네트워크 보안


침입차단시스템(IPS) - Sniper ONE – i

SNIPER ONE-i는 시스템 및 네트워크 자원에 대한 다양한 형태의 침입 행위를
사용자/멀웨어/어플리케이션 기반 상황인지 엔진과 평판기반으로
실시간 탐지분석/차단을 수행하는 지능형 차세대 침입방지시스템입니다.
침입차단시스템의 기본 기능에 더하여 네트워크 경계 보안 분석 영역 확장,
트래픽과 자산정보 연계를 통한 심층 상관관계 위협 분석으로 기능을 강화하여,
지능화된 보안 위협에 효과적으로 대응합니다.

특징 및 기대효과

지능형 차세대 침입 차단
네트워크 경계 보안 분석 영역 확장, 트래픽과 자산정보 연계를 통한 심층 상관관계 위협 분석 어플리케이션 사용자 / 상황 인지 능력 강화, 시간/방향성 자산기반의 가시성 향상 프로토콜, 이벤트, 정책 연동 강화, 멀티포트, 멀티라이선스 기능 모듈화
  • 동적 탐지 엔진
    네트워크기반
    독립탐지정책
    선별적 엔진구동
  • 패킷 탐지 엔진
    정책/패턴/서비스별
    정밀 매칭
  • 세션 탐지 엔진
    사용자/멀웨어/
    어플리케이션 인지
  • 위협인지 대응
    자동학습기반
  • 인포그래픽스 GUI
    탐지,대응 시각화
    이벤트 연관 추적
  • 연계시스템 확장
    SIEM/외부정책관리
동적 탐지 엔진
Layered Security 엔진 적용 선별적 엔진 구동으로 탐지성능 최적화 Wire Speed 제공(패킷 사이즈 64Byte), Hardware Traffic 처리
  • 패킷 탐지 엔진
    정밀한 매칭 기법으로 실시간 탐지 / 제어 프로토콜 이상징후 시그니처 기반 분석 Layer 7까지 정밀한 탐지 및 분석 수행 / 시그니처 축약을 통한 오탐율 최소화
  • 세션 탐지 엔진
    확장된 연계 기법으로 선제적 위협 방어 3R(AR/UR/MR) 엔진 및 메타 데이터 연계 분석 수행 멀웨어 파일 추출 / 데이터(세그먼트) 재조합 / 평판기반 분석제어
  • 심층 상관분석으로 패턴 자동 추출 능동적 방어

주요 기능

  • IPS 기본 기능
    네트워크 상의 유해 트래픽을 24시간 실시간 감시 IP Pool (네트워크 객체) 기능에 의한 네트워크의 분할 관리 정책 템플릿을 통한 상황/시기별 적절한 탐지정책 수립 트래픽 추이 및 탐지, 차단 로그에 대한 자동보고서 생성기능 트래픽 탐지시 단편화 된 패킷의 재조합 기능 ACL 기능 지원 트래픽 추이 및 탐지/차단 로그에 대한 자동보고서 생성기능 독자 학습 기능 및 커스텀 시그니처 작성을 통한 Zero-Day 공격 대응
  • RegEx 대응 및 HTTPS 기능
    Snort 및 YARA 형식의 시그니처 정규표현 대응 RegEx 패턴 업데이트 기능에 의해 벤더의 지속적인 업데이트 제공 사용자 정의 RegEX(정규표현식의 문법을 이용하여
    고객 환경에 맞춘 공격 패턴을 사용자가 직접 등록) 지원
    권장 시그니처 제공 정규표현식 문법을 이용한 1 개의 정책으로 다양한 공격 패턴의 탐지 네트워크 객체별 특성에 맞춘 전처리(Preprocessor) 실행으로,
    높은 탐지율 지원
    HTTPS 세션 복호화를 위한 Private Key 등록 및 SSL 통신 복호화를 통한
    유해 트래픽 탐지
  • AR, UR, MR 기능
    Application 통신에 대한 허용, 인지, 제어 수행 Application 정책에 대한 예외 IP 설정 인지, 제어된 Application 에 대한 로그 기록 세션 내 통신 방향 및 포트를 통한 내부 자산 자동 인지 시그니처 및 TCP 구조를 이용한 OS 및 Browser 파악 네트워크로 전송되는 파일에 대한 시그니처 및 해쉬기반 탐지 YARA 엔진 및 안티 바이러스를 통한 정상 파일과 Malware 파일 구분 기능 MD5 해쉬값 비교를 통한 Malware 분석 및 로그 기록
  • Reputation 및 연계 시스템 확장 기능
    배포 기관 또는 사용자 정의를 통한 IP, 국가, URL 별 Reputation 정책 설정 IP, 국가, URL 별 탐지 정책에 따른 로그 기록 시간 객체 설정을 통한 정책별 특정 시간대의 유입 트래픽 탐지 및 차단 외부 정책 시스템 및 통합 보안관리 시스템 연동 지원 관제를 위한 SIEM 및 위협 분석을 위한 Big data 시스템 연동 지원 연동을 위한 다양한 표준 프로토콜 제공

구성 방식

내부 네트워크로 유입되는 트래픽에 대한 분석 및 공격 탐지/차단을 위해 In-Line Mode로 일반적으로 구성 서비스 민감도, 장애 발생 시 영향을 최소화하기 위한 Switch Mirroring 기능을 이용한 Span-Mode도 지원하여, 위협 탐지만 수행 단일 구성과 HA(High Availability) 이중화 구성을 모두 지원하며, H/W기반의 Bypass 모듈을 장착하여 Fail-Over / Fail-Down 설정 기능 제공