2015년 11월 7일 토요일

COMODO Sandbox 와 AppCheck 조합

COMODO Firewall (Sandbox) 기능과 AppCheck의 멀티 엔진 검사 능력을 조합한 영상입니다.

테스트에 사용된 샘플은 9월에 생성된 악성코드들입니다. 현재는 많은 업체가 진단을 하고 있다는 점을 확인하십시오.



AppCheck는 단순 기능에 Antivirus와의 조합보다는 다른 기능(HIPS,Sandbox,AntiExploit등)이 포함된 제품과 혼용하기를 권합니다.

그 이유는 AppCheck에 약점과 단점은

1. DB 갱신 - Appcheck 진단에 사용된 VIrustotal, Metascan에 마지막 검사 날짜에 대한 맹점 (악성코드 <-> 안전한 파일)

2. 새로운 악성코드에 대한 진단 - 일반적으로 새로이 생성된 악성코드는 소수 업체가 진단하거나, 진단하지 않을 가능성이 있습니다. 이러한 약점을 최소화 하기 위해서는 진단업체의 무시하기 기능을 1~2로 해놓아야 하는데 이것은 오진이 발생할 가능성도 매우 높습니다. (윈도우즈 파일을 진단하는 업체도 있기에...)

* Windows 및 사용중인 소프트웨어의 업데이트 진행 - 기본적인 취약점  최대한 차단
* Anti-Exploit 제품으로 취약점을 이용한 악성 행위를 최대한 차단
* 파일 실행시 Appcheck로 악성코드 실행을 최대한 차단
* 실행된 악성코드는 Sandbox 내에서 실행 (실제 시스템에 영향을 주는 행위를 최소화)
* 원격제어등에 악성 행위 연결을 방화벽(Firewall)을 이용해 차단

복잡해 보이지만 모든 설정을 자동으로 지정한다면 간편해 집니다.

* Windows 업데이트 및 사용중인 소프트웨어의 업데이트 설정을 자동으로 지정
* Anti-Exploit - 기본 설정이 차단
* Appcheck - 기본 설정이 차단
* COMODO Sandbox - 기본 설정이 악성코드는 차단, 그 외 신뢰할수없는 파일은 Sandbox 내에서 실행 (Enable Auto-Sandbox)
* COMODO Firewall - 연결 요청을 자동 차단 (Safe Mode + Block Request)

댓글 없음:

댓글 쓰기