안녕하세요 Sophos 대학생 기자단 1기 구성원입니다.
기자단 활동을 통해 4주동안 Sophos의 보안 제품들에 대해 설명하고자합니다.
먼저 제품을 소개하기에 앞서 Sophos란?
| Sophos는 1985년에 영국에서 설립된 최초 안티바이러스(백신) 회사입니다. 현재는 150개국 50만 이상의 고객사를 보유하고 있으며, 약 1억명 이상의 사용자가 Sophos를 이용하고 있습니다. Endpoint 보안 및 업계에서 가장 큰 기업 중 하나이며, 현재는 세계에서 가장 크고 빠르게 성장중인 MDR 서비스 업체로 평가받고 있습니다. Sophos에서 제공하는 제품군은 모바일·PC·서버 백신 등 엔드포인트 보안부터 통합위협관리(UTM)·차세대방화벽·무선 보안, 네트워크 보안, 웹·이메일 보안, 디스크·파일 암호화 솔루션 등 다양한 제품이 있습니다. |
이처럼 국외에서 가장 유명한 보안 제품군 Sohpos지만, 국내에는 윈스, 안랩, Fireeye 등 여러 벤더사가 시장 선점을 먼저 해놓아, 기업들에 Sophos 제품이 많이 도입되지는 않은 상황입니다.
하여, 이번 포스팅을 통해 Sophos Endpoint 백신 Intercept X를 설치하고, 얼마나 강력한 제품군들인지 널리 알리는 기회를 만들고자 Malware를 탐지해보겠습니다.
먼저 회원가입 후 30일을 무료로 사용 할 수 있는 계정 권한으로 Sophos Central 대시보드에 진입한 상태입니다.
이후 홈 화면 좌측 레이아웃 → 장치 보호 진입 시 Endpoint Protection 설치를 할 수 있는 파일이 존재합니다.
OS에 맡는 구성 요소 선택 클릭! 디폴트 값으로 다운로드 할 수 있지만, 이번 포스팅에서는 장치 암호화, ZTNA 를 해제한 후 다운로드하겠습니다.
※ EDR 설치 전 윈도우 Defender OFF 및 타사 백신 삭제 권장드립니다.
설치 완료되면 에이전트가 확인되는 것을 볼 수 있습니다.
에이전트 실행 시 상태값에서 내 컴퓨터(Endpoint)가 보호 되고 있음을 확인 할 수 있습니다.
다시 웹 Sophos Central → 장치로 접속하여, 설치된 PC에서 및 에이전트가 정상적으로 설치된 여부와, 에이전트가 설치된 PC의 상태값 현황을 확인할 수 있습니다.
에이전트가 정상적으로 설치되었다면, 정상적으로 작동하는지에 대해 Malware를 설치하여, 탐지 및 차단 테스트를 진행해 보겠습니다.
[EICAR Test File은 안티 바이러스가 정상 작동하는지 테스트하기 위해 만들어진 파일로 다운로드시 안심한 파일입니다.]
https://www.eicar.com/download-anti-malware-testfile/
Download Anti Malware Testfile - EICAR
Download Anti Malware Testfile, What is the eicar test file? Who needs the Anti-Malware Testfile, Download Anti Malware Testfile
www.eicar.com
EICAR_COM.ZIP 다운로드
다운로드 시도하였지만, 'EICAR_COM.ZIP' 파일이 정상적으로 다운되지 않고, 격리된 것을 확인할 수 있습니다.
추가적 Malware 탐지 테스트를 [sophos에서 제공하는 malware 파일] 진행해보겠습니다.
Sophos Web Security and Control Test Site
Sophos Web Security and Control Test Site This test site contains pages classified by SophosLabs for the purpose of testing our web security and control products. Note that some pages are classified as potentially offensive or dangerous however the page co
www.sophostest.com
해당 'HIPS Test.exe' 파일 실행 화면입니다.
실행 전 이미 'HIPS Test.exe' 파일 다운로드 시 alert 이벤트가 발생되고, 실행하면 파일을 삭제해주는 기능을 확인 할 수 있습니다.
사실 Endpoint가 한대뿐이라면, 위처럼 에이전트에서 확인을 할 수 있지만, Endpoint인 임직원 PC, 각종 서버등 100대, 1000대 혹은 그 이상 많아진다면 관리가 어렵기에, Central에서 한꺼번에 관리가 가능합니다.
장치에서 이전 Malware 테스를 진행한 이벤트를 확인 할 수 있으며, 세부 정보 진입 시 상세 이벤트 및 해시값 획득도 가능합니다.
또한 위협분석센터에서 위협그래프 확인 시 GUI 형태로 어떠한 파일에서 탐지 및 차단이 되었고, 해당 파일이 어떤 dll파일을 write하는지 read하는지 확인 할 수 있습니다.
해당 제품을 사용한다면, 보안관제 및 CERT에서 이벤트 룰을 티켓과 연동시킨다면 Endpoint단의 행위분석 및 상세 이벤트 확인을 할 수 있는 기회를 가질 수 있습니다.
'대외활동 > Sophos' 카테고리의 다른 글
| [Sophos 대학생 기자단 1기] DLP 정책 테스트 (1) | 2023.04.14 |
|---|---|
| [Sophos 대학생 기자단 1기] Sophos 백신 Web 예외처리 테스트 (0) | 2023.04.06 |
