태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

'in-the-cloud'에 해당되는 글 2건

  1. 2009.06.27 [VB] Why 'in-the-cloud' scanning is not a solution (2)
  2. 2009.05.23 [Anti-Virus] Cloud computing 보안
보안관련소식2009.06.27 15:51


"In-the-cloud (클라우드 Anti-Virus)스캐닝은 AV 업계의 새로운 대안이 될 수 없다"라는 주제로 2009년 Virus Bulletin Conference 에서 발표 예정입니다.

아무래도 오진과 보안성 부분, 불확실한 사전 대응에 대한 우려가 크게 작용되는 부분이 아닐까 싶습니다.

http://www.virusbtn.com/conference/vb2009/abstracts/MorgensternMarx.xml

사용자 삽입 이미지

Maik Morgenstern AV-test
Andreas Marx AV-test

Currently, 'in the cloud' services are praised as the Holy Grail and the future of AV scanning. While such systems, built on both blacklisting and whitelisting approaches, can definitely increase detection rates and response times to new malware, this paper will show that current systems still have quite a lot of limitations:

  • The implementations are not proactive, but reactive in nature, despite better response times to new threats.
  • While detection rates are maximized (which looks good in test results), the risk of false positives is increased.
  • The results of 'in-the-cloud' scanning can be based on much more input data of both good and malicious files, but causes an additional performance impact on the client-, network- and server-side.
  • Due to the time required to answer a query, only on-demand scanners and files which are executed are checked, but not all accessed files (as a 'traditional' on-access guard would work).

Our paper will also look at factors such as the limited caching of results, how data is transferred (e.g. via http, https or dns requests) as well as the privacy (e.g. what kind of data is submitted?), security (e.g. can responses be manipulated?), reliability and fault tolerance (e.g. what happens with a broken Internet connection?) issues of today's 'in-the-cloud' implementations by the different AV companies.


Posted by viruslab
보안관련소식2009.05.23 17:07


클라우드 컴퓨팅(cloud computing)을 통한 Anti-Virus Service는 실효성이 충분할 것인가에 대해서 많은 논의가 있다.

사용자 삽입 이미지
앞으로 계속해서 증가할 많은 양의 Malware Pattern 을 좀더 효율적으로 운용하기 위한 고민이 이에 해당된다고 볼 수 있다.

그 때문에 클라우드 컴퓨팅 기술에 Anti-Virus 서비스 구조가 차츰 융합될 것이라 예측되고 있으나, 다양한 약점에 대한 해결과제도 있기 때문에 쉽게 변경되지는 못하는 듯 싶다.

얼마전 스페인의 Anti-Virus 업체인 PANDA Security 에서는 클라우드 Anti-Virus 제품을 선보이기도 하였다.

http://www.cloudantivirus.com/
http://blog.cloudantivirus.com/

http://viruslab.tistory.com/735

예상대로 설치 프로그램의 용량이 매우 작은 편이다.

사용자 삽입 이미지

사용자 삽입 이미지

Kaspersky Lab
클라우드 컴퓨팅과 in-the-cloud 보안의 밝은 미래

http://www.kaspersky.co.kr/board/bbs/board.php?bo_table=Products&wr_id=217

악성 소프트웨어 탐지의 전통적인 방법은 이른바 시그니쳐(signature)를 사용하는 것입니다.

시그니쳐는 지문과 같습니다. 만약 그것이 악성 프로그램의 조각과 일치하면 그 악성 프로그램은 탐지 될 것입니다. 그러나 사람의 지문과 시그니쳐 사이에는 차이가 있습니다. 지문은 오직 한 사람만 일치하는데 반하여 좋은 시그니쳐는 단지 하나의 유일한 파일로 들어맞는게 아니라 여러개 수정된 파일로 식별합니다. 높은 품질의 시그니쳐는 더 높은 감지율을 뜻하는 것뿐만이 아니라 필요한 시그니쳐의 수를 감소시켜 결과적으로 낮은 메모리의 소비를 가져옵니다. 이것이 안티 바이러스 기업들이 일반적으로 알려진 악성 프로그램 파일의 총 숫자보다 훨씬 낮은 시그니쳐 숫자를 제공하는 이유입니다.
 
물론, 좋은 시그니쳐도 시그니쳐 데이터 베이스를 작게 유지하는데 도움을 줄 수는 있습니다. 그러나 이것이 근본적인 문제를 다루고 있지 않습니다. 악성 파일이 많을 수록 더 많은 시그니쳐들을 필요로 할 것입니다. 그리고 위의 그래프는 시그니쳐의 수가 지난 몇 년 동안 악성 프로그램의 수의 폭발적인 증가에 맞춰 증가되고 있는 것을 보여줍니다.
 
증가하는 수많은 시그니쳐들은 성능 검사의 감소뿐만 아니라 높은 메모리 소비와 추가 다운로드 트래픽을 유발하지 않습니다. 이 글을 쓰고 있는 지금, 개인용 제품에서 사용된 카스퍼스키 랩의 시그니쳐 데이터베이스는 45MB에 이릅니다. 이러한 추세가 아래에 설명된 것처럼 계속된다면(그리고 믿지 않을 이유가 없다면), 이 데이터베이스는 이후 3, 4년 이내에 1,000MB까지 증가할 것입니다. 이는 일부 컴퓨터가 갖고 있는 RAM보다 더 많은 메모리입니다. 이 정도 크기의 데이터베이스는 운영체제, 브라우저 또는 게임, 단지 PC 자신을 검사하기 위한 컴퓨터 자원의 사용에 대한 공간을 두지 않을 것이며 이는 현명한 해결책은 아닙니다.
 
그럼 정답은 무엇일까요? MS-DOS악성코드와 관련된 기존 데이터베이스 레코드를 삭제해도 도움이 되지 않을 것입니다. 늘어난 메모리의 양은 매일 증가한 새로운 시그니쳐보다 더 작을 것입니다. 위에서 언급했듯이, 좀 더 효율적인 시그니쳐가 도움이 될지라도 이는 원인보다 오히려 증상에 대한 싸움입니다. 그리고 궁극적으로 데이터베이스 레코드의 증가는 멈추지 않을 것입니다.
 
2007년 일부 AV 기업들은 in-the-cloud 보안이 이러한 상황을 해결하기 위한 유일한 방법임을 깨달았습니다. 데스크톱의 보안 솔루션과 비교했을 때 언제나 온라인 연결이 필요한 점은 여전히 단점으로 남아있으나, 궁극적으로 이 기술의 장점은 단점보다 큰 것이 사실입니다.

in-the-cloud 보안의 장점

카스퍼스키 랩에서 정의한 in-the-cloud 보안의 전체 개념은 잠재적으로 악성인 파일이나 웹사이트를 컴퓨터 자체에 저장된 로컬 시그니쳐로 확인하는 대신 온라인으로 체크하는 것입니다. 이 일을 하기 위한 가장 쉬운 방법은 파일의 체크섬을 계산하여 이 체크섬을 지닌 파일이 이미 악성으로 판단되었는지 지정된 서버로 요청합니다. 이에 대한 답이 “네” 라면 사용자는 경고 메시지를 보게 되고 악성코드는 격리됩니다.
 
사용자의 입장에서 볼 때 이러한 접근방식과 기존의 접근방식 사이의 차이점은 개선된 컴퓨터의 성능 이외에는 큰 차이가 없습니다. 파일에 대한 체크섬을 생성하기 위해 많은 프로세서 자원이 필요하지 않는 것은 복잡한 시그니쳐 기반의 검사를 수행하는 것보다 여러 번 수행하는 것이 더 빠르다는 것을 의미합니다. 처음에는 사용자의 주목을 받지 못할지도 모르미나 다음과 같은 여러 잠정들이 있습니다.
 
낮은 메모리 소비와 더 작은 다운로드 풋프린트. 위에서 언급한 바와 같이 앞으로 몇 년간 고전적인 시그니쳐 데이터베이스는 사용자가 수용할 수 있는 범위의 한계를 뛰어 넘을 것입니다. in-the-cloud 솔루션은 쉽게 이 문제를 해결합니다. 서버에 저장된 모든 “지문”은 안티 바이러스 회사에 포함되어 있습니다. 사용자의 컴퓨터에 저장되는 것은  안티 바이러스 소프트웨어에 추가된 정보들입니다. 아직 판단되지 않은 프로그램은 로컬 디스크에서 검색되기 때문에, 서버는 새로운 것을 발견한 경우에만 연결을 취합니다. 만일 사용자가 어떠한 새로운 프로그램을 설치하지 않는다면, 새 데이터를 다운로드 할 필요가 없습니다. 오늘날 새 프로그램(악성일지도 모를) 이 설치된 경우 시그니쳐가 지속적으로 업데이트를 해야 하는 상황과는 뚜렷이 다릅니다.
 
더 나은 응답 시간. 응답 시간은 항상 안티 바이러스 업계에서 핫 이슈로 다루어져 왔습니다. 이는 새로운 시그니쳐를 사용할 수 있도록 하지만 이 시그니쳐가 사용자가 감염된 첨부파일을 연 후에 도착한다면 너무 늦어버리게 됩니다. 컴퓨터는 아마 이미 봇넷의 일부가 되고 아직 탐지되지 않는 추가 악성 구성 요소를 다운로드 할 것입니다. 많은 안티 바이러스 회사들이 여전히 일일 업데이트 사이클을 고수할때, 카스퍼스키 랩은 왜 매시간 업데이트를 제공하기 시작했는지에 대한 이유이기도 합니다. 그럼에도 불구하고, 새로운 바이러스의 등장과 시그니쳐의 등장 사이에는 아직 한 시간이나 더 걸릴 수 있습니다. 사전 감지 방식과 클라이언트 측면의 에뮬레이션 기술이 이러한 격차를 보완할 수는 있지만 문제는 지속될 수 밖에 없습니다. in-the-cloud 보안의 강점은 시그니쳐 확인이 실시간 수동 검사로 진행되고 반응 시간은 상당히 좋아졌기 때문에 확실하다고 볼 수 있습니다. 파일이 악성인지 아닌지 분석가에 의해 판명되자마자 이 정보는 분 또는 초 단위로 응답 시간을 전달하여 클라이언트에서 사용할 수 있습니다.
 
그것은 단지 in-the-cloud 기술을 사용하여 전송될 수 있는 트로이 목마, 바이러스와 웜에 대한 시그니쳐가 아니라 정기적인 시그니쳐 업데이트의 한 부분을 형성하는 모든부분입니다. 위험한 웹사이트의 URL, 최근 스팸 메일에서 나타나고 있는 제목과 키워드, 그리고 카스퍼스키 인터넷 시큐리티 2009와 같은 호스트 침입 방지 시스템(HIPS)에 의해 사용될 수 있는 완벽한 프로그램의 프로 파일이 해당됩니다. 이 기술은 어느 PC에나 제한되지 않습니다. 특히 한 PC에서 많은 RAM을 갖고 있지 않은 스마트폰과 모바일 장치를 보호하기 위해 이러한 기술을 사용하는 것이 가능하도록 하므로 모든 바이트가 카운트됩니다. Windows XP와 Vista를 대상으로 하는 모든 악성 프로그램을 탐지하며 모바일 위협의 탐지를 초점으로 하는 대부분의 모바일 용 안티 바이러스 솔루션은 많은 자원을 소비할 것입니다. in-the-cloud 기술은 이러한 문제의 과거의 것으로 만들 수 있습니다.

양방향 통신

in-the-cloud 시스템은 컴퓨터에 있는 파일이 감염되었거나 그렇지 않은 경우 클라이언트 PC의 쿼리와 서버에 대한 답변을 고객에게 알려주는 데 도움이 된다는 것은 분명한 사실입니다. 그러나 이 기술이 구현되는 방법에 따라 새로운 위협을 탐지하고 식별하는 안티 바이러스 회사를 돕는 방식으로 동작할 수 있습니다. 만일 에뮬레이션 혹은 사전 탐지 기법을 사용하는 클라이언트 PC에서 파일이 분석되었다면 말입니다. 그 결과 파일이 악성이라는 것이고 이 파일은 이후에 안티 바이러스 회사의 분석가들에 의해 추가 조사를 위해 업로드가 될 것입니다. 물론, 이것은 고객이 스스로 누구나 쉽게 하려고 하지 않는 파일 공유를 해야만 한다는 의미입니다. 그러나 이 일을 하기 위한 다른 방법도 있습니다. 이진 파일을 전송하는 대신에 클라이언트 소프트웨어는 분석을 수행하는 모듈로부터 단순히 세부 내용(파일 크기와 위협 종류 등과 같은)과 함께 지문을 보낼 것입니다. 만약 새로운 웜이 빠르게 확산되고 있다면 안티 바이러스 회사의 분석가들은 의심스럽다고 표시되고 갑자기 수천 대의 컴퓨터로 퍼지는 새롭게 생긴 파일을 확인합니다. 그 다음 이것이 새로운 악성코드 파일이라면 분석가의 판단에 맡기게 됩니다. 만약 그들이 확실한 위협으로 결론이 난다면 추가 탐지는 쉽습니다. 파일의 지문은 이미 존재하기 때문에 확인요청을 보낸 클라이언트 PC의 탐지 데이터베이스로 손쉽게 이동되어야만 합니다.

공짜 점심은 없다

in-the-cloud 보안의 모든 장점에도 불구하고 몇몇의 단점이 있습니다. 위의 예는 통계적 모니터링에 근거한 추가 탐지가 갑자기 발생하는 것에 대항하는 방식에 얼마나 효과적인지를 보여주고 있습니다. 그러나 이것은 오진의 위험을 극적으로 증가시킵니다. 인기 있는 쉐어웨어 프로그램의 새 버전이 출시되었다고 가정하면 새로운 것은 빠르게 확산되고 곧 많은 사람들이 소프트웨어를 다운로드 하게 될 것입니다. 만약 프로그램이 시그니쳐되지 않은 시스템 파일에 영향을 미친다면, 아마 스스로 업데이트하기 위해 다른 실행 파일을 다운로드 할 것이며 in-the-cloud 시스템에 의해 자동으로 악성코드로 탐지되어 중지시킬 확률이 높습니다. 몇 초 후 이는 전 세계에서 수천 개의 오진의 결과를 초래할 것입니다. 물론 분석가가 이 프로그램을 본 다면 이러한 결과는 일어나지 않겠지만 빠른 탐지의 잠재적인 이점을 부정하는 데에 시간이 걸릴 것입니다. 눈 깜짝할 사이에 오진을 수정하는 것이 (다음 업데이트가 다운로드 될 때까지 그 자리에 남아있는 전형적인 시그니쳐 데이터베이스의 오진과는 다르게) 가능할지라도 여전히 부정적인 결과가 발생할 것입니다. in-the-cloud 보안이 수행하는 개별 통보가 거짓 경보를 증가시킨다면 오진을 좋아하지 않는 사람들은 사용을 중지하고 여전히 고전적인 방식을 고수하는 다른 안티 바이러스 회사로 이동할 가능성이 높습니다. 이를 막기 위해 안티 바이러스 회사들은 안전하다고 알려진 파일들을 설정하고 유지 보수할 필요가 있습니다. 새로운 패치 또는 프로그램이 출시된다면 안티 바이러스 회사는 그들의 고객이 다운로드를 받기 전에 분석하고 매우 빠르게 화이트리스트에 추가해야 합니다.
 
그러므로 클라우드로의 이동은 안티 바이러스 업체에 대한 많은 추가 작업을 의미합니다. 안전한 파일 수집을 적극적으로 유지 보수하는 것 외에도 회사의 서버들은 절대적으로 24시간 안정적인 상태를 유지해야 합니다. 오프라인 서버는 업데이트를 제공할 수 없기 때문에 이는 항상 고객의 기대가 되어왔습니다. 그럼에도 불구하고 고전적인 접근방식은 검춤률을 낮출 수 있다 하더라도 많은 시간이 필요한 시그니쳐와 함께 작동할 것입니다. 클라우드 접근방식과의 차이점은 다음과 같습니다. 전체 개념이 수동 감시와 실시간 검사에 근거했기 때문에 서버의 가동 중지 기간 동안 고객은 보호받지 못합니다. 서버의 가동 중지 기간의 경우, 고객을 보호하기 위한 강력한 HIPS 기술과 협력하여 휴리스틱 기법이 사용되어야 할 것입니다.
 
무엇이 미래를 이끌것인가?

카스퍼스키 랩은 카스퍼스키 시큐리티 네트워크 관련 롤아웃과 KIS 2009 출시와 함께 in-the-cloud 보안의 선구자 중 하나였습니다. 많은 보안 업체들은 현재 그들의 제품에 in-the-cloud 접근기법을 구현하기 시작해왔지만 업계 전반적으로 여전히 이 기술의 모든 강점을 이용하는 초기 단계에 머물러 있습니다. 그 상황은 전 세계에 있는 자동차들의 상황과 유사합니다. 장기적으로 전기 자동차가 가솔린과 디젤 자동차를 대체할 것이지만, 현재 전기로 홍보된 대부분의 차들은 사실상 하이브리드입니다. IT 세계는 대게 다른 산업보다 빠르게 혁신하지만 in-the-cloud 보안이 모두 오늘날 사용하는 탐지 방법을 근거로 하는 시그니쳐를 대체하기까지 2~3년이 걸릴 가능성이 높습니다.
 
결론

지금까지 클라우드 컴퓨팅과 in-the-cloud 보안 사이의 차이점이 명확해졌습니다. 기업들은 서비스 제공업체와 모든 데이터 공유에 대한 개념에 익숙해져야 하기 때문에 클라우드 컴퓨팅이 실제로 시작하기까지 몇 년이 걸릴 것입니다.
 
in-the-cloud기술을 구현한 안티 바이러스 제품들은 이미 출시되었으며 올해 말까지 이 기술은 폭 넓게 수용될 것이라는 것은 전혀 의심의 여지가 보이지 않습니다. 시간이 지남에 따라 이 두 가지 접근 방식은 in-the-cloud 보안 서비스에 의해 보호된 클라우드 컴퓨터를 사용하는 개인과 조직들과 함께 통합될 것입니다. 일단 이러한 일이 일어나면 인터넷 오늘날 우리에게 미치는 영향과같이 일상 활동에 필수적인 것이 될 것입니다.

Posted by viruslab