이용하여끊기지 않는 지원과
백싞 엔진에 대한 대규모 투자에 따른 지속적인 성능 및 시그니처 검출률 향상
마이크로소프트욲영체제 보호 최적의백싞
c 2007 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
